📢 איך מנהיגים גדולים שואלים, מקשיבים ומזדהים, אימון אישי עוסק בחיבור לאנשים, לעורר אותם לעשות את המיטב ולעזור להם לצמוח. מדובר גם באתגר אנשים להמציא את התשובות שהם דורשים בעצמם. להלן שלושת הדברים החשובים ביותר שכל מנהל יצטרך לחקור ולהבין כדי לפתח את סגנון המנהיגות שלו: 📌 שאל ככל שתוכל להשקיע יותר זמן בחקירה טהורה, כך גדל הסיכוי שהשיחה תאתגר את העובד שלך להמציא פתרונות יצירתיים משלו. 📌 תקשיבו הקשבה היא תהליך של כל הגוף המתרחש בין שני אנשים שגורם לאדם השני להרגיש באמת שנשמע. 📌 אמפתיה אמפתיה היא היכולת לא רק להבין את נקודת המבט של אדם אחר, אלא גם לחוות את רגשותיו באופן מקרי. מבחינה היסטורית, מנהיגים השיגו את תפקידם בזכות ניסיון בעבודה וידע מעמיק. ציפו מהם לקבל תשובות ולספק אותן בקלות כאשר העובדים לא בטוחים מה לעשות או איך לעשות זאת. המנהיג היה האדם שידע הכי הרבה, וזה היה הבסיס לסמכותם. מנהיגים כיום עדיין צריכים להבין את העסק שלהם לעומק, אבל זה לא מציאותי ולא מומלץ לצפות שיהיו להם את כל התשובות. ארגונים פשוט מורכבים מכדי שמנהיגים יוכלו לשלוט על בסיס זה. אחת הדרכים של מנהיגים להסתגל לשינוי הזה היא לאמץ תפקיד חדש: זה של מאמן. על ידי שימוש בשיטות וטכניקות אימון במצבים הנכונים, מנהיגים עדיין יכולים להיות יעילים מבלי לדעת את כל התשובות ומבלי לומר לעובדים מה לעשות. אין עוררין, אימון עוסק בחיבור לאנשים, לעורר אותם לעשות את המיטב ולעזור להם לצמוח. מדובר גם באתגר אנשים להמציא את התשובות שהם דורשים בעצמם. אימון רחוק מלהיות מדע מדויק, וכל המנהיגים צריכים לפתח סגנון משלהם, אבל אנחנו יכולים לפרק את התהליך לפרקטיקות שכל מנהל יצטרך לחקור ולהבין. להלן שלושת החשובים ביותר: לִשְׁאוֹל אימון מתחיל ביצירת מקום שימלא העובד, ובדרך כלל אתה מתחיל תהליך זה על ידי שאלת שאלה פתוחה. לאחר שיחת חולין ראשונית, אני בדרך כלל מסמן את תחילת שיחת האימון שלנו בכך ששאלתי, "אז, איפה תרצה להתחיל?" המפתח הוא לבסס פתיחות לכל מה שהאדם האחר צריך לדון בו, ולהימנע מהנחות שמגבילות את השיחה שלא לצורך. כמנהל כדאי מאוד להציב כמה גבולות לשיחה ("אני לא מוכן לדבר על התקציב היום") או לפחות להבטיח שסדר היום משקף את הצרכים שלך ("אני רוצה לדון על השבוע שעבר פגישה, בנוסף למה שברשימה שלך.”), אבל חשוב לעשות מזה רק כמה שצריך ולהשאיר מקום לעובד שלך להעלות חששות ונושאים שחשובים לו. קל מדי למנהיגים לשלוח בלי משים אותות שמונעים מעובדים להעלות נושאים, אז הבהירו שהאג'נדה שלהם חשובה. בספרו Helping, פרופסור MIT לשעבר אדגר שיין מזהה אופני חקירה שונים שאנו משתמשים בהם כאשר אנו מציעים עזרה, והם ממפים היטב לשיחות אימון. התהליך הראשוני של