top of page

קו ההגנה לעולם ייפרץ

מאמר זה מפרט נקודות קריטיות לדיון ומחשבה בפרוץ אירוע סייבר משמעותי.


בחשיבה אסטרגית צבאית, מקובל להניח הנחת יסוד כי קו ההגנה לעולם ייפרץ! וכשזה קורה, מה אז? קל מאוד להשליך מאירועים בטחוניים לאירועי והתקפות סייבר. פסיכולוגיה מקובלת של הנהלות ארגונים מביאה לשתי הנחות חלופיות והפוכות- ניתן להתגונן באופן מלא ומוחלט ואם אכן נעשה זאת, נהיה מוגנים לעד ומנגד, לנו זה לא יקרה.


שתי הנחות אלו אינן עומדות במבחן המציאות- ובוודאי לא ב 100% מן המקרים. ראינו בשנים האחרונות ארגונים חזקים, אשר השקיעו משאבים רבים למניעה ולמוכנות אשר חוות התקפות סייבר ומנגד בוודאי ראינו ארגונים אשר לא שמו את איום יחוס הסייבר כאיום ראשון במעלה.


אם תקבלו את ההנחה בבסיס המאמר, עלינו להתמודד עם ההשלכות של מציאות המרה והטרגית הנובעים מאירועי סייבר קריטיים. לענין זה אני מבקש להציג מספר נקודות למחשבה:

של מי המשבר הזה בכלל- האירועים של החודשים האחרונים, שבחלקם היינו מעורבים, עוררו שאלה של מי בעצם המשבר הזה. האם רק של החברה (על בעלי מניותיה, הנהלתה ועובדיה)? ומה קורה שכשיש התקפה רוחבית ורחבה על מגזרים מסויימים, או כאשר יש התקפה שיש חשד שזו התקפה של מדינה עוינת? אולי זה משבר של המדינה? ואם כן של המדינה, מה קורה אם החברה התרשלה ולא עשתה מאמצים סבירים לשמור על נכסיה הדיגיטליים? רוצה לומר- האם וכמה יש למדינה אחריות למשמר ה״גבול״ גם בסייבר?

  • מקצועיות בניהול משבר היא קריטית- ניהול משבר הוא מקצוע. היכולת לנהל תהליך המאופיין בחוסר ודאות רב מחד ומחיר טעות גבוה מאידך, דורש מקצועיות. אין הלימה בין ניהול עסקי של חברה- גם בתקופה משברית, לבין ניהול אירוע משברי פתאומי. ניהול המשכיות עסקית אינה ניהול המשבר. צריך לזכור, לא לכל הנהלה יש ניסיון בניהול משבר קריטי ורק למיעוטן יש ניסיון בניהול משבר סייבר- בוודאי זה המנוהל תחת תיקתוק שעון האולטימטום.

  • המימד הטכנולוגי אינו המימד היחידי בניהול משבר סייבר- מקובל לחשוב כי אירוע סייבר הוא אירוע טכנולוגי. הנחה זו מובילה להטייה מובנית בניהול התהליך. החלק הטכנולוגי תופס מקום מרכזי ומועדף במסגרת הערכות המצב. המציאות מוכיחה שניהול משבר סייבר הוא קודם כל ניהול משבר ניהולי- עסקי אשר המתאר שלו הוא סייבר. ההחלטות שעל ההנהלה לקבל רובן אינן סייבריות, אלא ניהוליות, תקשורתיות, עסקיות, משפטיות וכו'.

  • ניהול משא ומתן למול האקרים זה מקצוע קריטי- ברוב המקרים כאשר מתנהל משא ומתן (ואינני נכנס כעת לשאלה החשובה האם לנהל משא ומתן) זה משא ומתן עם מערכת יריבה אנושית. מערכת שמודעת להיבטי ניהול המשא ומתן ואפילו בעלת ניסיון. לעיתים ניסיון יותר רב משל הגוף הנתקף. כמו בכל משא ומתן משברי, אין קיצורי דרך, אין אפשרות לנהל משא ומתן כוחני, אין להעניש, אין להעליב ואין להיעלב. זה עבודה סיזיפית שדורשת תכנון, זמן ומקצועיות. אזהרת משתמש: "אל תנסו את זה לבד בבית…"

  • השעות הראשונות הן קריטיות- יש לדעת, השעות הראשונות לניהול האירוע, הן שעות קריטיות והפעולות שהארגון ינקוט בשעות הראשונות עלולות להשליך על עוצמת המשבר בהמשך. לכן אין להמתין ואין להשתהות. יש לפעול באופן מיידי ומקצועי. פניה לא אחראית לתוקף עלולה לגרום לו לנתק קשר.

