מה יודע אזרח ממוצע בעולם על אבטחת המידע של המוסד שבו הוא מפקיד את חסכונותיו, מנהל את נכסיו ומשקיע את כספו? על פי מה שהוא שומע מהמוסדות עצמם, ומהפיקוח על הגופים הפיננסיים, הכול בסדר, ויש לו על מי ועל מה לסמוך. אבל עכשיו באים חוקרים בקרן המטבע הבינלאומית ומגלים שהמצב לא ממש כך.
קודם כול, המוסדות הפיננסיים לא תמיד מדווחים על פגיעה במערכות המידע ובחשבונות הלקוחות. הם לא ממש מודעים לכל הסיכונים ולשינויים שחלים בהם כל הזמן. הם נוטים להשקיע פחות מדי באבטחה, ותמיד יפגרו אחרי התוקפים, שנהנים מעלויות קטנות והולכות של ביצוע פריצות.
כאשר גוף פיננסי קונה ציוד ותוכנה לשם הגנה על נכסים, לא תמיד הוא מבין מה הוא קונה, ולעתים קרובות "דוחפים" לו תוכנה שלא תמיד נבדקה לעומק, והתיקון בא רק לאחר שמישהו נפגע. כל זה מתורגם להפסדים לא קטנים, אבל איש לא ממש יודע כמה, כי אין דרך לדעת כמה זה באמת עלה ומי מנצח במלחמת הסייבר הפיננסית.
על פי סקירה של מחלקת המחקר של קרן המטבע, אומדני ההפסדים הכספיים שנגרמים למערכת הפיננסית הבינלאומית ממתקפות סייבר נעים בין 300 מיליארד דולר לטריליון דולר. מדובר בטווח עצום, המשקף את ההבדלים בין החברות שאמדו את הנזקים ואת השנים שבהן נערך האומדן (ראו טבלה).
אלא שיש סיבה נוספת לאי הוודאות בנוגע לגודל הנזק ממתקפות סייבר. מחברי הסקירה מציינים שבנקים וגופים פיננסיים לא ממש נוטים לספק מידע על מתקפות סייבר עליהם, זאת בשל פגיעה אפשרית במוניטין שלהם, במיוחד בכל הקשור לבטיחות מידע והגנה על כספי לקוחות.
דוגמה נוספת לחוסר המידע על היקף הסכנה היא הפירוט של מספר המתקפות שגרמו לאובדן מידע במגזר הפיננסי. המגזר הזה מושך את המספר הגדול של מתקפות סייבר בעולם, ומתוך כ-800 מתקפות "מוצלחות" ב-2015, רק כ-100 שויכו למוסדות הפיננסיים הגדולים. כל יתר הפגיעות לא שויכו לגופים על פי שמם או גודלם.
בעיה מערכתית
מחברי הסקירה מציינים כי היקף האיום והנזק האפשרי שלו הופכים את סוגיית מתקפות הסייבר לבעיה מערכתית, ולא רק לבעיה טכנית, הקשורה למערכות מחשוב. למעשה, במדינות המתועשות, ובפרט במרכזים הפיננסיים, מערכות הבנקים - ממכונות למשיכת כספים ועד מערכות הסליקה - מחוברות ביניהן וגם לאינטרנט, מה שהופך את החשיפה לפגיעה ממתקפה חיצונית לגדולה בהרבה. הפגיעה והאיום הם על כל המערכות, וכוללים מתקפות על מכונות למשיכת מזומנים, שרתים וגם מתקפות למניעת שירות.
אלא שגודל החשיפה והאיום מושפעים לא רק מגורמים טכניים. כאמור, במערכת קיימת שורה של תמריצים להחביא את גודל החשיפה ואת הנזק האפשרי ולנסות לגלגל אל גורמים אחרים את עלות הקמתן של מערכות אבטחה. בו בזמן, העלות של השגת יכולות לפרוץ למערכות הממוחשבות של המגזר הפיננסי הולכת ויורדת כל הזמן, ואופני התקיפות משתנים במהירות רבה.
כך למשל, בשנת 2016 נרשמה עלייה תלולה בהתקפות על יישומים ברשת של המערכות הבנקאיות, לכ-82% מהמקרים, לעומת 31% שנה קודם לכן. סקר של חברת ורייזון, אשר פורסם השנה, גילה שלוקח פחות משעה להתגבר על מערכות הגנה פגיעות, אך ביותר מ-60% מהמקרים הזמן הדרוש לתיקון עולה על שבועות ואף יותר.
המסקנה של מחברי הסקירה היא שמדובר לא רק בסוגיה של טכנולוגיית מידע אלא באיום מערכתי של ממש על המגזר הפיננסי, מה שאמור להביא לתגובה מתאימה מצד הבנקים והמוסדות הפיננסיים, אך גם מגורמי הרגולציה.
בכל מה שנוגע למוסדות פיננסיים פרטיים, האיום של מתקפות ופגיעת סייבר לא קשור רק למערכות המותקנות אצל כל אחד מהם. כל מוסד כזה מחובר למערכות של לקוחות, ספקים ונותני שירותים. הדבר מחייב כל מוסד לפתח תקנים של הגנה אשר על כל לקוח וספק לאמץ, כאשר החובה הזו מגולמת בחוזי התקשרות. אך לעתים הפגיעה יכולה לבוא ממתקפה על גורמי תשתית, כמו חשמל או מים, או בתשתית התפעולית, כמו מערכות סליקה שחלקן מופעלות מחוץ לגבולות המדינה.