איסוף המידע שתיארתי לעיל הוא מה ששיין מכנה "חקירה טהורה". השלב הבא הוא "חקירה אבחנתית", המורכבת ממיקוד תשומת הלב של האדם האחר בהיבטים ספציפיים של הסיפור שלו, כגון רגשות ותגובות, סיבות או מניעים בסיסיים, או פעולות שנעשו או חשבו. ("נראה שאתה מתוסכל מכריס. איך הקשר הזה הולך?" או "זה נשמע כאילו היה מתח מסוים בצוות שלך. מה אתה חושב שקורה?" או "זו מטרה שאפתנית לפרויקט הזה. איך אתה מתכנן לעשות זאת? להגיע לשם?") נוסף על האמור לעיל, התהליך הוא מה ששיין מכנה בצורה קצת מבלבלת "חקירה עימותית". הוא לא מתכוון שאנחנו ממש מתעמתים עם האדם, אלא, שאנחנו מאתגרים היבטים של הסיפור שלו על ידי הצגת רעיונות והשערות חדשים, תוך החלפת ההבנה שלנו של המצב בזו של האדם האחר. ("דיברת על החסרונות של כריס. איך ייתכן שאתה תורם לבעיה?" או "אני מבין שהצוות שלך היה במתח רב. איך התחלופה השפיעה על היכולת שלהם לשתף פעולה?" או "זה מרגש תוכנית, אבל יש לו הרבה חלקים נעים. מה קורה אם אתה מפגר בלוח הזמנים?") בשיחות אימון חיוני להקדיש זמן רב ככל שיידרש בשלבים הראשוניים ולהתנגד לדחף לקפוץ קדימה, כאשר התהליך עובר משאלת שאלות פתוחות לשימוש בסמכותך כמנהיג כדי להדגיש נושאים מסוימים. ככל שתוכלו להשקיע יותר זמן בחקירה טהורה, כך גדל הסיכוי שהשיחה תאתגר את העובד שלכם להמציא פתרונות יצירתיים משלו, ולעלות על פני הידע הייחודי שהם צברו מהקרבה שלהם לבעיה. להקשיב חשוב להבין את ההבדל בין שמיעה להקשבה. שמיעה היא תהליך קוגניטיבי המתרחש באופן פנימי - אנו סופגים קול, מפרשים אותו ומבינים אותו. אבל הקשבה היא תהליך של כל הגוף שמתרחש בין שני אנשים שגורם לאדם השני להרגיש באמת שנשמע. הקשבה בהקשר של אימון דורשת קשר עין משמעותי, לא עד כדי סרבול, אלא יותר ממה שאתה בדרך כלל מקדיש בשיחה סתמית. זה מבטיח שאתה לוכד כמה שיותר מידע על האדם האחר - הבעות פנים, מחוות, טיקים - ומשדר תחושה חזקה של עניין ומעורבות. הקשבה אפקטיבית דורשת גם תשומת לב ממוקדת שלנו. אימון ביסודו אינו תואם ריבוי משימות, מכיוון שאמנם אתה יכול לשמוע מה אדם אחר אומר תוך כדי עבודה על משהו אחר, אך אי אפשר להקשיב בצורה שגורמת לאדם האחר להרגיש שנשמע. זה קריטי כדי למנוע הסחות דעת. כבה את הטלפון, סגור את המחשב הנייד שלך ומצא מקום ייעודי שבו לא יופרעו. שיחות אימון יכולות להתקיים בטלפון, כמובן, ובמדיום זה חשוב אפילו יותר להימנע מריבוי משימות, כך שבהיעדר נתונים חזותיים, תוכל לקלוט רמזים עדינים בדיבור של מישהו. מניסיוני, רישום הערות קצרות וספורדיות בשיחת אימון עוזרת לי להישאר מרוכזת ומפחיתה את הנטל של שמירת המידע בזיכרון העבודה שלי (שמכיל רק חמישה עד שבעה פריטים עבור רוב האנשים). אבל רישום