הבלוג של WIZER למודעות לאיומי סייבר

ניהול משבר סייבר

Written by יוגב נחום | 12:18:21 10/11/2022

 

 

איך נראה ארגון שחווה משבר סייבר?

לרוב, התחושות בארגון שחווה משבר סייבר הן של הלם מוחלט.

בד"כ לוקח לחברות זמן להבין שהן חוות משבר, לעיתים הן חושבות שבכלל מדובר בתקלה מתמשכת ולכן המשבר לעיתים מתחיל עוד לפני שיש מישהו שמודע לכך.

כאשר "נופל האסימון" מתבהרת ההבנה שקורה פה משהו אחר ומשמעותי וכנראה שהמציאות מחייבת עזרה חיצונית.

משבר מאופיין בכמה דברים:
  1. הוא משבש את חיי הארגון. הארגון אינו יכול להמשיך להתנהל כרגיל.
  2. אלמנט של הפתעה.
  3. מהווה איום ממשי ואמיתי על הארגון.
הדברים מתחילים לקרות מהר מאוד ובעצם מתחיל מרדף אחרי פושעי הסייבר במטרה למזער את הנזקים ולחזור לשגרה כמה שיותר מהר.

ישנם ארגונים שחושבים שאפשר לעשות זאת תוך יום אך המציאות מראה שזהו תהליך שלוקח 10-14ימים אם הוא מנוהל בצורה אפקטיבית. ההשלכות משפיעות ומעסיקות את הארגון הרבה מעבר לתקופה הזאת.

הפנמת המציאות ויציאה מהירה לפעולה הכרחית לייעול ניהול המשבר.

בכל אופן מדובר במציאות מאוד מורכבת שמצריכה את כל תשומת הלב. הביקורת החיצונית והפנימית רק מקצינה את הדרמה והטלטלה שהארגון חווה.

מהן הטעויות הנפוצות שארגונים מבצעים?

מעבר לכך שחברות לא נערכות למשבר סייבר , לא מתרגלות מקרי קיצון ולא מתקשרות עם שחקנים רלבנטיים בתחום לפני פרוץ המשבר, ישנו חוסר יכולת בהפנמת הבנת האירוע.

כלומר, הדבר הבסיסי שיקבע את אופי ההתנהלות היא ההבנה עם מה הארגון בעצם צריך להתמודד במשבר ומהן המטרות שעליו להשיג כדי לנהל אותו בצורה אפקטיבית.

לכל סוג אירוע יש את הסיכונים שלו, ההשלכות, נזק הפוטנציאלי והתמודדות.

הגדרת האירוע תקבע את תיעדוף המשימות ואופי ניהול המשבר.

אירוע של דלף מידע שונה מאירוע של מניעת שירות למשל.

אופי הארגון והשירות שהוא נותן מכתיב את הנזק הפוטנציאלי, לא תמיד מדובר בכסף. בבתי חולים מדובר על חיי אדם ובמפעלים עם חומרים מסוכנים זה יכול להתבטא בסיכון חיי אדם והסביבה.

במצבים של אי ודאות, ארגונים חייבים להבין כי הם חייבים עזרה מקצועית מהירה.

מי צריך להיות מעורב בניהול המשבר?

ניהול משבר מצריך מעורבות של הרבה גורמים וסכרון מורכב ביניהם.

יש צורך לאתר ולתקן תקלות, לשחזר נתונים, לנהל זירה משפטית, לדווח לגורמים הרלוונטיים, לנהל מו"מ, יחסי ציבור ועוד.

מצד שני ישנה שאיפה שהעסק ימשיך לעבוד ולכן לא לערב גורמים לא רלבנטיים.

צוות המחשוב, האבטחה והמערכות בוודאי יהיו עסוקים מאוד.

ההנהלה הבכירה חייבת להיות מעורבת ולהכריע בהחלטות חשובות.

צוות הכספים מהווה פקטור חשוב בניהול הסיכונים, ההוצאות והנזקים הפוטנציאלים.

הצוות המשפטי יעזור בסוגיות של דיווח, התנהלות מול רגולטורים וגורמים אחרים.

ריבוי השחקנים מחייב תקשורת רציפה ותיעוד מלא של המשבר כדי להפחית את חוסר הודאות שגם ככה קיים.

יש גם לדאוג לכוח האדם בעניינים מנהלתיים כמו אוכל, מקום לישון וגם בתמיכה נפשית למקרי לחץ. לאור המורכבות והצורך בניהול מהיר יש צורך ממשי בייעוץ חיצוני של מומחים בתחום.

מהם השלבים בניהול המשבר?

ישנם מספר שלבים קריטיים לניהול משבר בצורה אפקטיבית.

הבנה – התפיסה שהארגון נמצא במשבר ומעבר להתנהלות בה כל תשומת הלב מופנית לטיפול בו.

יצירת חדר מלחמה ושגרות עבודה. התכוננות לניהול פרויקט ללא סוף מוגדר.

