הקפצה הקפצה - אירוע סייבר!


חברות רבות הפונות לרכוש פוליסת ביטוח, מבקשות להבין את ההתנהלות בפרוץ אירוע סייבר • הן גם נפגשות באופן יזום עם חברות המתמחות בניהול משברי סייבר ופונות למבטחים שיאשרו אותן במסגרת הפוליסה • התקשרות מוקדמת עם צוות ההתערבות לטיפול באירועי סייבר חיונית לניהול יעיל של האירוע ואף יכולה להיות המפתח לפתרונו

חשיבות פוליסת ביטוח סייבר לחברות עסקיות היא ראשונה במעלה, ולמרות זאת, צוותי התערבות הקופצים לזירת האירוע בעת משבר הם חיוניים וקריטיים להקטנת הזנק הפוטנציאלי של האירוע - במאמר זה תקבלו הצצה קטנה ליתרונות צוות התערבות ולחשיבותו לצד פוליסת הביטוח.


לאירועי קיצון בצבא יש צופרים. אלו נועדו להפעיל רעש בלתי נסבל ברחבי הבסיס. האזעקה הזו

נועדה להעביר מסר חד משמעי לכל יושבי הבסיס, אבל גם ובעיקר להפעיל את צוות ההתערבות.

למשמע הצופרים הלוחם בצוות עובר ברגע אחד מ 0- ל 100- . כלומר, ממצב שגרה למצב חירום -

בו הוא ושאר צוות ההתערבות יודעים שעליהם להיות מוכנים תוך דקות אחדות, בדרך כלל פחות

משלוש דקות, לעלות לוואן מסחרי )'סוואנה'( / מסוק / כלי שיט ולצאת ליעד האירוע.


בעולם אירועי הסייבר, צוותי התערבות מגיעים לאירוע, על פי רוב, בשלושה ערוצים מרכזיים:

1 הערוץ הראשון מתייחס לפנייה אד הוק באירוע מתפרץ - במסגרתה מתקבלת שיחת טלפון בהולה, לרוב מאישיות בכירה. שיחה עם הרבה מאוד לחץ, תיאור פרטים באופן לא

מסודר, וממנה עולה כי מחשבי החברה הוצפנו ויש הודעת כופר עם אולטימטום. הבקשה

ברורה - תגיעו מייד.

2 הערוץ השני הוא הפעלת צוות ההתערבות של המבטח אשר בחלק ניכר מהמקרים זהות הצוות אינה ידועה ולא בשליטת הלקוח. בדומה לערוץ הראשון, ישנה סבירות גבוהה

שההיכרות הראשונית תהיה רק בשולחן הערכת המצב הראשונה.

3 הערוץ השלישי הוא התקשרות מוקדמת במסגרת מתן שירותים קבוע. במקרה זה, השיחה נראית אחרת לגמרי. המספר על צג הטלפון הינו מספר מזוהה, מוכר וידוע, הרי

שנעשתה היכרות מוקדמת וישנה כשירות ומוכנות גבוהה של החברה הנתקפת. השיחה

מסתכמת במשפט קצר: "חבר'ה, יש אירוע אמת, תגיעו…".


לאירועי כופרה אין תקן מוגדר לצוות התערבות ומנעד היכולות של צוותי ההתערבות בשוק גדול

כמספר הצוותים. יש מקרים בהם צוות ההתערבות הוא " One Man Show ", מומחה בודד או

מספר מצומצם של מומחים, שאחראי רק על תחום אחד. לצד זאת ישנם צוותים מורכבים,

המכילים קבוצה של יכולות המעניקות בעבודה המשותפת יותר מסך החלקים לבדם. לצורך

הדוגמה, בתחום הכופרה ישנם צוותים הממוקדים להיבט הטכנולוגי ולצדם מומחים אחרים לתחום

המו״מ ו/או המודיעין. לצדם, קיימים צוותים המספקים מענה הוליסטי לאירוע הכולל: מנהל אירוע,

מנהל מו"מ, פסיכולוג מבצעי )אבחון ואפיון המערכת היריבה(, צוות טכנולוגי, יח״צ ועוד.


בשנים האחרונות ישנה מגמה גוברת להתעמק בנושא ביטוחי הסייבר ולא להסתפק רק בנושא

הכיסוי הביטוחי. חברות רבות הפונות לרכוש פוליסת ביטוח, מבקשות להבין את ההתנהלות

בפרוץ אירוע ולברר מול סוכני הביטוח גם את רשימת נותני השירותים השונים במסגרתה.

