מהי הבעיה הבוערת בתחום אבטחת סייבר?
This post is also available in: 
English (אנגלית)
בדיוק כמו בתאונות דרכים. הבעיה בהגנת סייבר היא אכיפה. יש הרבה חוקים, הרבה תקנות, הרבה דיבורים והצהרת כוונות. הבעיה בסופו של יום, היא מי אוכף את החוקים והתקנות. כיום, התשובה היא – כמעט אף אחד, וזו הבעיה.
לשאלת i-HLS את בן בן-אדרת, מנכ"ל GRSee Consulting, מה היא הבעיה המרכזית כיום באבטחת סייבר, תשובתו היתה חד משמעית: "אכיפה. מי שקובע בסופו של דבר אם לעמוד בתקנים, כשיש תקנים, הוא הלקוח," מסביר בן-אדרת. "מכון התקנים הוא לא הגוף האוכף, וכשאין רגולטור שיקבע סטנדרטים ותנאים, האחריות נופלת על כתפי הלקוח."
מהשיחה עם בן-אדרת עולה כי גם כשקיימת רגולציה בנושאי אבטחת מידע, לא תמיד הרגולציה אפקטיבית. "ישנן חברות שהמחזור השנתי שלהם נאמד במאות מיליוני או מיליארדי שקלים. הקנסות שהן מקבלות על הפרות הבטחה עומדים על כמה מאות אלפי שקלים," הוא מגלה. "כלכלית, לטווח הקצר, עדיף להן להפר ולשלם קנס. כך קורה, שהשאלה האם יעמדו בתקן תלויה במעמדם של הסמנכ"ל המשפטי וסמנכ"ל מערכות מידע, שיודעים שזו האחריות שלהם," מסביר בן-אדרת.
במשך השנים התרחבו תחומי העיסוק של החברה גם לשירותי סייבר מנוהלים ושירותי אבטחת ענן. "במקרה של הענן, כמו ברוב המקרים, התקינה מפגרת בהרבה אחרי ההתפתחויות הטכנולוגיות," מעדכן בן-אדרת.
הירשמו לאתר הישראלי לביטחון המולדת
"יש פרסום ראשוני של iso, אבל הכללים בו מאוד מופשטים. לעיכוב בתקינה יש גם השלכות עסקיות רחבות יותר," ממשיך בן-אדרת ומסביר. "אם ארגון רוצה לצאת לענן והוא כפוף לרגולציית אבטחת מידע, יש סיכוי טוב שהוא לא יקבל אישור." כדוגמא, הוא מציין כי "כשבנק לאומי הוציא את ה-CRM לענן, הוא היה זקוק לאישור של המפקח על הבנקים, אחרת לא היו מאפשרים לו".
יחד עם זאת, השימוש בשירותי ענן הפך לעובדה קיימת שרק תלך ותתרחב ככל שהשנים יעברו. "גם ארגונים שחושבים שהם לא בענן, כן יוצאים אליו באמצעות Shadow IT או בגלל עובדים שפותחים חשבון דרופבוקס ובהקלקה אחת פותחים פרצת אבטחה," הוא מסביר.
באין רגולציה, בן-אדרת ממליץ להיצמד לתקן של אבטחת המידע ברשת. זאת, בנוסף לתקן הקיים לענן – ולא להסתמך רק על האבטחה של ספק שירות הענן. לדבריו "הספקים מתחייבים לעמוד בתקן, ב-PCI וב-SAS-E16". כמו כן, מנתח בן-אדרת, "הלקוח בדרך כלל לא יכול לבדוק אם הספק עומד בהתחייבויות שלו. המינימום ההכרחי הוא לדאוג לשדר לענן נתונים מוצפנים בלבד ולוודא שהמידור בינו לבין לקוחות אחרים של הספק נשמר."
בין אם מומחי אבטחת המידע אוהבים את זה ובין אם לאו, בן-אדרת סבור שהענן כאן כדי להישאר ושצריך לדעת ללמוד איך לעבוד איתו ולאבטח אותו. "אין מה לעשות", הוא אומר, "אי אפשר ללכת נגד הענן".
