הבטחה לאבטחה - על אבטחת מידע בעסקים קטנים
בשלהי יוני 1988 גילה בעל חנות מחשבים בחיפה כי המחשב שלו החל לעבוד לאט. הימים נקפו ולא ניכר שום שיפור, ונראה היה כי פעולת המחשב הולכת ונעשית אטית מיום ליום. לאחר שבועיים של תסכול התקשר בעל החנות לחברת תוכנה כדי שתסייע לו בגילוי הבעיה.
לא עבר זמן רב ובעל החנות האנונימי נכנס לדפי ההיסטוריה המקומית: מחשבו היה המחשב הראשון בישראל שבו נתגלה וירוס. כעבור ארבעה חודשים כבר שווקה בישראל תוכנת האנטי-וירוס הראשונה, ותוך מספר שנים קמו בישראל חברות תוכנה גדולות ולקחו חלק בשוק הסייבר אבטחת המידע. שוויו העולמי של שוק זה, אגב, עומד כיום על קרוב ל-50 מיליארד דולר.
העובדה כי וירוס המחשבים הראשון בארץ נתגלה דווקא בעסק קטן ולא בארגון גדול יכולה להפתיע רבים מאתנו. המחשבה המקובלת היא שרק חברות גדולות 'מושכות' האקרים ונזקקות להגנתן של חברות אבטחת מידע, אך המציאות היא אחרת: פשעי מחשב נגד עסקים קטנים מבוצעים מדי יום באחוזים גבוהים למדי. יתרה מזאת, עסקים קטנים הם הנפגעים העיקריים מפשעי מחשב למיניהם. בשונה מארגונים גדולים, העושים רבות כדי לא להיפגע מווירוסים, עסקים קטנים לרוב אינם משקיעים משאבים בהגנה ראויה – וכתוצאה מכך נפגעים וניזוקים.
אדישותם של בעלי העסקים הקטנים לגבי פשיעת סייבר והתעלמותם מהסכנות הנלוות נובעות מכמה סיבות. הראשונה היא בורות וחוסר ידע: הם לא מעריכים כראוי את היקף התופעה. הם פשוט לא מבינים שלא מדובר בהאקרים בודדים, אלא בנוכלים רבים, מתוחכמים במיוחד, המקדישים לכך את כל זמנם ומרצם.
סיבה אחרת, משמעותית לא פחות, היא המחשבה שעברייני רשת לא ממקדים את מאמציהם בעסקים קטנים מכיוון שהם מעדיפים להתמקד ב'דגים שמנים'. המציאות מוכיחה כי מדובר בטעות גמורה: על פי ההערכות כ-30% מסך העסקים החווים פריצה למערכות הנתונים שלהם הם חברות קטנות (פחות מ-100 איש).
ולבסוף, אחת הסיבות העיקריות (ואולי המשמעותית ביותר) להתעלמותם של עסקים קטנים היא היעדר משאבים, או יותר נכון - הערכה שגויה לגבי מידת ההשקעה הכספית הכרוכה באבטחה. בעיני בעלי העסקים הקטנים נדמית השקעה זו כמשהו שאינו בהישג ידם, ולמעשה הם מוותרים מראש על הגנה ברמה מספקת.
אז מה עושים?
חברות גדולות נוהגות להעסיק אנשי אבטחת מידע. אלו מתמקדים באופן שוטף בהגנה על המידע הארגוני, וחלקם אף מפתחים פתרונות ייחודיים וייעודיים לאבטחת מידע. עסקים קטנים, לעומת זאת, אינם צריכים (ולרוב גם אינם יכולים) להעסיק איש אבטחת מידע צמוד – אך אסור להם לוותר לחלוטין על היבט זה של ההתנהלות הממוחשבת שלהם.
הצעד הראשון שיש לעשות הוא להיעזר בפתרונות האבטחה הקיימים כיום בשוק ומיועדים לעסקים קטנים. חברות אבטחת מידע גדולות מציעות חבילות שירות המספקות הגנה מצוינת במחירים סבירים למדי, ולרוב אף מספקות גם הכוונה והדרכה. כמו כן ניתן להעסיק איש אבטחת מידע במשרה חלקית או להכשיר את אחד מאנשי המחשוב (אם יש כזה) לעבודה בתחום אבטחת המידע.
אגב, תחום אבטחת המידע הולך וצובר תאוצה. לא בכדי רבים בוחרים להתמקצע בו ולעסוק בו - והמשכורות הגבוהות מעידות על הביקוש הרב לאנשי אבטחת מידע מיומנים. השקעה בעובד קיים והכשרתו לתפקיד תהווה צ'ופר גדול מאוד לעובד – ובד בבד תיתן מענה אבטחתי המותאם לעסק.
בשורה התחתונה, הנזקים הכלכליים העשויים להיגרם כתוצאה מפגיעת וירוס ומגניבת מידע עלולים לתת מכה קשה לעסק - ובעסקים קטנים המשמעות לפעמים היא קריסה מוחלטת. גילוי ערנות לנושא, שימוש בפתרונות קיימים או העסקת איש אבטחת מידע במשרה חלקית או במיקור חוץ יכולים, פשוטו כמשמעו, להציל חיים (של העסק).
