חברות שירות מתמודדות עם פיצול וחלוקה לגבולות, דבר המונע גישה יעילה יותר לתאימות. יש צורך בבסיס איתן יותר, אך כיצד ניתן לעשות זאת?
מאת קייט או'פלאהרטי
חברות שירות מפעילות מערכות רבות ומגוונות, שרבות מהן מעולם לא נועדו להיות מחוברות לאינטרנט. לכן אין זה מפתיע ש... אבטחת סייבר — ועמידה בתקנות החלות על האזור — נותרו אחד האתגרים הגדולים ביותר של המגזר.
ב 2010, תולעת Stuxnet הדגימו את האיום האמיתי שמציב מתקפת סייבר על המגזר, לאחר שצנטריפוגות ששימשו בתוכנית הגרעין האיראנית הושמדו. לאחרונה, מלחמת רוסיה-אוקראינה ראתה מספר ניסיונות סייבר בחסות מדינה על אוקראינה רשת חשמלבינתיים, בארה"ב, ה- מגזר המים גם היה תחת מתקפה.
הסיכון הגובר של מתקפות כגון אלה והשלכותיהן ההרסניות הובילו למספר תקנות שנועדו לחזק את אבטחת חברות התשתיות, כולל הוראת האיחוד האירופי למערכות רשת ומידע 2 (2 שקל) ובריטניה הצעת חוק אבטחת סייבר וחוסן.
בעוד חברות התשתיות שואפות לעמוד בכללים מרובים אלה, חלקן מתחו ביקורת על התעשייה על איטיותה בהסתגלותה. ואכן, לאחרונה בלוג מאת ארנסט אנד יאנג מדגישה את הצורך ב בינה מלאכותית טכנולוגיית (AI) לניהול אסטרטגיות מורכבות לניהול סיכונים ולהבטחת תאימות.
אבל בתעשייה שכבר מתמודדת עם פיצול ומחסומים, האם הוספת כלים נוספים היא באמת התשובה?
שמירה על קצב הרגולציה
מומחים רבים אומרים שלא. במקום זאת, חברות שירות זקוקות למערכת תאימות מאוחדת ומהונדסת שתתאים למורכבות המערכות הפיזיות שהן מפעילות. זה מתחיל בתיקון היסודות, במקום להניח טכנולוגיות חדשות על גבי פיצול ישן.
אירועי סייבר אחרונים המשפיעים על חברות תשתיות מדגישים אתגר שחורג מעבר לקצב הרגולציה. הלחץ שעומד על חברות תשתיות הוא אמיתי, אך זה לא בגלל שהכללים מתקדמים מהר יותר ממה שארגונים יכולים להגיב.
הסיבה לכך היא שעלות הציות והאחריות על סיכונים מקוטעת ומנותקת "עולה מהר יותר ממה שחברות התשתיות יכולות לספוג", אומר דארן גוצ'יונה, מנכ"ל ומייסד שותף של Keeper Security. IO.
חברות שירות מפעילות כמה מהמערכות הפיזיות המקושרות ביותר בעולם. עם זאת, התהליכים המסדירים אבטחת סייבר, חוסן תפעולי, פרטיות, גישה לצד שלישי ועמידה בתקנות לרוב מנותקים זה מזה.
"אבטחת סייבר, טכנולוגיה תפעולית "צוותי אבטחה (OT), פרטיות, ביקורת ורגולציה מאורגנים לעתים קרובות כפונקציות מקבילות, שלכל אחת מהן בקרות, כלים וקווי דיווח משלה, אך נראות משותפת או תיאום מוגבלים", מציין גוצ'יונה. "פיצול זה יוצר חשיפה אמיתית."
"מגורות אלו מובילות ל"תקשורת לקויה, כפילויות מאמץ, אי הבנות וקבלת החלטות איטית", אומרת טרייסי האנן-ג'ונס, מנהלת ייעוץ אבטחת מידע ב-UBDS Digital. "לכן, כאשר מגיעות תקנות חדשות, כל מחלקה מפרשת ואז מיישמת שינויים בצורה שונה - או בכלל לא מיישמת אותם - מה שמוביל לחוסר עקביות, חוסר יעילות ומסגרות תאימות שתוכננו בצורה גרועה כדי להתמודד עם הדרישות."
"הרעיון של "חוב טכני" בתוכנה - קיצורי דרך היוצרים עלויות עתידיות מצטברות - "מתאם בצורה מושלמת לתאימות", אומרת ריינה סטמבולייסקה, מנכ"לית RS Consulting. "בכל פעם שחברת שירות משלבת דרישה רגולטורית חדשה למערכות קיימות מקוטעות, במקום לבנות מחדש את הבסיס, הארגון צובר 'חוב תאימות'. 'עלות התאימות המקוטעת' היא למעשה תשלומי ריבית על 'חוב תאימות' - וחברות שירות בבריטניה משלמות ריבית מצטברת מבלי להפחית את הקרן."
לא מנוצל מספיק
שום טכנולוגיה חדשה לא יכולה לפתור את הבעיה - במיוחד אם היא פשוט מוטמעת על גבי מערכות מקוטעות.
