זה יוצא דופן לראות מכתב פתוח ממנהיג עסקי בתחילת דו"ח סייבר ממשלתי. במיוחד מישהו שחברתו סבלה זה עתה מפריצה משפילה. אבל אלו זמנים יוצאי דופן. והמסר חשוב ביותר. זו הסיבה שמרכז הסייבר הלאומי (NCSC) של GCHQ פינה מקום למנכ"לית קבוצת קואופ, שירין חורי-חק, בתחילת... סקירה שנתית 2025.
המסר שלה, שהדהד והוגבר לאורך המסמך, היה פשוט: הכנה היא הכל. אבל כיצד מנהיגי חברות מבטיחים שהם בונים חוסן סייבר מספיק בארגון שלהם היום, על מנת להבטיח עסקים כרגיל במקרה של פרצה מחר?
עלייה באירועים בעלי משמעות לאומית
המספרים מהשנה האחרונה מספרים סיפור משלהם. ה-NCSC טוענת שכמעט מחצית (48%) מהאירועים שאליהם הגיב צוות ניהול האירועים שלה בשנה האחרונה היו "בעלי משמעות לאומית". זה מסתכם ב-204 אירועים נפרדים, או ארבעה בשבוע. כ-4% (18) מסווגים כ"משמעותיים ביותר" - עלייה שנתית של 50%. אלה ירדו מדרגה אחת מהחומרה המרבית, המציינת אירועים שעלולים להיות בעלי השלכות כלכליות/חברתיות חמורות או אובדן חיים. אך הם עדיין מסמלים מתקפות סייבר ופרצות שעלולות להיות בעלות השפעה חמורה על הממשל המרכזי, שירותים חיוניים וחלק גדול מאוכלוסיית או הכלכלה של בריטניה.
מעניין לציין, ש-29 אירועים שניהלה ה-NCSC במהלך התקופה נבעו משלוש פגיעויות בלבד: CVE-2025-53770 (Microsoft SharePoint Server), CVE-2025-0282 (Ivanti Connect Secure, Policy Secure & ZTA Gateways) ו-CVE-2024-47575 (Fortinet FortiManager). נתון זה מדגיש מיד כמה פוטנציאליים עבור ארגונים שבוחרים לפרוס תוכניות ניהול תיקונים מבוססות סיכונים.
"פרי נמוך תלוי זה נמצא בכל מקום, אם רק מנהיגי עסקים היו בעלי מוטיבציה מספקת או מודעים לצורך למצוא אותו", אומר מנכ"ל NCSC, ריצ'רד הורן. בהקדמתו, הוא מתאר את האתגרים העומדים בפני ארגונים בריטיים כגדלים "בסדר גודל". הורן מסכם: "אבטחת סייבר היא כעת קריטית לאריכות ימים ולהצלחה עסקית. הגיע הזמן לפעול".
מכתב למדד FTSE 350
דגש זה על פעולה מגובה בהפסקות סייבר קטסטרופליות אחרונות שפגעו בחברות כמו יגואר לנד רובר (JLR), M&S וקבוצת קואופ, אם למנות רק שלוש. הערכות מסוימות מעריכות את ההפסדים הכוללים שספגו חברות אלו וספקיהן בכמעט מיליארד ליש"ט. זוהי חלק מהסיבה לכך שהדו"ח קורא ישירות למנהיגים עסקיים להפסיק להתייחס לסייבר כעניין של מחלקת ה-IT, ולהתחיל להבין את חשיבותו הקריטית לצמיחת העסקים ולכלכלת בריטניה.
זו הסיבה שהוא מציג את חורי-חק מקבוצת קואופ. ומדוע הורן קורא: "כל מנהיגי העסקים צריכים לקחת אחריות על חוסן הסייבר של הארגון שלהם." זו גם הסיבה שהדו"ח מקדם יוזמות שונות של NCSC כמו:
- קוד נוהג לממשל סייבר: נועד לסייע לדירקטוריונים ולדירקטוריונים לנהל טוב יותר סיכונים דיגיטליים
- תוכנית ההכשרה לממשל סייבר, אשר תואמת את חמשת עקרונות הליבה של הקוד: ניהול סיכונים, אסטרטגיה, אנשים, תכנון אירועים, תגובה והתאוששות, ופיקוח וביטחון
- הנחיות NCSC בנושא "מעורבות עם דירקטוריונים לשיפור ניהול סיכוני אבטחת סייבר", המסייעות למנהלי מערכות מידע לתקשר בצורה יעילה יותר עם הדירקטוריון שלהם.
