עם ההתבססות והנרמול של מערכי ההגנה המסורתיים, לצד סיומה של המהפכה שהפכה את זירת הגנת הסייבר לסביבה ממוסחרת וסטנדרטית ; ועם התחזקותה המשמעותית של העברת משאבי המחשוב והמידע של ארגונים לסביבת הענן, שמאפשרת התנתקות מהתלות בפתרונות מסורתיים והסתמכות על מערכות מבוזרות מבית ספקיות הענן להגנה בסייבר - אנו ערים לסטנדרטיזציה של הסדרה והתקבעות של תפיסות הגנה ואסדרה של מתודולוגיות הגנה כלליות כדוגמת EISA ,MITRE ועוד.
כל אלה מבססים את התובנה שעולם הסייבר הפך כבר לחלק משגרת ההפעלה של מערכות המידע. המערכות התפעוליות בעולם העכשווי מסיטות את נקודת הכובד של עולם הגנת הסייבר לשלב הבא - שלב ההיערכות, לרגע שכל זה לא יועיל והארגון או המערכת ימצאו את עצמם תחת תקיפה משמעותית, או אירוע אחר בגזרת הסייבר, שימנעו מהארגון לתפקד, או יפגעו ביכולות התפקודיות שלו בצורה קשה עד הרסנית.
שתי גזרות פעולה המשתלבות למערכת אפקטיבית אחת
השלב הזה, שלב ההיערכות, מתאפיין למעשה בשתי גזרות פעולה המשולבות זו בזו. הראשונה והנפוצה יותר היא גזרת ההיערכות המנהלית. בגזרה זו נערך הארגון למתן מענה מנהלי ותפקודי לקשיים שייווצרו בעת אירוע משמעותי, כמו ההיערכות למתן מענה משפטי נדרש, מענה שיווקי והסברתי, ניהול מו"מ מול הצד התוקף וניהול המערכה הפיננסית מול המשקיעים, הבורסה וגורמים אחרים - הלקוחות, הספקים והציבור הכללי.
הגזרה השנייה והמהותית, בה מתרחש למעשה האירוע עצמו, היא הגזרה הטכנולוגית - סביבת הרשת, מערכות ההפעלה והמערכות התפעוליות, סביבת השרתים והענן, בסיסי הנתונים והקבצים. בסביבה זו נמצאים, הלכה למעשה, מוקד הפעילות העסקית של הארגון ובה מתרחש האירוע. שם נעשים המאמצים והניסיון לסכל או להפחית את עוצמת הפגיעה, עד לחזרה מלאה של הארגון כולו לתפקוד יעיל - אף ולמרות התקיפה או הפגיעה.
חשיבותן של שתי גזרות אלו והיכולת לשלבן לכדי מערכת אפקטיבית אחת הינה קריטית ומהותית לתפקודו של הארגון - מרגע פרוץ המשבר, עבור דרך הפעולות הנדרשות לביצוע בעת התרחשותו ועד ליציאה בריאה ממנו וחזרה לרמת תפקוד מלאה. כמעט שלא ניתן לזהות את הקו הדק המבדיל בין שתי הגזרות ברמת הקונספטואלית, אך ניתן לראות כי בעוד מירב הארגונים משקיעים מאמצים ותקציבים רבים בהיערכות המנהלית, ההיערכות הטכנולוגית מושלכת לה לקרן זווית וכמעט שלא נעשים מאמצים מאורגנים בגזרה זו.
היערכות טכנולוגית מקיפה ומסודרת
על-פי מחקרים שנעשו בתחילת השנה האחרונה נראה, כי מרבית מנהלי הארגון ומקבלי ההחלטות בו רואים בשכבה הטכנולוגית (ובלא מעט בצדק) תשתית תפעולית, שנועדה לתמוך ביכולת הארגון לפעול במרחב העסקי והדיגיטלי. ככזו, אין מבחינתם סיבה להניח שמי שממונה על כך לא יוכל בעת הצורך לפתור כל תקלה או בעיה שתצוץ. ואם אכן כך, הרי שהיערכות הארגון, להבנתם, דורשת להתייחס להשלכות הנובעות ממנו ולא לגורמים בעטיים פרץ המשבר, שהלא אלה ייפתרו בידי אנשי המקצוע במהרה.
