דברו איתנו

ניהול משברים

ניהול משברים בתחום הסייבר

ניהול משברים בתחום הסייבר הוא תהליך קריטי ומורכב. מטרתו להתמודד עם אירועים בלתי צפויים ולסלק "מוקשים" בכדי להחזיר את הארגון לפעילות תקינה תוך מזעור הנזק. תהליך זה
דורש הכנה מראש, תכנון מדויק וניהול פרואקטיבי.

ניהול יעיל של משבר סייבר כולל תיאום בין טכנולוגיה, עסקים ורגולציה, ההכנה והתגובה למשברים צריכים להיות מותאמים למציאות הדינמית של האיומים המתקדמים (איומי סייבר משתנים בתדירות שונה מאיומים בפעילות התפעולית \ העסקית).

עם המעבר של אלפי ארגונים לעבודה מרחוק בשנת 2020, חלה עלייה משמעותית במתקפות סייבר, השאלה שעומדת בפני ארגונים היא לא האם יתקפו אותם, אלא מתי זה יקרה.

ניהול משבר סייבר דורש ניהול מקיף הכולל צוות ייעודי שמנהל את המשבר בצורה מסונכרנת, תוך שמירה על הפרדה בין ניהול טכנולוגי לעסקי. הכנה מוקדמת ותכנון מקיף הם קריטיים, ויש צורך בסיוע חיצוני מקצועי לניהול המשבר.

שלבים עיקריים בניהול משברי סייבר:

  1. הכנה מראש תוכנית ניהול משברים הכוללת זיהוי סיכונים פוטנציאליים, הרכבת צוות ניהול משברים, יצירת דף אנשי קשר של מקבלי ההחלטות, איסוף מודיעין סייבר והכנת ארנק קריפטו.

אמצעים טכנולוגיים שיש להכין כוללים צוות Incident Response, הקמת משתמש טלגרם ייעודי, הכנת מחשב עם גישה לדארק נט, מכשיר סלולרי ייעודי וטלפון לווייני בהתאם לאיומי הארגון.

  1. זיהוי מוקדם יש לשאוף לזיהוי מהיר של התקפה ופנייה מיידית לצוות ניהול משברים, כדי לספק תמונת מצב על סוג האירוע ולהתאים את אסטרטגית הפעולה בהתאם (אירועים כמו: הצפנה, דלף מידע, סחיטה, תוקף מדינתי \ כלכלי \ עצמאי וכ'ו…).
  2. תגובה ראשונית ניהול התקשורת באופן יעיל עם כל בעלי העניין, פנימה (צוות והנהלה) והחוצה (תקשורת, יח"צ), לדאוג להמשכיות הפעילות העסקית על ידי מעבר לאתר DR או שימוש בספקים חלופיים.
  3. ניהול המשבר במטרה להגיע לפתרון מהיר ומזעור נזק תוך שמירה על תקשורת פתוחה עם כל הגורמים הרלוונטיים ודווח לגופים המוסמכים, כולל הרשות להגנת הפרטיות ורשויות
    אחרות.
  4. דיווחים רגולטוריים לדווח בהתאם לחוקים והתקנות השונות, כולל דיווח לגופי פיקוח כגון משטרת ישראל, צה"ל, שב"כ, מערך הסייבר.
  5. השבתה ושיקום החזרת התהליך לפעילות תקינה, ביצוע תחקירים וניתוח האירוע להפקת לקחים ושיפור מערך ניהול המשברים לעתיד, ביצוע תיקון פערים באבטחת המידע.

ניהול משבר סייבר אינו מסתכם רק בניהול משא ומתן מול האקרים. הוא כולל מגוון רחב של וקטורים, שכל אחד מהם דורש תשומת לב מיוחדת 

  • וקטור טכנולוגי – תגובה טכנית למתקפה, ניתוח והבנה של פעילות ההאקרים והפעלת אמצעי הגנה מתקדמים.
  • וקטור משפטי – ניהול משפטי, קבלת ייעוץ בנוגע לפעולות חוקיות ולחובות רגולטוריות, דיווח לגורמים המוסמכים.
  • וקטור עסקי – שמירה על פעילות עסקית רציפה, ניהול תקשורת פנימית וחיצונית עם לקוחות וספקים, ניהול סיכונים פיננסיים.
  • וקטור פורנזי – איסוף ראיות דיגיטליות לחקירת האירוע ושימוש במידע זה להפקת לקחים.
  • וקטור תקשורתי – ניהול משבר תקשורתי, שמירה על מוניטין הארגון, הפצת מידע מדויק לציבור ולתקשורת.
  • וקטור משא ומתן – ניהול משא ומתן עם גורמים חיצוניים המעורבים במשבר תוך הערכת סיכונים ויתרונות, גיוס מומחים, בחירת ערוצי תקשורת מתאימים, השגת הסכמים שממזערים נזקים וממקסמים תועלות לארגון.

ניהול משבר סייבר מחייב תיאום וסנכרון בין הווקטורים השונים: הטכנולוגי, המשפטי, העסקי, הפורנזי והתקשורתי. וקטור המשא ומתן עם התוקפים הוא רק חלק אחד מתוך מכלול רחב של פעולות שיש לבצע כדי לשמור על הארגון ולמזער נזקים.

דוגמאות:

בית חולים זיו בצפת: שנת 2023, מתקפת סייבר על ידי קבוצת האקרים Black Shadow האיראנית (מוטיבציה פוליטית). התקיפה כוונה אל מערכות בית החולים במהלך מבצע חרבות ברזל, מטרתה הייתה לגרום נזק ולפגוע בתפקוד בית החולים.

