רשות הסייבר פרסמה טיוטה לתורת ההגנה בסייבר לארגונים

הרשות הלאומית להגנת הסייבר הפיצה טיוטה בדבר ״תורת ההגנה בסייבר לארגון״, להתייחסות משרדי הממשלה וגורמים שונים במשק. מטרת תורת ההגנה היא למזער את סיכוני הסייבר במשק הישראלי, לסייע לארגונים לגבש תכנית עבודה רב שנתית להגנה מפני סיכוני הסייבר השונים וליצור שפה משותפת ואחידה בתחום הגנת הסייבר בישראל. המסמך בגרסתו הסופית, שצפוי להתפרסם בתחילת יולי השנה, יהווה המלצה לכלל הארגונים במשק הישראלי ובפרט עבור דירקטוריונים והנהלות של חברות, מנהלי הגנה בסייבר, מיישמי סייבר וספקי IT.

אחד הייעודים של רשות הסייבר, כפי שהוגדרו בעת הקמתה (החלטת ממשלה 2444), היה לעצב, ליישם ולהטמיע תורה לאומית להגנת הסייבר. במסגרת זו החליטה רשות הסייבר לפרסם את תורת ההגנה לארגונים במשק הישראלי. תורת ההגנה נשענת על מסגרת הגנת הסייבר שגיבש מכון התקנים האמריקאי (NIST - Cyber Security Framework) ומאגדת תחתיה בקרות הגנה מסוגים שונים. מסגרת זו מבקשת להטמיע גישת הגנה לפיה על הארגון להגן מפני תקיפה אפשרית, לצד חיזוק יכולתו לגלות תקיפה שהצליחה, להכילה ולהתאושש ממנה במינימום נזק לארגון. 

רשות הסייבר חילקה את תורת ההגנה לשתי רמות שונות של המלצות בהתאם לרמת פוטנציאל הנזק לארגון כתוצאה ממתקפת סייבר. הרמה הראשונה היא עבור ארגונים בעלי פוטנציאל נזק נמוך, אשר יבצעו הליך מהיר של זיהוי ומיפוי יעדי ההגנה ויממשו בקרות בעלות אפקטיביות גבוהה במיוחד. הרמה השנייה היא עבור ארגונים הנשענים במידה רבה על מרחב הסייבר, ולכן פוטנציאל הנזק בהם הוא משמעותי. החלוקה לרמות תתבצע על-ידי קביעת עלות הטיפול באירוע סייבר בארגון - ארגון אשר עלות הטיפול באירוע תהיה עבורו גבוהה מ-100,000 ש״ח יסווג כבעל פוטנציאל נזק משמעותי. 

תורת ההגנה מבוססת על התפיסה לפיה בראש ובראשונה יש להגן על רציפות התפקוד של הארגון ולתמוך ביעדיו העסקיים, לפי תפיסה זו תורת ההגנה מתייחסת לחמש עקרונות:

  1. אחריות ההנהלה - האחריות להגנת המידע מוטלת על הנהלת הארגון;
  2. הגנה מותאמת לפוטנציאל הנזק - ההשקעה בהגנת הסייבר תיעשה בהתאם לפוטנציאל הנזק לארגון;
  3. הגנה מבוססת ידע וניסיון ישראלי  - לכל ארגון יש את הסיכונים הרלוונטים אליו. כתוצאה מכך שרשות הסייבר מבצעת ביקורות והערכות מודיעין תקופתיות וייעודיות למשק הישראלי, תורת ההגנה מאפשרת למקד כל ארגון באזורים ספציפיים ובמעגלי הגנה שונים;
  4. הגנה פרואקטיבית - בנוסף להגנה הפאסיבית המסורתית, על הארגון להטמיע בקרות פרו-אקטיביות עבור שלבי המניעה, הזיהוי, התגובה וההתאוששות;
  5. הגנה רב שכבתית -  הגנה היא תהליך המשלב שלושה מרכיבים עיקריים: אנשים, טכנולוגיה ותהליכים. תורת ההגנה מעניקה מענה הגנתי נדרש בכל הרבדים הללו. 

טיוטת תורת ההגנה בת 160 העמודים, מפרטת כיצד על ארגון לממש את תורת ההגנה בהתאם לפוטנציאל הנזק הגלום בו, מהן הבקרות שעל הארגון לאמץ ולהטמיע וכיצד על הארגון לבצע הערכת סיכונים לנכסי מידע. בנוסף, צירפה הרשות שאלון ״הערכה עצמית״ שמטרתו לסייע לארגונים להבין מהי רמת האבטחה בארגון, ובהתאם לכך לבנות תכנית עבודה מעשית בהתאם לתורת ההגנה. מקור: המרכז הלאומי להתמודדות עם איומי סייבר.