הערות עצמו יכול להפוך להסחת דעת , מה שגורם לך לדאוג יותר לגבי צילום מדויק של ההערות של האדם האחר מאשר להקשיב באמת. שיחות אימון אינן הצהרות, אז אל תשחק סטנוגרף. אם אתה מרגיש צורך לרשום הערות, נסה לכתוב מילה או ביטוי אחד בכל פעם, מספיק כדי לרוץ בזיכרון שלך מאוחר יותר. להזדהות אמפתיה היא היכולת לא רק להבין את נקודת המבט של אדם אחר, אלא גם לחוות את רגשותיו באופן מקרי. ללא אמפתיה אנשים אחרים נשארים זרים ואטומים עבורנו. כאשר הוא קיים הוא מבסס את הקשר הבין אישי שמאפשר אימון. מפתח לחשיבות האמפתיה ניתן למצוא בעבודתו של ברנה בראון, פרופסור מחקר באוניברסיטת יוסטון שעבודתו מתמקדת בנושאים של פגיעות, אומץ, ערך ובושה. בראון מגדיר בושה כ"הרגשה או החוויה הכואבת ביותר של האמונה שאנו פגומים ולכן לא ראויים לאהבה ושייכות." אמפתיה, מציין בראון, היא "התרופה לבושה". כאשר עובדים זקוקים לעזרתכם סביר להניח שהם חווים צורה כלשהי של בושה, גם אם זו רק מבוכה קלה - וככל שהבעיה חמורה יותר, כך הבושה עמוקה יותר. הרגשה והבעת אמפתיה היא קריטית כדי לעזור לאדם האחר לנטרל את המבוכה שלו ולהתחיל לחשוב בצורה יצירתית על פתרונות. אבל שים לב שהביטויים הרגילים שלנו לאמפתיה יכולים לפעמים להיות לא מועילים. מייקל סהוטה, מאמן בטורונטו שעובד עם קבוצות של מפתחי תוכנה ומנהלי מוצר, מסביר כמה מהמלכודות שאנחנו נופלים בהן כשמנסים להביע אמפתיה: אנחנו משווים את הבעיות שלנו לשלהן ("הבעיה שלי גדולה יותר"), מנסים להיות. חיובי מדי ("תסתכל על הצד החיובי"), או קפצו לפתרון בעיות תוך התעלמות ממה שהם מרגישים ברגע זה. לסיכום, היו מודעים לכך שהבעת אמפתיה אינה צריכה למנוע מכם להחזיק אנשים בסטנדרטים גבוהים. אתה אולי חושש שהזדהות שווה לתירוץ ביצועים גרועים אבל זו דיכוטומיה שגויה. הזדהות עם הקשיים שעומדים בפני העובדים שלך היא שלב חשוב בתהליך לעזור להם לבנות חוסן וללמוד מכשלים. לאחר שהכרתם במאבקים וברגשות של עובד, יש סיכוי גבוה יותר שהוא יגיב למאמצים שלכם להניע ביצועים משופרים. כשאתה מאמן כמנהיג אתה לא צריך להיות המומחה. אתה לא צריך להיות האדם החכם או המנוסה ביותר בחדר. ואתה לא צריך לקבל את כל הפתרונות. אבל אתה כן צריך להיות מסוגל להתחבר לאנשים, לעורר אותם לעשות כמיטב יכולתם, ולעזור להם לחפש פנימה ולגלות את התשובות שלהם. מקורות: Ed Batista is an executive coach and an Instructor at the Stanford Graduate School of Business. He writes regularly on issues related to coaching and professional development at edbatista.com, he contributed to the HBR Guide to Coaching Your Employees, and is currently writing a book on self-coaching for HBR Press.