בשנת 2024, ארגונים גדולים השתמשו בממוצע ב-45 כלי אבטחת סייבר, לפי גרטנר"דבר זה מצביע על כך ש"חוסר כלים" אינו הבעיה המרכזית", אומר ריק פרגוסון, סגן נשיא מודיעין ביטחוני בפורסקאוט. "על הנייר, עומק הכלים הזה יכול להיראות מרגיע. בפועל, זה לעתים קרובות יוצר בעיה אחרת: סביבת אבטחה עמוסה, רועשת וקשה לתפעול כשלם קוהרנטי."
פרגוסון אומר כי דירקטוריונים רואים לעתים קרובות כלים נרחבים ומניחים שהכיסוי מקיף. "צוותי אבטחה, לעומת זאת, משקיעים כמויות עצומות של זמן באיחוד מידע, אימות התראות ומעקב אחר פעילות שלא תמיד מתורגמת להפחתת סיכונים מדידה."
בתוך סביבה מורכבת זו, ארגונים עשויים להסתכל על בינה מלאכותית כ"מושיע". עם זאת, זה לעולם לא יעבוד מכיוון שבינה מלאכותית משגשגת על "נתונים משולבים באיכות גבוהה", אומרת האנן-ג'ונס מ-UBDS Digital. "בתשתיות מקוטעות, הנתונים לרוב באיכות ירודה, מפוזרים, לא עקביים או בלתי נגישים. ללא נתונים מאוחדים, מודלים של בינה מלאכותית יכולים לייצר רק תובנות מוגבלות או לא אמינות."
גורם נוסף שיש לקחת בחשבון הוא שבינה מלאכותית אינה יכולה לתקן מחיצות ארגוניות, אומרת האנן-ג'ונס. "בינה מלאכותית יכולה להפוך משימות לאוטומטיות או לייצר המלצות, אך היא אינה יכולה לאלץ מחלקות לשתף פעולה או לשתף מידע."
גישה יעילה
במקום פשוט להוסיף כלים חדשים, חברות שירות צריכות לעבוד על גישה יעילה לתאימות. זה יכול לסייע בהקלה על תזמור מרכזי, אחריות מקומית, בקרות עקביות, ניטור מתמשך וראייה משולבת של סיכונים.
כחלק מכך, סטנדרטיזציה מספקת "אוצר מילים מאוחד ומערכת נהלים" עבור סיכונים, אבטחה, פרטיות ובינה מלאכותית, אומרת האנן-ג'ונס. לדוגמה, ISO 27001 כיסוי אבטחת מידע, ISO 22701 על פרטיות, ו ISO 42001 ניהול בינה מלאכותית.
מסגרות אלו דורשות הקצאה ברורה של תפקידים ואחריות באמצעות גישה ריכוזית. זה מבטיח שכולם ידעו מי אחראי על מה, מה שישפר את התיאום והתקשורת ויפחית פערים, אומרת האנן-ג'ונס. "ארגונים יכולים לאחר מכן לאכוף תהליכים מתועדים וניתנים לחזרה עליהם להערכת סיכונים, תגובה לאירועים ולקדם שיפור מתמיד", היא מסבירה.
במקביל, מכיוון שתקני ISO מבוססים על סיכונים, הם דורשים מארגונים להתייחס לסיכונים בצורה הוליסטית, ולא כמבודדים. היישור של ניהול הסיכונים עם יעדי העסק מבטיחה שכל המחלקות "עובדות לקראת אותן מטרות בגישה עקבית", אומרת האנן-ג'ונס.
כאשר מבקשים לייעל את הארגון שלכם, הצעד הראשון הוא למפות ולתקנן את תהליכי הליבה שלכם, מייעצת האנן-ג'ונס. "תעדו את כל זרימות העבודה המרכזיות ברחבי הארגון, כולל ניהול נכסים, תחזוקה, תגובה לאירועים וניהול סיכונים. זה ייצור בהירות, יחשוף כפילויות, יזהה פערים ויספק בסיס חזק לתקינה."
חשוב לוודא שכולם, כולל ההנהלה, תומכים בפרויקט, אומרת האנן-ג'ונס. "כמנהיגים בכירים, עליהם לקדם את גישת הציות המאוחדת, לתקשר את ערכה ולהקצות משאבים. שינוי בר-קיימא דורש תמיכה נראית לעין מהצמרת, עם מסרים ברורים ברחבי הארגון כולו."
יתרונות הציות
בעוד שהאתגרים נותרו קיימים, הרגולציה אינה הופכת למורכבת יותר. במקום זאת, היא חושפת עד כמה מבנים פנימיים הפכו למבולגנים ושבריריים. סיכון בתשתיות הופך לנכס רק כאשר הוא מטופל כמו הרשת עצמה: מערכת מתפקדת המחוברת, מנוטרת באופן רציף ומתוכננת לחוסן.
היתרונות ברורים: כאשר הציות מתואם ומשולב, חברות שירות משיגות תגובה רגולטורית מהירה יותר, יציבות סייבר חזקה יותר, מודלים של בינה מלאכותית אמינים יותר, ביטחון טוב יותר בדירקטוריון והפחתת כפילויות ועלויות.
תאימות מתואמת ומשולבת מאפשרת לחברות "להחזיר לעצמן את היכולת התפעולית", כך שיוכלו להפנות את האנרגיה שלהן לשיפור תוצאות האבטחה, אומר קונור שרמן, מנהל מערכות מידע ב-Sysdig. "לאחר מכן תוכלו להקדיש את זמנכם לשיפור חוסן הרשת, במקום להתווכח על מקור צילום המסך עבור מבקר."
