מחקר חושף את ההשלכות הכלכליות של מתקפות הסייבר

חברת Claroty (קלארוטי) המתמחה בהגנה על מערכות סייבר-פיזיות (CPS), פרסמה מחקר חדש החושף את ההשפעות העסקיות המשמעותיות של מתקפות סייבר על סביבות סייבר-פיזיות ((Cyber-Physical Systems. הדו"ח, "המצב הגלובלי של אבטחת מערכות סייבר-פיזיות ב-2024 ", מבוסס על סקר עצמאי גלובלי בו השתתפו 1,100 אנשי אבטחת מידע, הנדסת טכנולוגיה תפעולית (-Operational Technology OT(, הנדסה קלינית וביו-רפואית ומנהלי מתקנים ומפעלים, שנשאלו לגבי ההשפעות העסקיות של התקפות סייבר על הארגונים שלהם ב-12 החודשים האחרונים.

"התקפות סייבר על ארגוני תשתיות קריטיות מזיקות לתפעול השוטף, עלולות לסכן חיי אדם ולעתים קרובות כרוכות ברמת הפסד כזאת שמובילה אותם לבצע את ההשקעות הדרושות באבטחת סייבר", אמר יניב ורדי, מנכ"ל קלארוטי. התובנות מהדוח מאשרות שאי השקעה באתגר המאוד ייחודי של הגנה על מערכות סייבר-פיזיות, עלולה להוביל לפגיעה כלכלית רצינית בארגון. יחד עם זאת, ארגונים מתחילים לראות את התמורה שבהשקעה זאת."

ממצאי הדוח חשפו נזק כלכלי משמעותי, כאשר למעלה מרבע (27%) מהארגונים דיווחו על הפסד של מיליון דולר ומעלה כתוצאה ממתקפות סייבר המשפיעות על CPS. (מערכות ומכשירים פיזיים המחוברים לרשת) מספר גורמים תרמו להפסדים אלה, הנפוצים ביותר היו אובדן הכנסות (שנבחרו על ידי 39% מהמשיבים), עלויות התאוששות (35%) ושעות נוספות של עובדים (33%).

איומי כופר וסחיטה ממשיכים לשחק תפקיד מרכזי בעלויות ההתאוששות, כאשר יותר ממחצית מהמשיבים (53%) נאלצו לשלם כופר בעלות של יותר מ-500,000 דולר כדי לשחזר גישה למערכות וקבצים מוצפנים ולחדש את פעילותם. בעיה זו חמורה במיוחד במגזר הבריאות – 78% דיווחו על תשלומי כופר מעל 500,000 דולר.

להפסדים הכספיים יש קשר הדוק עם ההשפעות התפעוליות, כאשר שליש (33%) דיווחו על יום שלם או יותר של השבתה תפעולית שהשפיעה על יכולתם לייצר מוצרים או שירותים. כמחצית (49%) אמרו שתהליך ההתאוששות ארך שבוע או יותר וכמעט שליש (29%) אמרו שההתאוששות ארכה יותר מחודש. הדבר ראוי לציון במיוחד לאור העובדה שסביבות CPS כגון מפעלי ייצור מעדיפות זמינות וזמן פעולה של המערכות הקריטיות, לעתים על חשבון עדכוני אבטחה תקופתיים.

כאשר בוחנים את הסיבות להתקפות סייבר אלה, מתגלות בארגונים חשיפות שנגרמות מפעילות ספקי צד שלישי בסביבת המערכות הסייבר-פיזיות ומהגישה מרחוק אליהן. 82% מהנשאלים אמרו שלפחות מתקפת סייבר אחת – וכמעט מחצית (45%) אמרו שחמש התקפות או יותר – ב-12 החודשים האחרונים נבעו מגישה של ספקי צד שלישי לסביבת CPS. למרות זאת, כמעט שני שלישים (63%) מודים שיש להם הבנה חלקית או כלל אינם מבינים כיצד לנהל את הקישוריות של צד שלישי לסביבת ה- CPS שלהם.

