מדוע רגולטורים מעדיפים גישה מתכנסת לחוסן סייבר

מאת ניקולס פירן • 10 יוני 2025

ככל שהמערכת האקולוגית הדיגיטלית מתרחבת באופן אקספוננציאלי ופושעי סייבר מבקשים לנצל פרצות אבטחה בתוכה, הרגולטורים ממשיכים להפעיל לחץ על עסקים לפתח אסטרטגיות מקיפות לסיכוני סייבר ומחזיקים בהם דין וחשבון כאשר דברים משתבשים.

מתוך הכרה בכך שאיומי סייבר הם רב-גוניים וגלובליים באופיים, רגולטורים נוקטים בגישה אחידה יותר לעמידה בדרישות סיכוני סייבר. דוגמה מושלמת לכך היא חוק החוסן התפעולי הדיגיטלי של האיחוד האירופי, המחייב דבקות כלל-גושית במערכת כללים משותפת של אבטחת סייבר.

שיתוף פעולה בינלאומי בנושא חוסן סייבר, במיוחד בתחומים כמו בינה מלאכותית (AI), גם הוא נמצא בצמיחה. לדוגמה, בספטמבר 2024, בריטניה, ארה"ב וקנדה הודיעה על תוכניות לשתף פעולה במחקר בתחום אבטחת סייבר ובינה מלאכותית.

עקב עלייתן של תקנות סייבר מאוחדות, עסקים בכל התעשיות צפויים כעת לפתח, לאכוף ולהעריך באופן קבוע בקרות ומדיניות מקיפות בנוגע לסיכוני IT. מומחי סייבר מזהירים כי אלה אינם יכולים עוד להיות תרגיל יחיד של סימון.

גישה מתכנסת לחוסן סייבר

עלייה מהירה באיומי סייבר מתוחכמים ותלות גוברת בטכנולוגיות דיגיטליות מצד עסקים מניעות רגולטורים גלובליים להתיישר בתחומים מרכזיים, כגון הגנת מידע, חוסן סייבר וניהול סיכונים, כך לדברי אנו קפיל, מנהל מוצר בכיר בחברת אבטחת המידע האמריקאית Qualys.

היא טוענת שעל ידי נקיטת גישה מאוחדת לתקנות פרטיות, אבטחת סייבר ובינה מלאכותית, הרגולטורים נהנים מפיקוח יעיל ואכיפת אחריות חוצת גבולות. בינתיים, עסקים יכולים להשתמש במערך סטנדרטי של מסגרות לצורך תאימות מרכזית.

סם פיטרס, מנהל מוצר ראשי של ISMS.online, משקף מחשבות דומות וציין כי רגולטורים ברחבי העולם משתפים פעולה יותר ויותר ברגולציות סייבר חוצות תחומים בתגובה להתפשטות איומים דיגיטליים מורכבים, אתגרים גיאופוליטיים וציפיות גוברות של משתמשים לאחריותיות.

פיטרס אומר שבכך מקווים הרגולטורים לצמצם את המבודדים הקיימים בתחומים כמו אבטחת סייבר, פרטיות נתונים ובינה מלאכותית. המבודדים הללו מקשים על ארגונים לזהות ולמתן איומי סייבר.

אבל על ידי ביטול המבודדים שהוזכרו לעיל, טיפוח תקנות IT עקביות יותר ו בהסתמך על תקני סיכון קיימים כמו ISO 27001, הוא מאמין שרגולטורים יכולים לסייע בהאצת חדשנות חוצת מגזרים ולהפחית סיכוני סייבר.

לא נעשה מספיק

למרות שתקני התעשייה כמו NIS2, DOR ו-ISO 27001 הפכו ליותר מתואמים לאחרונה, מארק וויר, מנהל אזורי בבריטניה ואירלנד בחברת ספק פתרונות אבטחת סייבר תוכנת צ'ק פוינט, מצביע על כך שעדיין יש דרך ארוכה לעבור עד שהם יהפכו באמת "עקביים" ו"מקיפים" בקנה מידה עולמי.

בפרט, הוא אומר שהיעדר הנחיות וממשל פורמליים של בינה מלאכותית מקשה על ארגונים להשתמש בטכנולוגיה זו כראוי. לדוגמה, אמנים מודאגים מכך שבינה מלאכותית עלולה להפר את זכויות היוצרים שלהם אלא אם כן הטכנולוגיה תוסדר כראוי.