- עקרונות תרבות אבטחת הסייבר, המתארים כיצד נראית תרבות אבטחה טובה וכיצד לשנות התנהגויות
- ערכת הכלים לפעולה בסייבר, להגברת המודעות לסייבר בקרב מנהיגים עסקים קטנים
זו גם הסיבה, במה שנראה כצעד מתואם, הממשלה כתבה למנכ"לים של מדד FTSE 350 והתחננה בפניהם להכיר בהיקף האיום.
"במשך זמן רב מדי, אבטחת סייבר הייתה דאגה של הנהלת הביניים, והדבר מוסלם רק לדרגים בכירים במקרה של משבר. זה לא עניין של להיות קורבן למתקפת סייבר, אלא להיות מוכנים לרגע שהיא אכן תתרחש." אמר שר הביטחון דן ג'רוויס בהשקת הסקירה. באופן מרשים, הוא ביקש להדגיש את היתרון התחרותי ששיטות עבודה מומלצות בתחום הסייבר יכולות לספק לעסקים.
בניית חוסן
החדשות הטובות הן שבעוד שהאיום מתעצם, ה-NCSC טוענת שרוב הפעילות שהיא רואה אינה חדשה באופן קיצוני, בין אם בחסות המדינה ובין אם בעבודתן של קבוצות כמו Scattered Spider. זה אמור להקל מעט על השגת חוסן קיברנטי. אבל מה יש בדו"ח? מלבד רשימת יוזמות של NCSC כמו Active Cyber Defense ו-Cyber Essentials, המסמך בן 100 העמודים מדגיש את הרעיון של "הנדסת חוסן".
למרות שיש לה מורשת בהנדסת בטיחות, ניתן להעביר את הקונספט ביעילות לתחום הסייבר, טוענת ה-NCSC, באמצעות יוזמות כמו:
תשתית כקוד: מאפשר לארגונים לשכפל מערכות באופן אמין לצורך שחזור מהיר ולפרוס תשתית אמינה ובלתי ניתנת לשינוי.
גיבויים בלתי ניתנים לשינוי: מאפשר שחזור יעיל כאשר יש אובדן סביבה מוחלט (כולל זהות, תצורות ענן, היפר-ויזורים וכו').
הִתפַּלְגוּת: לבידוד ובלימה כדי למזער את ההשפעה במהלך אירוע, או "ליצירת גבולות אמון באופן מתמיד".
הפריבילגיה הפחותה ביותר: בכל השירותים, על מנת להגביל את הנזק ולתמוך בגישות של אפס אמון.
צפייה וניטור: כדי לזהות אנומליות ולשפר את הלמידה לאחר אירוע.
הנדסת כאוס: החדרה מכוונת של כשל באימות/בדיקת תהליכי גילוי ושחזור.
פעולות עמידות: כולל הבטחת זמינות של ספרי ריצה לתגובה למשברים באופן דיגיטלי או פיזי, בפלטפורמות מבודדות או בעותקים מודפסים.
תסתכלו על הסטנדרטים
פיטר קונולי, מנכ"ל ב פתרונות טורו, טוען כי תקני שיטות עבודה מומלצות כמו ISO 27001 יכולים לסייע לארגונים לשפר את חוסן הסייבר שלהם.
"הוא מספק מסגרת מובנית לניהול סיכונים מעבר ל-IT וכולל אנשים, אבטחה פיזית והמשכיות עסקית", הוא אומר ל-ISMS.online. "על ידי נקיטת גישה משולבת זו, ארגונים יכולים למזער את השפעת האירועים, לשמור על פעילות קריטית ולהדגים ללקוחות, למשקיעים ולשותפים שאבטחה היא בראש סדר העדיפויות."
קונולי מוסיף כי ארגונים צריכים להשתמש בתאימות לתקן ISO 27001 כדי לסייע בהטמעת אבטחה בתרבות העסקית היומיומית.
"משמעות הדבר היא להפוך את עקרונות האבטחה לחלק מהפעילות השוטפת במקום להתייחס אליהם כמשימה נפרדת", הוא מסכם. "התחילו בטיפול בסיכונים הקריטיים ביותר תחילה, וודאו שאבטחה סייבר, פיזית ואבטחה הקשורה לאנשים נלקחים בחשבון יחד. גישה זו בונה חוסן אמיתי תוך מתן אמינות מוכרת בינלאומית."
המילה "חוסן" מוזכרת 139 פעמים בדו"ח NCSC. הגיע הזמן ש-UK PLC תשים לב לכך.
