לפני כמה שנים (על מי אני עובד עבר כבר יותר מעשור :() עוד כשכיהנתי כ-CIO, וכחלק מההכנות לתקציב באותה שנה שיתף איתי קולגה תובנה שמלווה אותי עד היום בכל פעילות דיגיטלית בה אני מעורב. התובנה פשוטה - "אין אבטחה שלא ניתן לפרוץ, אפשר רק לגרום לכך שהעלות תעלה על התועלת".
השבוע נזכרתי שוב באותו דיון עם פרוץ המשבר בשירביט, למדנו שבתקופה שהפעילות (הטרנספורמציה) הדיגיטלית צוברת תאוצה מסחררת לצד חדשנות פורצת דרך, לא נוכל יותר להתעלם מהכתובת על הקיר - האחריות על סיכוני הסייבר היא חלק מהותי מתפקידנו כמנהלי חדשנות ודיגיטל.

הבן החורג של הטרנספורמציה הדיגיטלית.

את ההתייחסות לאבטחת המידע וניהול סיכוני הסייבר בארגונים ניתן לחלק לשלוש:

ילידים דיגיטליים (Digital Natives)
ארגונים אלו צמחו בתוך העידן הדיגיטלי, ותפיסת ניהול הסייבר בדרך כלל מוטמעת בפעילות שלהם. כאשר הערך והנכס המרכזי (ובדרך כלל היחיד) של החברה נמצא בדיגיטל, אין להם ברירה אחרת אלא להצמיח את אבטחת המידע והסייבר יחד עם המוצר.

ארגונים מסורתיים עם מידע רגיש (לרוב ארגונים פיננסיים, פארמה, או תשתיות לאומיות)
בארגונים אלו יש הבנה עמוקה לצד יישום רחב של ניהול אבטחת המידע והסייבר, זאת לאור הרגולציה הקפדנית. אך בשנים האחרונות מתפתחת לצד הרגולציה הבנה עמוקה שאמון הלקוחות הוא מרכיב חשוב בפעילות הדיגיטלית. לצד תקציבים עצומים שמושקעים בתחום, ארגונים אלו מתחזקים צוותים יעודיים לניהול התחום בארגון.

כל שאר הארגונים
ארגונים שנאלצים כיום לעבור לדיגיטל אך אין להם את הידע, היכולות והגב הכלכלי להפוך את האבולוציה לטרנספורמציה, גם כך קשה להם להדביק את הפערים הנדרשים בכדי להתמקצע בכל תחומי הדיגיטלי, הטכנולוגיה והדאטה, אז על אחת כמה וכמה תחום אבטחת המידע והסייבר שגם כך הוא הבן החורג שאף לא רוצה להכיר בקיומו, וב-90% מהמקרים אין בעל תפקיד פורמלי שזו מסגרת האחריות שלו.

חלק מתפקידו של מוביל הטרנספורמציה.

מבלי להיות מומחה גדול באבטחה בכלל וסייבר בפרט, שמעתי לא פעם מומחים בתחום הטוענים שהחולייה החלשה במעגלי האבטחה היא זו שמסכנת את הארגון (זה גם די הגיוני). אלא שבמקרים רבים החוליה החלשה אינה טכנולוגית אלא אנושית. קחו לדוגמא את רוב הספאם וההונאה ברשת אשר מבוססים על הטעיה, או כפי שמומחי האבטחה אוהבים לקרוא לה, הנדסה חברתית "פשוטה". זו הדרך המקובלת לתקוף את הארגון מ"בפנים". ארגון יכול להשקיע מיליונים באמצעים טכנולוגים ובסופו של יום עובד שמנדב פרטים שלדעתו אינם משמעותיים חושף את כל הארגון והלקוחות שלו למתקפה וגניבת מידע.
לכן, אני חושב שהגיע הזמן שמנהלי הדיגיטל, החדשנות ובכלל הטרנספורמציה הארגונית, בטח בארגונים בינוניים או קטנים שאין בהם מחלקת אבטחת מידע או תקציב ייעודי לנושא, יקחו אחריות לצד ה CIO (אם יש כזה) שברוב המקרים התחום נמצא תחת אחריותו, וישקיעו מזמנם, ילמדו ויגבירו את תשומת ליבם לנושא שכל כך נוח לשים בצד, ולא לתת לו לשבש את חווית הלקוח/משתמש.

זה לא פחות חשוב מכל שאר נושאי הדיגיטל.

הסיטואציה הבאה מוכרת לכל מי שעוסק בחווית לקוח ודיגיטל. פיתחתם מסע לתפארת, תכננתם ממשק משתמש והגדרתם את כל התנהגויות הרצויות, יש לכם מוצר שמתחרה ראש בראש עם כל אפליקציה של יליד דיגיטלי בתעשייה, ואז בסיום התכנון, נכנס לתמונה צוות הסייבר שנדרש לתת מענה לפני תחילת הפיתוח או העליה לאויר (במקרה הטוב שזה בכלל קורה), ופותח בדיון אודות הפי'צרים שלא ניתן ליישם בגלל מגבלות אבטחה, או אינטרקציות נוספות (ומיותרות בתפיסת חווית הלקוח) שצריך להוסיף בכדי לרדד את הסיכונים. דיון שבדרך כלל מותיר את שני הצדדים מאד מתוסכלים.
אבל אם נודה על האמת, האשמה היא בעיקר בצד שלנו, כי קשה לנו לקחת בחשבון תחום שאנו לא מבינים בו, ובעיקר כי ברור לנו שהוא מייצר אתגרים שלא ממש בא לנו להתעמת איתם. אז אנחנו טומנים ראשינו בחול, ואולי ב"ניהול הסיכונים" שהגדרנו לעצמנו זה יעבור לנו בשלום.

