DBIR 2025 של ורייזון לעומת הלוח שלך: מה הם מפספסים

מנהלי מערכות מידע מוזמנים יותר ויותר לישיבות דירקטוריון. סקר Splunk מינואר מצא כי 83% משתתפים לעתים קרובות למדי או רוב הזמן, בעוד ששיעור דומה מקיימים אינטראקציה ישירה עם המנכ"ל. עם זאת, פחות משליש מהנשאלים אומרים שהדירקטוריון כולל חבר אחד או יותר עם מומחיות בסייבר. משמעות הדבר היא שייתכן שמנהלי מערכות מידע (CISO) מדברים מבלי להישמע באמת.

דוח חקירות פרצות הנתונים של ורייזון (DBIR) הוא הזדמנות מצוינת לתקן את העניינים. הוא מלא בתובנות חשובות בנושא איומים, שיכולות לשמש כקרש קפיצה לשיחות אסטרטגיות. מנהלי מערכות מידע שאינם מדברים על מגמות הפרצות אלו בישיבות הנהלה עלולים להשאיר את הארגון שלהם חשוף.

תקלה בתקשורת?

מחקרים מראים לנו שבארגונים רבים, מנהלי מערכות מידע (CISO) אינם מדברים את שפת הדירקטוריון/העסקי, או שהדירקטוריון אינו רוצה להקשיב - או שניהם. מחקר ייעוץ FTI מגלה שכמעט שליש (31%) מהמנהלים אינם מבינים במלואם מושגים טכניים בהם משתמש מנהל מערכות מידע (CISO) וכי למעלה ממחצית (58%) ממנהלי ה-CISO מתקשים להעביר שפה זו בצורה שההנהלה הבכירה יכולה להבין. שליש נוסף מהמנהלים טוענים שמנהלי ה-CISO שלהם מהססים להעלות את תשומת ליבם לבעיות אבטחה פוטנציאליות.

ובכל זאת הבעיה מתנדנדת לשני הכיוונים. מחקר של Trend Micro משנת 2024 טוענים כי ארבע חמישיות (79%) ממנהלי מערכות המידע העולמיים חשו לחץ מצד הדירקטוריונים להמעיט בחומרת סיכוני הסייבר - לעתים קרובות משום שהם נתפסים כ"מטרידים" או "שליליים מדי". שליש אומרים שנדחו על הסף. ניתן לקשר זאת להאשמה נפוצה: שדירקטוריונים עדיין רואים בסייבר עניין של מחלקת ה-IT ולא של העסק. רק מחצית (54%) ממנהלי מערכות המידע שאיתם שוחחו Trend אמרו שהם בטוחים שהדירקטוריון שלהם מבין לחלוטין את סיכוני הסייבר של הארגון - נתון שכמעט ולא השתנה בשלוש שנים.

"הדירקטוריון מקשיב כאשר סיכון סייבר נשמע כמו סיכון עסקי - כך עוברים מחדר השרתים לחדר הדירקטוריון. מנהלי מערכות מידע חייבים לתרגם מורכבות טכנית לרלוונטיות עסקית", מייעץ מיק באצ'יו, יועץ אבטחה גלובלי ב-Splunk SURGe.

"כדי להישמע, עליהם לגשר על הפער הזה ולמסגר את אבטחת הסייבר כגורם מאפשר עסקי: התאמת מדדי אבטחה להגנה על הכנסות, תאימות רגולטורית ואמון לקוחות. חשוב לא פחות לבנות קשרים בלתי פורמליים עם חברי דירקטוריון כדי להפוך ליועצים מהימנים, ולא רק לשליחים של תאימות."

מגמות של פרצות DBIR שכדאי לעקוב אחריהן

בהנחה שמנהלי מערכות מידע (CISO) יצליחו להשיג את תשומת ליבם של הדירקטוריון שלהם, ממה הם צריכים לדאוג? של ורייזון DBIR האחרון מבוסס על ניתוח של למעלה מ-22,000 אירועי אבטחה, כולל 12,195 פרצות אבטחה שאושרו. הוא מדגיש מספר מגמות מדאיגות, ביניהן:

• עלייה שנתית באירועי "פריצה למערכת" מ-36% ל-53% מדליפות הנתונים. אלו הן התקפות מתוחכמות יותר המאופיינות בתוכנות זדוניות ופריצות.
• הממצא הנ"ל נובע מעלייה חדה במספר מתקפות הכופר, שמספרן עלה ב-37% מאז השנה שעברה וכעת נוכח ב-44% מהפריצות, למרות ירידה בסכום הכופר החציוני ששולם. עסקים קטנים ובינוניים מושפעים באופן לא פרופורציונלי.
• ל-40% מקורבנות תוכנות הכופר היו כתובות דוא"ל ארגוניות שנגנבו על ידי גנבי מידע.
• ניצול לרעה של פרטי גישה (22%), ניצול פגיעויות (20%) ופישינג (19%) היו וקטורי התקפות הפרת נתונים העיקריים.
• בינה מלאכותית גנרטיבית היא סיכון הולך וגדל בשני חזיתות: טקסט שנוצר באופן סינתטי במיילים זדוניים (למשל, פישינג) הוכפל בשנתיים האחרונות, בעוד ש-14% מהעובדים ניגשים באופן שגרתי למערכות GenAI במכשירים הארגוניים שלהם. רובם (72%) השתמשו במייל שאינו ארגוני כמזהה חשבון, דבר המצביע על שימוש בבינה מלאכותית בצללים.
• מעורבות אנושית בפריצות נותרה גבוהה, כ-60%, בעיקר ניצול לרעה של אישורים והנדסה חברתית.
• נרשמה עלייה של 34% בניצול פגיעויות כווקטור להתקפת פרצות, במיוחד פרצות יום-אפס שכוונו נגד מכשירי היקפיים ו-VPN. רק מחצית (54%) מפגיעויות המכשירים ההיקפיים תוקנו במלואן, ולקח בחציון 32 ימים לעשות זאת.
• אחוז ההפרות בהן היו מעורבים צדדים שלישיים הוכפל ל-30%.
• BYOD נותר איום: 46% מהמערכות שנפגעו על ידי גנבי מידע ונגנבו בהן כניסות ארגוניות היו מכשירים אישיים.

