וובינר: הערכות נכונה לאירוע סייבר
מהן ההשלכות של אירוע סייבר ללא הערכות?
חברה שלא נערכת לאירוע סייבר תפגוש את האתגרים בניהול המשבר בפעם הראשונה תוך כדי המשבר ולכן כל ההחלטות והפעולות יבוצעו תחת לחץ עצום וללא תכנון מקדים.
במצב שכזה בכלל לא בטוח שחברות יוכלו להשתקם מאירוע סייבר שיכול לחסל את החברה.
באירוע סייבר הדברים קורים מהר וכל דקה חשובה, חוסר מוכנות יוביל להוצאות כספיות עצומות ולהפסדים כספיים ודאיים. חברות בכל הגדלים יכולים לאבד את הכול!
אירוע סייבר הוא משבר כנראה בלתי נמנע ולכן חובה להיערך אליו מבעוד מועד.
ממש כמו שנזילות מהגג מתקנים ביום שיש בו שמש...
מי צריך להיות מעורב בהיערכות?
היערכות קשורה לתרבות הארגונית. התרבות הארגונית של הארגון צריכה להיות מכוונת להגנת סייבר מפני שאירועי סייבר מהווים איום מתמיד על ההמשכיות העסקית של החברה.
צוות האבטחה ממונה על אבטחת הארגון אך הוא לא יצליח ללא שיתוף פעולה של כל החברה והנהגתה של הנהלת החברה.
אירוע סייבר כולל אספקטים רבים בו מעורבים גורמים שונים כמו המחלקה המשפטית, דוברות, מחלקת המחשוב, משאבי אנוש וכל בעלי התפקידים האקטיביים בהנהגת החברה.
התקשורת של צוות האבטחה עם הארגון כולו ובראשו ההנהלה היא קריטית להבנת התפקידים והמשימות הרלבנטיות לביצוע בעת המשבר.
נושאי התפקידים צריכים לדעת איך לפעול בזמן אמת ולדעת מי עושה מה.
תרגול של אירוע סייבר ימנע את הבאלגן וייתן כלים לבעלי התפקידים להתנהל בצורה אפקטיבית.
מצד שני יש להימנע מריבוי שחקנים כדי לשפר את יכולת הניהול ולהימנע מרעשי רקע מיותרים.
אז איך נערכים נכון?
כל חברה צריכה להגדיר לעצמה מה ייחשב אירוע סייבר? מה ההשלכות של כל אירוע? מי אמור להיות מעורב בטיפול של האירוע? מה צריך לעשות כדי לזהות אותו בצורה יעילה? ומה צריך לעשות כדי לפתור אותו במהרה כדי לחזור לפעילות רגילה?
ישנו צורך במיפוי התרחישים הרלבנטיים לארגון ולהגדיר את הרף שקובע כי ישנו אירוע, כלומר צריכה להיות אבחנה שאם אירוע מסוים מתרחש אנחנו באירוע סייבר. מהו בעצם אירוע בו אנו מרימים דגל אדום?
התרחישים הרלבנטיים גוזרים לנו את ההערכות המתאימה להמשכת הפעילות העסקית והפעולות הרלבנטיות.
יש לקחת בחשבון את המנגנונים הקריטיים לארגון לתפקוד, כלומר מה צריך להמשיך לתפקד כדי להישאר בפעילות עסקית?
ארגונים צריכים להטמיע מערכות זיהוי, DR ((Disaster recovery, נהלים למקרה אמת והכנת המערכות לתפקוד בזמן אירוע.
זהו אירוע מורכב שלתוקף יש שליטה והוא מכתיב את ההתפתחות שלו לכן צריך להיות מוכנים עם שאלות כגון:
מהי הדחיפות של הערכת המצב? איך מכריזים על אירוע? מי מבצע את הפעולות השונות? מהן הפונקציות הקריטיות לטיפול בכל סוג אירוע? איך מנצלים את המשאב האנושי בחברה? מי יכול לעזור לנו? מה חשוב לעשות קודם?
כמובן שחשוב לתקשר את הנושא למחלקות השונות שיוכלו לזהות ולשתף את הארגון כאשר יש חשש לאירוע ולא להסתמך רק על מערכות טכנולוגיות.
נשמע מסובך, לא עדיף לעשות ביטוח סייבר?
