הבוקר התעוררו מנהלים ברחבי העולם אל סיטואציה קשה ומורכבת, כפי שקורה מידי יום בשנים האחרונות בעשרות אלפי חברות. אותם מנהלים גילו כי אתגר מורכב טרף את הקלפים בארגון ואילץ אותם לבטל מייד את הלו"ז שנקבע מראש, להניח בצד את כל משימות הניהול השוטפות, לכנס את צוות החירום של הארגון ולהפנות את כל המשאבים להתמודדות עם סיטואציה שלרבים מהם אין בכלל מושג איך להכיל אותה, גם אם יש מאחוריהם עשרות שנות ניסיון בניהול בכיר. יתכן שהם שמעו על כך מקולגות, או קראו עליו בעיתונות הכלכלית, אבל עכשיו זה אצלם.
אותם מנהלים גילו שהארגון שלהם נמצא תחת מתקפת סייבר, שהכניסה אותם ואת החברה שהם עומדים בראשה לסחרור. מנהלים רבים יגיעו אל הרגע הזה מבולבלים ולא מוכנים, אולם יש מנהלים שיצליחו להתמודד עם הבשורה המורכבת של מתקפת סייבר בצורה נכונה, ואף לצאת ממנה כשמעמדם בחברה התחזק.
בניית תוכנית אסטרטגית סדורה
המשמעות של מתקפת סייבר יכולה לנוע מחוסר נגישות חלקית או מלאה למחשבים, קבצים או נתונים, דרך איום בהדלפת נתונים עסקיים חסויים או רגישים, ועד להשבתת קווי ייצור שלמים.
לצד הסיכונים הפיננסיים והאסטרטגיים שמגיעים בעקבות מתקפת סייבר, מדובר באתגר משמעותי שעלול לערער גם את השדרה הניהולית בחברה, ולהכניס מנהלים לא מוכנים לבלבול, שיש בו סכנה לתהליך כאוטי של קבלת החלטות שגויות, הנובע מלחץ לפתור את המשבר במהירות, לצד מחסור בתוכנית אסטרטגית במקרה של מתקפה.
מנהלים מנוסים ומוערכים שחוו מתקפה כזאת מספרים, כי על אף שהם היו מורגלים בהתמודדות עם משברים מורכבים, גילו פתאום שלא היו להם את הכלים המתאימים לפתרון המתקפה שנחתה עליהם. הם התקשו בקבלת החלטות ובמתן תשובות לעובדים וללקוחות, וגם סיפרו על קשיים להחזיר את הארגון לשגרה במהרה ובצורה המיטבית לאחר המתקפה.
אנו מעריכים, כי מנהלים שיידעו להתכונן מראש למתקפת סייבר, יהיו מודעים לסיכונים וישקיעו לא רק בהגנה, אלא גם בבניית תוכנית אסטרטגית סדורה להתמודדות עם מתקפה, יוכלו להפגין ברגע האמת מנהיגות ומקצועיות. אלה יצליחו לנהל את המשבר ביעילות ובתבונה ויוכלו להוביל את החברה בביטחה במהלך המשבר ואחריו.
האחריות - על כתפי הנהלת הארגון
לא משנה מהי המוטיבציה של התוקף - כספית, אידיאולוגית או לאומית - האחריות לפתרון מוטלת על כתפי מנהלי הארגון (למעט מקרים שבהם התקיפה אירעה בגוף העוסק בתשתית מדינתית קריטית), מכיוון שהמדינה מטילה את האחריות למוכנות למתקפה על הארגון עצמו. לכן, הנהלת הארגון חייבת לקחת את הטיפול במתקפה לידיה ולנהל אותה בעצמה.
טיפול במתקפת סייבר צריך להתבצע בדרך שקולה ומסודרת, אולם גם מהירה, במטרה לצמצם ככל האפשר את הנזקים. איך עושים את זה? מתכוננים מראש לתרחישים השונים. מודעות לאיומי סייבר בארגון מאפשרת תגובה טובה יותר בזמן אמת. חשוב לשים את סיכוני הסייבר על השולחן בכל עת, ולדעת שזה יכול לקרות גם בארגון שלכם.
הסוד הוא במוכנות
ארגונים רבים נרתעים מהשקעה בהגנת סייבר בשל עלותה. הגנת סייבר עלולה להיות יקרה ובמקביל היא אינה מבטיחה חסינות מהתקפה. מדובר בהשקעה שאינה נושאת בחובה פוטנציאל רווח, מנהלים רואים אותה בשורת ההוצאות בלבד ובדרך כלל הנהלת הארגון תשאף להשקיע את המינימום האפשרי כדי "להיות בסדר". גם ביטוח סייבר הוא מוצר יקר ולא יציב, ולאור ריבוי ההתקפות בשנים האחרונות, עלות מוצר זה האמירה. חברות הביטוח, מן הסתם, לא מעוניינות להפסיד.
