כשמדובר בשמירה על מידע פיננסי, הצפנת נתונים היא אחת הכלים החשובים ביותר שזמינים. מוסדות פיננסיים סומכים בחשכה על פרוטוקולי הצפנה תקניים בתעשייה כמו AES-256 כדי להגן על נתונים רגישים ממבט של צד ג' במהלך העברות. גם המספרים מספרים סיפור מרשים. לפי הדוח האחרון של Verizon על פריצות נתונים, כמעט 60% מכלל הפריצות היו יכולות להיעצר לחלוטין אילו הייתה מוטמעת הצפנה מתאימה. לאנשים העוסקים במערכות פיננסיות, כדאי להכיר את אופן הפעולה של שיטות הצפנה שונות. הצפנה סימטרית מטפלת בכמויות גדולות של נתונים במהירות, מה שמסביר למה בנקים נוטים להשתמש בה בפעילות שוטפת.מצד שני, הצפנה אסימטרית מציעה הגנה חזקה יותר, אך במחיר. העברות נמשכות יותר כשהשיטה הזו בשימוש, מה שמעורר את הדילמה הקלאסית בין רצון באבטחה מקסימלית לבין הצורך להשלים אתالمعברות מהר דיו כדי למנוע פגיעה בחווית הלקוח.
יישור של רמות בקרת גישה מרובות הוא ממש חשוב כשמבקשים לעצור אנשים מלהיכנס בלי רשות ולשמור על ביטחון המידע הכספי. הרעיון הבסיסי כאן הוא שילוב של בדיקות והרשאות שונות כדי לוודא שאנחנו יודעים מי האדם באמת לפני שנותנים לו גישה לדברים רגישים. לדוגמה, בקרת גישה על פי תפקיד. עם RBAC, אנשים מקבלים גישה רק לדברים שהם צריכים לפי התפקיד שלהם בחברה. זה מקטין את הסיכון לשימוש לא נכון בזדון או בטעות, כי אין לאנשים גישה למידע שלא קשור לעבודה שלהם. כשמדברים על זה, חברות צריכות לעשות בדיקות קבועות כדי לוודא מי יכול לראות מה. הבדיקות האלה עוזרות למצוא בעיות כמו עליה לאuthorיזציה גבוהה מדי, כלומר מישהו מקבל גישה רחבה מדי שלא בכוונה. ראינו את זה הרבה מדי פעמים שעובדים חדשים מקבלים הרשאות מנהל מערכת רק בגלל שאיש לא טרח לבדוק את הרשאות הגישה שלהם. בדיקות קבועות הן לא רק נייר עבודה – הן אחת הדרכים הכי טובות לשמור על הביטחון של המערכות ולוודא שכל אחד רואה רק את מה שהוא ממש צריך בשביל העבודה שלו.
בזמן שכל כך הרבה אנשים קונים באינטרנט בימינו, זיהוי הונאות בזמן אמת הפך להיות הכרח מוחלט לשמירה על הכספים במהלךالمعברות. כשזיהוי ההונאות נעשה מיד, בנקים וסוחרים יכולים לעצור פושעים לפני שהם גורמים לאובדן משמעותי. מחקר מצביע על כך שלמידת מכונה עובדת די טוב בזיהוי דפוסים חשודים שיכולים להעיד על הונאה, מה שפירושו שפחות עיבודים תקינים נסרקים בטעות, תוך כדי שמירת רוב מקרי ההונאה האמיתיים. אך יש בעיה כשמנסים לחבר טכנולוגיות חדשות לזיהוי הונאות עם מערכות תשלום ישנות יותר, שהותקנו לפני עשורים. חברות רבות מתקשות עם תקינות זו. למרבה המזל, גישות חדשות יותר, כמו השימוש ב- API כדי לחבר בין מערכות שונות ובניית תוכנה בחלקים קטנים יותר וניתנים להחלפה, עוזרות בפתרון הבעיה הזו. הגישות הללו מאפשרות לעסקים לשדרג את אבטחתם מבלי להחליף את כל הبنى הקיימות, מה שמחסך זמן וכסף לאורך זמן.