מתקפת סייבר על קבוצת גולד בונד שבבעלות קבוצת שלמה SIXT השביתה את פעילותה, הקבוצה שמחזיקה במספנות ישראל הודיעה לבורסה על השבתת רוב מערכת המחשוב שלה, כמו גם חלק נרחב מפעילותה השוטפת, כתוצאה מהמתקפה. ככל הנראה מדובר בתקיפה של קבוצת Hackers of Saviors הפועלת בשם המאבק הפלסטיני. בשעה זו אתר החברה פעיל וקשה להעריך את הנזק. קבוצת גולד בונד, העוסקת בהפעלת מסוף מטענים ומחסנים באשדוד, הודיעה היום לבורסה על תקיפת סייבר שהשביתה את מחשבי החברה וכתוצאה מכך גם חלק גדול מפעילותה. לפי הודעת החברה, שיבושים שהחלו בלילה זוהו ככל הנראה כחדירה של גורם זר למערכות שלה. על פי מה שידוע בשלב זה, בחברה מעריכים כי לא מדובר במתקפת כופר, אלא בניסיון מכוון לשבש את פעילות החברה ואולי אף לגנוב מידע מהמערכות שלה. בחברה הדגישו שהם לא נדרשו לשלם כופר. עוד נמסר מהחברה כי היא פועלת בשיתוף עם מערך הסייבר כדי לסכל את האירוע. על פי מה שידוע עד כה, ההאקרים שככל הנראה עומדים מאחורי תקיפת המחשבים של גולד בונד הם קבוצה המכנה את עצמה Hackers of Saviors. על פניו מדובר בהאקטיביסטים - האקרים פוליטיים - שפועלים בשם המאבק הפלסטיני. לא ברור אם הם נשלטים בידי גורם כלשהו או שמדובר בקבוצה עצמאית. קשה להעריך את מידת הנזק שגרמו ההאקרים למחשבי גולד בונד, אך מבדיקה שלנו עולה שהאתר של החברה פעיל. בינתיים קשה לדעת אם מדובר בקבוצה איראנית, פלסטינית או אחרת. עד כה הוערך שמדובר בקבוצה לא מקצועית במיוחד, שמטרתה בעיקר הפצה של פרופגנדה פרו-פלסטינית. עם זאת, מבדיקה באתר החברה עולה שהם לא מהססים לפנות לפעילים חיצוניים שרוצים להשתתף בפעולות שלהם, כך שלא מן הנמנע שעם הזמן הם הצליחו לגייס האקרים מומחים או מקצועיים שיכולים לסייע להם. המשך קריאה בלינק, https://www.calcalist.co.il/calcalistech/article/by1m18s0t

https://www.ynet.co.il/news/article/hytkruiay

עלייה ניכרת במתקפות טרור ופשעי הסייבר האיראניות נגד ישראל "התקיפות האיראניות היו המשמעותיות ביותר בישראל ב-2021", ציינו חוקרי קלירסקיי בדו"ח שהגיע לידי אנשים ומחשבים ● ולא רק איראן: בסייבר, העולם כולו נגדנו - או לפחות התוקפות הגדולות ● וגם: תחזית רעה ל-2022 ■ המתקפות העיקריות האיראנים ביצעו בשנה החולפת שורה של מתקפות סייבר נגד יעדים ישראליים, לרבות בשוק הפרטי, שמרביתן לא פורסמו לציבור. מבין אלה שכן, אחת המתקפות שתפסו כותרות רבות השנה היא זו שביצעה באוקטובר האחרון קבוצת Black Shadow, המקושרת למשטר בטהרן, נגד חברת אחסון השרתים סייברסרב. הנפגעת העיקרית ממתקפה זו הייתה אפליקציית ההיכרויות לקהילה הלהט"בית אטרף, שהורדה מהאוויר ומאז לא חזרה. בנובמבר האחרון הוגש כתב אישום נגד עובד ניקיון בביתו של שר הביטחון, בני