סיבה נוספת לכך שארגונים רבים לא נערכים מראש למתקפת סייבר היא האילוצים שקיימים בכל הנהלה של ארגון - מחסור בזמן, חוסר פניות או היעדר מודעות לסיכונים. כל עוד מתקפת סייבר לא פגעה בארגון, תמיד יהיו למנהל אתגרים אחרים, עדיפים ודחופים יותר - שידחקו את העיסוק הלא אטרקטיבי בהשקעה בהגנת הסייבר של הארגון.
כשמדברים על הגנת הסייבר של הארגון לא מתכוונים לחסינות מלאה מהתקפה, אלא לניהול סיכונים והגנה משופרת מול תקיפה אקראית, שמתאפשרת בשל פרצות נפוצות וטריוויאליות, מהסוג שקורא לתוקף גם אם הוא לא התכוון ממש לתקוף דווקא את הארגון שלכם.
ליבת ההגנה היא בניהול רשת המחשבים הארגונית, וניתן למצוא את הפעולות הרלוונטיות באין-ספור פרסומים, שעיקרם - רשת מנוהלת, קיום ואכיפה מוקפדים למדיניות הרשאות, מדיניות גישה למידע, זיהוי משתמשים, ניהול שרשרת האספקה הארגונית ובקרת ערוצי גישה חיצוניים (כמו גלישה, מיילים ועוד). מעל כל אלה נמצאת מודעות העובדים לאיומי הסייבר. הגורם האנושי תמיד יהיה החוליה החלשה ויש להשקיע בחינוך לאיום הסייבר.
כאמור, מלת המפתח היא מוכנות - של ההנהלה ושל הארגון. גם מוכנות הגנתית בסיסית סבירה תמנע ברגע האמת מבוכה וביקורת על כך שהארגון לא נערך ברמה הנדרשת. חשוב שלארגון יהיו אמצעי ניטור, זיהוי והגנה ואלה קיימים בשפע, ועל כל ארגון להתאים לעצמו את אמצעי הניטור התואמים את רמות האיום שיש עליו.
חשוב גם להקפיד על ניהול שרשרת האספקה של החברה והגנה מפני פריצות צד שלישי (הדלת האחורית), דרך ספקים בעלי גישה למערכות החברה, או כאלה המחזיקים מידע רגיש של החברה או מספקים שירותים רגישים לארגון. במידה שספקים אלה לא מאובטחים מספיק, נדרשת הגנה גם באפיק זה.
למנות צוות שינהל את המשבר
הפעולות הנדרשות למוכנות ארגונית למתקפת סייבר כוללות כתיבת נהלים סדורים ופלייבוקס טקטיים למקרה של מתקפת סייבר, שיכללו את תהליכי הניהול וקבלת ההחלטות בארגון בזמן המשבר. יש למנות צוות שתפקידו יהיה לנהל את משבר הסייבר והמערך הטכנולוגי במקרה שהארגון הותקף. יש לערוך להנהלה סימולציות ותרגילים של מתקפת סייבר, שיביאו את הנהלת הארגון ובעלי התפקידים לרמת מוכנות גבוהה ככל האפשר וכן לוודא שיש לארגון גיבויים בטוחים, אמינים, שלמים ועדכניים שניתן להשתמש בהם בתהליך ההתאוששות.
חשוב לזכור, צוות התערבות טכני (IR) לא מספיק כדי לסיים אירוע בהצלחה. בזמן מתקפת סייבר, הנהלת הארגון צריכה לקבל החלטות עסקיות שיכולות להשפיע משמעותית על האופן שבו היא תצא מהמשבר ותתאושש. כאן נדרשת הבנה עסקית, ייעוץ וליווי בכיר בניהול משברים ולא צוות טכני. האחד לא בא במקום השני.
לאחר המתקפה, חשוב שההנהלה תוביל גם את תהליך ההתאוששות, תיעזר בגורמים חיצוניים לשיקום התשתיות שנפגעו ותפעל למניעה של מתקפה חוזרת.
לסיכום, ריבוי מתקפות הסייבר מאלץ את הארגונים לא רק לדאוג להגנה ראויה, אלא גם להיערכות מראש לתרחישים השונים שמגיעים בעת מתקפה. ההבדל בהתמודדות בין מתקפה בארגון שמנהליו התכוננו למתקפת סייבר לכזה שלא נערכה בו הכנה - יכול להיות הרה גורל. מנהלי ארגון שיגיעו מוכנים למתקפת סייבר ולתרחישים השונים שעלולים לצוץ בעקבותיה, יוכלו לצלוח את המתקפה בצורה טובה, שקולה ואפקטיבית יותר, להפגין מנהיגות חיובית בזמן המשבר ובהתאוששות שלאחריו.
הכותב הוא שותף, מנהל פעילות ייעוץ סייבר, BDO ישראל
בשיתוף BDO ישראל
