כיצד עסקים יכולים לעמוד ב-2 ₪ לפני מועד היישום שלו באוקטובר

כיצד עסקים יכולים לעמוד ב-2 שקלים לפני המועד האחרון ליישום באוקטובר

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

5 ספטמבר 2024

תוכן עניינים:

1) גישה רחבה יותר לניהול סיכוני סייבר
2) מדוע תאימות חשובה ביותר
3) כיצד ₪2 חלים על ארגונים בבריטניה
4) מתכוננים ב-2 שקלים

נותר קצת יותר מחודש למדינות ועסקים באירופה להתכונן לאכיפת האיטרציה השנייה של הוראת הרשת ומערכות המידע (NIS) של האיחוד האירופי. 

החוק, שאמור להיות מיושם עד ה-17 באוקטובר 2024, נועד לשפר את יכולתה של כל מדינה חברה באיחוד האירופי להתמודד עם פשעי סייבר, להקל על שיתוף מודיעין ושיתוף פעולה בנושא אבטחת סייבר, ולהבטיח שעסקים במגזרים קריטיים מתייחסים ברצינות לאבטחת סייבר. אבל מה זה אומר בפועל?

גישה רחבה יותר לניהול סיכוני סייבר

כאשר האיחוד האירופי הציג את הוראת ה-NIS המקורית ב-2016, היא נועדה לחזק את אבטחת הסייבר של תשתית קריטית ברחבי הגוש הפוליטי. 

עם זאת, מתוך הכרה בכך שאיומי אבטחת הסייבר גדלו באופן דרמטי במהלך השנים האחרונות וכעת משפיעים כמעט על כל תעשייה, מחוקקים אירופיים הרחיבו את היקף דרישות השקל בגרסה השנייה של ההוראה. 

2 ש"ח מכסה מגוון רחב יותר של תעשיות - כולל ייצור מזון, ניהול פסולת, שירותי דואר, מחקר, ייצור, תעופה וחלל, מינהל ציבורי ועוד רבים אחרים - ומתחשב בסיכון האבטחה של שרשרת האספקה שנוצרה על ידי ספקי שירותים דיגיטליים. 

הוא מפצל מגזרים לשני תחומים: חיוני וחשוב. התווית "חיוני" מתארת תעשיות קריטיות ביותר כמו אנרגיה ושירותים פיננסיים, שצוינו בעבר ב-1 ₪. ארגונים אלה יעסיקו למעלה מ-250 עובדים ויפיקו הכנסות של יותר מ-50 מיליון אירו בשנה. 

מצד שני, הקטגוריה "חשובה" מכסה מגוון נוסף של תעשיות חיוניות, כגון שירותי דואר ושליחויות וארגוני מחקר. עסקים בקטגוריה זו יהיו בדרך כלל בינוניים, מעסיקים מעל 50 עובדים ומניבים הכנסות שנתיות של יותר מ-10 מיליון אירו.

על פי חוק זה, מדינות החברות באיחוד האירופי חייבות גם להבטיח שהן מוכנות לטפל באירועי אבטחת סייבר חמורים. כלומר, עליהם להקים צוותי תגובה לאירועי סייבר ורשות לאומית לרשת ומערכות מידע (ש"ח). באמצעות קבוצת NIS Cooperation, מטרת ההנחיה לשפר את שיתוף הפעולה ושיתוף המודיעין בין המדינות החברות בנושאי אבטחת סייבר.

ניק פאלמר, מהנדס פתרונות בפלטפורמת מודיעין האיומים Censys, מתאר 2 ש"ח כגרסה משודרגת של 1 ש"ח שמטרתה לשפר את אבטחת הסייבר הקולקטיבית של כל מדינה חברה באיחוד האירופי. הוא אומר ל-ISMS.online: "זה נועד להתמודד עם כמה פערים ואי התאמה שהתגלו עם הכללים המקוריים. ככל שהעולם הדיגיטלי שלנו גדל ואיומי הסייבר משתכללים, האיחוד האירופי הבין שהוא צריך לחזק את ההגנות שלו".