גנץ, בטענה שניסה לרגל לטובת איראן על ידי פנייה לקבוצת Black Shadow. חודש לאחר מכן, בדצמבר, פורסם מחקר של סימנטק, שלפיו איראן ביצעה קמפיין ריגול נגד חברות שירותי IT וחברות טלקום בישראל, כמו גם במדינות אחרות במזרח התיכון ובאסיה בכלל. כאן, הקבוצה האחראית למתקפה הייתה Temp.Zagros, שמשתמשת גם בשני כינויים אחרים: Seedworm או Muddy Water. ■ איראן לא לבד: גם קבוצות ממזרח אירופה תוקפות את ישראל חוקרי קלירסקיי בחרו במתקפת הסייבר על בית חולים הלל יפה בחדרה, שאירעה באוקטובר האחרון, כ-"תקיפה המפורסמת המשמעותית ביותר בישראל ב-2021". עם זאת, לא פורסם מהו מקור המתקפה, שהשביתה את מערכות המחשוב של בית החולים לכמה ימים. "פרט לאיראן", ציינו החוקרים, "היו ב-2021 מאות מתקפות כופרה על חברות ישראליות, רובן על ידי קבוצות פשיעת סייבר ממזרח אירופה – Conti ,REvil ו-Defray777. בנוסף, מאות מתקפות פישינג נערכו נגד לקוחות של בנקים וחברות אשראי, עם נזק כולל של עשרות מיליוני שקלים. המתקפות התבצעו על ידי האקרים בודדים או קבוצות קטנות מישראל, הרשות הפלסטינית, עזה וטורקיה". אלא שלדבריהם, "מרבית התקיפות המוצלחות ב-2021 בישראל היו על חברות קטנות ובינוניות, שסובלות משלל בעיות, ביניהן מחסור בכוח אדם ומערכות אבטחה שלא מנוטרות בקביעות". ■ התקיפות הסיניות – המתוחכמות ביותר נגד ארגונים בישראל עוד ציינו החוקרים כי "הממשל הסיני זיהה בישראל כמה מגזרים שיכולים להועיל למחקר ולפיתוח של טכנולוגיות סיניות חדשות, בעיקר בתחומי הבריאות והבטחון. הסינים הפעילו מתקפות ריגול, חלקן מתוחכמות וייחודיות, כדי לגנוב מידע. אנחנו מסמנים את התקיפות סיניות כמתוחכמות ביותר שהתבצעו ב-2021 נגד ארגונים בישראל". גם הרוסים לא טומנים את ידם בצלחת: באחרונה נראה שהם מתמקדים באויבת החשה-ישנה של המדינה – אוקראינה, אולם הקבוצות שלוחות הקרמלין לא זנחו את ישראל. "קבוצות התקיפה הרוסיות עובדות בעיקר נגד ארגונים ביטחוניים בארץ", ציינו בקלירסקיי. "לצידן פעלו קבוצות האקרים צפון קוריאניות, בעיקר קבוצת לזרוס, שתקפה חברות קריפטו בישראל. כמו כן, היה מספר מצומצם של תקיפות מהאקרים של החמאס על חברות ישראליות: הארגון טרם התאושש מהתקיפות הפיזיות שחווה במבצע שומר חומות". ■ מה ב-2022? בחזרה לדו"ח הנוכחי של קלירסקיי, הם חוזים כי ב-2022 יתגברו מתקפות הסייבר של מדינות נגד מדינות אחרות, והן "יפעילו את נשק הסייבר שלהן באופן חופשי יותר, כאמצעי הרתעתי ותודעתי, וכדי להסב נזק לתשתיות קריטיות שלהן. עימותי סייבר כמו זה שבין ישראל לאיראן יתפשטו לאזורים אחרים בעולם". הם זיהו כאיומים משמעותיים מצדם של האקרים שלוחי מדינות גם בשנה הקרובה את מתקפות יום האפס, המתקפות על שרשראות האספקה, הדלפות המידע