מתפרסם מאז שנת 1999
פורסמו תוצאות סקר רמת המוכנות של חברות תעשייתיות לאיומי הסייבר
“על-מנת לבחון את תמונת המצב העדכנית של רמת מוכנות הסייבר בסקטור היצרני במדינת ישראל ולהעלות את רמת המוכנות של החברות בו, פורום הסייבר באיגוד ההייטק בהתאחדות התעשיינים בשיתוף עם מערך הסייבר הלאומי והמחלקה למחקר כלכלי בהתאחדות התעשיינים הפיצו וניתחו סקר בנושא. ההכרה בחשיבות ההתמודדות עם איומים במרחב הקיברנטי (איומי סייבר) הולכת ועולה בשנים האחרונות.
תקיפות סייבר על הסקטור היצרני בישראל ובעולם גרמו בעבר ועלולות לגרום בעתיד להפסקת ייצור לתקופות ארוכות, לפגיעה באיכות המוצר ואף לסיכון חיי אדם. השאלה היא לא ‘האם יתרחש אירוע סייבר’ אלא ‘מתי‘ ולכן חשובה ההתמודדות והמוכנות של החברה להכילו בנזק מינימלי.
“על-מנת לבחון את תמונת המצב העדכנית של רמת מוכנות הסייבר בסקטור היצרני במדינת ישראל ולהעלות את רמת המוכנות של החברות בו, פורום הסייבר באיגוד ההיי-טק בהתאחדות התעשיינים בשיתוף עם מערך הסייבר הלאומי והמחלקה למחקר כלכלי בהתאחדות התעשיינים הפיצו וניתחו סקר בנושא”.
כך נאמר בפתח הודעה לעיתונות שפירסם (6.12.2022) מערך הסייבר הלאומי במשרד ראש הממשלה.
מערך הסייבר מציין בהודעתו כי “התובנות העיקריות מהסקר, כמו גם נתונים סטטיסטיים ממנו, יופצו לחברות ההתאחדות ולגורמים ממשלתיים ורגולטוריים בארץ, וישמשו ככלי לקבלת החלטות בנושא מוכנות לאיומי סייבר עבור הנהלות החברות היצרניות והתעשייתיות בארץ וכן ככלי להכוונת מדיניות סייבר ברמה הארצית. בנוסף, כיוון שזוהי השנה השנייה בה מופץ הסקר, הוא מאפשר גם תחילת מעקב אחרי מגמות ובחינת השפעת החלטות ברמת ההנהלה וברמה הארצית על מוכנות הסקטור היצרני להתמודד עם האיומים. על הסקר השיבו 126 נציגי חברות יצרניות מהתאחדות התעשיינים, במהלך החודשים אוגוסט-ספטמבר 2022, המעסיקים ביחד כ 38,000 עובדים ובעלי מחזור משולב של כ 19.5 מיליארד ₪ בשנה.
ממצאי הסקר בקרב כלל המשיבים
■ חשיפה לאיומי סייבר – קיימים פערים משמעותיים למול הסיכון ולמול הדרישות
“הווקטור העיקרי, המאפשר תקיפות סייבר, הוא השימוש הגובר באמצעי מחשוב המקושרים ברשתות מחשבים לבין סביבות מחשוב חיצוניות, כולל רשת האינטרנט, המאפשרות חדירה ותקיפה מרחוק.
“בחברות יצרניות אמצעים אלה כוללים שימוש בטכנולוגיות ייצור מתקדמות, שימוש בשירותי ענן דרך האינטרנט או שימוש באתר אינטרנט בעל משמעות כלכלית לפעילות החברה (לצורך ניהול הזמנות שיווק וכו’.
“שליש בלבד מהחברות שהשיבו על הסקר, עושות כיום שימוש בטכנולוגיות ייצור מתקדמות (אוטומציה מתקדמת, , IOT, אחזקה חזויה, תעשיה 4.0). משמע, רוב (67%) החברות במדגם אינן עושות כיום שימוש בטכנולוגיות אלו. 26% דיווחו כי ביצעו השקעה ו- 26% נוספים טוענים כי עומדים לבצע השקעה כזו בשנתיים הקרובות. השקעה כזו, אם תתממש, תביא את אחוז החברות העושות שימוש בטכנולוגיה מתקדמת בישראל למעל למחצית מהחברות.
