25.10.2020

ביום ד׳ ה-14.10.2020, קיימנו Webinar בשיתוף עם ISACA, בנושא הגנת סייבר לסטארטאפים. ה-Webinar כלל הרצאה ופאנל מומחים בהנחיית רם לוי, מייסד ומנכ״ל Konfidas. משתתפי הפאנל: לביא שטוקהמר, ראש אגף בכיר, מנהל ה-CERT, מערך הסייבר הלאומי; זוהר רוזנברג, מנהל השקעות הסייבר, אלרון; יותם גוטמן, מנהל שיווק, ישראל SentinelOne; מיי ברוקס-קמפלר, בעלים ומנכ"ל, HELENA, מחברת הספר "בטוחים אונליין"; אלעד שפירא, ראש תחום המחקר, Panorays. 

לנוחיותכם, ריכזנו  את עיקרי הדברים שעלו ב-Webinar:

הגנת סייבר לסטארטאפים מנקודת המבט של הגורם המדינתי:
״יש משפט שאנחנו שומעים הרבה מנכ״לים של חברות: ״אני לא מעניין תוקף, מה כבר יש לי?" היום בעולם של ניצול הזדמנויות.. המשפט הזה לא מחזיק מים״ (לביא שטוקהמר, ראש אגף בכיר, מנהל ה-CERT, מערך הסייבר הלאומי)

• אנחנו לא רואים תקיפות של גורמי תקיפה מדיניים (קבוצות עם יכולות משמעותיות) שמכוונים לכיוון של סטארטאפים.

• בסטארטאפים בתחילת דרכם אנחנו רואים לא מעט misconfigurations, שבהכרח מובילות לדליפות מידע, כמו גם לא מעט business email compromise - התוקפים ״מתלבשים״ על התקשורת של הסטארטאפ מול הקרן, ומבקשים להעביר את הכסף לכאורה לחשבון של הסטארטאפ, בפועל לחשבון נפרד. בשלבים הראשונים, לאירוע כזה יש פוטנציאל לרסק חברה. 

• בתהליכי M&A פעמים רבות לא ברור של מי האחריות להגנת סייבר ושמירה על המידע של החברה - של החברה הנרכשת או של מי שרכש? על התפר הזה אנחנו רואים המון misconfigurations שמוביליות לאירועים. חשוב מאד לחדד נקודה זו בהסכם בין הצדדים.

• מערך הסייבר הישראלי שם דגש מרכזי על איך להנגשת תוה״ג 2.0 (תורת הגנת הסייבר לארגון) לעסקים בתחילת דרכם, בשפה מדוברת המובנת לכל דורש (ולא רק למי שמגיע מתחומי המחשוב והסייבר) ובצורה שתמסלל את בניית הגנת הסייבר לארגון צעד אחר צעד.   

• התשתיות של חדשנות בארץ ובעולם הולכות לכיוון של לסייע לעסקים קטנים לבנות נכון את תשתית הגנת הסייבר מההתחלה. למשל - אמזון, מיקרוסופט נותנות קרדיטים לתשתיות מחשוב, להערכתי הן גם יתנו קרדיטים גם לפיצ׳רים של סקיוריטי לסטארטאפים, חממות וקרונות שידאגו לליווי של security by design מהשלבים הראשונים. גם המסגרות הממשלתיות הולכות לכיוון הזה, ללמשל בסינגפור יש כבר sandbox רגולטורי הנותן תשתית לחברות פינטק בה רגולטור רואה את הסטארטאפ משלביו הראשונים, ונותן לו פידבקים ל- compliance ברגולציה ובסקיוריטי. בקרוב רשות שוק ההון מרימה את ה- sandbox הרגולטורי שלה, בקרוב תופעל מעבדת הפינטק הלאומית של מערך הסייבר ומסטרקארד שמטרתה לקחת סטארטאפים בתחום זה וללוות אותם בכל הקשור לסקיוריטי מהשלבים הראשוניים, ללא תשלום. 