   הגדרה של שגרות ניהול וקבלת החלטות.

דאגה לעניינים הלוגיסטיים במציאות שנכפתה על הארגון.


ניתוח – הבנה של מה קרה? מה נפרץ? מה נעשה עד כה? מה בעצם עובר על הארגון?

הכלה – הסכמה על הפעולות שיש לבצע כדי למזער את הסיכון ולצאת ממשבר.

הכרעה – הוצאת התוקפים מהרשת וחזרה לתפקוד.

חזרה לשגרה – שלב שיכול להתארך כי למשבר יש אפקטים רבים שנובעים מהמשבר עצמו.

הפקת לקחים – ניתוח של האירוע ולמידה, העלאת המודעות לאיומים, תרגול והתגוננות רלבנטית.

כאמור, משבר סייבר מצריך מעורבות של הרבה גורמים תשומת לב מלאה של הארגון לפתרון הבעיה.

גם שהמשבר כביכול נגמר ישנם הרבה גורמים שצריך לנהל ולדאוג להם. טיפול במידע שזלג, התנהלות

מול רשויות, תביעות משפטיות, טיפול בלקוחות, שיקום המוניטין ועוד.

החדשות הטובות הן שלרוב ארגונים ששורדים משברים מסוג זה יוצאים מחוזקים ועושים התקדמות רבה

בניהול האבטחה בארגון. הקשב בהנהלה גובר, שינויים תהליכים ומבניים, הקצאת משאבים וכספים, רכישת טכנולוגיות מסייעות וכו.

משבר סייבר אינו גזר דין מוות לארגון!!!

האם כדאי לשלם כופר לתוקפים?

זאת החלטה עסקית ששוקלת את העלות והתועלת לתשלום הכופר ברגע נתון.

מקבלי ההחלטות צריכים להיות בעלי הבנה מלאה למשמעות ומהות האירוע וההשלכות שלו.

מה בדיוק קורה, אלו מערכות לא פועלות, איזה וכמה מידע דלף, באילו מערכות נמצאים התוקפים ואיך הם נכנסו.


בד"כ לוקח 72 שעות בניהול נכון להגיע לתובנות מסוג זה. מילת המפתח היא בהירות.

דבר שני שמאוד חשוב הוא שההחלטה לא תתקבל בפן אמוציונלי.

תוקפים יכולים להיות מאוד מתוחכמים ולערב קרובי משפחה כדי למנף לחצים.

מצד שני, טיעונים של אי שיתוף פעולה עם פושעים או אי רצון להיכנע לטרור לא רלבנטיים לרגע המשבר.

ההנהלה צריכה להתרכז בסיכונים והיתרונות של ההחלטה תחת אילוצים של קבלת החלטות מהירה.


חשוב להסתמך על העובדות.

עזרה ממומחים תיתן פרספקטיבה רחבה לקבלת ההחלטה הנכונה.

תשלום כופר בישראל אינו לא חוקי.


 

למי צריך לדווח?

דיווח על האירוע הינו אלמנט רציני בניהול האירוע.

יש לדווח לחברות הביטוח במקרה והארגון מבוטח.

חובה לדווח לרגולטורים הרלבנטיים לסקטור העסקי שלו הארגון שייך, בנקים, תקשורת, בריאות חקלאות.

במידה ומדובר בארגון בעל תשתיות קריטיות יש לדווח לגורמים של בטחון לאומי.

במקרה של דלף מידע יש לדווח לרשות הגנת הפרטיות.

דווחי רשות יהיו למשטרה ולמערך הסייבר.

הדווח לציבור חייב להיות מתואם עם הגורמים הרלבנטיים.

איך אפשר לדאוג שזה לא יקרה שוב?

אי אפשר להבטיח שמשבר סייבר לא יחזור על עצמו.

הפקת לקחים, תיקונים של כשלים וניהול סייבר ברמה גבוהה יעלו את החוסן הארגוני.

צריך לעלות הילוך בכל האספקטים הרלבנטיים ולהתייחס לעניין בכובד ראש.

כאמור, בד"כ משבר מסוג זה יוביל את הארגון לתרבות הרבה יותר מודעת והשקעה רבה בהתמודדות עם איומי סייבר.

 

מה חשוב לזכור?

לא לחכות למשבר, לתרגל, לעלות מודעות, להקצות משאבים ולהתנהל בצורה אחראית.

משבר הוא רגע קריטי בו חברה מבינה שהיא חייבת עזרה חיצונית אך הוא לא גזר דין מוות.

משבר יכול להיות הזדמנות לצמיחה והעלאת סטנדרטים רצינית בתרבות הסייבר הארגונית.

לא לשכוח שהרבה אנשים יהיו מעורבים במשבר. יש לדאוג לתקשורת טובה, לעניינים לוגיסטיים ומצבים נפשיים.

הגורם האנושי הוא זה שיכריע לטובתכם.

לקבל עזרה חיצונית ממומחים בתחום.