והכופרות. כולן, על פי החוקרים, יתבצעו בתדירות גבוהה יותר – ובמקרה של הכופרות, ההאקרים ידרשו מהקורבנות שלהם כסף רב יותר. עוד צופים החוקרים כי השנה תחול עלייה במתקפות נגד מכשירי סלולר, בין השאר בשל השימוש בהם לטובת תשלומים בדיגיטל, ותירשם עלייה בניסיונות הגניבה של ארנקים ופלטפורמות תשלום דיגיטליות, כולל ארנקי קריפטו. כמו כן, לפי הדו"ח, "המשך העבודה ההיברידית והשימוש בציוד אישי של העובדים שאינו תחת פיקוח ה-IT – ימשיכו לספק הזדמנויות רבות לתקיפת רשתות ארגוניות". המשך קריאה בלינק, https://www.pc.co.il/news/355639

https://www.calcalist.co.il/calcalistech/article/ryarh3lay

רשות ניירות ערך תבצע בדיקות עומק של סיכוני סייבר בתאגידים ובחברות, בתוכנית העבודה השנתית של הרשות, איומי הסייבר תועדפו בחשיבות גבוהה • בנוסף, הוגשה בקשה לפיה החברות יחויבו להרחיב את המידע עליו הן מדווחות, ■ בוחנים מחדש את עמדת הרשות על איומי סייבר מי שאמונה על בחינות עומק של החברות היא מחלקת הביקורת ברשות ניירות ערך. רו"ח ועו"ד יעקב יודקביץ, מנהל המערך הפיננסי במחלקת תאגידים של הרשות לניירות ערך, מספר לגלובס כי הנושא מתועדף לשנה הקרובה. "אחד הנושאים המתוקנים להם לשנה הקרובה הוא ביקורות עומק בנושא של סיכוני סייבר. הם צפויים לבדוק את הגילויים שניתנו במדגם חברות ותאגידים המפוקחים ע"י הרשות - האם הן סיווגו נכון את הסיכון והאם הגילוי מפורט כנדרש. בנוסף לכך, הם יבדקו את התחום של אירועי סייבר ספציפיים - האם היו אירועים שלא דווחו והאם הדיווחים שכן התקבלו היו כמו שצריך. הביקורת תביא לנו חומר למחשבה וניסיון נוסף ותסייע לנו לגיבוש העמדה". בתכנית העבודה מתוכנן גם לבחון מחדש את עמדת הסגל של הרשות שפורסמה לפני שלוש שנים. על פי עמדת הרשות כיום, החברות מחויבות להביא "סיכום קצר של האיומים, החולשות וגורמי הסיכון האחרים של התאגיד, הנובעים מסביבתו הכללית, מן הענף ומן המאפיינים הייחודיים שבפעילותו". הסיכום צריך להיות בהיר ותמציתי ולהסביר איך הסיכונים משפיעים על התאגיד. לצד זאת, החברות צריכות להציג טבלה שמציגה "סיכוני מקרו, סיכונים ענפיים, סיכונים מיוחדים לחברה - וידורגו בקטגוריות על פי השפעתם". במסגרת הדיווח, החברה צריכה לשקול את המהותיות בנושאים שונים כמו: ההסתברות להתרחשות תקיפות סייבר, אפקטיביות למנוע או להקטין את החשיפה לסיכונים, הפוטנציאל לפגיעה בנכסים, המשאבים ועוד. כמו כן, התאגיד צריך לתאר בצורה תמציתית את עיקרי האירועים החורגים מעסקי התאגיד שהתרחשו ואת הפרטים כפי שהוא יודע. יודקביץ’ מסביר ששנה לאחר פרסום העמדה הם עשו מהלך חריג. הם ערכו השוואה של כמות והיקף הגילויים של החברות, לפני ואחרי פרסום העמדה, וראו שלפרסום העמדה הייתה השפעה