אבל הרגולטורים לא אשמים רק בכך. למרות שגופי תעשייה כמו המרכז הלאומי לאבטחת סייבר מזהירים מפני הסיכון הגובר של איומי סייבר ומפרסמים הנחיות להתמודדות איתם, וויר אומר שארגונים רבים נכשלים ביישום ההנחיות הלכה למעשה. הוא מודאג במיוחד מהיעדר סימולציות סייבר וחזרות בתוכניות חוסן סייבר של חברות.

הוא אומר ל-ISMS.online: "ללא תכנון פרואקטיבי ובדיקות סדירות, הסבירות להתאוששות מוצלחת ממתקפת סייבר פוחתת משמעותית, מה שמוביל לעתים קרובות להפסקות שירות, אובדן נתונים ושחיקה באמון הלקוחות."

מה המשמעות של תקנות סייבר מתכנסות עבור עסקים

מה שברור הוא שככל שצצות תקנות חדשות בתעשייה והמדיניות הקיימת מתכנסת, לעסקים אין ברירה אלא להתייחס ברצינות לחובות הרגולטוריות שלהם. עבור פיטרס, משמעות הדבר היא יישום בקרות סיכוני IT מספקות, ניהולן בצורה איתנה ונשיאת אחריות כאשר דברים משתבשים.

עם צמיחתם המהירה של איומי סייבר ובינה מלאכותית, הוא אומר שעסקים לא יכולים להרשות לעצמם להתייחס לתאימות כאל "רשימת בדיקה חד פעמית". במקום זאת, עליהם לפתח תרבות של שיפור מתמיד כדי להבטיח שתוכניות החוסן הקיברנטי שלהם יהיו יעילות באמת.

פיטרס אומר שעסקים שמתייחסים לחוסן סייבר כאל תרגיל "אסטרטגי" ו"מתמשך" בכל המחלקות יהיו המוצלחים ביותר. הוא מסביר: "אלה שעושים את זה נכון משיגים יתרון תחרותי: כניסה מהירה יותר לשוק, אמון חזק יותר של לקוחות וחשיפה מופחתת לקנסות רגולטוריים או נזק תדמיתי".

קפיל מסכימה כי לאור תקנות סייבר מתכנסות, ארגונים יכשירו את עצמם לכישלון בכך שלא ייגשו לציות באופן רציף. היא מעודדת עסקים לגבש מדיניות אבטחת סייבר גמישה, לנטר אותן באופן קבוע ולהיות מוכנים להגיב לבקשות ביקורת ספונטניות מצד רגולטורים.

היא מספרת ל-ISMS.online: "כדי לעשות זאת ביעילות, חברות יכולות להפוך את איסוף הראיות לאוטומטי, להעריך פערים בבקרה באופן יזום ולהישאר ערוכות עם תקנות מתפתחות בתחומים מרובים."

נקיטת גישה חכמה ומשולבת לחוסן סייבר

בכל הנוגע לתגובה לדרישות רגולטוריות מוגברות לתאימות סייבר מאוחדת וחיזוק הגנות הסייבר שלהם, פיטרס קורא לעסקים להחליף גישות תאימות ידניות ומקוטעות בגישות חכמות ומשולבות יותר.

בפועל, פיטרס אומר שזה אומר ריכוז סיכונים, תאימות וממשל לסביבה אחת שניתן להרחבה בקלות, מתחשבת בתקנות קיימות ומתפתחות בתעשייה, ומספקת תובנות לגבי סיכונים בתחומים שונים של העסק.

דרך אחת לעשות זאת, לדברי פיטרס, היא יישום של מערכת ניהול אבטחת מידע העומדת בדרישות של תקן תעשייה מוכר כמו ISO 27001. הוא מסביר שתקנים כאלה לא רק נקבעים במכוון, אלא גם נועדו להקל על תאימות סייבר חוצת גבולות באופן מובנה וגמיש.

"על ידי אימוץ תקן ISO 27001 כבסיס, עסקים מקבלים דרך שיטתית לזהות, להעריך ולצמצם סיכונים, ובעיקר, המבנה שלו תומך בהכללת מסגרות נוספות, בין אם עבור פרטיות, אתיקה של בינה מלאכותית, חוסן או מנדטים ספציפיים למגזר", אומר פיטרס.