  • שחזור מגיבוי קריטי אך לא תמיד מספיק- חלק גדול מהאירועים מאופיינים ב"סחיטה כפולה" (סחיטה הממוקדת בפתיחת הצפנה וסחיטה העוסקת במחיקת חומר שיצא מהארגון ואי פרסומו). ברור לכל כי חלק גדול מהמאמצים מופנה להעלות את המידע מתוך גיבויים, ככל שהם קיימים, עדכניים ולא נגועים. בחודשים האחרונים ראינו מקרים רבים בהם ארגונים מותקפים הצליחו לשחזר מתוך גיבויים וסברו שבכך האירוע הסתיים. הם לא לקחו בחשבון, שהמערכת היריבה, ממשה את האיומים שלה לגבי פרסום החומר ו/או מכירתו.

  • קיומו של ביטוח סייבר אפקטיבי הוא קריטי- תופעת ביטוחי הסייבר עדיין ביתולית ורבים הארגונים שעדיין לא מבוטחים. אך גם אם קיימים ביטוחים, יש להבטיח כי הביטוחים האלה מכסים ומשפים את הנדרש. בוודאי לאור האבולציה של ההתקפות בשנה האחרונה יש להקפיד כי הביטוח מכסה את תשלומי הכופר עצמו, ההתערבות של היועצים לניהול משברים ומשא ומתן, היעוץ המשפטי והתביעות הפוטנציאליות. כמו כן, קריטי לעדכן את המבטח בקרות אירוע- לא רק לעניין הכיסוי אלא גם לעניין הקפצת צוותי התערבות ומשא ומתן מיומנים.

  • לשלם או לא לשלם זו לא השאלה- השאלה הזו חוזרת על עצמה שוב ושוב. בעולם אופטימלי אכן אין לשלם כופר לתוקפים וזאת בהנחה שאם לא ישולמו תשלומים ההתקפות תפסקנה ושהמדינה תוכל להגן על הנתקפים גם באמצעים פיזיים וגם בהפחתת הסנקציות למול גופים שמידע של לקוחותיהם דלפו. אך אנו חיים בעולם יותר מציאותי ואם לנגד הנהלת ארגון נתקף עומדת החלטה אם לשלם סכום של 100 אלף שקל כדי להציל את הארגון או לדבוק בעקרון שאין לשלם ולסכן את הישרדותו של הארגון, הדילמה כבר יותר מורכבת ומחיר הטעות הוא קריטי. ודרך אגב, גם ביצוע תשלום הוא נושא מקצועי- איך מתפעלים ארנק, איך בודקים שהארנק של התוקף לא מופיע ברשימת הסנקציות, איך מאבטחים ומתזמנים את העסקה ועוד ועוד.

  • האם לנהל משא ומתן- לצד שאלת התשלום עומדת שאלת המשא ומתן. לכאורה, אם אין בכוונתך לשלם מדוע שתנהל משא ומתן. ובכן, בעוד שההמלצה לשלם או לא לשלם תלויה באירוע עצמו- באבחון התוקף והמוטיבציות שלו, ביכולת לשחזר ללא תשלום, באידאולוגיה של הנתקף, הרי לגבי משא ומתן התשובה יותר ברורה- משא ומתן הוא הכלי היחיד לקנות זמן כאשר צריך זמן, משא ומתן הוא כלי חשוב לקבל מודיעין על התקיפה והמוטיבציות של התוקף ומשא ומתן הוא כלי טוב כדי לנסות להבטיח את יציבו העסקה וקיומה.

  • לא כולם צריכים להיות פה- משבר סייבר מתפרץ מייצר כאוס. בין היתר, יש נטיה לזמן הרבה יועצים. בעיקר טכנולוגיים אך לא רק. חלקם מגיעים בעצמם - למקום הכי מעניין בעיר. אין ספק שריבוי יועצים פוגע באפקטיביות. על מנהלי המשבר לעשות סדר ולתעדף את מעגלי היעוץ ולטייב את נותני השירות.

  • לתרגל, לתרגל, לתרגל- בהנחה שאכן קו ההגנה יפרץ, אין דרך יותר אפקטיבית מלהתמודד עם זה, אלא באמצעות תרגול וסימולציות. חלק מהגופים מתרגלים בצורה כזו או אחרת בהתאם לדרישות רגולציה. שאר הגופים מתחילים לתרגל עקב המודעות הגוברת.


עו"ד נוי ארז, מנכ"ל משותף בקריטיקל אימפקט המנהלת משברי סייבר

留言


bottom of page