מזל טוב! שנת 2023 הנוראה מאחורינו, ולפחות בגזרת הסייבר, צלחנו את המעבר בין שנה אזרחית אחת לזאת שאחרי בלי דרמות גדולות (במיוחד אם לוקחים בחשבון את ההיסטוריה האחרונה ואת הנטייה של האקרים לנצל את הזמנים האלה כדי לבצע פעולות פריצה גדולות. כמעט בכל שנה יש פריצה או חולשת אבטחה גדולה שמתגלית בסוף השנה האזרחית).
אבל מה יהיה בשנת 2024? בכל שנה אנשים מנסים לחזות את הטרנדים הגדולים בסייבר. אפשר כמובן לתת תחזית גנרית כגון: "יהיו יותר פריצות" אבל אי אפשר באמת לחזות מה האקרים ושחקנים זדוניים יעשו ב-2024. במקום זה, אנחנו יכולים לנחש מה יפריע ל-CISOs בשנה הקרובה - AI, תקציב, ענן וכוח אדם.
AI
סקר שנערך לאחרונה מצא שיותר ממחצית מהעובדים בארה"ב כבר משתמשים בכלי AI Generative. אותו סקר גם קובע שלמעלה ממחצית הארגונים אין מדיניות מסודרת לשימוש בכלי AI, ורק חלק מהם אפילו מודעים לשימוש הנרחב של עובדיהם בכלי AI. משמעות הדבר היא כאב ראש גדול עבור אנשי אבטחה. כפי שציינה חברת האנליסטים גרטנר, השימוש בבינה מלאכותית הוא דבר מובן מאליו: "עסקים יאמצו AI גנרטיבי, עם או בלי אבטחה." אבל זה כרוך במחיר של סיכון אבטחה וסטרס גדול יותר עבור אנשי האבטחה. אימוץ רשלני של Gen AI יגדיל את משטח התקיפה של ארגונים, וייצור סיכון גדול יותר לדליפות מידע. חברות המפתחות כלי AI משלהן צריכות לשלב אמצעי אבטחה (ובכך ליצור עומס נוסף על צוותי אבטחה שייאלצו לאפיין, לבדוק ולהטמיע מנגוני הגנה על מערכות אלו). בצד החיובי, ספקי אבטחה מבטיחים למנף את ה-Gen AI כדי לשפר את היעילות והידידותיות למשתמש של המוצרים שלהם. אמנם זה יכול להפחית עומס ולחסוך משאבים ניכרים, אבל הטמעת מוצרים כאלה צריכה להיעשות בצורה זהירה ומבוקרת, כדי לזהות פערים ולהבטיח שהחיסכון אמיתי ולא שטחי. וזה גם דורש זמן ומשאבים. חשוב להבין שגם אם ארגון יחליט לדחות את אימוץ הבינה המלאכותית, האקרים שתוקפים אותו לא יעשו זאת. כמעט כל מומחי האבטחה צופים התגברות מתקפות שיווצרו על ידי בינה מלאכותית בשנה הקרובה, שתציף את המערכות והנהלים הקיימים עם נסיונות דיוג מתוחכמים ורושעות מתקדמות.
תקציב
מגבלות התקציב תמיד מקשות על ה-CISO לספק אבטחה מושלמת דופי לארגונים שלהם, אבל עם התנודתיות בעולם, המלחמה המתמשכת, מחירי האנרגיה גואים וגרעון גובר, חברות בארץ ובעולם כבר צמצמו את ההשקעה באבטחה. בארה"ב ובבריטניה התקציבים רק עלו השנה בשיעור זעום של 1-3%, הרבה פחות מהצמיחה בשנים קודמות (6% ומעלה), כלומר רוב הארגונים נאלצו להסתפק באותו תקציב כמו קודם (רק שעכשיו הם עומדים בפני אתגרים גדולים יותר,עוד מורכבות ועוד איומים). בפועל- הם מתבקשים לעשות יותר עם אותו תקציב (לדוגמה - פיתוח אסטרטגיית אבטחת הבינה המלאכותית של לארגון והטמעתה). המשמעות הינה עבודה קשה יותר ולחץ גדול יותר, ואכן, סקר חדש מצא שכשני שלישים מאנשי ה-IT והאבטחה חושבים שהתקציב מוגבל השפיע לרעה על בריאותם הנפשית השנה.
