מתוך מאמר של ריצ'רד ציימברס
בקיץ שעבר, הביקורת הפנימית של עיריית אטלנטה הזהירה מפני פרצות שאותרו במערכות ה IT שיכולות להוות סיכון אם לא יתוקנו במיידי. הביקורת התריעה על מחסור במשאבים של כ"א והכלים הדרושים כדי לטפל באלפי החולשות שנמצאו וקטלגה זאת כ"סיכון משמעותי שניתן למנוע אותו מראש".
העירייה החלה לטפל בעניין, אך זה היה מעט מדי ומאוחר מדי. מתקפת כופר דיגיטלית שיתקה את רשתות המחשבים של העירייה ומחלקות רבות לא יכלו לעבוד. המתקפה אף שיתקה את שירות האינטרנט האלחוטי של שדה התעופה של אטלנטה, אך למרבה המזל שירותים קריטיים של שדה"ת לא נפגעו.
מה קרה?
למה אטלנטה נפלה קורבן למקרה תקיפה קלאסי, ולא יישמה את ההמלצות לחיזוק מערכות ה IT על אף שהיו לה אזהרות מראש?
three-lines-of-defense risk management model
- קו הגנה ראשון – לנהל סיכונים באמצעות ניהול מערכת יעילה של בקרות, הכוללת איתור ותיקון של תקלות ופרצות שנמצאו.
- קו הגנה שני – risk and compliance functions , פונקציות שתומכות באסטרטגיה של קו ההגנה הראשון.
- קו הגנה שלישי – הביקורת הפנימית
המודל הזה אפקטיבי רק אם שלושת קוי ההגנה ממלאים את חלקם בצורה מלאה ואם ההנהלה מקשיבה לביקורת הפנימית.
במקרה של אטלנטה, ההנהלה לא מילאה את אחריותה ולא יישמה את ההמלצות הנדרשות בצורה מיידית.
היקף התקפות בסייבר מוסיף להתרחב וארגונים רבים עדיין מאמינים שזה לא יקרה להם: "אנחנו קטנים מדי", "אין לנו מידע ששוה לגנוב אותו" וכדומה
צ'יימברס מדגיש עד כמה זה חשוב להקפיד לבדוק באופן שוטף היתכנות של התקפות סייבר על הארגון ומציע ללמוד 4 טיפים מהמקרה של אטלנטה:
- ליצור מודל הגנה בתוך הארגון. לוודא שכל גוף במודל הזה מודע לתפקידו ולאחריות שלו.
- לגייס צוות איכותי ומקצועי למחלקת אבטחת מידע ולביקורת הפנימית בנושא הסייבר במטרה שיזהו ויגיבו במהירות לסיכוני סייבר שיעלו.
- להטמיע בארגון נהלי אבטחת מידע בסיסיים ומהותיים כמו הצפנת מידע, סיסמאות מורכבות, זיהוי משתמש במספר שלבים וכדומה.
- להדריך את העובדים כיצד לזהות ולהתמודד עם התקפת סייבר.
למאמר המלא ליחצו כאן
