ד"ר יניב הראל ופרופ' אברהם כרמלי
Strategic Cybersecurity Oversight - המעבר מההיבט הטכני לראייה אסטרטגית פרואקטיבית שעל דירקטוריונים לעשות
בעולם דיגיטלי, מורכב ומקושר, מתקפת סייבר בודדת יכולה לשתק תאגיד גלובלי בתוך שעות ספורות. קיים קושי עם התפיסה הרווחת המתמקדת בשאלות כגון "כמה כסף השקע�נו?" או "האם עמדנו בתקן?" שכן אין בה די. מרחב הסייבר אינו עוד נחלתם הבלעדית של אנשי טכנולוגיה, אלא אתגר ניהולי-אסטרטגי רב משמעות המהווה מרכיב בליבת הארגון. מועצות מנהלים (להלן, דירקטוריונים) מכירים בחשיבות הנושא ולכן מקצים משאבים (זמן, קשב, כסף, הון אנושי) כדי לבנות מוכנות לאתגרי ולנהל אירועי סייבר אפקטיבית. השינוי הבא הנדרש הוא עומק השיח בנושא והסתכלות האסטרטגית על התחום.
מאמר חדש של ד"ר יניב הראל ופרופסור אברהם כרמלי שפורסם בכתב העת Journal of Cybersecurity מציע לדירקטוריונים לאמץ גישה חדשה המכונה: Strategic Cybersecurity Oversight. מדובר ביכולת דינאמית של הדירקטוריון להעניק משמעות (תהליך בירור והעמקה) לאיומי סייבר לאורך כל מחזור החיים שלהם, ולא רק באוסף של תהליכים רגולטוריים. הגישה המוצעת מעבירה את מוקד הדיון מ"איך אנחנו מגנים?" לשאלות מהותיות יותר כגון "מהם הערכים שאנחנו שומרים עליהם?" ו"כיצד הסייבר משתלב באסטרטגיית הצמיחה שלנו?". אין בכך להציע כי ההגנה חשובה פחות לאחר תהליך כזה, אלא שהדירקטוריון תורם את החלק בו יש לו יתרון יחסי ועדשה חשובה אחרת לאורה מתבצעת בהמשך התוכנית האופרטיבית.
המסגרת החדשה שהחוקרים מציעים מתמקדת בשלוש נקודות הכרעה קריטיות:
(א) טרם המתקפה: הדירקטוריון אינו צריך להסתפק בסקירות ודוחות פורמליים בלבד. במקום זאת, עליו לקיים דיון מעמיק על נכסים ארגוניים קריטיים, חוליות חלשות בשרשרת האספקה והשלכות אפשריות של מתקפה על אמון הציבור, אף אם לא נגנב אף קובץ. גישה זו דורשת הבנה מערכתית של המרחב העסקי והציבורי ולא רק של מערכות ההגנה הטכנולוגיות.
(ב) במהלך ההתקפה: בשלב זה, הדירקטוריון לא מחליף את הצוות המבצעי, אך נדרש להיות מעורב בשאלות שעשויות להיות קריטיות. יש לנהל דיון על אילו שירותים להפסיק ומתי, כיצד לתקשר את האירוע לציבור ומה קו ההגנה מול דרישות תוקפים. שלב זה דורש פרשנות מהירה למצב וקבלת החלטות קשות, כפי שקרה כאשר חברת Colonial Pipeline החליטה לשתק לחלוטין את המערכת �כדי לצמצם נזק. כמו בתחומים אחרים, ההנהלה תקבל את ההחלטות האופרטיביות ותנהל את האירוע, אולם החלטות אלו יתבססו על הניתוח, קביעת סדר עדיפויות וגיבוש האסטרטגיה כפי שתעשה על ידי הדירקטוריון.
(ג) לאחר ההתקפה: התאוששות מאירוע סייבר אינה מסתיימת עם שחזור המערכות. זהו שלב הדורש שינוי עמוק, ניתוח ביקורתי והפקת לקחים משמעותיים. הדירקטוריון צריך לדון בשאלות כמו: מה האירוע חשף על התרבות הארגונית? אילו תהליכים דורשים התאמה וכיצד מחזירים את אמון הלקוחות?. הפקת לקחים עמוקה בשלב זה היא יסודית לצמיחה והתפתחות הארגון.
המסגרת המוצעת אינה עוסקת בתצורה של שרתים, אלא בהובלת ארגון שלם בעולם של חוסר ודאות. החוקרים מעודדים מעבר מחשיבת הגנה מגיבה מוכוונת טכניקות פעולה ותקציב לחשיבה במונחים של "מה באמת חשוב". המפתח הוא בשינוי החשיבה: מעבר משאלות כגון "איך אנחנו מגינים?" לדיון בסוגיות כגון "מהם הערכים שאנחנו שומרים עליהם?", "מה אנחנו מוכנים להקריב?" ו־"מה לקוחותינו היו מצפים מהארגון (כחלק מה-DNA הארגוני)?" מדובר במנגנון לפיתוח חוסן, בניית יתרון תחרותי והבטחת יכולת הקיום של הארגון לטווח הארוך. דירקטוריונים שיצליחו לאמץ את התפיסה הזו לא יהיו אלו שמנעו פרצה, אלא אלו שהשכילו לפתח קשב עמוק לאירועי סייבר - לפני, במהלך ואחרי התרחשותם – ובכך לאפשר התפתחות ובנייה ארגונית נכונה. בכך, יצליח הדירקטוריון למלא את תפקידי הייעוץ והתמיכה שלו מחד גיסא ואת משימת הפיקוח מצד שני באופן אפקטיבי וקוהרנטי ליעדי הארגון.