שמירה על תקשורת שולחנות ושרתים מוגדרת כהלכה היא חיונית להגנת מידע פיננסי מפני גישה לא מורשית. מוסדות פיננסיים צריכים להשבית שירותים שאינם בשימוש שרצים ברקע, לשמור על תוכנה מעודכנת בקביעות באמצעות תיקונים, וליישם סטנדרטים אופציונליים специально פותחו עבור סביבות בנקאיות. תקריות מהעולם האמיתי מציגות עד כמה תקשורת לקויה יכולה ליצור חורים אופציונליים גדולים. אחת התקריות הבולטות כללה בנק שהגדרות השרת שלו הותירו פתוחות, והאצנים הצליחו לגנוב רשומות לקוחות רגישות ששוויין מליונים. טעויות מהסוג הזה מדגישות למה אמצעי אופציה חמורים הם חובה. כשארגונים מגדירים את השרתים והמכונות נכון כבר ביום הראשון, הם לא רק מגנים על מכונות בודדות אלא למעשה מעצימים את עמדת האופציה הכוללת across across כל הפעילות.
מסגרת האבטחה السيبرנית של NIST פועלת כخارטת דרך חיונית למעسسרים שמנסים לזהות, להתמודד עם ולצמצם איום סייברני. כאשר המבנה מותאם כראוי בתוך הארגון, הוא מעצים את הכוח ההתמודדות הכללי נגד התקפות, דבר שחשוב מאוד למנהלי כספים dealing with risk management יום יום. גישת אבטחה מסודרת עוזרת להגן על מידע פיננסי רגיש מפני סיכונים חדשים שעולים כל הזמן. ברור שiegsh את המבנה הזה לתוך החיים זה לא פשוט. רבים מארגונים מתקשים להקצות משאבים מספקים ולתפוס את הפרטים הטכנולוגיים שמעורבים. אתגרים אלו ניתן לעקוף לעיתים קרובות באמצעות תוכניות הכשרה מתאימות ואמצעי תכנון ארוך טווח מותאמים אישית לצרכים הייחודיים של כל עסק.
חשוב מאוד להבין את חוקי ה-GDPR וה-CCPA כשמנהלים נתונים בצורה תקינה ושמורים עליהם. חוקים אלו מחייבים את החברות ליישם הגנות חמורות למדי סביב מידע אישי, وعدم עמידה בהם עשויה להוביל לקנסות כספיים חמורים. טווח ההשפעה של הרגולציה הזו עובר בהרבה על חנויות מקומיות - הוא משפיע על הדרך בה חברות פועלות מעבר לגבולות ומנוהלות העברות נתונים בין מדינות, מה שמורכב את הדאגה לציות לדרישות. עבור מנהלי כספים ראשיים, עמידה בדרישות הללו צריכה להיות בעדיפות גבוהה, שכן קנסות עלולות לפגוע בצורה קשה בפער הכספי. בנוסף, שימור מעמד טוב בשווקים הבינלאומיים תלוי במידה רבה בהפגנת ליוויים ושותפים שהחברה קולטת ברצינות את הפרטיות של הנתונים.
ל-SEC יש כללי אכיפה חמורים באשר לעתים שבהן חברות חייבות להודיע למשקיעים על פריצות אבטחה, מה שמראה עד כמה זה חשוב לעסקים להישאר שקופים וصادקים בנוגע לנתוניהם הפיננסיים. לעוזרי CFO, הכרה עם תקנות אלו אינה רק טופס מילוי - אלא חלק מהותי מהעבודה שמטרתה לשמור על ביטחון בעלי המניות ביציבות החברה. בחינה של השנים האחרונות מציגה תבנית ברורה של עונשין כבדים מצד ה-SEC כלפי חברות שנכשלו בדיווח נכון על תקלות אבטחה. קחו לדוגמה את הרבעון האחרון לבדו, שבו שלוש חברות גדולות נפגעו מקנסות בגלל דחיית דיווח על פריצות מידע. חברות מוכנות מתכוננות מראש על ידי פיתוח אסטרטגיות תגובה מוצקות. זה כולל הקמת פרוטוקולים ברורים לזיהוי מהיר של תקריות, הודעה למגזרים הרלוונטיים בתוך שעות ולא ימים, ותקשורת שקופה לאורך כל התהליך. כשנהגים נכון, מצבים כאלו אינם חייבים לפגוע בسمלת החברה או ברווחיה.