הוא מוסיף כי לאחר אימוץ פלטפורמת ISMS, עסקים יכולים לשלב את ההמלצות של מסגרות אחרות - כגון ISO 22301 להמשכיות עסקית ו/או ISO 42001 לבינה מלאכותית - במאמצי התאימות השונים שלהם. הוא מוסיף: "זה מפשט את הניהול ומקל על הדגמת תאימות במספר תקנים ואזורים."

כמו פיטרס, קפיל מזהירה עסקים מפני טיפול בנפרד בתקנות IT וסייבר שונות, שכן הדבר גורם ליצירת סילואים "לא יעילים ומסוכנים". היא מעדיפה גישה ריכוזית שבה חברות מפתחות מדיניות חוצת מחלקות התואמת למסגרות כמו NIST, ISO ו-GDPR.

בהתחשב בכך שחובות רגולטוריות מתפתחות כל הזמן, היא מדגישה את החשיבות של ניטור מתמיד של מדיניות - משימה שניתן לייעל באמצעות כלי אוטומציה. היא מוסיפה: "בעזרת גישת ביקורת מדיניות משולבת, הם יכולים להפחית עבודה ידנית, לשפר את הדיוק וליישר את מאמצי הסיכונים והתאימות תחת פלטפורמה אחת."

עתיד רגולציות הסייבר

במבט קדימה, קפיל צופה כי תקנות התעשייה יהפכו מחמירות עוד יותר לנוכח נוף איומי סייבר המתרחב במהירות וחמור יותר ויותר. היא מאמינה כי יהיה לחץ גובר על עסקים להוכיח שהם מתמודדים באופן רציף ובזמן אמת עם סיכונים אלה באמצעות אסטרטגיית סיכוני סייבר משולבת. התחלה זו כעת תעזור להם להיות "זריזים יותר, מוכנים לביקורת ומוגנים טוב יותר מפני סיכוני רגולציה וסייבר", היא מוסיפה.

אלן ג'ונס, מנכ"ל ומייסד שותף של ספקית התקשורת המאובטחת YEO Messaging, מסכים שעתיד תאימות סיכוני הסייבר יהיה משולב יותר. הוא מצפה לראות יותר עסקים מאמצים מגמה זו על ידי אימות משתמשים בזמן אמת ויישום ארכיטקטורות אמון-אפס.

ככל שיותר ויותר ארגונים מפתחים, מיישמים ומשתמשים במערכות בינה מלאכותית, סאטיש סווארגם, יועץ ראשי ל-DevSecOps ופיתוח מאובטח בחברת אבטחת יישומים ברווז שחור, צופה כי תקנות אבטחת סייבר ומדיניות תאימות עתידיות יתוכננו סביב טכנולוגיה זו.

לא רק שתקנות התעשייה ישאפו לצמצם את האיומים שמציבים מודלים של בינה מלאכותית, אלא שהמודלים עצמם יוכלו גם לייעל את הציות לתקנות אבטחת הסייבר. למעשה, סווארגם אומר שלבינה מלאכותית יש את הכוח "להתמודד עם סיכוני אבטחה בהקשר הנכון".

עסקים מרוויחים רבות מטכנולוגיות מתפתחות כמו בינה מלאכותית; עם זאת, הם גם מתמודדים עם סיכונים אתיים ואבטחת סייבר משמעותיים, שהולכים וגדלים בהיקף ובתחכום. מסיבה זו, עסקים חייבים להעריך את הסיכונים הללו בהתאם, במטרה להגן על עובדיהם, לקוחותיהם, ואף על המוניטין שלהם. עשיית זאת תשמור על שביעות רצון הרגולטורים.

ניקולס פירן

ניקולס פירן הוא עיתונאי עצמאי מהעמקים הוולשיים. הוא כתב עבור כלי תקשורת גדולים כמו הפייננשל טיימס, האינדיפנדנט, הטלגרף, Evening Standard, iNews, HuffPost ו-Insider, כמו גם פרסומי B2B כמו Computer Weekly, Computing ו-IT Pro. כשניק לא כותב על הגאדג'טים והטרנדים הטכנולוגיים האחרונים, הוא כנראה מקשיב לכל הדיסקוגרפיה של מריה קארי.