גוילי, עם ניסיון של 18 שנים בתחום (בין היתר בנתיבי ישראל ומוסדות פיננסיים), מנהלת כיום את מפת הסיכונים של "מפלצת" תעשייתית גלובלית. בשיחה עם מומחית סיכוני הסייבר עינת מירון, היא מפרקת את המוקשים הגדולים: החל ממתקפות סייבר שמשביתות מפעלים, דרך משברים גיאופוליטיים ועד כניסת ה-AI לארגון.
"אם פעם יכולתי להוציא ולקבל סחורות במהירות, היום המסלול מתארך"
"האתגר הגדול ביותר בעיניי הוא הוורסטיליות והגיאופוליטיקה. הארגון הוא גלובלי, אבל הוא מושפע מכל דבר שקורה בחוץ. אם ניקח את חמש השנים האחרונות, עברנו טלטלות אדירות: קורונה, הטבח הנוראי של ה-7 באוקטובר, המלחמה בצפון, איראן. כל אלו משפיעים ישירות על התדמית של ארגון ישראלי כלפי חוץ. זה משפיע על המכירות, על היכולת לעשות מחקרים ומו"פ עם האקדמיה בחו"ל, ואפילו על תוכניות של האיחוד האירופי שהיו בסכנת ביטול".
"אני מסכימה איתך לחלוטין. הרגולציה היא קו מנחה (Guidelines), היא לא המהות. אסור לנהל סיכונים דרך טבלאות אקסל וצ'ק-ליסטים רק כדי להגיד "עשינו". אני לא מנהלת שיחות עם חברי הנהלה דרך אקסלים. כשאני יושבת עם מנהל, אני לא שואלת אותו איפה הוא עומד בטבלה. אני שואלת: מה האסטרטגיה שלך? מה יקרה אם הייצור ייפגע? איך אתה מנמיך את הנזק? הניירת חשובה לתיעוד ולביקורת, אבל המהות היא לפרק את הסיכון לתהליכים עסקיים. אני לא באה ממקום של ביקורת, אלא כשותפה שרוצה למנוע את האירוע הבא.
גוילי: נכון, וחשוב להגיד את זה - אין גוף בארץ, בטח בתקופה כזו, שלא מתמודד עם עשרות אם לא מאות ניסיונות תקיפה בחודש. יש המון בלימות 'בתוך הבית' שאנחנו לא שומעים עליהן. לכן, הגישה חייבת להיות שהמתודה היא רק המדרכה, לא הכביש עצמו. אני לא יושבת עם מנהל הסייבר על כל עיקרון בתקן ה-ISO. אני יושבת איתו ושואלת: מאיפה זה יכול להגיע? מהמיילים? מספק צד שלישי? איך חוסמים את זה? אנחנו מדברים תהליכים, לא סעיפים.
"זה לא אירוע סייבר, זה אירוע עסקי"
"וזו טעות. כשיש אירוע סייבר, מנהל הסייבר מנהל את האירוע הטכני – מה דלף, מי חדר. אבל מסביב לאירוע הזה קורים המון דברים שמשפיעים על הארגון, שהם לא טכנולוגיים. למשל: המפעל לא יכול לעבוד? מה המשמעות? עוברים לעבודה ידנית? יש צ'ק ליסטים לזה? איך מתקשרים את זה ללקוחות שכרגע לא יקבלו סחורה? איך מדווחים לרגולטור? מתי מפעילים את הייעוץ המשפטי להודיע לספקים שדלף מידע?"
"אלו שאלות שמנהל הסייבר לא פנוי אליהן בזמן אמת. פה נכנס מנהל הסיכונים שרואה את התמונה ההוליסטית. הסיכונים הנלווים לאירוע הסייבר - הפגיעה במוניטין, התביעות המשפטיות, עצירת הייצור - יכולים להיות יקרים והרסניים יותר מהפריצה עצמה".