על מנהלי מערכות מידע (CISOs) לנהל שיחות "ריאליזם סיכונים" עם הדירקטוריונים שלהם על רקע ממצאים אלה, אומר באצ'יו.

"אם תוכנית המשבר שלך נעצרת בחומת האש שלך, אין לך תוכנית משבר." הדו"ח של ורייזון ברור: משטח התקיפה התרחב, והתוקפים מנצלים בו זמנית את השכבות האנושיות, הטכניות ושרשרת האספקה. מנהלים חייבים להתקדם מעבר לסימון תיבות ולשאול: היכן אנחנו באמת הכי פגיעים?'" הוא אומר ל-ISMS.online.

"יש להתייחס לסיכונים של צד שלישי וחשיפות למכשירים בקצה הרשת כאל איומי המשכיות עסקית, ולא רק לבעיות IT. על הדירקטוריון לדרוש תכנון תרחישים קבוע סביב ניצול לרעה של אישורים, סחיטה באמצעות תוכנות כופר ודליפות נתונים המונעות על ידי גורמים פנימיים."

ג'ונתן לי, מנהל אסטרטגיית הסייבר של טרנד מיקרו, טוען כי הדו"ח צריך להיות "קריאת השכמה" נוספת לדירקטוריונים בנוגע לצורך להתאים את אסטרטגיית האבטחה לחוסן תפעולי.

"אנחנו רק צריכים להסתכל על האירועים המתוקשרים האחרונים שפגעו בקמעונאים בבריטניה כדי לראות את אובדן ההכנסות, אובדן הרווח ואובדן המוניטין שיכולים להיגרם בעקבות מתקפה. במקרים מסוימים, פריצה למערכת יכולה להוות איום קיומי על ארגון. בהקשר של שירות ציבורי, יכולה להיות לכך גם השפעה פיזית של העולם האמיתי, כמו הנזק הקליני שנגרם בעקבות מתקפת שרשרת האספקה ​​של שירות הבריאות הלאומי (NHS) על Synnovis", הוא אומר ל-ISMS.online.

"הכרה גרידא בכך שסיכונים אלה קיימים והוספתם לפנקס סיכונים אינה מספיקה. למה לחכות שפריצה תפגע בארגון שלך? האם לא עדיף להיות פרואקטיביים ומוכנים, מאשר תגובתיים ולא מוכנים למקרה שהגרוע מכל יקרה?"

גישור על הפער באמצעות תוכניות תאימות

תקני שיטות עבודה מומלצות כמו ISO 27001 יכולים לסייע כאן על ידי מתן שפה משותפת וגישה מבוססת סיכונים לדירקטוריונים ולמנהיגי אבטחה באמצעותה ניתן לשפר את חוסן הסייבר.

"מסגרות תאימות לא יעצרו כל תוקף, אבל הן יעצרו כאוס בתגובה שלכם. מסגרות כמו ISO 27001 ו-SOC 2 מספקות שפה ומבנה משותפים ליישור בקרות אבטחת סייבר עם יעדי עסקים", אומר באצ'יו מ-Splunk.

"הם מציעים ראיות חוזרות וניתנות לביקורת של ניהול סיכונים מבלי להיות מחייבות או איטיות כמו משטרי רגולציה כמו NIS2. הערך אינו טמון רק בהסמכה אלא במשמעת ובבהירות שהיא מביאה לאסטרטגיית ודיווח אבטחת סייבר."

לי מ-Trend Micro אומר שהסטנדרטים הללו יכולים אפילו לספק קפיצת מדרגה שימושית לעמידה בתקנות כמו NIS2 וחוק אבטחת הסייבר והחוסן הקרוב בבריטניה.

"בנוסף לחיזוק ההגנות מפני תוקפים, גישה כזו מדגימה גם מחויבות לשמירה על סטנדרטים גבוהים של אבטחה בשרשרת האספקה ​​ובשותפים המחוברים דיגיטלית", הוא מסכם.

"באמצעות תוכניות תאימות אלו, מנהלי מערכות מידע יכולים לגשר על הפער בין אבטחת הסייבר לארגונים שלהם, ולהבטיח שאמצעי אבטחה ייחשבו כחלק מרכזי בהצלחת הארגון ובחוסן שלו."