 כחלק מגישת אבטחת סייבר מקיפה יותר ברחבי האיחוד האירופי, אד פרסונס - סמנכ"ל השווקים העולמיים וקשרי חברים בעמותות ISC2 - מסביר שהיא כוללת ניהול סיכונים, אחריות תאגידית, דיווח על אירועים ודרישות תכנון המשכיות עסקית. הוא אומר: "נוהלי אבטחה עיקריים שנקבעו על ידי 2 ש"ח כוללים אבטחת שרשרת אספקה, הגנת רשת, הצפנה, אימות רב-גורמי, ניהול נקודות תורפה והדרכה בנושא אבטחת סייבר".

מדוע תאימות חשובה ביותר

מכיוון שאיומי אבטחת הסייבר גדלים במהירות בהיקף ובתחכום ברחבי העולם, כמה מומחים מאמינים שעמידה ב-2 ₪ היא האינטרס הטוב של עסקים בכל הענפים.  

דייב ג'ויס, מנכ"ל ספקית התוכנה לשחזור נתונים Macrium, אומר שהגישה שלה לחוסן סייבר חוצה מגזרים נראית אמיתית לאור נוף האיומים המקוון המורכב של היום. הוא מעודד במיוחד מה"גישה המקיפה שלה לאבטחת סייבר" בנוף הארגוני, ומוסיף שהיא לא מתמקדת רק ב"איומים ידועים". 

"שני שקלים שמים דגש על אבטחת כל שרשרת האספקה ובחינה מדוקדקת של האופן שבו ספקים מטפלים בנתונים - דאגה שהודגשה על ידי תקריות כמו הפרת CrowdStrike, שחשפה פערים בפרקטיקות של התאוששות מאסון", מסביר ג'ויס. 

ג'ויס אומר כי ציות הוא המפתח לשמירה על המשכיות עסקית, אמון לקוחות וגישה לשוק האיחוד האירופי, כמו גם הימנעות מקנסות של עד 10 מיליון אירו או 2% מההכנסה הבינלאומית השנתית. הוא ממשיך: "בסופו של דבר, תאימות של 2 שקלים מטפחת סביבה דיגיטלית בטוחה יותר ותורמת לאקוסיסטם סייבר גלובלי מאובטח יותר".

פאלמר מ-Censys הוא מאמין נוסף בהנחיית 2 שקלים והשפעתה החיובית על הנוף העסקי האירופי. הוא מציין כי עמידה בדרישות החזקות הללו תקטין את הסיכוי שעסקים ייפלו קורבן לפשעי סייבר ואת הנשורת שתתבצע, כגון שיבושים בפעילות, פגיעה במוניטין ואובדן כספי.

"תאימות ממלאת גם תפקיד חיוני בבניית ושימור אמון עם לקוחות, שותפים ובעלי עניין, מכיוון שהיא מוכיחה מחויבות לאבטחת נתונים וחוסן תפעולי", הוא אומר. "בשוק התחרותי של האיחוד האירופי, אי-עמידה עלולה לגרום לניתוק מהזדמנויות רווחיות או לאובדן חוזים למתחרים העונים יותר לדרישות".

בינתיים, פרסונס מ-ISC2 טוענת כי עמידה ב-2 ₪ יכין טוב יותר עסקים להתמודד עם איומי סייבר מתעוררים, תגביר את ההבנה הכוללת שלהם לגבי אירועי אבטחת סייבר וכיצד הם יכולים להשפיע על התפעול היומיומי, ותסייע להם לבסס תהליך חלק לתגובה. ודיווח על איומים. 

כיצד ₪2 חלים על ארגונים בבריטניה

למרות שבריטניה עזבה את האיחוד האירופי, הנחיית 2 שקלים עדיין תשפיע על חברות בריטיות רבות. לדברי אן קיף, מנהלת אזורית של בריטניה ואירלנד בחברת ה-IT Kingston Technology, זה כולל חברות בבריטניה הסוחרות עם מדינות החברות באיחוד האירופי. היא אומרת שהם חייבים לעמוד בדרישות של 2 שקל אם "הם לא רוצים להיתפס" על ידי הרגולטורים של האיחוד האירופי. 

עם זאת, גם אם לחברה בריטית אין אינטרסים עסקיים של האיחוד האירופי, עמידה בדרישות המקיפות של 2 שקלים יכולה להיות לטובתה. רוב אוקונור, מוביל טכנולוגיה ו-CISO של EMEA בחברת הטכנולוגיה העולמית Insight, מציין כי הצעת חוק אבטחת הסייבר והחוסן הקרובה של בריטניה תהיה עם 2 ש"ח. הוא מציע שאימוץ הסטנדרטים של 2 ש"ח עשוי להיות "חסכוני "דרך להתמודד עם סיכוני אבטחת סייבר עולים. 