"חד משמעית. בעולמות ה-OT (טכנולוגיות תפעוליות), הפגיעה היא פיזית וכואבת. כשעושים תהליך של המשכיות עסקית (BCP), אנחנו מחפשים את הנקודות הקריטיות. פגשתי מנהלי מפעלים שבטוחים שהכל מגובה, ואז כשחופרים מגלים שיש מכונה אחת קריטית, שאם היא נפגעת או יורדת מטמפרטורה מסוימת - אין מכונה. זהו. אין מה לעשות וזה האירוע".
"זה קריטי. תארי לעצמך תוקף שמשתלט על מערכת ושולט בכיול של מכונה. מספיק שהוא משנה במילימטר, או משנה את תזמון המרכיבים - כל פס הייצור הולך לפח, או גרוע מכך, נגרם נזק בטיחותי. לכן חייבים למפות את הנקודות האלו מראש ולדעת לנהל מלאים ידנית אם צריך. אנחנו לא נולדנו עם מחשבים, צריך לדעת לחזור לשיטות הישנות בשעת חירום"
"הייתה ציפייה שבגלל שאני האישה בחדר, אני אהיה זו שתרשום את הפרוטוקול"
אני לא מדברת איתם במונחים אקדמיים. אני מדברת על Day to Day שלהם. אם אני באה ואומרת 'יש רגולציית אקלים', הם יגידו לי 'עזבי אותי, יש לי בעיות עכשיו'. אבל אם אני מסבירה להם: 'בעוד ארבע שנים השוק משתנה, ואם לא ניערך עכשיו, נאבד פלחי שוק וזה יעלה לנו הון'- הם מקשיבים. אני מחברת את הסיכון לכסף ולרציפות עסקית. אני מראה להם איך שיטפון בברזיל משפיע על מחירי הסחורות שלנו, או איך התייבשות נהר הריין באירופה מונעת מאוניות להעביר סחורה. כשהם מבינים שהסיכון הוא לא תיאורטי אלא פוגע בשרשרת האספקה ובשורה התחתונה - הם איתי.
"נכון. בכל סיכון יש הזדמנות. התחלנו לזהות את כניסת ה-AI כסיכון מתהווה (Emerging Risk) כשהבנו שעובדים מתחילים להשתמש בזה באופן פיראטי. כינסנו פורום של משפטנים, סייבר, תשתיות ו-HR כדי להבין איך מאפשרים לארגון לרוץ קדימה בלי לחשוף סודות מסחריים. היום אנחנו מפתחים ב ICL מערכת ניהול סיכונים פנימית מבוססת AI. פיתחנו "סוכן" שיודע לקרוא את תיאורי הסיכונים, את הבקרות ואת תוכניות העבודה, ולהציע למנהלים מדדים (KRI) בצורה אוטומטית. במקום לעבור ידנית על אלפי סיכונים, המערכת מציפה לי איפה הבעיות - והכל בתוך סביבה סגורה ומובטחת, בלי שהמידע יוצא החוצה".
"זה נושא מורכב. מצד אחד, אני פמיניסטית שמאמינה שהאדם עושה את התפקיד. מצד שני, המציאות היא שרוב חברי ההנהלה הם גברים. ישבתי בדירקטוריונים ובהנהלות שבהם הייתי האישה היחידה מול שורה של גברים, רובם יוצאי צבא עם דרגות בכירות והייתה ציפייה שבגלל שאני האישה בחדר, אני אהיה זו שתרשום את הפרוטוקול. ממש ככה. ואז אני צריכה לעצור ולהגיד: 'אני כאן כדי לנהל את הסיכונים, לא כדי לרשום פרוטוקול. זה רגע שצריך לשבור אותו. למה שמישהו ישים אותי במשבצת הזו אחרי 18 שנות ניסיון, השכלה והישגים'?"
"מאוד. ולכן המסר שלי לנשים הוא: אל תקשיבו לרעשי הרקע. תאמינו בעצמכן. אל תוותרו לעצמכן, ותדרשו שישפטו אתכן לפי הערך שאתן מביאות לשולחן, לא לפי המגדר. אני רוצה להגיע למצב שלא נצטרך לדבר על זה בכלל, שזה לא יהיה "אישיו". אבל עד שזה יקרה, אנחנו צריכות לעמוד על שלנו ולא להתנצל".
התרעות פיקוד העורף