בהתאם לנתונים של מערך הסייבר, קרב ל 50% מהארגונים שבהם מועסקים 250 עובדים ומעלה חוו מתקפת סייבר.
הארגונים משקיעים הון רב בתכנון אסטרטגית אבטחת מידע, רכש של מערכות והדרכת מודעות לעובדים, אבל הכל נעשה מורכב יותר ויותר.
אתגרי אבטחת סייבר בתוך שרשרת אספקה מורכבת
כל ארגון מהווה חוליה בשרשרת אספקה, וקשה מאד להימנע מנוזקות שמגיעות מספקים של הארגון. בנוסף, הקישוריות הנוחה וכמות ה Zero day הבלתי נגמרת מסייעים לתוקפים ליצור את וקטור התקיפה לארגון.
ועכשיו, ערב שבת, מגיעה לפתע הודעה מלקוח שחווה ברגעים אלו מתקפת סייבר. האירוע יכול להיות: אירוע כופרה בו התוקף מצליח להצפין שרתים ומנסה לסחוט כספים, דליפת מידע, חדירה לארגון במטרה להתקדם בשרשרת האספקה ועוד.
מה עושים, למי פונים ?
ישנם מספר כללים שעלינו לזכור:
- אירוע סייבר (IR-Incident Response) משפיע ופוגע בכל המערכות של הארגון, לכן הטיפול באירוע מחייב את ההערכות של כולם.
- מניסיון, התוקף נמצא כבר זמן מה ברשת הפנימית והוא כבר מוכן למספר תרחישים. אבל, עבור הארגון האירוע קורה בהפתעה.
הדרך הנכונה להערכות לקראת אירוע סייבר, עשויה להפתיע רבים מאחר והיא פשוטה מהצפוי. דבר ראשון כמו בכל נושא אחר בחיים, נרשמים לשירות IR שמספקת חברה טכנולוגית. אותה חברה תפעל מטבע הדברים על סמך לוגיקה שנוסתה על ידה באירועים רבים. הצוות יכין תיק אתר מסודר שיסייע בזמן חירום להגיב באופן מהיר ומקצועי. כך, ברגע האמת ייחסך הצורך באיתור חברה שתשלח צוות לטיפול וניהול האירוע.
טיפול באירוע סייבר מחייב התייחסות לשני מישורים:
ניהולי – ייעוץ שוטף להנהלת הארגון, משאבי אנוש, כספים, ייצור ומשפטי. במסגרת זו היועץ מסייע בהתמודדות עם מגוון הבעיות והסוגיות שעולות, לדוגמה:
- את מי מעדכנים, מתי ובאיזה אופן
- איך פועלים מול גופים חיצוניים שמחייבים התייחסות מיידית
- אופן הפעולה מול עובדים ולקוחות של החברה
- השתתפות בפגישות הנהלה לשם התייעצויות
טכני – בשלב הראשון של האירוע, הצוות הטכני אמור לתת מענה לשתי שאלות מהותיות:
- מאיפה חדרו לארגון – זיהוי של וקטור החדירה לרשת, מחייב הבנה מעמיקה וניסיון רב
- להיכן הצליחו התוקפים להגיע – פעולה שגוזלת זמן רב, מאחר ויש צורך לבדוק מערכות רבות.
בהמשך, מגיע שלב הזיכוי של הרשת. שלב זה מחייב כוח אדם טכנולוגי מיומן שמסייע בבדיקת כל המערכות שמשוחזרות מהגיבוי. במקביל מנהל האירוע מטפל בכל האישורים הנדרשים מול הגופים הרגולטוריים.
עלינו לזכור שבעת תכנון אסטרטגית אבטחת המידע לארגון, אחר המעגלים עוסק במקרה שבו התוקף הצליח לחדור לרשת הפנימית. שירות IR שמסופק 24/7 נותן מענה לדרישה שמגיעה מכיוונם של סטנדרטים ותקנים רבים.
אירוע סייבר בארגון מחויב בדיווח לרשויות, ללקוחות מהותיים ועשוי לגרור מהלכים שיפגעו בארגון. מוטב לכל ארגון להיערך מראש, וכאן מגיע לידי ביטוי הניסיון רב שצברו צוותי IR של Madsec