מאוד משמעותית וחברות התייחסו לזה יותר. בעקבות התגברות האיומים, בתכנית העבודה השנתית שלהם לשנת 2022 נבחן עדכון של עמדת הסגל. "אנחנו מבינים שזה נושא שגובר ולכן אנחנו בוחנים את עדכון העמדה. צריך למצוא למצוא את האיזון של גילוי שייתן למשקיעים את המידע החשוב, אך לא ילאה אותם עם עודף מידע. בסוף אנחנו צריכים לתת לגילוי הזה מקום לצד הגילויים האחרים". "כיום הדיווחים של החברות הן בדיחה" ברשות מסתכלים על העולם ומה שקורה שם, והם בוחנים כמה שינויים. "ייתכן שנבחן מה נחשב אירוע מהותי לעניין גילוי בדוח השנתי - האם אירוע שהיה בעל פוטנציאל השפעה מהותית רעה אך החברה ניצלה ממנו ייחשב עניין מהותי. אם החברה הצליחה להיחלץ מאירוע, האם זה אומר שזה לא מהותי למשקיעים לדעת?", מסביר יודקביץ'. אחת ההצעות שעולות לשולחן הרשות, היא בקשתה הרשמית של מנכ"ל חברת קונפידס, רם לוי, שמציע שחברות יהיו מחויבות להרחיב את המידע עליו הן מדווחות. "הבעיה היום שהדיווחים של חברות הן בגדול בדיחה. אי אפשר להבין מהדיווח פרטים חשובים. הדגש צריך להיות דיווח על מצב הגנת הסייבר של החברה וההערכות שלה לאירוע סייבר, ופחות על כך שהיא נתקפה, אלא אם מדובר באירוע מהותי. כיום יש בידי המשקיעים מידע מועט. הרחבת הדיווח ייתן למשקיעים הבנה רחבה יותר ויהיה אפשר לגזור השלכות פיננסיות". על פי הבקשה הרשמית, המשקיעים צריכים לקבל את כל המידע הרלוונטי על האיום בסייבר: האם יש לחברה מנהל הגנת סייבר, מה הדרגה שלו בארגון, מה התקציב שמושקע, אילו גיבויים קיימים, האם מנטרים את המערכות הקריטיות, כל כמה זמן עושים סקרים ומבדקי חדירות למערכות הקריטיות, מה הממשל התאגידי של ניהול סיכון סייבר ועוד. הרשות לא התייחסה להצעה הספציפית הזו, אך בשיחה עם יודקביץ’ הוא מפרט כי הם מסתכלים על הגילויים של החברות בכללותם, לא רק בתחומי סייבר. "רוב דרישות הגילוי של דיני ניירות ערך מתוארות בצורה כללית יותר, וכל חברה מתאימה לנסיבות שלה. כבר בעמדה הקיימת אנחנו מבקשים להתייחס לשאלה אם יש מדיניות הגנה, איך מפקחים עליה והאם היא אפקטיבית". יודקביץ' מסביר שכבר עכשיו מדובר בגילוי רחב יותר ביחס ליתר הסיכונים. לצד זאת, אילן פלטו, מנכ"ל איגוד החברות הציבוריות, מתנגד להצעה. "החברה מנסה ליצור רגולציה לטובתם כדי לנצל את זה לצרכים עסקיים. כיום כבר יש כללים ברורים לגבי דיווח באירועי סייבר - איך צריך לדווח, כמה פעמים, איפה ובאיזה עיתוי. מדובר בהצעה שתגדיל את הנטל על החברות הציבוריות, זה ייצור דחייה וירחיק חברות פרטיות מלהיות חברות ציבוריות. ההנחיות היום מספקות ומכסות את כל האפשרויות". https://www.globes.co.il/news/article.aspx?did=1001400734