על פי ממצאי המחברים, בתנאים כאלה יש למערכת ניהול הסיכונים בכל מוסד פיננסי בעיה בהערכת ההשקעה הנדרשת לשם ניהול הסיכון. גובה ההשקעה תלוי בעלות המשוערת של הנזק מפגיעה או פריצה למערכת הממוחשבות. אך לעתים קרובות קשה מאוד להעריך נכונה את עלות הפגיעה, כאשר לא ממש יודעים מה יהיה הנזק הכספי שייגרם כתוצאה מהפגיעה במוניטין של המוסד, מה תהיה העלות של סגירת הפרצות ותיקון הנזק, ומה יהיו ההשלכות על תשלומי הביטוח של המוסדות האלה.
למעשה, על פי הסקירה, אחת התופעות הקשורות לפגיעות סייבר היא שרק חלק מהעלות מתגלה מיד לאחר המתקפה, ואילו רוב העלות קשורה להפסדים שמתגלים רק בטווח הארוך. לפי הסקר של ורייזון, בארה"ב כ-75% מהפגיעה מתגלה בטווח ארוך בצורה של אובדן הכנסות ואובדן לקוחות. במקרים רבים קשה למוסדות הפיננסיים לכסות את הסיכונים האלה על ידי פוליסות ביטוח. לכך צריך להוסיף שבתנאים של שינויים מהירים מאוד, יש צורך באימוץ של מערכות הגנה וטכנולוגיות חדשות, המשתנות במהירות, ולא תמיד קיימת הבנה מלאה של החוזקות או החולשות של אותן מערכות.
בעיה של השוק
אלא שלא כל הבעיות הכרוכות בהיערכות נכונה הן ברמת המוסד הבודד. לא מעט מהבעיות שזיהו מחברי הסקירה הן ברמת השוק כולו. ראשית, כאמור, למוסדות פיננסיים אין כל המידע הדרוש כדי להעריך את גודל החשיפה שלהם. לזה יש להוסיף את עניין ההשפעות החיצוניות. כאשר פירמה פיננסית משקיעה בניהול סיכוני סייבר היא משפרת לא רק את מצבה, אלא גם את מצב המערכת כולה.
אך ההיפך גם נכון - כאשר פירמה אינה מתאימה בצורה נכונה את מערכות ההגנה שלה, היא תורמת להרעת מצבם של כל המוסדות האחרים. בפועל, זה המצב בלא מעט מקרים בשל התמריץ הברור שקיים עבור מוסדות פיננסיים קטנים לנסות להימנע מעלויות גדולות, מתוך מחשבה שהגדולים יישאו בעיקר הנטל של הגנה על המערכת כולה.
אך הסיכון המערכתי נובע לא רק מפעולות המוסדות עצמם, אלא גם מספקי התוכנה והציוד. בתנאים של שינויים מהירים ותחרות עזה בין ספקים, קיים תמריץ מובנה להחדרה מהירה של מוצרים, לעתים ללא בדיקה מתאימה של פגיעות ונקודות תורפה. רק כאשר מספיק מוסדות מאמצים תוכנה מסוימת, מתחילים הספקים לזהות פריצות אפשריות ולהציע פתרונות. לא רק זאת, אלא שקיימת אפשרות של ריכוז גבוה מאוד של הסיכון, כאשר תוכנה או ציוד מסוים מאומצים על ידי מוסדות רבים מאוד, אשר אינם מודעים לפריצה אפשרית. ככל שחולף הזמן, הסכנה גדלה. פירמות ירצו להימנע משינויים יקרים, וכך הציוד והטכנולוגיות שלהן הופכים לפגיעים יותר ויותר.
תפקיד הרגולציה
לאור כל זאת, מחברי הסקירה רואים תפקיד הולך וגדל לרגולציה הפיננסית בכל מדינה ומדינה, ומקום לכפיית תקנים של הגנה אשר יפותחו על ידי גופים בינלאומיים כמו ה-BIS או ועדת בזל.
מוסדות פיננסיים יידרשו גם לתיאום גדול יותר ביניהם, ובמקביל הם ייאלצו לאמץ תקנים של דיווח על תקיפות, תוך מתן מידע על עלות הפגיעה ופרטיה, במטרה לגלות פרצות אפשריות. אלא שבכל אלה לא די, לדעת המחברים, והערכת הסיכון בתחום הסייבר תצטרך, בסופו של דבר, להשתקף בהפרשות מתאימות להון של כל מוסד ומוסד, כדי להבטיח את יציבותו גם במקרה של מתקפה חמורה, אפילו כשההסתברות לכך היא נמוכה, על פי ההערכות של המערכת הפיננסית עצמה.
אומדן עלויות שנתיות של סיכוני סייבר
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל
קוד האתי
המופיע
בדו"ח האמון
לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה
אוטומטית ולא יפורסמו באתר.