• מערך הסייבר מקדם כבר היום תוכניות עם הרשות לחדשנות:

  • תוכניות סיוע לסטארטאפים (לאו דווקא לעוסקים בסייבר) בעקבות covid-19 

  • Marketplace החדש של מכון היצוא - מערכת המאפשרת לעסקים בתחום הסייבר להציע את מרכולתם בארץ ובעיקר בעולם.

• בעולם של ניצול הזדמנות ולאו דווקא תקיפות ממוקדות - מי שפתוח יותר משכנו הוא זה שיפגע. לכן כולם מהווים מטרה.

• השלב הראשון באבטחת מידע בארגון הוא להגדיר אדם שעליו תהיה האחריות לנושא מקצה לקצה.

הגנת סייבר לסטארטאפים מנקודת המבט של קרן הון סיכון:
״בעולם העסקים הקטנים יש כשל שוק בכל מה שקשור לסייבר״ (זוהר רוזנברג, מנהל השקעות הסייבר, אלרון)

• בהקשר של הגנת סייבר על סטארטאפים, צריך להבחין סטארטאפים קטנים ובינוניים לבין סטארטאפים שכבר גייסו מאות מיליונים או מיליארדים ונמצאות במקום אחר מבחינת ההתייחסות הרגולטורית והעסקית אליהם היא אחרת. 

• כאשר מדובר בסטארטאפים טכנולוגיים - למרות שיש בצוות עובדים שכותבים קוד, לרוב אין להם את הידע המקצועי הנדרש כדי להגן על עצמם בצורה אינהרנטית במרחב הסייבר.

• כאשר מדובר בסטרטאפים שעיסוק הליבה שלהם הוא Enterprise ,IT, או כמובן סייבר, בד״כ יש יכולת אינהרנטית לעסוק גם בהגנה. 

• מתי סטארטאפים מתחילים לעשות הגנה? לרוב, אחרי Round B, כשהחברה מתחילה לעלות על מסלול של פעילות עסקית קבועה. בשנה הראשונה להקמת סטארטאפ ההנעה היא לגייס ולמכור, אין מקום להשקעה בסקיוריטי. כאשר מגיעים למצב של עשרות לקוחות ומספיק ״בשר״ שצריך הגנה, זה בד״כ הסמן לחשוב על הגנה. בנוסף, זה בד״כ אותו השלב בו הרגולציה מתחילה להיות רלוונטית (מאחר ומתחילים להיות בקשר עם לקוחות מספיק גדולים שדורשים עמידה בסטנדרטים של סקיוריטי).

• חלק מהקרנות מעורבות בנושא הגנת הסייבר של הסטארטאפים אותן הן מלוות. ההתערבות היא פרטנית, תוך התחשבות במכלול צרכי הביזנס. חשוב לזהות את הנקודה הנכונה עבור כל סטארטאפ להשקעה בהגנה: כשמדובר בסטארטאפים שעיסוק הליבה שלהם הוא מידע אישי, חשוב לנהל את הנושא מהיום הראשון, ולדאוג לעמוד ב-best practices. לעומת זאת, ישנם סטארטאפים שעד שאין להם נפח לקוחות משמעותי אין להם גם אחריות מול לקוחות והסיכון העיקרי מבחינתם מתקפות כופרה, ואז מדובר בניהול סיכונים לכל דבר ועניין.     

• בתהליכי M&A החברה הרוכשת בד״כ מפוקסת בעיקר על היבטי רגולציה - במטרה להימנע מקנסות, לכן חשוב לסטארטאפ לעמוד ברגולציות.

• יש כשל שוק בכל הקשור להגנת סייבר על עסקים קטנים - רוב תעשיית הסייבר מוכוונת אנטרפרייז (שם נמצא רוב הכסף בשוק), יש מחסור בכח אדם מקצועי (שמעדיף גם הוא ללכת לאנטרפרייז) וחסרה גם מערכת שמסייעת לעסק למצוא את היועץ הנכון עבורה. 

• עולם ביטוח סייבר לעסקים קטנים מאד בתחילת דרכו - אין לחברות מספיק מידע כדי לבנות מודלים רלוונטיים (loss ratio, בכמה באמת צריך לתמחר פוליסות). 