“בחלוקה לאיגודים ניתן לראות כי באיגודי המזון, הטקסטיל ובאיגוד תעשיות המתכת, חשמל והתשתית שיעור החברות שדיווחו על השקעה בטכנולוגיית ייצור מתקדמת או כוונה לעשות כך גדולה יותר, מה שיביא את שיעור החברות העושות שימוש בטכנולוגיה מתקדמת בהם לכ- 70%-75% בעוד באיגוד תעשיות מוצרי הבניה והצריכה ובאיגוד הכימיה, פרמצבטיקה ואיכות הסביבה שיעור זה יעמוד על כ-50% בלבד. חריג מבחינת התוצאות הוא איגוד ההייטק הכולל חברות אשר אין להן ייצור כלל (חברות תוכנה, לדוגמא) ולכן גם אין כוונה להשקיע בייצור מתקדם.
“בבחינת השימוש בשירותי ענן דרך רשת האינטרנט בקרב החברות, כ- 82% מהחברות השיבו שעושים שימוש בשירותי הענן, לצד 18% בלבד אשר לא עושים שימוש בשירות כזה. כמו כן, כמעט מחצית (46%) מהמשיבים על השאלה דיווחו כי מתכננים להגדיל את השימוש בשירותי ענן בחמשת השנים הקרובות.
“זו מגמה הניכרת כבר ביחס לתוצאות שאלה דומה בסקר הלשכה המרכזית לסטטיסטיקה (למ”ס) בנושא שימושים בטכנולוגיות מידע ותקשורת (ICT) והגנת סייבר בעסקים משנת 2020. על פי הלמ”ס, שיעור החברות העושות שימוש בשירותי ענן בסקטור התעשייה (הכולל בסקר גם כרייה וחציבה ואספקת חשמל וביוב) היה באותה עת כ-50% בלבד. עלייה זו (גם אם ייתכן כי היא קטנה יותר בשל השוני בין הסקרים) היא ככל הנראה תוצאה של משבר הקורונה שהביאה לגידול בשיעור השימוש שעושים עסקים בשירותי ענן בכל העולם.
“כאמור, בנוסף לשימוש בטכנולוגיות ייצור מתקדמות ושירותי ענן, גם שימוש באתר אינטרנט בעל משמעות כלכלית לחברה חושפת אותה לנזקי מתקפות סייבר.
“לסיכום, נראה כי לרוב המוחלט של החברות בישראל צורך בהגנה מפני איומי סייבר, בין אם בהגנה על הפעילויות העסקיות הנובעות מאתר האינטרנט (בכ- 90%-80% מהחברות) או על הפעילות בענן (כ- 80% מהחברות) ובין אם להגנה על טכנולוגיות ייצור מתקדמות ששיעור החברות העושות בהן שימוש כיום הוא כ- 30% אך עשוי לעלות בשנים הקרובות עד ליותר ממחצית (ובחלק מהאיגודים גם ליותר מכך) בשנתיים הקרובות.
■ מחויבות חיצונית להתמודדות עם איומי סייבר
“אסדרה (רגולציה) היא הוראה הקובעת כלל התנהגות שהוא בעל אופי כללי, שמטרתו היא הסדרת פעילות כלכלית או חברתית והוא ניתן לאכיפה בידי רשות ציבורית. אסדרה נקבעת בחיקוק או על פי סמכות כדין. אסדרה בתחום הגנת הסייבר נועדה להגביר את רמת החוסן של המשק הישראלי מפני תקיפות סייבר, היא נועדה לחזק את הרציפות התפקודית של הארגונים השונים ולהגן על המידע שהם מחזיקים ברשותם. האסדרה של תחום הגנת הסייבר בישראל נעשית בצורה מבוזרת, כך שכל מאסדר קובע אסדרה למגזר שלו בהנחיה מקצועית של מערך הסייבר הלאומי.
“בסקר נשאלו החברות המשתתפות האם הן מצויות תחת סוג מסוים של רגולציית סייבר, תוך אפשרות לבחור תשובות מרובות. מרבית (74%) מהחברות שענו לא מצויות תחת אף רגולציית סייבר. 11% מהחברות מחויבות לרגולציית סייבר של המשרד להגנת הסביבה, 4% למערך הסייבר ו-2% נוספות דיווחו על מחויבות לרגולציית סייבר של המלמ”ב. 12% נוספים ציינו כי מצויים תחת רגולציות סייבר אחרות, ביניהן: סטנדרט רגולטורי אירופי, ותקנים חיצוניים נוספים.
