Cyber Resilience - Einat Meyron

פרויקט מאוד מסקרן ומאתגר שקיבלתי -
-חברה של 520 עובדים.
-פועלת בשוק התעשיה משנת 1999.
-סניף אחד באירופה.
💥תיקיית נהלים עם 12,000 רשומות.

אתם רוצים לנחש כמה אחוזים או אפילו כמה נהלים עודכנו ותוקפו מחדש בשנה האחרונה? בחמש השנים האחרונות?

כמה נהלים מסונכרנים עם סיכוני סייבר?

כמה נהלי סיכוני סייבר יש בה?

דיי כבר, בחייאת. העידן החדש פה כבר מעל עשור.
דיי כבר, בחייאת. אתם עדיין מתמודדים עם ההשלכות של מתקפת הסייבר אצלכם, מה הקטע של תשלום עבור התוכן?

ומי שרוצה לאסוף מאשקלון, דברו עם ארז. המשלוח עלי😜

למי שמעוניין בעותק בודד באיסוף עצמי - מחר בשעות הבוקר-צהריים אהיה באזור עזריאלי/יגאל אלון בת"א.
אפשר גם לתאם איסוף מירושלים.

לא. זה לא שאני כועסת ושאני אדם נרגן.. זה נטו מתסכול.
זכיתי ויש לי את היכולת לזהות ולהצביע על שינויים נדרשים, דבר שאנשים מבינים שנים אח''כ, בעקבות עבודות מחקר מתישות.
זה קרה עם פיתוח התחום שנקרא cyber resilience ועם הביקורת על ניהול מו"מ עם האקרים שמוביל לאסקלציה בדמות מתקפות חוזרות וסתם חזירות בדרישות, המשיך בביקורת על ביטוחי סייבר שנועדו להגדיל הכנסות לחברות הביטוח לעומת מענה אמיתי בשיפוי עבור נזקים ועוד ועוד ועוד.
מי שנמצא כאן מתחילת הדרך אי שם לפני 8 שנים, יודע.

אני לא יודעת להתחנף לאנשים, לשמחתי הגדולה. אני יודעת לתת ערך אמיתי, מיידי בלי חפירות, שאשכרה חוסך כסף וכאבי ראש.

אז כשאני מגלה, 4 שנים אחרי שמסבירה כמה האימפקט הוא החשוב ולא הניהול הטכני של האירוע, שזו התמה בהוראה רגולטורית - אני מתבאסת ומתוסכלת.
כי יכולתי לחסוך לארגונים ככ הרבה יותר מכל הקשקשנים שמחייבים דקה כשעה.

על מה אני חופרת לכם כבר שנים?
איזה יופי שבבנק ישראל הפנימו.

1. תתייחסו לאירוע סייבר כאל אירוע דינמי שיוצא משליטה.
2. תכינו את מרבית המשימות שלכם מבעוד מועד.
3. שלבו את תוכנית ההיערכות והתמודדות עם ה BCP בהתאמה.

מי שעובד איתי שנים כבר מוכן..

שנת 2005, אופנספייס בקומסק, ישבתי ליד מירון בכר שכתב את הוראה 357. 20 עמודים, כולל כל ההקדמות וההפניות ורשימות התוכן והנספחים.

לפני 5 שנים זימן אותי מנכ"ל של חברת הייטק. הוא קיבל ממשרד עורכי הדין שלו פלייבוק עם 50 עמודים בפונט 10. שאל אותי אם אפשר לקצר.

קיבל פלייבוק מקיף והרבה יותר פרקטי (אם יורשה לי) של 14 עמודים.

שנת 2024, הוראה מעודכנת, מטורללת לגמרי של בנק ישראל בהיקף של 94 עמודים.
ככה מתנהל גוף שאין לו מושג במה הוא עושה ובעיקר לא באבטחת מידע.
ולא, כמויות המידע ששפכתם שם, בסוף שנת 2024, כשאני מדברת רק על האימפקט כבר לפחות 4 שנים, הן באמת הוכחה לכמה אתם ארכאיים וכמה עצם חובת הרגולציה מסוכנת.

למי מיועד מסמך של 94 עמודים?
האם להיערכות ולהגנה הפרקטית על אבטחת המידע או לכסתח את התחת של המשפטנים בגוף המפקח?

הקונספט הזה של מסמכים ארוכים, חסרי תוכן וערך, הם לא רק בדיחה עצובה, הם סכנה של ממש כי מי שמחוייב לפעול לפיהם, חסר פעולות אמיתיות ויעילות, עבורו.