■ אבטחת משאבי אנרגיה מבוזרים באנרגיה ירוקה, הגנה על מכשירי IIoT בקצה הרשת, היא ללא ספק אחת המשימות הקשות יותר באבטחת סייבר. במגזר האנרגיה, DERs כגון פוטו-וולטאים סולאריים מציגים חילופי מידע בין מערכת בקרת ההפצה של כלי השירות לבין DERs כדי לנהל את זרימת האנרגיה ברשת ההפצה. חילופי מידע אלה משתמשים לעתים קרובות בטכנולוגיות IIoT שעשויות להיות חסרות אבטחת תקשורת. בנוסף, מאפייני ההפעלה של DERs הם דינמיים ושונים באופן משמעותי מאלה של יכולות ייצור חשמל טיפוסיות. ניהול בזמן של יכולות DER דורש לעתים קרובות רמה גבוהה יותר של אוטומציה. ניהול האוטומציה, הצורך הגובר בחילופי מידע ואבטחת הסייבר הקשורה לאותם מציבים אתגרים משמעותיים. ה- NCCoE בונה פתרון לדוגמה המתמקד בסיוע לחברות אנרגיה לאבטח חילופי מידע של IIoT של DERs בסביבת ההפעלה שלהן המדגימה את היכולות הבאות: • בקרת אימות וגישה כדי להבטיח שרק מערכות מורשות ידועות יוכלו להחליף מידע. • תקשורת ותקינות נתונים כדי להבטיח שהמידע לא ישתנה במעבר. • זיהוי תוכנות זדוניות לניטור חילופי מידע ועיבוד כדי לזהות זיהומים פוטנציאליים של תוכנות זדוניות. • אוגר פקודות השומר על רשומה עצמאית ובלתי משתנה של חילופי מידע בין אופרטורים של הפצה ו- DER. • ניטור התנהגותי לזיהוי סטיות מנורמות תפעוליות. • תהליכי ניתוח ופריטים חזותיים לניטור נתונים, זיהוי אנומליות ואופרטורים של התראות. ■ התקני האינטרנט התעשייתי של IIoT בקצה הרשת גדלים במהירות ומשנים את רשת החשמל. הקישוריות שלהם, הצינור שדרכו הם יכולים להיות פגיעים, היא איום סייבר מתפתח על רשת ההפצה. מפעילי רשתות הפצה חייבים להגן על התקשורת הדיגיטלית, הנתונים והשליטה במכשירי רשת-רשת פיזיים-סייבר. ה- NCCoE שיתף פעולה עם בעלי עניין בתחום החשמל, אוניברסיטת מרילנד, וספקי טכנולוגיית אבטחת סייבר כדי לבנות סביבת מעבדה המייצגת כלי הפצה הקשור למיקרוגריד משאב אנרגיה מבוזר בקמפוס (DER). באמצעות סביבה זו, בדקו כיצד ניתן לנטר, לסמוך ולהגן על חילופי מידע בין חקירות מידע בקנה מידה מסחרי לבין רשת ההפצה החשמלית. השימוש במשאבי אנרגיה מבוזרים בקנה מידה קטן (DERs), כגון פוטו-וולטאים רוח וסולאריים, גדל במהירות ומשנה את רשת החשמל. למעשה, ייתכן ששירות הפצה יצטרך לתקשר מרחוק עם אלפי DERs ומכשירי קצה אחרים - שרבים מהם אינם בבעלותם. איך חברות יכולות לספק גישה מאובטחת ל-DERs, ולנטר ולסמוך על כמות הנתונים ההולכת וגדלה המגיעים מהן? מרכז המצוינות הלאומי לאבטחת סייבר של NIST מדגים כיצד ליישם את יכולות אבטחת הסייבר המוצגות כאן כדי להגן על התקשורת הדיגיטלית והבקרה של התקני קצה רשת פיזיים סייבר. NIST SP 1800-32 https://www.nccoe.nist.gov/energy/securing-distributed-energy-resources

https://www.playtika.com/he/position/?id=1C.92D