כולנו יודעים שארגונים רבים יכולים להשתפר בתחום הגנת המידע. ממשלת בריטניה סקר פריצות אבטחת סייבר 2025 מדגיש רשימה שלמה של ליקויים - החל מהכשרת מודעות ועד לתגובה לאירועים - שחושפים אותם בעקיפין לסיכוני סייבר. אפילו קיומה של מסגרת הגנת מידע קפדנית (GDPR/חוק הגנת המידע 2018) בשבע השנים האחרונות לא סייעה לעצור את הגל. ה- טענות ממשלתיות למעלה משני חמישיות (43%) מהעסקים בבריטניה חוו מתקפה או פריצה ב-12 החודשים האחרונים.
עם זאת, ישנן הזדמנויות רבות לניצחונות מהירים, דבר שמודגש על ידי דו"ח חדש של Huntsman Securityהדו"ח מציין כי 30% מהאירועים שדווחו לרגולטורים להגנת המידע בבריטניה ובאוסטרליה בשנה שעברה היו אחראים ל-90% מקורבנות הפריצה. לפיכך, ממצאי הדו"ח יכולים להציע מקום שימושי לארגונים הנמצאים במצוקה פיננסית למקד את מאמציהם המיידיים.
כיצד בריטניה ואוסטרליה שונות
חברת Huntsman Security הגישה בקשת חופש מידע (FOI) הן למשרד נציב המידע של בריטניה (ICO) והן לנציב המידע האוסטרלי (OAIC). התוצאות מציעות תמונה מעט שונה של נוף הרגולציה והאבטחה התאגידית בכל מדינה.
בריטניה: מתוך 9,654 אירועי אבטחת מידע שדווחו על ידי חברות בריטיות ל-ICO בשנה שעברה, 2,817 (29%) היו קשורים להתקפות Brute-Force, תוכנות זדוניות, פישינג, תוכנות כופר ותצורות שגויות של המערכת. עם זאת, אירועי הגנה אלו היוו כמעט 80% מקורבנות הפריצה: 13.9 מיליון מתוך 17.6 מיליון.
חברת Huntsman Security טענה כי אלו מייצגים גם 90% מאירועי אבטחת המידע הקשורים לסייבר, כלומר התמקדות בבקרות אבטחה יכולה להיות דרך יעילה לצמצם אותם. רבים מהם היו ככל הנראה ממוקדים מאוד, ולכן נועדו לגרום לגניבת נתונים בעלי ערך גבוה כגון רשומות רפואיות, מידע פיננסי ומסמכי זהות.
אוֹסטְרַלִיָה: סך של 1,188 אירועים (32% מכלל האירועים שדווחו בין 2022/24) כללו התקפות Brute-Force, תוכנות זדוניות, פישינג, תוכנות כופר, פריצה וגישה לא מורשית. אלה היו אחראים ל-77% מכלל הרשומות שנחשפו. הדו"ח מגלה גם כי התקפות פליליות (בניגוד לפריצות מקריות) היוו 62% מכלל הפריצות אך 98% מכלל הקורבנות.
הדו"ח מדגיש גם כי באוסטרליה, לקח לארגונים 48 ימים לזהות את הפרות האבטחה הללו ו-86 ימים לפני שדיווחו עליהן ל-OAIC. זה פשוט לא מותר על פי ה-GDPR, שם הודעה חייבת להתבצע ברוב המקרים תוך 72 שעות.
היכן בריטניה נכשלת
ממצאים אלה תואמים במידה מסוימת את דו"ח הפרות הממשלתיות בבריטניה. כפי שדווח בעבר על ידי ISMS.online, זה מדגיש שורה של בעיות התורמות לעלייה במספר מקרי הפרת נתונים שניתן היה למנוע, כולל חוסר כללי ב:
- תוכניות הכשרה לצוות, שבהם שיעור הניצול לא השתנה מדוח השנה הקודמת
- סקירות סיכונים של ספקי צד שלישי, אשר נערכו רק על ידי 32% מהחברות הבינוניות ו-45% מהחברות הגדולות
- תוכניות תגובה לאירועים, אשר היו בשימוש רק על ידי מחצית (53%) מהעסקים הבינוניים ושלושה רבעים (75%) מהעסקים הגדולים
- אסטרטגיית אבטחת סייבר: רק ל-57% מהחברות הבינוניות ול-70% מהחברות הגדולות יותר היה אפילו אחד כזה
- ייצוג בדירקטוריונים בתחום הסייבר: רק מחצית (951%) מהחברות הבינוניות ושני שלישים (66%) מהחברות הגדולות ניהלו מנהל עסקים שיושב בראש השולחן האחראי על אסטרטגיית הסייבר - נתון כמעט ללא שינוי במשך שלוש שנים.