ענן
בדיוק כמו בנושא השימוש ב-AI- גם בנוגע לשימוש בענן-הרכבת עזבה את מזמן את התחנה. אבל בדיוק כמו עם AI- רוב הארגונים בחרו להשתמש בפתרונות ענן מבלי לגבש אסטרטגיה מובנית ומבלי להבטיח שיש להם את אמצעי ההגנה והתהליכים המתאימים. התוצאות? כ- 80% מחולשות האבטחה של ארגונים נמצאו בסביבות הענן שלהם. פתרונות האבטחה העדכניים בענן אינם מציעים עדיין פתרון אבטחה מקיף וארגונים נדרשים להשתמש בכמה כלים (בממוצע- שישה עד עשרה כלים) ביחד, דבר אשר כשלעצמו יוצר פערים ומגביר את המורכבות.
כוח אדם
על אף ההתקדמות הניכרת בטכנולוגיה ובאוטומציה, מערכי האבטחה של חברות וארגונים נסמכים עדיין על כוח אדם מיומן, וכך יהיה כנראה בעתיד הנראה לעין. גיוס ושימור כוח אדם זה הינו אחד האתגרים המרכזיים של מנהלי האבטחה. רבות כבר נכתב ודובר על המחסור הגובר בכוח אדם מיומן בסייבר. מדובר על חוסר של כמה מליוני עובדים ברחבי העולם, ואין כמעט מנהל אבטחה שלא מתמודד עם המחסור הזה על בסיס יום יומי. אבל מעבר לחוסר בעובדים מנהלי אבטחה צריכים להתמודד גם עם בעיות של שחיקה, של לחץ ושל פיתוי של העובדים לעבור לתפקידים מתגמלים יותר בחברות טכנולוגיה. פתרון מסוים לבעיה הזו אפשר למצוא במוצרים שונים שמפחיתים את העול התפעולי בכך שהם מבצעים אוטומציה למטלות מסוימות (מטלות משעממות או רפטטיביות). דוגמא טובה לכך הם כלי Purple Team שמבצעים סימולציות תקיפה על הארגון, מוצאים ליקויים במערך האבטחה ומציעים לצוותי האבטחה הצעות אופרטיביות לתיקונם.
סיכום
השנה הקרובה תהיה קרוב לוודאי מאתגרת במיוחד עבור מנהלי אבטחה. השילוב של המצב הבטחוני בארץ (שבתקווה יסתיים כמה שיותר מהר ) המצב הכלכלי הקשה שיבוא אחריו והסיכונים והאתגרים הגלובליים יאתגרו את מנהלי האבטחה במיוחד בשנה הבאה. על זה אין ויכוח. גם הנושאים שהעלינו בפוסט אינם מפתיעים ואין לראות בהם תחזית אלא מצב נתון. היות שכך- אנו ממליצים ליצור תוכנית עבודה שתתייחס לאתגרים האלו, לבקש (ולהתעקש) על קבלת תקציב ראוי ולתקשר להנהלת הארגון את המורכבות הזו כך שיאפשרו למנהלי האבטחה עצמאות בבחירת טכנולוגיות ומוצרים שיוכלו להקטין משהו מהעומס הזה תוך שיפור מצב האבטחה הקיים. בברכת שנה אזרחית טובה יותר, ובטוחה יותר, לכולנו.
הכותב הוא מנכ"ל חברת סקייהוק סקיוריטי.