הלל יפה: שנת 2021, בית החולים הלל יפה הותקף על ידי קבוצת האקרים סינית בחשד ל Zirconium (מוטיבציה כלכלית). התקפה זו הייתה חלק ממתקפה רחבה יותר על חברות וארגונים נוספים בישראל.

אתר האינטרנט אטרף: שנת 2021, מתקפת סייבר על ידי קבוצת האקרים Black Shadow האיראנית (מוטיבציה פוליטית). "אטרף" הינו אתר היכרויות המתרכז בקהילה הגאה בישראל, הקבוצה הדליפה מידע רגיש כדי לגרום לפחד ולחוסר יציבות.

שירביט: שנת 2020, חוותה חברת הביטוח שירביט מתקפת סייבר על ידי קבוצת האקרים Black Shadow האיראנית (מוטיבציה פוליטית). התוקפים ביקשו לפגוע במוניטין של החברה ובאמון הציבור במערכת הביטוח. המטרה הייתה לגרום למבוכה ולחץ על ידי חשיפת מידע רגיש.

תאגיד מים – מי תל אביב: שנת 2024, מתקפת סייבר על ידי  קבוצת האקרים Charming Kitten – APT35 (מוטיבציה פוליטית – מודיעין). המתקפה התמקדה בחדירה למערכות בקרה ואיסוף מידע.

תאגיד מים – מי לוד: שנת 2024, מתקפת סייבר על ידי  קבוצת האקרים Black Shadow (מוטיבציה פוליטית). המתקפה כללה ניסיון להחדרת נוזקות וגרימת השבתת מערכות לתקופה ממושכת.

תאגיד מים – מי שקמה: שנת 2023, מתקפת סייבר על ידי  קבוצת האקרים Black Shadow (מוטיבציה פוליטית). המתקפה כללה גניבת מידע רגיש והשבתת מערכות המחשוב לתקופה קצרה.

תאגיד מים – מי הרצליה: שנת 2023, מתקפת סייבר על ידי  קבוצת האקרים Muddy Water (מוטיבציה פוליטית – טרור). המתקפה כללה ניסיון חדירה למערכות התפעוליות וגרימת שיבושים בשירותי אספקת המים.

Johnson Controls: שנת 2023, חוותה מתקפת כופר על ידי קבוצת Dark Angels (מוטיבציה כלכלית). הם הוציאו כ 27 מיליון דולר לטיפול ולשיקום הנזק.  התגובה הראשונית של החברה הייתה איטית, והם נאלצו להתמודד עם שיבושים משמעותיים בתשתית ה-IT שלהם ובמערכות הפונות ללקוחות.

Colonial Pipeline: שנת 2021, חוותה מתקפת כופר על ידי קבוצת Dark Angels (מוטיבציה כלכלית). המתקפה גרמה להפסקת פעילות פיקוח הנפט ונזק כבד לאספקת הנפט במזרח
האמריקני, כולל חוסר בספק דלק ועלייה במחירי הדלק.

Travelex: שנת 2020, חוותה מתקפת כופר על ידי קבוצת Revil (מוטיבציה כלכלית). הם נאלצו לשלם סכום גבוה. התהליך היה מסובך וממושך והוביל לנזק כלכלי ופגיעה במוניטין החברה.

Norsk Hydro: שנת 2019, חוותה אירוע כופרה על ידי קבוצת Locker Goga (מוטיבציה כלכלית), סרבו לשלם את הכופר וניהלו משא ומתן מקצועי שהוביל לפתרון המשבר ללא תשלום.

Maersk: שנת 2017, חוותה אירוע סייבר על ידי קבוצת Not Petya (מוטיבציה פוליטית). התגובה הראשונית הייתה איטית והחברה נכנסה למשבר, החברה הצליחה להתמודד עם המשבר במהירות תוך שימוש במומחי סייבר ושיתוף פעולה עם גורמים חיצוניים. החברה נאלצה לשלם מיליון דולר לקבוצת התקיפה בכדי להפסיק את האירוע.

Binance: שנת 2019, נפרצה בורסת הקריפטו ונגנב ממנה כ 7,000 ביטקוין (בערך 40.6 מיליון דולר, מסתמן כמוטיבציה כלכלית). החברה הגיבה במהירות והחזירה את הכספים שנגנבו ללקוחות.

Mt. Gox: שנת 2014, נפרצה בורסת הקריפטו ונגנב ממנו 850,000 ביטקוין (בערך 510 מיליון דולר, מסתמן כמוטיבציה כלכלית).

בתחום הסייבר, השימוש במונח "טרור" אינו שכיח כי הוא מקושר לרוב לנזקים ישירים לחיי אדם או לרכוש. במקום זאת, משתמשים במונחים כמו "מוטיבציה פוליטית" או "מוטיבציה כלכלית", שמדגישים את מטרות התקיפה.. פגיעה במוניטין.. יצירת לחץ ופחד.. פגיעה באמון הציבור.

מומלץ לשכור צוות ניהול משברים כחלק ממערך הביטחון הארגוני. הכנה מוקדמת ותרגילים תקופתיים יכולים לסייע רבות בהכנת הארגון למשברים ולשיפור היכולת להגיב במהירות וביעילות. ההכנה המוקדמת מאפשרת לארגון לפעול בצורה מחושבת ולמנוע נזק פוטנציאלי חמור בעת משבר.

——

נכתב על ידי: רז זדה, תום מלכה ואושר עשור.
תוספות שיפורים ודקדוק: מוטי קריסטל.
ILCD – Israel Cyber Defense
אתר להגנת סייבר אזרחי