הארגון שלך הותקף? כך כדאי לפעול – צעד אחר צעד

גם אם הארגון שלכם חווה מתקפת סייבר, אם תפעלו נכון מבחינה ניהולית, תוכלו לחסוך לעצמכם הרבה זמן וכסף ולחזור לשגרה במהרה

"מה אתה רוצה שנעשה עם המידע הזה?", "מה יש להאקרים לחפש אצלי?", "זה רק שיבוש זמני", "נטפל בזה כשנתפנה" - אלו רק חלק מהתגובות הנפוצות שמקבל מערך הסייבר הלאומי ממנכ"לי ארגונים בישראל בשעה שהארגון שלהם תחת מתקפת סייבר. לצד אלו, יש גם מנכ"לים שמתייחסים לנושא ברצינות, לוקחים אחריות ומנהלים את האירוע כמו מבצע.


גם אם הארגון שלכם חווה מתקפת סייבר, אם תפעלו נכון מבחינה ניהולית, תוכלו לחסוך לעצמכם הרבה זמן וכסף ולחזור לשגרה במהרה. במערך הסייבר הלאומי, שם עובדים מדי יום עם מנכ"לים של ארגונים ועסקים שחווים מתקפת סייבר בזמן אמת, חיברו מדריך להתנהלות נכונה במקרה של מתקפת סייבר.

1. הכירו את הרשת

הטיפול בתקיפת סייבר מתחיל טרם התרחשותה - בהיערכות מראש. חשוב שכמנכ"ל/ית תכירו את הרשת שלכם ואת התהליכים הדיגיטליים שמנהלים את העסק היטב כדי שתדעו בשעת אמת את מה תקפו אצלכם וכיצד זה משפיע על התנהלות הארגון.


2. תוכנית מגירה

תפיסת הפעלה מוגדרת לניהול אירוע הכולל הגדרת תפקידים ברורים בשגרה ובחירום, הגדרת מנגנונים וכלים, מערכות מחשוב תומכות, מערכות גיבוי ונהלים ותרגולות לבחינת כשירות ומוכנות הארגון, וכן התקשרות עם גורמי מקצוע רלוונטיים לטיפול בתקיפות.


3. מתקפת סייבר – אחריות המנכ"ל/ית: הדרג הבכיר מוביל את האירוע

לאירוע סייבר משמעויות עסקיות וארגוניות שחורגות הרבה מעבר לנושא הטכנולוגי. הכרחי להתייחס למתקפת סייבר כאירוע ניהולי מהותי באחריות ראשית של המנכ"ל/ית ואף הדירקטוריון אם קיים, אשר צריך להיות מובל על ידי הדרג הניהולי הבכיר של הארגון.


4. הזמינו צוות לטיפול באירוע סייבר

כמו שלא תיתן לרופא משפחה לבצע בך ניתוח מוח, כך גם בתחום הסייבר יש להשאיר את הטיפול בתקיפה עצמה לצוותים מקצועיים שזו התמחותם. מומלץ לבצע התקשרות עם צוותי ניהול אירוע בסייבר (צוות IR), שתפקידו לטפל, לבלום ולסלק את התקיפה. רצוי שהצוות יכלול בתוכו גם צוות לביצוע חקירה פורנזית. בתהליך זה יש לדאוג שהמקום שממנו נכנסו התוקפים נסגר ולבצע תהליך הגבהת חומות.


5. כנסו צוות ניהול משבר רב-תחומי לטיפול באירוע

עם ההבנה שאכן מדובר באירוע סייבר, הארגון עלול לצאת משיווי משקל ניהולי ועסקי לעיתים עד כדי עצירת התפקוד. מצבים אלו עלולים להביא לקבלת החלטות עסקיות לא שקולות תחת לחץ, בהתבסס על מידע חלקי ולא מהימן. בנוסף יתווספו לצוות יועצים משפטיים, יועצי תקשורת, צוות משא ומתן אשר יאחדו תמונת מצב רחבה בהיבטים רלבנטיים – טכנולוגי, עסקי, תקשורתי, משפטי, רגולטורי, רציפות התפקוד ועוד.


6. בצעו הערכת נזקים

בסיוע צוות ניהול המשבר, יש לבצע הערכת נזקים אשר יתייחס למגוון היבטים ובפרט להיבטים העסקיים ולקבל החלטות על פעולות למזעור וצמצום הנזק.


7. שקפו תמונת מצב מתמדת

צוות ניהול האירוע צריך לבנות תמונת מצב משותפת ומצטברת לאורך כל ניהול האירוע, ולבצע הערכות מצב עיתיות.


8. עדכנו גורמים פנימיים בארגון

בכל שלב של ניהול האירוע יש לבחון אילו גורמים פנים ארגוניים נדרש לעדכן (כגון משאבי אנוש, תפעול, כלל העובדים) ואיך ומתי נכון לתקשר את הנושא פנים-ארגונית. בהתאם לצורך ולנוהל הקבוע בחברה, יש לעדכן את דירקטוריון הארגון.


9. עדכנו גורמים חיצוניים

בהתאם לאופי הארגון ותוצאות המתקפה, יש לבחון אילו גורמים נדרש או רצוי לעדכן וכיצד. בין הגורמים שיש לשקול עדכונם: הציבור, הבורסה, רגולטורים, לקוחות החברה, חברת הביטוח, כלי התקשורת, הרשות להגנת הפרטיות וכן גורמי סיוע לאומיים כגון מערך הסייבר הלאומי. בהתאם לכך, יש לשקול את פוטנציאל הסיקור התקשורתי שעשוי להיות לאירוע בהתאם לאופי התקיפה ואופי החברה ולהתקשר עם חברות ייעוץ תקשורת או/ו ניהול משברי תקשורת. חשוב לזכור כי שקיפות היא אמצעי אפקטיבי המקטין את אי הוודאות ומשפר את אמון הציבור במותג.


10. עדכנו את לקוחות החברה הרלוונטיים

ככל שקיים חשד שבמסגרת התקיפה דלף מידע אישי הרלוונטי לציבור הרחב או לציבור לקוחות מסוים, יש לשקול לעדכן את הציבור שהמידע עליו דלף. באותו אופן, אם המתקפה פוגעת באספקת הסחורה ללקוחות, כדאי לעדכנם במשך העיכוב הצפוי. לחילופין, אם יש ספקים או לקוחות שמחוברים לחברה וייתכן שהמתקפה יכולה להתפשט אליהם, יש לעדכנם במיידית יחד עם דרכי ההתגוננות הנחוצים.


11. התייעצו עם סוכן ביטוח סייבר

מומלץ להתייעץ כבר בתחילת האירוע עם סוכנות הביטוח, במטרה למצות את הכיסוי אשר הפוליסה מציעה. ראוי לציין כי חלק מהפוליסות כוללות כיום התייחסות לאירוע סייבר, ואפשרות להפעלת גורמי מקצוע כגון אלו המתוארים במסמך זה.


12. הפיקו לקחים

לאחר סיום האירוע, מומלץ לבצע תהליך הפקת לקחים ולעדכן את נהלי העבודה, כלים ותשתיות ולהמשיך בהעלאת חומות ההגנה על הארגון וכן לבצע תרגולות.

למידע נוסף בתחום זה