כאשר הארגון מצוי תחת מתקפת סייבר, 48 השעות הראשונות הן הקריטיות ביותר. פרצת אבטחה יכולה לפגוע בנתונים חסויים או פרטי כרטיס האשראי של הלקוחות, בתחזיות ובתוכניות העסקיות. תקרית סייבר מעמידה בסכנה כל היבט בתשתית הארגון.
היערכות מוקדמת, הכוללת גיבוש תכנית לטיפול בתקריות סייבר (תכנית Incident Response – IR), מאפשרת לך למזער את המשך הפגיעה, לצמצם את היקף הנזק ולטפל בנקודות התורפה במערך האבטחה בתוך 48 השעות הראשונות. התכנית מגדירה את פרוטוקול האבטחה ומי הצוות האחראי לטיפול בתקרית הסייבר ומטרתה לצמצם את הזמן והעלות של ההתאוששות.
גיבוש תכנית לטיפול בתקריות סייבר
תכנית ה-IR מגדירה את התפקידים ותחומי האחריות של צוותי תכנית הטיפול בתקריות הסייבר, של נושאי המשרה בחברה ושל המחלקות בארגון הנדרשים להתמודד עם תקרית הסייבר. התכנית קובעת נהלים מפורטים עבור חברי הצוות באשר לניתוח היקף הפרצה ואת רמת הפגיעות של תשתיות החברה לפריצות סייבר נוספות. על מנת שהתכנית תהיה אפקטיבית עליה לכלול תרגולים תקופתיים ובדיקות מוכנות. ביצוע וניהול התרגולים מספקים קו הגנה קריטי הדואג למוכנות העובדים וצוות אבטחת המידע למתקפת סייבר תוך התייחסות לסוגיות או לפעולות שבזמן פריצה עלולות ליפול בין הכסאות.
הקמת צוות תגובה (IR)
גם אם מועסקים בחברתך צוותי אבטחת מידע הממונים על טיפול בנושאים אלו, כדאי להתקשר עם חברה מקצועית חיצונית המתמחה בגילוי פריצות אבטחה, כדי לסייע ולתאם פעולות מיידיות לאיתור נקודת החדירה ולבלום את המתקפה.
פעולות לביצוע ב- 24-48 השעות הראשונות
יש לזהות את העובדים והלקוחות שנפגעו מהתקרית ולהעריך את רמת החשיפה שלהם. כמו כן יש לדאוג לאיסוף, ריכוז ושמירה של כל ניסיונות החדירה, המטא-נתונים, סיסמאות גנובות ו/או חלשות, תוכנות זדוניות, מתקפות דרך הרשתות החברתיות ופישינג ולבודד את כל הנתונים שלא נפגעו. ישנה חשיבות מכרעת לשימור שרשרת הראיות של ניסיונות החדירה ולקביעת פרוטוקולים בנושא הגנת נתונים.
במקביל יש להסתייע ביועצים משפטיים, פנימיים וחיצוניים, בהערכת הסוגיות הרגולטוריות בכל הקשור לציבור הלקוחות שנפגע מהתקרית ובכל הקשור להליכים אזרחיים או פליליים אפשריים. יש להכין דו"ח ראשוני על התקרית עבור חברת הביטוח, המוסדות הפיננסים, מועצת המנהלים ובעלי המניות (במידה והחברה היא ציבורית). יש גם לבדוק האם חלים על הארגון חובת דיווח לרגולטורים במדינה בה הנכם פועלים.
יחסי ציבור ותקשורת
כחלק בלתי נפרד מכל תכנית IR, צריכה להיות תכנית יחסי ציבור ותקשורת מסודרת. זאת כדי לנהל את מסרי החברה בתקשורת וברשתות החברתיות, ולטפל בפניות ומיילים מהלקוחות. כדאי לתקשר את המידע המלא, גם אם לא ניתחתם עדיין את כל הנתונים על התקרית. יש להכין הודעה מסודרת ללקוחות ולגורמים שנפגעו מהתקרית ולהציע להם שירותי אבטחת מידע ומעקב אחרי גניבת זהות אפשרית. כמו כן יש לאסוף, לנתח ולאמת את כל הממצאים הנדרשים לקראת סבבי פגישות הערכה שתקיימו עם עובדי הארגון ועם הרשויות והמוסדות הרלוונטיים.
עו"ד יובל לזי, שותף במחלקה המסחרית של משרדנו מתמחה בליווי חברות לפני ואחרי מתקפת סייבר. כמומחה בתחום, יובל מתראיין לתקשורת ומפרסם טורי דעה בנושא.
Source: barlaw.co.il