ניהול סיכוני ספקים הוא חיוני לשמירה על נתוני החברה בטוחים לאורך שרשראות אספקה מורכבות. ראינו דוגמאות רבות שבהן פריצות צד גורם גרמו לבעיות חמורות לארגונים, מה שמראה עד כמה בחינה מקצועית של הספקים היא חשובה. חברות נוטות להשתמש בפתרונות כמו מסגרות איסוף אינטליגנציה אופרטיבית לצד בדיקות שגרתיות של צדדים שלישיים כדי להעריך עד כמה שותפיהן באמת מאובטחים. הערכות אלו עוזרות במניעת מצבים שבהם שותפים חיצוניים עלולים לחשוף מידע רגיש. עבור מנהיגי תפעול שמביטים על התחתית של הדוחות, השקעת זמן בבחינה מקצועית של ספקים אינה רק פרקטיקה טובה אלא הגנה הכרחית מפני סיכונים פוטנציאליים המתкрытים ביחסים עם ספקים. בסופו של דבר, אף אחד לא רוצה שהسمعة של החברה תיפגע בגלל שבת-הкונטרקטור של subcontractor היה לו היגיינה אופרטיבית לקויה.
העלייה של טכנולוגיות בינה מלאכותית שינתה לחלוטין את הדרך בה אנו מזהים איום פנימיים ברשתות, ופתחה אפשרויות חדשות בתחום אבטחת המידע. חברות משתמשות כיום בלמידה מכאנית ובמערכות בינה מלאכותית שונות כדי לזהות בעיות לפני שהן הופכות לאיומים משמעותיים. מחקרים מסוימים מצביעים על כך שגישות המבוססות על בינה מלאכותית מסוגלות לזהות איום בצורה שesto 80% מדויקת יותר מהשיטות המסורתיות, מה שנותן לצוותי אבטחה יתרון משמעותי בשמירה על מערכותיהם. בהטמעת בינה מלאכותית בתוך תשתיות האבטחה הקיימות, קבלת תוצאות טובות תלויה בסיוע להרמוניה בין כל הרכיבים. כלומר, יש לבחון את האינטגרציה בין כלים של בינה מלאכותית לבין הקיימות, וכן לכייל אותן כך שיתאימו לצרכים הספציפיים של כל עסק. ארגונים רבים מגלים שעומק בהבנת הדרישות הייחודיות שלהם מוביל לתוצאות טובות בהמשך הדרך.
טכנולוגיית בלוקצ'יין מביאה משהו שונה ומיוחד כשמדובר בהחזקת עסקאות בכנות ופתוחות. מה שמייחד אותה הוא העובדה שאחרי שמידע נקלט, אף אחד לא יכול לשנות אותו, וכך נוצר מסלול ביקורת אוטומטי ואמין. חברות שמבצעות העברות רגישות של נתונים מוצאות בזה שימוש רב. לדוגמה, IBM השתמשו בבלוקצ'יין בתהליכי הביקורת שלהם והשיגו שיפור בביטחון ובדיוק הנתונים, והפחתת שגיאות. עם זאת, קיימים אתגרים שעדיין קיימים. רבים סבורים שבלוקצ'יין לא מספקת ביצועים טובים בסקאלה או שהיא מסובכת מדי להבנה. преיכת דעות שגויות אלו תאפשר להציג את הפוטנציאל האמיתי של הבלוקצ'יין בביקורת. נחוץ שיקום סביב האופן בו היא פועלת, וכן שיפורים רציפים בטכנולוגיה עצמה כדי להפוך את התהליך לחלק ופשוט יותר עבור כולם.