במסגרת זו, הן גם נפגשות באופן יזום עם חברות המתמחות בניהול משברי סייבר ופונות

למבטחים על מנת לאשר חברות אלה במסגרת הספקים המכוסים בפוליסה שרכשו.


להלן מספר דגשים שיש לקחת בחשבון לעניין התקשרות מוקדמת עם צוות התערבות:


התחייבות לזמן הגעה ( SLA ) - "שעות הזהב" הן השעות הראשונות והחשובות ביותר

בפרוץ אירוע, בהן מכנסים את בכירי החברה עם הגורמים המקצועיים לתכלל את כל

האינפורמציה הידועה ולהתחיל לבצע פעולות להחזרת השליטה. הסכם התקשרות מוקדם

מאפשר הפעלה של צוות ההתערבות תוך שעות בודדות וליווי טלפוני מידי.


היכרות מוקדמת - צוות ההתערבות מלווה, מתרגל ומייעץ באופן שוטף לאורך כל השנה.

במסגרת זו הצוות לומד את איומי הייחוס, לומד את הנהלים והתהליכים, פוגש את בעלי

התפקידים הבכירים, לומד את הנכסים ואף יכול לספק תובנות לשיפור הכשירות לאירועי

קיצון. מכך נובע שבקרות אירוע מדלגים על שלב ההיכרות וחוסכים זמן יקר ערך בשעות

האירוע הראשונות.


״מקומיות״ - צוות התערבות מקומי, מוכשר ומיומן מאפשר חיבור בין הצוות ה״חיצוני״

והארגון. המקומיות החולקת שפה, תרבות, היכרות רגולטורית ומשפטית מקומית ועוד,

מקבלת משמעות גדולה בשעה שחלק ניכר מצוותי ההתערבות המסופקים על ידי מבטחים

בחו״ל אינם בעלי נציגות ישראלית ולפיכך חסרים את מרכיבים אלו.


תרגולים והשתלמויות - צוות ההתערבות יכול, לפי סיכום, להגיע ולהשתתף גם

בתרגולים השוטפים של אבטחת המידע ובכך לשפר את ה״אורגניות״ עם הצוותים

ומנהלי הארגון. צוות ההתערבות יכול גם להיות פעיל יותר ולהעניק מניסיונו בהשתלמויות

השוטפות ובהכשרת צוותי הארגון והנהלתו. בנוסף, צוותי ההתערבות יכולים להעניק לארגון

תובנות מאירועים אותם ניהלו )תחת חיסיון כמובן(. היבט זה מספק שכבת הגנה נוספת

לחברה, כך שתהיה מעודכנת ותדע לבצע התאמות באבטחת המידע שלה.


היכרות מייצרת ביטחון - משברי סייבר עשויים לפגוע בקרביים הכי אינטימיים של

הארגון. במקרה כזה קשה יותר להכניס יועץ חיצוני שייהנה מרמת הביטחון כדי לחשוף

בפניו הכל. היכרות מוקדמת מאפשרת לייצר מערכת יחסית שהיא בלתי מדידה, אבל יכולה

לתרום רבות לפתרון האירוע.


* הכותב הינו מנהל השותפויות האסטרטגיות והפיתוח העסקי בקריטיקל אימפקט - הגוף

המוביל בישראל להתערבות באירועי סייבר. פועלת בשיתוף פעולה עם ועבור מבטחים

ומבטחי משנה

פוסטים אחרונים

הצג הכול

קו ההגנה לעולם ייפרץ

מאמר זה מפרט נקודות קריטיות לדיון ומחשבה בפרוץ אירוע סייבר משמעותי. בחשיבה אסטרגית צבאית, מקובל להניח הנחת יסוד כי קו ההגנה לעולם ייפרץ! וכשזה קורה, מה אז? קל מאוד להשליך מאירועים בטחוניים לאירועי והת

משחק מלחמה גיקטיים - דורון הדר

““I am convinced that there are only two types of companies: those that have been hacked and those that will be. And even they are converging into one category: companies that have been hacked and wil

(לא) עוד יום בהיסטוריה הארוכה של מנצ׳סטר יונייטד ד׳ (דורון) הדר

מה הקשר בין אחד ממועדוני הכדורגל המפוארים בעולם לסייבר? במאמר זה תוכלו לקרוא על ההשלכות הקריטיות והמרתקות של אירוע הסייבר בו נפרצו חלק ממחשבי מועדון הפאר האנגלי. דמיינו מצב בו אנו מתעוררים הבוקר לכותר