“לצד השאלה אודות רגולציית סייבר, נשאלו החברות השנה האם הן מיישמות אי-אילו תקנים לאבטחת מידע? מהתשובות עולה שכ-44% מהחברות אינן מיישמות אף תקן של אבטחת מידע. כ- 60% מהחברות דיווחו שמיישמות תקני אבטחת מידע, אך רק חלק קטן מהן מיישם תקן ייעודי להגנה מפני תקיפות סייבר.
“המסקנה העיקרית העולה מהתשובות לחלק זה של השאלון הינה כי, ברוב המקרים, החברות המשיבות אינן מחויבות על פי חוק או על פי הסכמים להגן על פעילותם ונכסיהם מאיומי סייבר ולכן יישום הגנה תלוי בהכרה באיום כחלק מתהליך של ניהול סיכונים בחברה (מכונה גם “מודעות לאיום”). בשורה התחתונה, רק כחמישית מהחברות מוכנות ליישם תקנים ייעודיים להגנה בסייבר על המאמץ הכרוך בכך. ניתן להניח כי אחוז נמוך זה נובע משילוב של חוסר במודעות לסיכונים יחד עם חוסר במודעות לתועלת של מימוש תקני הגנה בסייבר, ואנו ננסה להבין זאת לעומק בסקרים הבאים.
■ ביטוח סייבר
“אחת ההחלטות האפשריות, שעשויות לקבל חברות כחלק מתהליך ניהול סיכונים הוא רכישת ביטוח לכיסוי נזקי סייבר. בדרך כלל, לרכישת פוליסה כזו נלוות דרישות של חברת הביטוח להגנה על הפעילות העסקית של החברה ועל המידע הרגיש המאוחסן בשרתיה כתנאי לכיסוי עתידי ולכן מהוות עבור החברה הרוכשת מעין חלופה לרגולציה.
“בנושא זה נשאלו החברות האם רכשו ביטוח סייבר? שיעור השימוש המדווח בביטוח סייבר בקרב החברות המשיבות – 22%, מהווה עלייה משמעותית מהשיעור המדווח בסקר הלמ”ס (גם תוך התייחסות לשוני בין הסקרים), אך עדיין נמוך ביחס לשיעור החברות הרוכשות ביטוח סייבר במדינות אחרות (בהתאם לסקרים בינלאומיים).
■ הכרה באיום ומימוש טכנולוגיה ושיטות הגנה
“אחד היתרונות של סקר זה הוא היכולת לבחון את ההשקעה לא רק במונחים של כן או לא התקיימה אלא גם את המימוש בפועל של ההגנה בחברה. מתוך החברות […] מרבית המשיבים בסקר (62%), הצהירו כי השקיעו או מתכננות להשקיע גם בטכנולוגיות הגנת סייבר, זוהי עליה בשיעור החברות שבחרו לעשות כך מן הסקר של השנה שעברה (בו 51% מהחברות הצהירו כי ישקיעו גם בטכנולוגיות סייבר). עם זאת עדיין שיעור משמעותי מן החברות אינן מתכוונות להשקיע או אף אינן מכירות אופציות להשקעה בטכנולוגיות סייבר (38%) וביחס לסקר, שנערך בשנה שעברה, היה אפילו גידול בשיעור המשיבים כי אינם מכירים אופציות להגנה בסייבר (מ-11% ל- 19%).
“על סיבה אפשרית להיעדר השקעה בטכנולוגיות סייבר עשוי לרמז הקשר בין גודל החברה (על פי מחזור) לבין השקעה בטכנולוגיות הגנה בסייבר. בעוד ש- 82% מהחברות הגדולות (בעלות מחזור של 100 מיליון שקל ומעלה) השיבו שהשקיעו בטכנולוגיות סייבר, רק 22% בלבד מהחברות הקטנות (בעלות מחזור הכנסות של עד 20 מיליון שקל) השיבו שביצעו השקעה כזו. זאת ועוד, שיעור אי-ההיכרות עם אופציות הגנה בסייבר בחברות הקטנות הוא גבוה יותר.
“רוב החברות הנסקרות (75%) מינו בעל תפקיד בחברה אשר אחראי על הגנת סייבר וברוב המקרים (59%) האחראי הוא בכיר או חבר הנהלה בחברה. שיעור זה דומה לשיעור שנסקר בשנה שעברה (בסקר הקודם 76% מהחברות מינו בעל תפקיד, וב- 61% מהחברות הוא בכיר).