אדריכלות אמון אפס הוכחה כ חיונית לשמירה על מקומות עבודה היברידיים מאובטחים, במיוחד מאז שהחברות התחילו לחזור לפעילות לאחר נפילות הקורונה. הרעיון המרכזי כאן הוא פשוט אך עוצמתי: לאמת הכל בכל נקודת גישה במקום להניח שشبكات פנימיות הן אזורי ביטחון. חברות שאמצו את הגישה הזו חווו תוצאות מרשימות, לפי מחקרים עדכניים שמראים כ -50% פחות תקריות אבטחה בהשוואה לאלה שעדיין משתמשים בשיטות המסורתיות. יישום של אמון אפס בפועל פירושו בחירת כלים טכנולוגיים הנכונים. מערכות ניהול זהות ואימות דו-שלבי הן חובה ברוב המימושים. מה שעובד הכי טוב באמת תלוי בסוג העסקים שעליו מדובר. מפעל לייצור יזדקקו להגנות שונות מאלו של ספק שירותים מקוון. כדי לעשות זאת כראוי נדרשת הערכה מקצועית הכוללת מיפוי מדויק של היכן זורמת המידע הרגיש בארגון לפני בניית הגנות אמיתיות נגד פגיעות סייבר.
המיחשוב הקוונטי ממשיך להתקדם במהירות, וזה אומר ששיטות ההצפנה הקיימות שלנו עכשיו בסיכון. אנחנו ממש צריכים להתחיל לעבוד על פתרונות שיכולים לעמוד מול התקפות קוונטיות. אנשי האבטחה בסייבר מזהירים אותנו כבר שנים שהאיומים הקוונטיים האלה עשויים להפוך לבעיה אמיתית בתוך בערך עשור. ההכנה למה שבעתיד מחייבת לעקוב אחרי מגוון פרויקטים מחקריים שמתרחשים כרגע בכל העולם. קחו לדוגמה את המכון הלאומי לסטנדרטים וטכנולוגיה (NIST) – הם כבר מובילים את המאמץ בפיתוח סטנדרטים להצפנה שיאפשרו להגן על מידע חשוב גם כשהמחשבים הקוונטיים יכנסו לשגרה. חברות שרוצות להישאר בפרצוף החתיכה בהחלט צריכות להתחיל לחשוב על הדרך בה הן ינהלו את מערכות ההצפנה שלהן בעתיד. בסופו של דבר, אף אחד לא רוצה לקום יום אחד ולגלות שהנתונים שלהם כבר לא מאובטחים בגלל שמישהו בנה מחשב טוב יותר.
לCFO-ים deal עם מורכבות של תפעול עסקי מודרני, ביטוח סייבר אינו רק פריט תוספות אלא אלמנט חיוני בגישת הניהול לסיכונים. פריצות נתונים הן עניינים יקרים בימינו, וכתוצאה מכך חברות מוצאות מיליוני דולרים רבים עד שמגיעה לסיכום. קחו לדוגמה את ממצאי IBM משנת 2021 אשר מציינים כי הממוצע של פריצה עומד על כ-4.24 מיליון דולר. ביטוח סייבר עוזר לכסות את אותם עלויות לא צפויות, כמו תשלום לעורכי דינים, תיקון מערכות שניזוקו, וטיפול בקנסות רגולטוריים העולות לאחר מתקפה ארועית. כשמביטים על סך ההוצאה על כיסוי זה, מנהיגי פיננסים צריכים לשקול את מה שהם מקבלים לעומת תחומים אחרים של ביטחון. בעוד שבידוד ביטוחי מגן מפני סצנות הגרוע ביותר, חברות נבונות גם ממקדות משאבים במניעת תקריות כדי שלא תיווצר התחות לסיוע בפריטים תביעתיים בהמשך. בסופו של דבר, עצירת בעיות לפני שהן מתחילות היא עדיפה בהרבה מנקה את הסדר היום לאחר מכן.