​

הגנת סייבר לסטראטאפים מנקודת המבט של ספק פתרונות מוביל בשוק: 

״תאתרו את ה-trusted advisor, תחליטו על מסגרת תקציב.. ותשקיעו בהגנה. אל תחכו לאירוע סייבר, זה כנראה יהיה מאוחר מדי ויקר מאד״ (יותם גוטמן, מנהל שיווק, ישראל SentinelOne)

• ישנו צורך ברור של עסקים קטנים במוצרי הגנה מהשורה הראשונה. SentinelOne, שהמוצר שלה בנוי ל-enterprise עשתה שינוי בשנה האחרונה במטרה להנגיש את המוצר שלה לאותם עסקים, היא מציעה את המוצר בתוך שירות הגנת סייבר מנוהל שמציעים מספר ספקים מובילים בעולם ( Konfidas ביניהם). המודל הזה מתאים מאד לעסקים קטנים: כמו כל מוצר סקיוריטי הוא דורש ניהול, לעסקים קטנים בד״כ אין פונקציה בחברה שזה תפקידה, והשירות המנוהל משלים את כוח האדם המקצועי הדרוש. בנוסף, מודל זה מאפשר להוריד את המחיר פר לקוח בצורה משמעותית.  

• פתרונות ההגנה לעסקים קטנים ובינוניים נגישים יותר ביחס למצב בשוק לפני מספר שנים: לעסק שמתחיל גם רכישה של מספר תוכנות הגנה בסיסיות והתקנתם יכולה להוות נקודת פתיחה לא רעה בכלל. אופציה טובה נוספת היא להוציא את ההגנה החוצה לספק שירותים מנוהלים. 

• דגשים והמלצות לסטארטאפים שרוצים לשפר את מערך ההגנה:

  • חינוך ופרוססינג של תהליך הפיתוח - אנחנו רואים לא מעט תקלות (למשל פתיחת סביבת פיתוח טכנית בלי להכניס סיסמה, זה יכול אח״כ לשכב שנים בארגון ותוקף יכול לנצל את זה) - זה עניין של מודעות. 

  • חשוב להחליט מי בארגון ניגש לאיזה מידע (user access) -  יש אינסוף מערכות שמטפלות בנושא, במחירים לא יקרים.

  • השקעת משאבים בהעלאת מודעות העובדים לאיומי הסייבר, בדגש על מחלקות לא טכניות.

​

הגנה על סטארטאפים מנקודת המבט של אשת מקצוע:

״לנו כתעשייה יש אחריות ציבורית להעביר את הידע הלאה...זה ידע נדרש לכל אדם ואדם, אני תמיד מקבילה את זה לבטיחות בדרכים.״ (מיי ברוקס-קמפלר, בעלים ומנכ"ל, HELENA, מחברת הספר "בטוחים אונליין")

• רוב הסטארטאפים מתחילים לעשות הגנה נמצאים אחרי גיוס, כאשר יש כבר מוצר ואולי אפילו אחרי שחטפו פגיעה. לעומת זאת, סטארטאפים שמראש עוסקים במידע מאד רגיש (לדוגמא בתחום המחקר הרפואי) פעמים רבות כן עושים security by design ממש מההתחלה (גם אם לא בצורה מלאה). 

• לראייתי, הגנה צריך לעשות מהיום הראשון. פעמים רבות חברות מלקטות עם הזמן אוסף של פתרונות ספורדיים, שלא מתחברים למערך שלם ולא מנוטרים בצורה המאפשרת להפיק מהם תועלת. חשוב לעשות סדר מההתחלה ולבנות את ההגנה בצורה נכונה - חשבון מייל עסקי, גיבויים וכו׳.

• כדי להתחיל נכון, אפשר להיוועץ באיש ה-it כמענה ראשוני, או להעזר בחברת ייעוץ הגנת סייבר. אפשר גם להעזר בפורומים ייעודיים להגנה כמו https://www.facebook.com/groups/Think.Safe.Cyber/. 