- עדכוני סייבר חודשיים למנהיגים עסקיים, דבר שעושים רק 39% מהחברות הבינוניות ו-55% מהחברות הגדולות
התאמת שיטות עבודה מומלצות לתקנים
ישנה הסתייגות אחת לנתוני Huntsman Security. הם סופרים רק אירועים שבהם ניתן היה לזהות סיבה לכל פרצה. ייתכן שלרבים אחרים לא הוקצה גורם עקב בדיקות פורנזיות או תגובה לאירועים לקויה. עם זאת, הם עדיין מדגישים מסר חשוב. על ידי התמקדות בסוגי האירועים והאיומים הנ"ל, כמו גם בתהליכי אבטחת סייבר מומלצים הידועים כמצמצמים סיכונים אלה, צוותי אבטחה יכולים להשיג כמה ניצחונות מהירים מועילים.
מורטן מיילס, מנכ"ל חברת הייעוץ עורב ירוק, טוען כי תרבות היא המפתח להבטחת יישום שיטות עבודה מומלצות.
"השינוי צריך לבוא מלמעלה למטה, וניתן לשנות את התרבות פשוט על ידי יישום מספר פרקטיקות בו זמנית", הוא אומר ל-ISMS.online. "אם אין לכם מושג לגבי החשיפה הפוטנציאלית שלכם, בצעו הערכת סיכונים מקצועית. הם יוכלו למצוא את החורים בקירות שלכם ויכולים לעזור לכם לתקן אותם. אל תסמכו על אנשי ה-IT שלכם שיתקנו הכל; הם לא פועלי ניסים יודעים-כל."
פירס וילסון, ראש ניהול המוצר בהאנטסמן, אומר ל-ISMS.online כי תקנים ומסגרות כמו ISO 27001 ו-ISO 27701 "יכולים להוות חלק חשוב בהפחתת סיכוני סייבר על ידי הבטחה שארגונים מבינים את הסיכונים שלהם, פועלים לפי שיטות עבודה מומלצות ומגדירים בקרות מתאימות".
הוא מוסיף: "החלק החשוב הוא לבחור איזו מסגרת אתם מיישמים: בין אם ISO, NIST, או תקנים ותוכניות קטנים וממוקדים יותר כמו Cyber Essentials או Essential Eight של אוסטרליה."
המטרה לכל אורך הדרך צריכה להיות ביסוס מערכת של בקרות המובנות והמוכרות באופן נרחב ולאחר מכן מיושמות באופן אוניברסלי, הוא מוסיף.
"ברוב המקרים, הכוונה או המדיניות אינן הבעיה; אלא הביצוע. עמידה בתקנים עלולה להפוך לתרגיל של סימון, וקצב הביקורת והדיווח עשוי לא להיות תכוף מספיק עבור איומי סייבר מודרניים ומשתנים", טוען וילסון.
"ביקורת שנתית או דוח רבעוני לא יספקו את הנראות וההבנה בזמן אמת של נקודות תורפה שדורשות נוף האיומים המודרני. בין ביקורות אלו, יציבות הארגון יכולה להשתנות ולהיות במידה רבה לא ודאית."
זו הסיבה שתקן ISO 27001 דורש מארגונים לבצע ביקורות פנימיות סדירות וניטור מתמשך כדי לקדם שיפור מתמיד.
וילסון מציין כי תקשורת יעילה היא קריטית להשגת תאימות.
"כל בעל עניין בארגון, החל מאנליסטים של אבטחה ועד צוותי ניהול סיכונים ומנהלים, צריך להבין במבט חטוף האם נהלים טובים ומוסכמים מתבצעים, אילו בקרות מדינה קיימות בפועל, ומי אחראי לתיקון בעיות", הוא מסכם.
"הבטחת נראות ותקשורת מתמשכות אלו חיונית כדי שהסטנדרטים הללו ישיגו את האפקט הרצוי."