לחברות הביטוח יש דרישות רבות בביטוח לכן היערכות הולמת היא חלק בלתי נפרד בקניית ביטוח.
יש לזכור כי חברות ביטוח מיומנות מאוד בביטוח של עצמן לכן חשוב לבדוק מה גודל הפיצוי? איזה מקרים הוא מכסה? ומה גודלה של ההשתתפות העצמית?
האם צריך להיעזר בחברות חיצוניות?
חד משמעית כן.
אירוע סייבר הינו אירוע מאוד מורכב שמצריך מיומנות רבות וחברות חיצוניות אשר מתמחות בנושא יכולות לעזור רבות לארגון לא מיומן.
לכל ארגון יש מגבלה של כוח אדם ובמיוחד בכוח אדם מיומן לאירועים מסוג זה, לכן חברה חיצונית שמתמחה יכולה לעשות סדר בבאלגן ולייעץ לארגון.
אירוע סייבר הוא אירוע מתגלגל והשחיקה האפשרית לכוח האדם עלולה להיות גדולה, תוספת משאבים מיומנים בוודאי תגדיל את היכולת להתמודד לאורך זמן.
עם זאת חשוב לזכור שכל ארגון הינו אחראי לניהול האירועים וצריכה להיות הגדרה ברורה לתפקיד ולתפקוד של החברות החיצוניות בהיערכות ובניהול המשבר.
אנשי הארגון מכירים טוב יותר את ההקשרים והתהליכים בתוך הארגון לכן חייבת להיות תקשורת יעילה עם הגורמים החיצונים ולחבר אותם למציאות הספציפית של הארגון.
ריבוי שחקנים חיצוניים יכול להוות סיכון בפני עצמו בגלל חשיפת יתר וקרקס תקשורתי.
יש לבחון את החברות החיצוניות ברצינות לאור הניסיון והשירותים הרלבנטיים ולא לפי המחיר.
איך מתרגלים אירוע?
למשל מה קורה אם מערכת הייצור מושבתת?
כמה זה עולה לנו?
אלו טכנולוגיות יכולות לעזור?
יש הרבה טכנולוגיות שיכולות לעזור אך אין להסתמך עליהן בלבד. הן עוזרות לארגון אבל לא מחליפות את הממד האנושי. יש לבדוק כי הטכנולוגיות תואמות להשגת המטרות שקבענו בתהליך ההכנה. החימוש הנכון לקרב.
יש כלים רבים אשר אפשר להשיג בחינם ו/או בעלות נמוכה.
בין הטכנולוגיות הרלבנטיות אפשר למצוא:
מיפוי נכסים.
כלי ניטור וזיהוי.
כלי פרו אקטיביים הבודקים חולשות אבטחה.
כלי זיהוי אנומליות: UEBA, SIEM, EDR.
כלים לגיבוי ושחזור נתונים.
ועוד...
אז מה הכי חשוב לזכור?
רצוי לא לפגוש אירוע סייבר בפעם הראשונה כאשר חווים את האירוע.
היערכות היא תרגול לאורך זמן וחשוב להתאמן כמה שיותר.
חשוב לנתח את האיומים, להבין את גבול יכולת העמידות של הארגון במקרה של אירוע.
להכניס את נושא ההיערכות לשגרה של ניהול העסק, תרבות ארגונית מכוונת סייבר.
אירוע סייבר כנראה יתרחש, אפשר לצאת ממנו מהר ואפשר ליפול בו.
זה בידיים שלכם להיות ערוכים!!!
להיזהר מבורקסים 😊
יוגב נחום
הצטרפתי אל WIZER במרץ 2020 במטרה להנגיש את תחום המודעות לאיומי סייבר בישראל. כהורה לילדים, אני מבין שזאת מיומנות חיים בסיסית שכל אחד ואחת חייבים לאמץ כבר בשלב מוקדם מאוד. לכן כל התכנים שלנו מופצים בחינם לרווחת הקהילה. זה כיף גדול לראות את סרטוני ההדרכה והוובינרים הלימודיים שלנו מופצים ברחבי הרשת ועוזרים לעצב תרבות מודעת. שיתופי הפעולה שלנו עם חברות רבות בישראל מוכיחות את החשיבות של הקהילה. שאתה תורם אתה מקבל בחזרה.
