וובינר: הערכות נכונה לאירוע סייבר

מהן ההשלכות של אירוע סייבר ללא הערכות?

במילה אחת באלגן, בשתי מילים בלאגן ופאניקה.

חברה שלא נערכת לאירוע סייבר תפגוש את האתגרים בניהול המשבר בפעם הראשונה תוך כדי המשבר ולכן כל ההחלטות והפעולות יבוצעו תחת לחץ עצום וללא תכנון מקדים.

במצב שכזה בכלל לא בטוח שחברות יוכלו להשתקם מאירוע סייבר שיכול לחסל את החברה.

באירוע סייבר הדברים קורים מהר וכל דקה חשובה, חוסר מוכנות יוביל להוצאות כספיות עצומות ולהפסדים כספיים ודאיים. חברות בכל הגדלים יכולים לאבד את הכול!

אירוע סייבר הוא משבר כנראה בלתי נמנע ולכן חובה להיערך אליו מבעוד מועד.

ממש כמו שנזילות מהגג מתקנים ביום שיש בו שמש...

מי צריך להיות מעורב בהיערכות?

היערכות קשורה לתרבות הארגונית. התרבות הארגונית של הארגון צריכה להיות מכוונת להגנת סייבר מפני שאירועי סייבר מהווים איום מתמיד על ההמשכיות העסקית של החברה.

צוות האבטחה ממונה על אבטחת הארגון אך הוא לא יצליח ללא שיתוף פעולה של כל החברה והנהגתה של הנהלת החברה.

אירוע סייבר כולל אספקטים רבים בו מעורבים גורמים שונים כמו המחלקה המשפטית, דוברות, מחלקת המחשוב, משאבי אנוש וכל בעלי התפקידים האקטיביים בהנהגת החברה.

התקשורת של צוות האבטחה עם הארגון כולו ובראשו ההנהלה היא קריטית להבנת התפקידים והמשימות הרלבנטיות לביצוע בעת המשבר.

נושאי התפקידים צריכים לדעת איך לפעול בזמן אמת ולדעת מי עושה מה.

תרגול של אירוע סייבר ימנע את הבאלגן וייתן כלים לבעלי התפקידים להתנהל בצורה אפקטיבית.

מצד שני יש להימנע מריבוי שחקנים כדי לשפר את יכולת הניהול ולהימנע מרעשי רקע מיותרים.

 

אז איך נערכים נכון?

כל חברה צריכה להגדיר לעצמה מה ייחשב אירוע סייבר? מה ההשלכות של כל אירוע? מי אמור להיות מעורב בטיפול של האירוע? מה צריך לעשות כדי לזהות אותו בצורה יעילה? ומה צריך לעשות כדי לפתור אותו במהרה כדי לחזור לפעילות רגילה?

ישנו צורך במיפוי התרחישים הרלבנטיים לארגון ולהגדיר את הרף שקובע כי ישנו אירוע, כלומר צריכה להיות אבחנה שאם אירוע מסוים מתרחש אנחנו באירוע סייבר. מהו בעצם אירוע בו אנו מרימים דגל אדום?

התרחישים הרלבנטיים גוזרים לנו את ההערכות המתאימה להמשכת הפעילות העסקית והפעולות הרלבנטיות.

יש לקחת בחשבון את המנגנונים הקריטיים לארגון לתפקוד, כלומר מה צריך להמשיך לתפקד כדי להישאר בפעילות עסקית?

ארגונים צריכים להטמיע מערכות זיהוי, DR ((Disaster recovery, נהלים למקרה אמת והכנת המערכות לתפקוד בזמן אירוע.

זהו אירוע מורכב שלתוקף יש שליטה והוא מכתיב את ההתפתחות שלו לכן צריך להיות מוכנים עם שאלות כגון:

מהי הדחיפות של הערכת המצב? איך מכריזים על אירוע? מי מבצע את הפעולות השונות? מהן הפונקציות הקריטיות לטיפול בכל סוג אירוע? איך מנצלים את המשאב האנושי בחברה? מי יכול לעזור לנו? מה חשוב לעשות קודם?

כמובן שחשוב לתקשר את הנושא למחלקות השונות שיוכלו לזהות ולשתף את הארגון כאשר יש חשש לאירוע ולא להסתמך רק על מערכות טכנולוגיות.

 

נשמע מסובך, לא עדיף לעשות ביטוח סייבר?

ביטוח סייבר הוא כלי אחד בהתמודדות עם אירוע סייבר אשר יכול לפצות על הנזק שנגרם עקב אירוע סייבר אך הוא אינו מחליף היערכות לאירוע סייבר.

לחברות הביטוח יש דרישות רבות בביטוח לכן היערכות הולמת היא חלק בלתי נפרד בקניית ביטוח.
 
ביטוח סייבר עלול להקנות תחושה מוטעית של מוכנות למשבר, בפועל ארגונים יכולים לאבד את כל מה שיש להם והביטוח יהיה מינורי לאור ההפסדים בזמן הקצר והארוך.