מהמרת שאין במידע הזה הרבה אמת (הגם שברגע שזה נאמר, מבחינת התוקף המטרה לפגיעה מוניטינית ושליטה בתודעה, הושגה) ועדיין חושבת שראוי להצביע - מי שכיסתח את עצמו ודרש היערכות הוא זה שנקשר באירוע.
טוב יעשה בנק ישראל (וכל ארגון שהשרידות העסקית חשובה לו) אם יאמץ גישה חדשנית ויפסיק לעשות עוד מאותו הדבר שהוא עושה שנים.

האקרים מאיראן: "פרצנו וגנבנו מסמכים ממשרד האוצר, בנק ישראל והבורסה" ההאקרים האיראניים פרסמו הבוקר סרטון ובו רשימה של קבצים שהם טוענים שגנבו ממשרדי ממשלה שונים, בהם משרדי הכלכלה, האוצר, הבורסה בתל אביב ובנק ישראל.

גל פתוח בצאפ מגזין 👇
https://chat.whatsapp.com/BdfijDa19Cx718INDgbi6k

אתמול בלילה, שיחה עם זיו מאור, גלי ישראל, על איומי קבוצת תקיפה על הבנקים. ועוד קצת.

לא זורמים?

מתחדדת אצלי ההנחה שהגישה לכל צילומי תעודות הזהות של הבכירים הביטחוניים היא כתוצאה מאיזו אפליקציית ענן שאליה נשלחות תמונות באופן אוטומטי (רובנו לא זוכרים שסינכרנו את האופציה לפני עשרים שנה).

או זה או למערכת אישור כניסה של קב"טים.

הטמטום הישראלי הוא באמת בלתי נסבל. 
לראות איך טראמפ מאייש את הממשל שלו עם אנשי מקצוע ולקנא.

מזה "בנק ישראל הורה להיערך"?? 
מה אומרת הקריאה הזו?

כשיש פרצת אבטחה היא מנוצלת שבועות וחודשים מראש. 
כשאין מדיניות מנוהלת ומעודכנת באופן תדיר אי אפשר להגדיר סטנדרטים ובקרות.

ולהיערך למה? 
למספיק כסף בכספומטים? לשירותים דיגיטליים זמינים לשאילתות או לביצוע תהליכים פיננסיים?

יש לכם רשימות של תהליכים קריטיים שייצרו לחץ על הציבור לעומת תהליכים פנימיים שלא נדע על פגיעה בהם?

הדרך היחידה שלכם להיערך היא להפסיק לעשות רוח וצלצולים ובאמת להיערך. 
בשגרה. 
מראש. 
בלי שטויות. 
בלי אינספור הגדרות תפקיד שלא אומרות כלום ולא מסונכרנות.
בלי מגבלות גנריות.
בלי תפיסות ארכאיות (אבל עם אגף חדשנות להרגשה הטובה). 
בלי מערכים שנועדו לכסתח אחד על השני, רק כי יש מספיק כסף לשלם.

גם תדמיתית לא מצליחה להבין את ההיגיון השיווקי או המקצועי בהודעה הזו.

ואנקדוטה משעשעת - לפני כמה שנים קיבלתי פניה מבנק ישראל להעביר תכנים יעודיים. הסתדרנו על כסף ועל לוחות זמנים ועל תחומים בהם נפעל. 
דקה לפני חיזלשו אותי כי אין לי תואר שני.

לדבר שטויות זו דרך חיים.

בראשון הקרוב יש לי חלון גמיש ברמת החייל.. אם מישו פה זמין לקפה והעמקת הכרות, הודעה בפרטי.

רוצה למנף נושא שמדברת עליו הרבה מאוד זמן.

87% מהנהלים לא מבוקרים. מלכתחילה, מרבית הנהלים נכתבו בתקופה אחרת, מלכתחילה מרבית הנהלים בכלל לא נוגעים בסיכוני סייבר.
הנהלים שלכם הם הקו הראשון. תפסיקו לשקר לעצמכם שיש לכם נהלים.

התפוצצתי ספונטנית..🤦‍♀

https://www.linkedin.com/posts/einatmeyron_%D7%94%D7%A8%D7%90%D7%99%D7%95%D7%9F-%D7%94%D7%96%D7%94-%D7%94%D7%95%D7%90-%D7%9E%D7%9C%D7%A4%D7%A0%D7%99-%D7%A9%D7%A0%D7%94-%D7%95%D7%97%D7%A6%D7%99-%D7%9C%D7%A4%D7%A0%D7%99-%D7%A9%D7%A0%D7%94-activity-7262348772783837185-nLBU?utm_source=share&utm_medium=member_android

והנה אתמול פורסם דו"ח נוסף של מבקר המדינה על מצב אבטחת המידע (בין היתר, גם) בביטוח הלאומי ונחשו מה..

משלוש מילים אני תמיד מפחדת: מערך הסייבר ממליץ.