עבור ארגונים בבריטניה המושפעים מדרישות הניהול והדיווח של סיכוני אבטחה בסך 2 שקלים, Palmer מ-Censys אומר שהם יצטרכו ליישם אמצעי אבטחת סייבר מתוחכמים, לערוך הערכות סיכונים סדירות ולהבטיח את אבטחת שרשראות האספקה שלהם. 

"הם צריכים לדווח על תקריות אבטחה משמעותיות לרשויות האיחוד האירופי במסגרת זמן קפדנית, לשתף פעולה במהלך חקירות וייתכן שיצטרכו למנות נציג של האיחוד האירופי לנהל את התקשורת הרגולטורית", הוא אומר. "חוזים עם לקוחות האיחוד האירופי צריכים לכלול סעיפי ציות של 2 שקלים, המבטיחים שהארגון עומד בהתחייבויות החוקיות ומגן מפני איומי סייבר".

מתכוננים ב-2 שקלים

כשמועד העמידה של 2 שקלים מתקרב במהירות, עסקים שלא החלו להתכונן להגעתו חייבים לעשות זאת כעת. אבל באילו שלבים זה כרוך? לפי Parsons מ-ISC2, הצעד הראשון הוא לקבוע האם חברה צריכה לעמוד ב-2 שקלים בעצמה או שהחוק חל על הספקים שלה. 

לשם כך, לדבריו, עליהם להעריך אם העסק פועל במגזר "חיוני" או "חשוב" לפי הגדרות השקל. פרסונס מוסיף כי חברות הכפופות להוראות השקל חייבות אז לזהות ולצמצם סיכוני אבטחת סייבר כחלק מהערכת סיכונים רחבה. 

"בהתבסס על הערכת הסיכונים, יש ליישם אמצעים טכניים וארגוניים מתאימים. חברות צריכות להיערך לתקריות על ידי יצירת תוכניות תגובה ותהליכים לדיווח על אירועים משמעותיים לרשויות הרלוונטיות", הוא אומר.

בהדהוד למחשבות דומות, Joyce of Macrium קורא לעסקים להעריך את תנוחת הסייבר שלהם ולשאול את עצמם האם יש להם כרגע את האמצעים להתאושש מתקרית במהירות האפשרית. 

אם לא, הוא ממליץ ליישם תוכנית שחזור אירועי סייבר מחוזקת בפתרון גיבוי, יעדי נקודות התאוששות (RPO) ויעדי זמן התאוששות (RTO). RPO מתייחס לאובדן הנתונים המקסימלי שעסק יכול לסבול בעקבות מתקפת סייבר, בעוד RTO הוא הזמן המקסימלי שחברות יכולות להסתדר ללא רשתות ושירותי IT. 

מכיוון ש-2 שקלים מתמקדים במיוחד בסיכוני אבטחת שרשרת האספקה, ג'ויס מייעץ לעסקים להעריך כיצד הספקים והשותפים שלהם מתייחסים לענייני אבטחת סייבר. הוא גם מוסיף שחברות חייבות ללמד את הצוות שלהן כיצד לזהות ולדווח על איומי אבטחת סייבר, ומוסיף כי "מבנים ברורים לאחריות ודיווח חיוניים". 

הוא מסכם: "ציות אינו משימה חד פעמית; זה דורש תחזוקה שוטפת וערנות, ולכן עסקים צריכים להישאר מעודכנים לגבי דרישות מתפתחות ולטפח תרבות של שיפור מתמיד בחוסן הסייבר."

נערך לאחרונה: 9 בספטמבר, 2024

מְחַבֵּר

ניקולס פירן

ניקולס פירן הוא עיתונאי עצמאי מהעמקים הוולשיים. הוא כתב עבור כלי תקשורת גדולים כמו הפייננשל טיימס, האינדיפנדנט, הטלגרף, Evening Standard, iNews, HuffPost ו-Insider, כמו גם פרסומי B2B כמו Computer Weekly, Computing ו-IT Pro. כשניק לא כותב על הגאדג'טים והטרנדים הטכנולוגיים האחרונים, הוא כנראה מקשיב לכל הדיסקוגרפיה של מריה קארי.

הצג את כל הפוסטים של ניקולס פירן