בעוד שהממצאים מראים כי 12 החודשים האחרונים היו משבשים ויקרים עבור רוב הארגונים התומכים ב- CPS, המשיבים שידרו ביטחון לאור שיפורים שהכניסו במטרה להפחית סיכונים לארגון. לרובם (56%) יש אמון רב יותר ביכולת מערכות הסייבר-פיזיות של הארגון שלהם לעמוד בפני התקפות סייבר היום לעומת לפני 12 חודשים, ו -72% מצפים לראות שיפורים באבטחה ב -12 החודשים הקרובים.

הסקר של קלארוטי כלל גם את ישראל, ואלו הממצאים שעלו:

המשיבים לסקר בישראל הזדהו כמהנדסי טכנולוגיה תפעולית (OT), מנהלי תפעול ומנהלי מפעלי יצור בתעשיות הרכב והבריאות.

לשאלה האם ארגונם הותקף במהלך 12 החודשים האחרונים ולאלו מערכות כוונו התקיפות, ענו כי ספגו תקיפות שפגעו במערכות סייבר-פיזיות, מערכות IT, מערכות IoT, מערכות IoMT (מערכות רפואיות המחוברות לאינטרנט) ומערכות ניהול מבנים (BMS). מתקפות אלו גרמו להשבתה של 12-24 שעות בפעילות הארגון/המפעל.

עלות המתקפות על מערכות הארגון מוערכת על פי מחצית מהמשיבים בישראל בסכום של בין 100-500 אלף דולר, כאשר המחצית השנייה של המשיבים העריכו את גובה הסכום בחצי מיליון עד מיליון דולרים.

לשאלה אלו גורמים תרמו להפסד הכלכלי, צוינו שעות העבודה הנוספות כגורם מרכזי. שאר הגורמים שנמנו באופן שווה במידת תרומתם להפסד הכלכלי – איבוד הכנסות, קנסות עקב אי עמידה בתקני רגולציה, עלויות ההתאוששות וחזרה לשגרה, עלות עבודת צוותי תגובה ופורנזיקה חיצוניים, נטישת לקוחות ועלויות הטיפול בנזק למוניטין החברה.

הגישה לסביבת הארגון של ספק או שותף צד שלישי, הייתה לפי כל משיבי הסקר, הגורם המוביל ב 1-5 מתקפות סייבר שחוו במהלך 12 החודשים האחרונים. בעקבות זאת, מחצית מהמשיבים אמרו כי הקשרים העסקיים הופסקו ומחצית אמרו כי חודשו פרוטוקולי האבטחה מולם. בהקשר זה נשאלו המשיבים כמה שליטה יש להם על החיבור של ספקי צד שלישי לסביבה הסייבר-פיזית של הארגון, ומחציתם ענו כי יש להם שליטה על אלו משתמשים מארגונים שונים מורשים להתחבר לסביבת המערכות. מחצית ענו כי ביכולתם לשלוט לגבי אלו משתמשים מארגונים שונים יכולים להתחבר למערכות משנה מסוימות בסביבה הסייבר-פיזית.

כאשר ההתקפה נגרמה בשל גורם פנים-ארגוני, אמרו המשיבים כי ב 1-5 מתקפות, הושפעו מכך גם ספקי צד שלישי ולקוחות הארגון. במקרים אלו, אמרו מחצית מהמשיבים כי האירוע גרם למו"מ מחודש על תמחור ותנאי עבודה. מחצית דיווחו כי שונו פרוטוקולי אבטחה גם במקרה זה.

על השאלה – לאילו מהשלכות התקפות הסייבר הייתה השפעה ארוכת-טווח על הארגון, ענו המשיבים כי לקח זמן רב לאושש מערכות, לאחזר מידע ולהתגבר על הפריצה לנתונים.
משך ההתאוששות מההתקפה, שכלל פעולות שחזור, גיבוי, החלת אמצעי מניעה וכד', היה עד שישה ימים , על פי כל המשיבים לסקר.

בהיבט ההשפעות התפעוליות של התקפות הסייבר על הארגון, ענו המשיבים כי כמעט ברוב האירועים הופסקה אספקת המוצרים ללקוחות. השפעות נוספות על התפעול השוטף שעלו בסקר – הפסד כלכלי, איבוד קניין רוחני (IP), פגיעה במוניטין, שינויי כוח אדם, שיבושים בטיפול בחולים (במגזר הבריאות).