“זאת, ככל הנראה, גם הסיבה לשביעות הרצון הכללית העולה מהסקר לגבי השקעה בהגנת סייבר. כשני שליש מהמשיבים (כ- 66%) סבורים כי חברתם משקיעה במידה הנכונה בתחום זה או אף מעבר לכך. לצד זאת, כשליש (כ- 33%) סבורים כי החברה משקיעה מעט מדי, או לא משקיעה בכלל בהגנת סייבר.
■ תוכנית להתמודדות עם סיכוני סייבר
“גם אם החברות משקיעות בטכנולוגיות ותהליכים להגנה במרחב הסייבר, על מנת שההשקעה תהיה אפקטיבית יש צורך במימוש נכון. במרבית (68%) החברות קיימת תוכנית להתמודדות עם סיכוני סייבר, אך רק בקרב 41% מהחברות היא עדכנית, מוטמעת ומבצעת תרגולים תקופתיים (15% דיווחו כי יש להם תוכנית אך היא אינה מוטמעת, ו-12% נוספים עם תוכנית לא עדכנית).
“יש לציין כי מערך הסייבר הלאומי ממליץ על בחינה ועדכון (לפי הצורך) של התוכנית אחת לשנה כחלק מתהליך ניהול סיכונים כללי בחברה וכן על תרגול שנתי של תרחישי סייבר על פי תוכנית עבודה סדורה לאור צרכי החברה.
“מנגד, לשיעור לא זניח (25%) של המשיבים כלל אין תוכנית להתמודדות עם סיכוני סייבר (32% אם יצורפו גם המשיבים שאינם יודעים אם לחברה שלהם תוכנית כזו). היעדרה של תוכנית מוכנה עלולה לגרום לחוסר הבנה של החשיפה של החברה לסיכונים ולפגיעה משמעותית אם יתממש איום סייבר עליה.
“פן נוסף של ההכרה באיום הסייבר ודרך מימוש ההגנה ניתן לראות במענה לשאלה ‘האם בוצעו בחברתך בדיקת חדירות, סקר סיכונים, או כל סקר דומה בתחום הסייבר ב-12 החודשים האחרונים?’ יותר ממחצית (55%) מהמשיבים דיווחו שביצעו בדיקת חדירות, סקר סיכונים, או כל סקר דומה בתחום הסייבר בשנה האחרונה (נתון דומה לנתוני השנה שעברה).
“עם זאת, העמקה בדרך בה מבוצעים הסקרים מעלה פערים משמעותיים נוספים: רק 35% מהחברות דיווחו שביצעו בדיקות לכל הרשתות. כ-20% מהחברות השיבו כי הבדיקות או הסקרים נעשו רק לחלק מהרשתות (ייצור או IT) זאת למרות שרובן מקושרות אחת לשנייה או לאינטרנט.
“ביחד עם כמחצית החברות שענו כי לא בוצעו סקרים לאף אחת מהרשתות או על אי קיום תוכנית עדכנית, מוטמעת ומתורגלת עולה כי ב- 80% מהחברות לא בוצעו בדיקות חדירות מלאות, מה שאומר שאין לחברות מידע לגבי איכות ההגנות שלהן, לפרצות או חולשות קיימות, ולרמת הסיכון הנשקף להן. כמובן, נתון זה מתווסף לשאר פערי ההגנה מול המלצות מערך הסייבר.
■ אירועי סייבר
“בסקר דיווחו 17% מהמשיבים על חשד לאירוע סייבר. אלו שהשיבו בחיוב נשאלו האם אכן חברתם חוותה התקפת סייבר בפועל? מתוך המשיבים, כ- 73% אכן חוו תקיפה (עם וללא נזק) לעומת 27% שלא חוו תקיפה אלא התמודדו עם חשד בלבד.
“שיעורים נמוכים של התמודדות עם אירועים נובעים, בחלק מהמקרים, בשל היעדרה של מערכת ניטור מוגדרת היטב ותהליכים התומכים בטיפול בהתראות, וכך החברות מודעות כמעט רק לאירועים אשרו גררו תוצאות בפועל (התקפת כופר, פגיעה במערכת או בתהליך), והינן עיוורות לכל ניסיון תקיפה או תקיפה מוצלחת אשר לא גרמה לשיבוש פעילות (לדוגמה – גניבת מידע, התקפה עם הפעלה עתידית)”.