יותר ממחצית מנהלי טכנולוגיות מידע בכירים סבורים כי התרחשו בארגוניהם אירועים של דליפות מידע אשר לא נתגלו כלל; עם זאת, כמעט 75% מאמינים כי "אצלם הכל בסדר"...
בסקר אשר נערך לאחרונה ע"י IT Governance הבריטית, ואשר הקיף 240 מנהלי טכנולוגיות מידע בכירים, נמצא כי חברות רבות עיוורות לחלוטין לדליפות מידע, ושאננות בגישתן לתהליכי ואמצעי ההגנה הרלוונטיים. מן הסקר עולה כי 36% מן המשיבים סבורים כי חברתם סבלה בשנה האחרונה מתקיפות סייבר אשר לא נתגלו כלל, ו-20% נוספים אמרו כי פשוט אין להם כלל כלים לדעת האם תקיפות סייבר התרחשו כלל.
בסך הכל הודו 56% מן המשיבים כי בפועל בהחלט קיימת אפשרות שארגוניהם חוו אירועים של דליפות מידע בשנה האחרונה, וזאת בלא שאירועים חמורים אלו נתגלו.
ממצאים אלו תואמים לדו"חות נוספים אשר פורסמו מוקדם יותר השנה ע"י Madiant ו-Trustwave - אשר ממצאיהם הצביעו על כך שתוקפים פעלו חודשים רבים בתוך רשתות ארגוניות בלא הפרעה וזיהוי במערכת.
בתסריט הקיצון (Worst-case scenario), עלולה חדירה מסוג זה להביא לסגירת החברה המותקפת, ממש כפי שקרה לאחרונה לחברת אחסון הקוד Code Space; אולם גם תסריטים קיצוניים פחות - דליפת מידע קריטי, מחיקת מידע, גישה למידע רגיש ועוד - אמורים להדיר שינה מעיני מנמ"רים, מנהלי אבטחת מידע ומנהלי IT, כמו גם מעיניהם של מנהלים בכירים נוספים בחברה.
לאור כל זאת, מפתיע כי 73% מן המשיבים מאמינים כי אמצעי ההגנה הנוכחיים שלהם מספקים בכדי לחסום תקיפות סייבר מסוגים שונים.
"רמה גבוהה זו של שאננות, בהשוואה לרמת אי-הוודאות הגבוהה בשאלה האם היו בכלל תקיפות מוצלחות על הארגון, מלמדות כי במקרים רבים רמת האמונה של ארגונים באשר לרמת האבטחה שלהם ולרמת העמידות כנגד תקיפות אינה מבוססת על מידע מוצק ומבוסס", אומר אלן קאלדר, הפאונדר של IT Governance, אשר ממליץ בחום לחברות לבצע מבדקי חדירה על תשתיות הרשת ואתרי האינטרנט שלהן.
דייויד לייסי מחברת IOActive הגיב על תוצאות הסקר, וציין כי הן אינן מפתיעות. לדבריו, הכרחי שלארגונים יהיה מידע זמין אודות המתרחש ברשת החברה, וכן בפתרונות ניטור מתקדמים ביותר - כל זאת בכדי לאתר ולהגיב במהירות לתקיפות מתוחכמות - דוגמת תקיפות APT - אשר מראש מתוכננות כך שלא יתגלו ע"י פתרונות ההגנה הסטנדרטיים.
איי פי וי סקיוריטי מציעה מגוון רחב של ביקורות, סקרים ושירותי אבטחת מידע, אשר מטרת כולם היא לסייע לארגונים וחברות להתמודד עם מכלול האיומים והסיכונים בתחום - ובכלל זה תקיפות מתוחכמות מן הסוג המתואר לעיל. כך לדוגמה מבדק חדירות פנימי אשר מטרתו להדגים כיצד ניתן לחדור ולפגוע במערכות ארגוניות רגישות, שירות CISO אשר מספק מעטפת ניהול אבטחת מידע כוללת בהיקפים אשר נקבעים ע"י הלקוח ותכולת פעילות אשר נתפרת באופן ספציפי עבור כל לקוח במיוחד, סקר סיכוני סייבר ממוקד ועוד.
לידיעה המלאה - כאן
לידיעה באתר IT Governance - כאן
לידיעה אודות סקר Trustwave - כאן