אז זהו שלא. התחום הופך לרלוונטי יותר מתמיד, לכל בעלי התפקיד בתחומי השיווק, דיגיטל, שירות, חדשנות וחווית לקוח, ולא רק בגלל החשיפה והסיכון המיידי מפני התקפות על הארגון.

ראשית, נושא הפרטיות של הלקוחות והצרכנים הופך למרכיב מהותי במערכת היחסים בין המותג ללקוחות שלו, ככל שהממשקים הדיגיטליים במסע הלקוח גדלים כך כמות המידע שאנו צוברים גדלה גם היא. הלקוח מצדו מצפה כיום יותר מתמיד שבמסגרת חוזה האמון בינו לבין המותג, האחרון דואג לשמור על המידע הרגיש בכל האמצעים האפשריים.

שנית, ארגונים רבים עוברים למכירה ישירה ללקוחות (D2C) ולכן המידע הרגיש שהם צוברים הולך וגדל, לרוב זה מרכיב עסקי שהם לא נדרשו להתמודד איתו בעבר. ולבסוף רוב הנכסים הדיגיטליים שלנו כוללים אינטגרציה עם מערכות צד שלישי במסגרת כלכלת ה API, מורכבות זו חושפת את כל הצדדים המעורבים לאיומי סייבר.
ובל נשכח את ההייפר חיבוריות Hyper Connectivity - בכל תחומי הפעילות בארגון, החל ממערכות שלא היו מחוברות בעבר לאינטרנט (IoT), ועד לתהליכים שהממשק הדיגיטלי הפך לערוץ המרכזי בפעילותם (שיווק, שירות לקוחות, שירות לקוחות, הפצה ועוד).

היו פרואקטיביים.

אל תמתינו שהאירוע מעבר לפינה יזעזע אתכם ואת הארגון שלכם. הנה כמה דברים שוכלו לעשות כבר כיום:
1. קחו חלק בפעילות של צוות התגובה (חרום) הארגוני – אם יש לכם צוות מענה לסייבר בפרט וחרום בכלל זה הזמן לקחת בו חלק, אם הוא לא קיים זו הזמנות מצויינת להקים אותו. בתור מובילי חדשנות ודיגיטל יש לכם אחריות משמעותית לדאוג לזה שהיוזמות שאתם מייצרים גם מאובטחות וגם בטוחות לשימוש פנימי וחיצוני. זכרו שבמקרה של אירוע סייבר יש לכם גם אחריות לנהל את המשבר של המותג בכל הערוצים (שיווק, דיגיטל, שירות).

2. הגבירו מודעות וידע בקרב העובדים שלכם – היו פרואקטיביים והזמינו את מנהלי אבטחת המידע להגביר את המודעות לסיכוני סייבר בכלל, ובדגש על הפעילות הדיגיטלית אותה אתם מנהלים. הרחיבו את הידע שלכם ושל העובדים שלכם, היו ערוכים מראש עם מענה לשאלות הבאות:

• מהי תשתית אבטחת המידע שמגינה על הנכסים שלכם בארגון ?
• מהם הסיכונים או היתרונות שבניהול נכסים בסביבת ענן חוץ ארגונית ?
• מהן התקפות של הנדסה חברתית וכיצד מזהים כזו ?
• מהן התקפות כופר ?
• כיצד נדרוש ונבחן את אמינות הכלים הדיגיטליים שאנו מפתחים (בבית או באמצעות צד שלישי) וכיצד נבצע (או יבצעו בשבילנו) בדיקות חדירה בצורה נכונה ?
• כיצד נזהה מיילים חשודים ?
• מהו מידע רגיש וכיצד נגן עליו ?
• כיצד אבטחת המידע תסייע לבניית האמון הם הלקוחות ?
• כיצד נתמודד עם נושאים מתקדמים כמו DeepFake שנמצאים מעבר לפינה ?
• ועוד ועוד ועוד.. ועוד.

3. הזמינו את צוותי אבטחת המידע או היועצים לחשיבה על הפעילות הדיגיטלית כבר בשלבי התכנון המוקדמים, אפילו בשלבי מסע הלקוח הראשוניים. חשבו יחד כיצד ניתן לאזן בין אבטחת המידע לחווית הלקוח. ככל שתקדימו לבחון את הנושא כך היכולת שלכם לאזן את העולמות ולייצר פתרונות מתאימים תגדל.

ולסיכום, אל תטמנו ראשכם בחול, ככל שהעידן הדיגיטלי מלהיב ומלא באפשרויות להתפתח ולפרוץ גבולות, כך הוא הופך למסוכן יותר ומלא באתגרים. ניהול נכון, השקעת המשאבים הנדרשים, שיח מתמיד ובעיקר מודעות לתחום תסייע לכם להתכונן טוב יותר ליום שיבוא (והוא כנראה בשלב כזה או אחר יבוא).