אלא שלא כך הם פני הדברים. על הארגון שנערך להתמודדות מנהלית מקיפה לבצע במשולב גם היערכות טכנולוגית מקיפה ומסודרת, ברמה מבצעית הדוקה ומוסדרת לכלל תרחישי האיום, המהווים סכנה ממשית ליכולתו לתפקד. רק בשנה האחרונה חוו עשרות רבות של ארגונים וחברות במשק אירועי תקיפה, הפרעה והטרדה משמעותיים שנבעו מפגיעה בתשתית הדיגיטלית באמצעי סייבר. ביניהם כמובן אפשר לציין את בית החולים הלל יפה בחדרה, שעבר פגיעה דרמטית של ממש ולמעשה עדיין (עד כתיבת שורות אלו) לא התאושש ממנה באופן מלא ; וחברת הביטוח שירביט, שהפגיעה בפרטיות המידע שלה גרמה במישרין או בעקיפין לפגיעה אנושה בקיומה ועוד.
תגובות אפשריות אל מול כל תרחיש ואיום
המשימה העומדת בפניו של הארגון בבנייה והפעלה של תוכנית IR טכנולוגית היא לאפשר לארגון לחזור לתפקוד עסקי תקין ויעיל ככל הניתן, תוך אישוש מהיר של מערכות המידע, המערכות התפעוליות והמערכות התומכות את התהליכים העסקיים.
לשם עמידה במשימה זו על הארגון לפתח (CMP (Crisis Management Plan. על הארגון לנתח את התשתית הטכנו-עסקית שלו בפירוט כך שלמעשה תשורטט מפה - בראשה התהליכים העסקיים עליהם מבוסס הארגון כשמתחתם מרוכזות כלל המערכות הטכנולוגיות, התשתיות הטכניות ומערכות ההקשרים ויחסי הגומלין בניהן.
מפה זו תשמש את הארגון כבסיס לניתוח משטחי התקיפה, האיומים והסיכונים אל מול כל אחד מהתהליכים העסקיים, כך שלאחר ניתוח משטחי התקיפה ניתן יהי להגדיר דפא"א (דרך פעולת אויב אפשרית).
תוכנית ההתמודדות (CMP) תכלול ספר מקרים ותגובות מפורט הכולל את כלל התגובות האפשריות אל מול כל תרחיש ואיום שנותח בשלב הדפא"א. תוכנית CMP תכלול גם התייחסות ומענה לסוגיות יסודיות, שלא כאן המקום לנתחן, כמו הליך הכרזת אירוע משמעותי והליך החזרה לתפקוד ; רמות הכוננות השונות בנוהלי ההפעלה; בעלי תפקידים ואחריותם ; דרכי דיווח ועדכון להנהלת הארגון ולגורמי ה-IR המנהליים; הפעלת שרשרת האספקה הטכנולוגית ויחסי הגומלין איתה.
כבר לאחר המחצית הראשונה של השנה ניתן לומר בוודאות גבוהה, כי במהלך השנים הקרובות יעסקו רוב הארגונים הגדולים והבינוניים במשק הגלובלי במיסוד היערכותם בשתי זירות ההיערכות שהצגנו לעיל. כפי שעסקו זה לא מכבר בביסוס מערכי DRP ו-BCP. היערכות שכזו דורשת מהארגון לא מעט משאבי זמן וממון, אך מעל הכל חייבת להתבסס על ידע משמעותי, ניסיון טקטי ומבצעי רחב היקף ותובנות עסקיות ותפעוליות מתקדמות.
ארגונים שנתפסו לא מוכנים בזירה הטכנולוגית - איבדו את נכסיהם
"ארגונים רבים במשק מוצאים עצמם מתמודדים מול האתגר של היערכות בזמן אפס לאירוע סייבר שמאיים ברמה קיומית העסק שלהם. ארגון שמגיע לשעת משבר ללא הכנה מתאימה ותוכנית מדוייקת, שהוכנה ואושרה על-ידי ההנהלה מבעוד מועד, לא יוכל להתמודד בצורה מיטבית עם המשבר בזמן אמת", אומרת אסיה אושרי, מנכ"לית חברת Safeway. "כמו בלחימה פיזית, נדרש להתכונן בכל החזיתות. כיום, רוב הארגונים כבר הבינו, שהזירה הטכנולוגית, חשובה לא פחות, אם לא יותר מההיערכות בצדדים הרכים.
"מיטב המומחים, טובים ככל שיהיו, לא יצליחו להתמודד עם אירוע סייבר בעזרת הכנה של הצדדים הרכים בלבד. אנחנו רואים דוגמאות כאלה מהשנים האחרונות, של ארגונים שנתפסו לא מוכנים בזירה הטכנולוגית ואיבדו את נכסיהם, על אף שנערכו עם תוכניות סדורות בצדדים הרכים. חברת Safeway נחשבת לאחת החברות המובילות בתחום, כשברשותה כל הידע והמומחים בכדי להיערך בצד הטכנולוגי".
הכותב משמש כמנהל הטכנולוגי ואחראי על הפיתוח העסקי בחברת SAFWAY מקבוצת סלקום
בשיתוף Safeway