יש לזכור כי חברות ביטוח מיומנות מאוד בביטוח של עצמן לכן חשוב לבדוק מה גודל הפיצוי? איזה מקרים הוא מכסה? ומה גודלה של ההשתתפות העצמית?

האם צריך להיעזר בחברות חיצוניות?

חד משמעית כן.

אירוע סייבר הינו אירוע מאוד מורכב שמצריך מיומנות רבות וחברות חיצוניות אשר מתמחות בנושא יכולות לעזור רבות לארגון לא מיומן.

לכל ארגון יש מגבלה של כוח אדם ובמיוחד בכוח אדם מיומן לאירועים מסוג זה, לכן חברה חיצונית שמתמחה יכולה לעשות סדר בבאלגן ולייעץ לארגון.

אירוע סייבר הוא אירוע מתגלגל והשחיקה האפשרית לכוח האדם עלולה להיות גדולה, תוספת משאבים מיומנים בוודאי תגדיל את היכולת להתמודד לאורך זמן.

עם זאת חשוב לזכור שכל ארגון הינו אחראי לניהול האירועים וצריכה להיות הגדרה ברורה לתפקיד ולתפקוד של החברות החיצוניות בהיערכות ובניהול המשבר.

אנשי הארגון מכירים טוב יותר את ההקשרים והתהליכים בתוך הארגון לכן חייבת להיות תקשורת יעילה עם הגורמים החיצונים ולחבר אותם למציאות הספציפית של הארגון.

ריבוי שחקנים חיצוניים יכול להוות סיכון בפני עצמו בגלל חשיפת יתר וקרקס תקשורתי.

יש לבחון את החברות החיצוניות ברצינות לאור הניסיון והשירותים הרלבנטיים ולא לפי המחיר.

איך מתרגלים אירוע?

בתרגול אירוע צריך להדמות תרחישים ולתרגל מה קורה אם?...

למשל מה קורה אם מערכת הייצור מושבתת?
 
הארגון יכול לתרגל איך ייראה האירוע? מהן ההשלכות? בתוך כמה זמן צריך לפתור אותו? מה הנזק שאפשר "לחיות איתו"? ומה חשוב ביותר לארגון כדי להמשיך את הפעילות העסקית?
 
מתוך התרגול יש לאפיין מקרי תגובה וחלוקת תפקידים ומשימות למקרה של אירוע.
 
אפשר לערוך תרגיל יבש בו דנים באירוע פוטנציאלי ולגזור את ההתנהלות הנדרשת.
 
אפשר לערוך תרגול רטוב בו עורכים מבדקים יזומים המדמים אירוע ולבדוק את רמת המוכנות.
 
התרגול עוזר לחברה להיות מוכנה והתחקור של התרגול יעזור רבות להפקת לקחים רלבנטיים.
 
ארגונים צריכים להכיל טעויות וללמוד מהן, אלו אירועים מורכבים שדורשים תרגול ולמידה רציפה. ביקורת חריפה והאשמות לא יעזרו לפתח תרבות ארגונית מכוונת סייבר.
 
יש להישמר מאוד מהבורקסים בתרגילים היבשים!!!😊

כמה זה עולה לנו?

העלות של היערכות נמוכה בעשרות מונים בהשוואה לנזק הפוטנציאלי של אירוע ללא הכנה.
 
בד"כ מדובר בעשרות אלפים ואירוע לא מנוהל יעלה לחברה מיליונים וסיכון לחורבן החברה.
 
ההשקעה לבטח כדאית.

אלו טכנולוגיות יכולות לעזור?

יש הרבה טכנולוגיות שיכולות לעזור אך אין להסתמך עליהן בלבד. הן עוזרות לארגון אבל לא מחליפות את הממד האנושי. יש לבדוק כי הטכנולוגיות תואמות להשגת המטרות שקבענו בתהליך ההכנה. החימוש הנכון לקרב.

יש כלים רבים אשר אפשר להשיג בחינם ו/או בעלות נמוכה.

בין הטכנולוגיות הרלבנטיות אפשר למצוא:

מיפוי נכסים.

כלי ניטור וזיהוי.

כלי פרו אקטיביים הבודקים חולשות אבטחה.

כלי זיהוי אנומליות: UEBA, SIEM, EDR.

כלים לגיבוי ושחזור נתונים.

ועוד...

אז מה הכי חשוב לזכור?

רצוי לא לפגוש אירוע סייבר בפעם הראשונה כאשר חווים את האירוע.

היערכות היא תרגול לאורך זמן וחשוב להתאמן כמה שיותר.

חשוב לנתח את האיומים, להבין את גבול יכולת העמידות של הארגון במקרה של אירוע.

להכניס את נושא ההיערכות לשגרה של ניהול העסק, תרבות ארגונית מכוונת סייבר.

אירוע סייבר כנראה יתרחש, אפשר לצאת ממנו מהר ואפשר ליפול בו.

זה בידיים שלכם להיות ערוכים!!!

להיזהר מבורקסים 😊