הכשרה במודעות אבטחה אכן יוצרת הבדל regarding שינוי ההתנהגות של העובדים ופחתת את הבעיות באבטחה. חברות שמממשות תוכניות אלו נוטות לראות ירידה חדה במספר התקריות, מה שמראה שהשקעת הכסף בתוכניות אלו שווה את זה. לדוגמה, במחקר של KnowBe4 נמצא כי ניסיונות הפקודת דגים ירדו בכ-90% לאחר שעובדים השתתפו בתוכמת ההכשרה שלהם. מנהלי כספים שבודקים את היעילות של המאמצים האלה צריכים לבחון מספר מדדים, בהם מספר התקריות לאורך זמן, מהירות התגובה של הקבוצות כשתופס משהו, ומורכבות הצוות במהלך ההכשרות. דרך נוספת טובה למדוד את ההצלחה היא פשוט לבדוק כמה כסף נחסך עקב ירידה במספר תקריות האבטחה האמיתיות בחברה.
בנוגע לכתיבת דוחי סיכון סייבר לדירקטוריונים, חשיבות גדולה מצויה בחשיפה פתוחה למידע הזה אם החברות מעוניינות לבצע בחירות ארוכות טווח מושכלות. דוחות טובות לוקחות את כל הבעיות המורכבות הללו ופוכות אותן למשהו שמנהלי בכירים יכולים באמת לעבוד איתו. כמה טיפים בסיסיים? השתמשו בשפה פשוטה, התמקדו קודם כל בסיכונים החשובים ביותר, והשכחו לא להציע הצעות לפעולה הנדרשת. קחו לדוגמה את מיקרוסופט. הם היו מובילות בתחום בכתיבת הדוחות לדירקטוריון, ויצרו פאנלי בקרה שמציגים בדיוק אילו איום אבטחה קיימים ברגע זה וכיצד הם מטפלים בהם. סוג הפתיחות הזו עוזרת למנהיגים לפעול לפני שהמצב נהיה רע, וגם מראה למשקיעים וללקוחות כאחד שהחברה קולטת ברצינות את הגנת הנכסים שלה. בסופו של דבר, אף אחד לא רוצה להשקיע בחברה שמגניבה את חולשותיה.
כאשר חברות משלבות ניתוחי מסך מחשב בתוכניות האבטחה שלהן, הן באמת מצליחות לזהות איום מוקדם יותר. ניתוח של האופן בו משתמשים מתנהלים במערכות וגילוי של דפוסים מוזרים במסכים עוזר לזהות בעיות לפני שהן הופכות להתקפות שלמות. צוותי אבטחה לרוב סומכים על כלים כמו מערכות SIEM כדי לאסוף את כל נתוני הפעילות הזו ו לסמן כל דבר חשוד. לדוגמה, מספר חברות שמו לב לכך שיכולו להגיב להפרות פוטנציאליות עד 40% מהר יותר לאחר שהטמעו ניתוח מסך. אף על פי שאף מערכת איננה מושלמת, רבים ממנהלי IT דיווחו כי הם מרגישים ביטחון רב יותר כאשר הם יכולים מילאולית לראות מה קורה ברשתות שלהם בזמן אמת.
משפט מעבר לחלק הבא: לאחר שחקרנו את הגישה הרב-ממדית לאופטימיזציה של אבטחה באמצעות הובלה של CFO, בואו נצלול לטכנולוגיות חדשות שהולכות ומשנות את תכונות האבטחה במחשבים, נפרט כיצד בינה מלאכותית, בלוקצ'יין ואחריות חדשניות משלימות את הנוף.
EN
AR
BG
HR
CS
DA
NL
FR
DE
EL
HI
IT
JA
KO
NO
PL
PT
RO
RU
ES
SV
TL
IW
ID
SR
SK
VI
HU
TH
TR
FA
AF
MS
SW
UR
BN
HA
KM
MN
UZ