• כדי להבין את סדר הגודל של המשאבים שצריך להשקיע בהבנה, צריך קודם להבין איזה מידע יש בארגון, למה הם שומרים אותו ואיפה הוא יושב. אני ממליצה לעבוד מול תוה״ג/ISO/ צ׳קליסט רלוונטי אחר ולעשות על בסיס זה סוג של הערכת פערים - לגבש הבנה איפה הם נמצאים וכמה הם רחוקים מ-best practices. ואז לפעול לצמצום הפערים במקומות שבאמת כואבים ומסוכנים.

• לקהילת הסייבר יש אחריות ציבורית להעביר את הידע הלאה - זה ידע נדרש לכל אדם, הזהירות בדרכים של 2021. 

• דגשים והמלצות לסטארטאפים שרוצים לשפר את מערך ההגנה:

  • לבחון את שרשרת האספקה של הארגון  - להבין מה קורה מבחינת סקיוריטי בארגונים שאני עובדת איתם, קונה מהם.

  • קיימים היום פתרונות מובנים בתוכנות (כמו מיקרוסופט 365), זמינים וקלים לשימוש, המספקים מענה ראשוני לא רע בכלל לצורך בהגנה. זה עניין של מודעות, חשוב לתת לזה את המקום.  

הגנה על סטארטאפים מנקודת המבט של סטארטאפ (אחרי תהליך חיזוק מערך ההגנה):

״סטארטאפים הם גם אבן דרך לארגונים גדולים יותר… לאו דווקא מטרגטים אותם באופן ספציפי אלא כנקודה חלשה בדרך לארגונים חזקים יותר״ (אלעד שפירא, ראש תחום המחקר, Panorays)

• הטריגרים העיקריים עבור סטארטאפים לשיפור מערך אבטחת המידע הם:

  • רגולציה - דרישה לעמוד בהיבטי פרטיות ובהיבטים של השוק

  • דרישות לקוחות להצגה של רמת סקיוריטי גבוהה של המוצר 

• הרגולציה עוזרת לארגון להגיע לרמת בשלות גבוהה בהגנת סייבר. ברגע שזה צורך עסקי זה באופן טבעי מקדם את המוטיבציה של החברה לעסוק בזה ולהשקיע משאבים. 

• חברות הביטוח תורמות להעלאת רמת אבטחת המידע בארגונים - הן מציבות סטנדרטים מסוימים כפקטור משפיע על מחיר פרמיית ביטוח סייבר. בטווח הארוך אני מאמין שזה יחייב ארגונים להעלות את רמת ההגנה.  

• דגשים והמלצות לסטארטאפים שרוצים לשפר את מערך ההגנה:

  • חשוב להבין את הסביבה שהעסק נמצא בה - רגולטורית, איזה מידע אתה מחזיק.

  • מומלץ לחתור לרגולציות, זה עוזר לארגן את הדברים בצורה נכונה

  • מומלץ למפות את הנכסים של העסק, זה יכול לסייע להבין איפה יש פרצות שצריך לטפל בהן.

  • אם החברה עוסקת בפיתוח - חשוב להקפיד על סביבת פיתוח בטוחה happy eye security.

  • לבצע מבדקי חדירה אחת לתקופה - לקוחות הרבה פעמים מבקשים, עדיף להיות מוכנים. 

• כשנכנס כסף חשוב להשקיע באבטחת מידע. אם אין אנשים בצוות שמסוגלים ופנויים לטפל בזה, אפשר להוציא את הטיפול לגורם מקצועי במיקור חוץ (שירותי הגנת סייבר מנוהלים), ולאפשר לעובדים להמשיך להתמקד בלקדם את החברה.

• צריך לזכור שסטארטאפים יותר פגיעים ויותר מטורגטים, מאחר והם לרוב מתמקדים בפיתוח ומזניחים את האבטחה. יש יותר מוטיבציה לתקוף אותם:

  • כספקים של ארגונים גדולים ולרוב מאובטחים יותר, הם מהווים נקודה חלשה דרכה ניתן לחדור ליעד.

  • במתקפות כופרה - הם לרוב יעדיפו לשלם כדי להמשיך לחיות.