מאת: מומחה ניהול סיכוני סייבר ו-IT
מבוסס על מחקרי Verizon DBIR, ENISA Threat Landscape, IBM Cost of a Data Breach))
השקט שלפני הסערה
בחודש מאי האחרון קיבלתי טלפון ב-03:00 לפנות בוקר ממנכ”ל של חברת ייצור ישראלית בינונית.
על המסך שלו הופיעה הודעה: “Your files are encrypted. Pay 2 million USD in Bitcoin.”
המערכות שותקו, פס הייצור נעצר, לקוחות מחו”ל לא קיבלו סחורה. תוך שעות – הפגיעה הפכה מאירוע IT למשבר קיומי.
ההנהלה הבינה מאוחר מדי: לא הטכנולוגיה כשלה, אלא אחריות ניהולית שלא נלקחה ברצינות.
הסיפור הזה, כמו מאות אחרים, מוכיח: רוב הנזקים לא נגרמים מההאקר – אלא מהעדר מוכנות ניהולית.
1. להבין את המחיר – הנתונים לא משקרים
לפי דו”ח IBM Cost of a Data Breach 2024:
- עלות ממוצעת של אירוע כופרה: 5.13 מיליון דולר (לא כולל כופר).
- 66% מהארגונים שנפגעו חוו השבתה של יותר משבוע.
דו”ח Verizon DBIR 2024 קובע ש–74% מהאירועים מתחילים משגיאה אנושית או ניהולית, ולא מפריצה טכנולוגית מתוחכמת.
סוכנות הסייבר של האיחוד האירופי (ENISA)
- 83% מהחברות שנפגעות מכופרה חוות פגיעה ארוכת טווח במוניטין.
- 25% לא חוזרות לעולם להיקפי הפעילות הקודמים.
2. חמשת כללי הזהב
כלל 1 – האחריות היא של ההנהלה, לא של ה-IT
ניהול סיכוני סייבר הוא נושא דירקטוריון.
אם ה-CEO וה-CFO לא עוסקים בזה באופן קבוע, זה לא יקרה.
שאלה למנכ”ל: מי מדווח לך אישית על מוכנות לאירועי כופרה, ובאיזו תדירות?
מה לעשות מחר בבוקר:
- לקבוע ישיבת דירקטוריון רבעונית ייעודית לניהול סיכוני סייבר.
- להגדיר KPI עסקי למדד מוכנות (ולא טכנולוגי).
כלל 2 – תרחיש אימון שנתי: לא על הנייר – על המציאות
החברה שאותה ליוויתי חשבה שיש “תוכנית התאוששות“.
ביום האמת התברר: המסמך קיים – אבל אף אחד לא תרגל אותו.
מחקר IBM: ארגונים שמתרגלים אירועי כופרה אחת לשנה – מצמצמים את עלות האירוע ב-43%.
מה לעשות מחר בבוקר:
- לאשר תקציב לאימון שנתי שמדמה השבתה מלאה.
- לחייב השתתפות הנהלה בכירה, לא רק אנשי IT.
כלל 3 – מיפוי ותעדוף הנכסים הקריטיים
במשבר, 48 שעות הראשונות קובעות.
מי שלא יודע מהם 5 הנכסים הקריטיים לעסק – מבזבז זמן יקר.
מחקר Verizon: 80% מהזמן באירוע מושקע בלהבין “מה נפל” ולא בלהציל.
מה לעשות מחר בבוקר:
- להגדיר רשימת נכסים קריטיים עם דירוג: מה חייב לעלות ראשון.
- לאשר אותה בדרג הנהלה – אחת לשנה.
כלל 4 – שקיפות ותקשורת במשבר
במשבר האחרון שליוויתי, המנכ”ל ניסה להסתיר את האירוע.
התוצאה: העובדים התחילו להפיץ שמועות, לקוחות ברחו, והמשבר גדל פי שלושה.
חברות ששקופות מהרגע הראשון שומרות על 70% יותר מהלקוחות מאשר אלו שמסתירות. (ENISA:)
מה לעשות מחר בבוקר:
- להכין תסריט תקשורתי כתוב מראש.
- לאשר אותה בדרג הנהלה – אחת לשנה.
כלל 5 – גיבוי ובידוד – זה לא IT, זה ביטוח חיים
בדו”ח IBM נמצא ש-39% מהחברות שנפגעו לא הצליחו לשחזר גיבוי, למרות שחשבו שיש להן.
הסיבה: לא היה תהליך בדיקה ניהולי של הגיבויים.
מה לעשות מחר בבוקר:
- לדרוש דוח הנהלה רבעוני שמראה מתי בוצע שחזור מלא בפועל.
- לוודא שהגיבוי מבודד מרשת החברה.
מה קורה כשלא פועלים?
בחברה התעשייתית מהסיפור בפתיחה:
- 18 ימי השבתה.
- אובדן חוזים בהיקף 7 מיליון ₪.
- 4 מנהלים בכירים התפטרו.
בסוף, הם שילמו את הכופר – וגם את המחיר התדמיתי.
מסר לסיום – "כופרה היא לא בעיה של טכנולוגיה"
כופרה היא מבחן מנהיגות.
מי שמטפל בה רק דרך מחלקת ה-IT – נכשל.
מי שמבין שזה משבר ניהולי, ומכין את הארגון בהתאם – שורד, ולעיתים יוצא מחוזק.
אם אתם מנהלים – יש 5 פעולות שמחר בבוקר אפשר לעשות:
1. להכניס סייבר לדיון דירקטוריון.
2. לאשר תקציב לתרגול אמיתי.
3. להכיר את הנכסים הקריטיים.
4. להכין מסר תקשורתי מראש.
5. לדרוש בדיקות שחזור קבועות.
אין ארגון חסין. יש ארגון מוכן.
הבחירה – שלכם.
