צוות תגובה נותן מענה ברגע שמתעורר מקרה חירום בחברה. לא מדובר כאן על הערכות לאירוע בהכנת תוכנית המשכיות עסקית, אלא במתן מענה מיידי לארגון שהותקף.
אירוע סייבר יכול להתחיל במספר אופנים, דוגמת: מחשבים מוצפנים או מתקפה שמונעת פעילות (DoS).
מרגע שאירוע כזה מתחיל, נוצר עומס ניכר במספר רב של מוקדים בארגון. זהו בדיוק הרגע בו תרצו חברה מנוסה שתסייע לכם לעבור את האירוע באופן הטוב ביותר.
למי מיועד צוות תגובה?
לחברות שברגע זה הותקפו וזקוקות לסיוע מיידי.
מהם היתרונות בסיוע של צוות תגובה?
מתקפת סייבר מתוכננת על ידי התוקפים זמן רב מראש והם ערוכים למגוון תרחישים מצד המותקף. על מנהלי הארגון להפנים שמדובר בתהליך לא קצר אשר יחייב התערבות של מספר מחלקות. בעוד שבתחילה הדגש יהיה על ההיבטים הטכניים, הרי שהאירוע עשוי לכלול גם היבטים עסקיים ומשפטיים. כדאי ומומלץ להסתייע בחברה מקצועית וחיצונית שהייתה מעורבת במקרים רבים כאלו בעבר.
מה יהיו הדגשים?
- איתור וקטור החדירה לארגון והמסלול שהתוקף עבר ברשת הפנימית.
- סיוע בניקוי הרשת מהפוגענים.
- סיוע בקשר מול גופי ביקורת חיצוניים.
- השתתפות בישיבות החירום ומתן הנחיות מתאימות.
יסודות קריטיים לפעילות צוות תגובה
שיתוף פעולה עם צוות התגובה
חיוני לחבר את צוות התגובה לאנשי מפתח בארגון אשר יהיו שקופים ומשתפי פעולה. צוות זה כולל את המנכ”ל, מנהל הטכנולוגיות, משרד יחסי הציבור (אם קיים), יועצים משפטיים, אנשי כספים ועוד. שיתוף פעולה זה מסייע בניתוח מהיר של תמונת המצב, בצמצום זמן ההשבתה ובהפחתת הנזקים.
רגולציה ודיווח על מתקפות סייבר
האם חלה חובת דיווח במקרה של מתקפת סייבר ודליפת מידע? יש לבחון את הרגולציה החלה על החברה:
- חברות פרטיות וציבוריות.
- חברות הפועלות בישראל וכפופות לתקנות הגנת הפרטיות של רשות הגנת הפרטיות במשרד המשפטים.
- חברות הכפופות לתקנים בינלאומיים כגון GDPR, תקנות אמריקאיות המחייבות דיווח על אירועי סייבר, תקנות HIPAA ועוד.
תהליך זיהוי, בידוד ובלימה
כאשר מתרחשת מתקפה, יש לבצע זיהוי מהיר של מבנה הארגון, מערכות המידע ומהות המתקפה. תהליך זה כולל:
- תיעוד ואיסוף ראיות מדוקדקות.
- בידוד הזירות הפגועות.
- בלימת המתקפה.
- החזרת הארגון לשגרה במהירות האפשרית.
מומחיות מיוחדת של צוות התגובה
בתגובה למתקפות סייבר נדרשת מומחיות מיוחדת. צוותי תגובה מתמודדים לעיתים קרובות עם טעויות קריטיות שביצעה החברה טרם התקיפה, כגון ניהול מו”מ לא מקצועי עם האקרים, השמדת ראיות דיגיטליות חשובות והשבת מערכות לפעולה לפני איתור וקטור התקיפה. על מנת להימנע מטעויות אלו, חשוב לבצע:
- ניהול נכון של מו”מ עם האקרים.
- איסוף ושמירת ראיות דיגיטליות.
- השבת מערכות לפעולה רק לאחר הבנת מקור התקיפה.
ניהול מתקפת סייבר – שלבים מרכזיים
- אבחון וזיהוי ראשוני (Detection & First Response) – זיהוי ראשוני של הזירות הדיגיטליות שנפגעו.
- אנליזה והערכת הנזק (Analysis & Assessment) – זיהוי מערכות שנפגעו וחקירת מקור התקיפה והערכת היקפי האירוע ובחינת אפשרות דליפת מידע.
- בידוד ובלימה (Containment & Eradication) – בידוד הזירות הפגועות ובלימת המתקפה.
- שיקום והתאוששות (Recovery) – קביעת סדרי עדיפויות להתאוששות ושיקום תוך צמצום נזקים.
- תחקור והפקת לקחים (Conclusions) – תחקור האירוע והפקת לקחים לצמצום סיכונים עתידיים.
תחקור מתקפות סייבר ופרצות אבטחה
תחקור מתקפת סייבר כולל:
- ניהול חקירה לאיתור מקור הנזק.
- בדיקת תקפות דרישות המיגון ואבטחת המידע.
- תיעוד ראייתי של כל שלבי התהליך.
- כתיבת דוח ממצאים והמלצות לאירוע אבטחת מידע.
תוכנית תגובה לאירועי סייבר – תוכנית IR
תוכנית IR מסודרת מסייעת בקיצור משמעותי של נזקי המשבר. במסגרת התוכנית, ממנה החברה אנשי מפתח עם תפקידים מוגדרים מראש לטיפול במשבר. צוות התגובה המהירה של מדסק נכנס לפעולה בעת אירוע סייבר ויכול לסייע גם בבניית תוכנית IR מותאמת אישית.
צוות תגובה מורכב מאנשי מקצוע מנוסים. לא מדובר כאן בעובדים בלתי מיומנים שמספקים תשובות בהתאם לתבניות מוכנות מראש, אלא בהגעה פיסית למתקן הלקוח, בהובלת תהליך בארגון, בהנחיית מגוון מחלקות ובשמירה על קשר שוטף מול רשויות דוגמת מערך הסייבר והרשות להגנת הפרטיות. וודאו היטב שהחברה שבחרתם אכן עונה על כל הדרישות הללו!