פרצות ומתקפות סייבר יכולות לאיים על כל ארגון, בכל סדר גודל וככל שהשימוש באמצעים טכנולוגיים עולה, כך גוברים הסיכונים. עסקים, חברות וארגונים ציבוריים צריכים להכיר בסיכון ולהכין מראש תוכנית תגובה לאירועי סייבר כחלק ממערך רחב של שירותי מחשוב לעסקים. תוכנית זו יכולה לעזור להתכונן למצב חירום ולהגיב במהירות ובצורה הנכונה בשעת הצורך. הקישורים ששולבו כאן מובילים לעמודי השירות הרלוונטיים באתר IT-START.
כיוון שכל ארגון שונה ועוסק בתחום ייחודי, התגובה לאירוע הסייבר צריכה להתאים לו. בהכנת תוכנית תגובה לאירוע סייבר בארגון יש להביא בחשבון את נקודות החיבור השונות, הממשקים, המסמכים הרגישים ביותר ולהבין מיהם אנשי הצוות שיוכלו להוביל את פעולות ההגנה והתגובה. במאמר זה נפרט את כל השיקולים והמרכיבים שהתוכנית צריכה להכיל.
הכנה
אירועי סייבר יכולים להשפיע על יכולת הארגון לגשת לכלי התקשורת הפנימיים, לנתונים ולתיעוד ולכן חשוב להתכונן מבעוד מועד למצב זה. יש לבחון את הארגון לעומק, להבין מהן נקודות החולשה, לקבוע איזה מידע צריך לעבור הליך גיבוי קבוע ומה נדרש כדי להמשיך לעבוד, גם במקרה של אירוע סייבר.
הכנה נכונה מתחילה מהבנה מהן נקודות החולשה של הארגון, מיהם האנשים שייקחו חלק בתהליך ההתאוששות ויצירת נהלי אבטחה ברורים. ככל האפשר יש להפחית את הסכנה עם אימות דו-שלבי, ביצוע גיבוי קבוע, חיזוק מערך אבטחת מידע לעסקים והכנת תוכנית ניהול אירוע שתהיה במקום זמין.
זיהוי
כחלק מתוכנית התגובה חשוב להגדיר את תהליך זיהוי הבעיה. ארגונים צריכים להבין מהן היכולות העסקיות שלהם, מהן החשיפות, היכן הם פגיעים ולהבין כיצד לזהות פעילות חריגה. ככל שהאירוע נתפס בשלב מוקדם יותר כך קל יותר להתאושש ממנו.
על כל ארגון ליצור פרוטוקול ברור של פעולות שצריכות לעורר חשד לפעילות לא תקינה ולקבוע כיצד יש לפעול במצב זה. החל מקבלת אימיילים מכתובות לא ידועות, הודעות משונות ועד התראות שמגיעות על שימוש לא תקין בסיסמאות, חשוב שהתוכנית תבהיר כיצד לבחון כל מצב.
ניתוח
לאחר שבוצע הזיהוי הראשוני לפעולה חריגה, יש לבצע הערכת מצב שתוכל להבחין בין משהו שנראה חשוד לבין אירוע סייבר אמיתי. התוכנית צריכה לכלול את הפעולות שיבוצעו במקרה של זיהוי חשד לפגיעה כשיש לשאול מהו המידע שכבר נאסף, האם היו דיווחים נוספים לאחרונה וכיצד תוכנות הארגון מגיבות.
המערכות יכולות להיות איטיות בשל בעיות ברשת, צורך בעדכון תוכנה וסיבות נוספות. לכן, חשוב מאד לדעת מי מבצע את ניתוח המצב וכיצד לפעול עד שמתקבלת ההחלטה אם לעצור את הפעילות או אם בסך הכול מדובר בתקלה קלה.
בלימה
לאחר שהתקבל אישור לכך שבאמת מדובר באירוע סייבר, המטרה הראשונה היא לבודד ולבלום את האיום ולאחר מכן לשקם את הפעילות העסקית. מתקפות סייבר יכולות להיראות בצורות שונות ותוכנית תגובה יעילה תכיל רשימה של נתונים, רשתות, נכסים ושירותים שדורשים תשומת לב ראשונית.
בשלב זה יש להבין את נזק המתקפה ולראות האם ניתן לעצור אותה. התוכנית צריכה לכלול הנחיות ברורות בנוגע לתקשורת שצריכה להתקיים, הן בין הארגון לעובדים והן בין הארגון ללקוחות, שותפים ולעתים אפילו גורמים ממשלתיים (בהתאם לסוג הארגון).
מיגור
תהליך התגובה לאירוע יכול להשפיע על ההשלכות שלו ולכן יש להתכונן מראש לתהליך מיגור והפחתת הפגיעה בארגון. חשוב מאד שיהיה איש צוות שניתן לפנות אליו, בין אם מדובר במחלקת IT בחברה או במיקור חוץ של שירותי IT לעסקים, ולבצע פנייה בשלב מוקדם ככל האפשר.
ככל שהטיפול מהיר יותר כך ניתן לטפל בפגיעה במינימום נזקים. חשוב שכל העובדים ידעו למי עליהם לפנות במקרה של חשד או באירוע סייבר. התוכנית צריכה להכיל פעולות שכל העובדים צריכים לנקוט בהם כשהדבר יכול לכלול הפסקת פעילות עד לקבלת ההחלטה לחזור לעבוד.
התאוששות
בסיום אירוע הסייבר, אפשר להתחיל תהליך התאוששות וחזרה לשגרה. בשלב זה צוות האבטחה צריך לבחון את הנזק ולהחזיר את המערכות לפעילות תקינה כולל שחזור הנתונים מגיבוי. חשוב שהתוכנית תהיה מורכבת מסדר עדיפויות ברור לשחזור המערכות החשובות ביותר תחילה ולאחר מכן שאר הפעילות.
כחלק מתהליך ההתאוששות יש להבין מה נפגע בארגון, לראות כיצד ניתן למנוע פגיעה נוספת או חדירה חוזרת ויש להחזיר את הפעילות לשגרה. בשלב זה יש לבחון גם את התקשורת של הארגון עם המחלקות השונות ועם הלקוחות וזאת כדי לשמור על האמון. תוכנית טובה שמכילה את כל השלבים מקטינה סיכונים, מאפשרת תגובה נכונה וחזרה מהירה לשגרה.
