מה לעשות אם העסק שלכם נפרץ? 5 צעדים

בין אם אתם עסק קטן או תאגיד רב לאומי, איום מתקפת סייבר עלול להיות הרסני. האופן שבו תתמודדו עם אירוע פריצה בעסק שלכם יכול להיות ההבדל בין התאוששות מהירה לבין חודשים של הליכים משפטיים, פגיעה במוניטין ולקוחות כועסים. 

לשם כך, אעבור על כמה מהפעולות המרכזיות שעליכם לנקוט כבעלי עניין בתגובה למתקפת סייבר. 

1. קבלו את העובדה שיום העבודה הרגיל שלכם הסתיים

השעה 16:00 ואתם מסיימים את היום בשליחת מיילים, כשאתם מבחינים במשהו חשוד. אולי זה קופץ של תוכנת כופר או מייל פישינג מכתובת מייל פנימית אחרת. הבטן שלכם מתנפצת. אתם חושבים שהחברה שלכם נפרצה. 

זה אולי מרגיש כמו סוף העולם, אבל הנה כלל האצבע הראשון: אל תיבהלו. כן, זמן הוא קריטי, אבל קבלת החלטות בלי לחשוב עליהן לעומק לא באמת תעזור. קחו רגע להתאסף, הפעילו את מכונת הקפה והתחילו לחשוב איך אתם הולכים להחזיר את השליטה למצב בזמן שהוא מתבשל. תגובה מהירה עלולה להיות בעלת השלכות עצומות בהמשך הדרך, לכן חשוב לקחת רגע. 

כיצד להמשיך משם תלוי במידה רבה באופן שבו התקרית מתפתחת. אם אתם חושבים שגיליתם ראיות לתוקף בזמן שהוא מנסה להישאר מוסתר, עליכם להודיע לצוות התגובה לאירועים כדי שיוכלו להתחיל בחקירה, לאסוף ראיות ולגבש תגובה. אם אין לכם תוכנית תגובה לאירועים, עיינו בטיפ מספר 6.

חשוב לזכור שאם קבוצת האקרים חדרה למערכות שלכם, היא עלולה לקבל גישה או אפילו להשתלט על מערכות התקשורת שלכם. זה לא נדיר שפורצים יושבים על מערכות למשך זמן ממושך ומנטרים מיילים שנשלחים לצוותי אבטחה פנימיים עבור מילות מפתח הקשורות להתרעת פריצה. 

אז, השעון מתקתק, אבל אתם לא רוצים לפספס את אלמנט ההפתעה. הארגון שלכם היה צריך לתכנן שיטת תקשורת מחוץ לטווח כדי להעלות התראות, שיטה שאינה פגיעה לניטור ועמידה גם לנוכח הפסקת רשת מוחלטת. זה לא רק חיוני כדי ליידע את צוות האבטחה בשקט שאתם חושבים שמשהו לא בסדר, אלא גם חיוני כדי להמשיך לתאם תגובה אם אתם צריכים להשתמש באפשרות הגרעינית ולסגור לחלוטין את הרשת שלכם.

זה קצת שונה אם יש חלון קופץ בשולחן העבודה שלך שדורש כסף או שהקבצים שלך הולכים להיות מוצפנים. במצב כזה, התוקפים יודעים שאתה יודע שהם נמצאים ברשת שלך. הם עשו את כל ההכנות הדרושות כדי לשגר את ההתקפה שלהם, ועכשיו הזמן באמת לא לצידך.

עם זאת, אפילו במצב כזה, עליכם לקחת רגע. תוקפי כופר משתמשים לעתים קרובות בטקטיקות של לחץ זמן כדי לגרום לכם לשלם את הכופר, אך המועדים הסופיים שלהם נמדדים לעתים קרובות בשעות או ימים, ולא בדקות. שעון גדול שסופר לאחור לאבדון הוא גם שיטה של לוחמה פסיכולוגית וגם מועד אחרון שאתם עובדים מולו. במיוחד אם אתם במצב שבו אתם צריכים לקבל החלטות ניהוליות, עליכם להירגע ולא לעשות את הצעד הראשון שעולה לכם בראש. עשו כל שביכולתכם כדי להחזיר שליטה נפשית על המצב, הכרו בכך שלא ניתן לשנות את מה שקרה בעבר, והתמקדו במשימת התיקון שלפניכם.

בנוסף, הפעילו טיימר מרגע הדיווח לצוות התגובה לאירועים שלכם. אדבר עוד על הסיבה לכך בטיפ מספר 4.

2. הפעל את תוכנית התגובה לאירועים שלך

אחרי שלקחת רגע לנקות את הראש, אתה צריך להתחיל לעבוד. לכל ארגון צריכה להיות תוכנית תגובה איתנה לאירועים שתנחה את פעולותיו במקרה של פרצת סייבר. 

ברגע שמגלים פרצה, עליכם להתחיל להפעיל את תוכנית התגובה לאירועים (IRP). תוכנית זו צריכה לפרט את התפקידים והאחריות של אנשי מפתח, את השלבים לבלימת הפרצה, פרוטוקולים לתקשורת פנימית וחיצונית, ונהלים לניתוח והתאוששות לאחר אירוע.

הערך של ה-IRP הוא שהוא נחקר היטב, מתורגל וקל ליישום. קבלת החלטות תחת אש היא קשה, ולכן ה-IRP משמש כמקור התייחסות להחלטות שהתקבלו בראש צלול ועם הזמן הדרוש לביצוע מחקר מפורט. אסור לכתוב או לכתוב מחדש את ה-IRP שלכם באמצע משבר. באופן אידיאלי, כדאי שכבר קיימים אירועי תרגול הכוללים את בעלי העניין השונים ברחבי העסק שיצטרכו לעבוד יחד במהלך אירוע. 

מתקפת פריצה אינה רק בעיה של אבטחה, או אפילו של ה-IT בכללותו: היא דורשת פעולות מצד הצוות ההנהלה, ממשאבי אנוש, מהמחלקה המשפטית ומבעלי העניין האחראים על התקשורת הפנימית והיוצאת. 

ככזה, אחד התפקידים המרכזיים של IRP הוא להכתיב כיצד להקצות כישרונות מתוך העסק לצוותי התגובה לאירועים. לא כל מי שמועיל באירוע יעבוד בתוך מגזר אבטחת ה-IT של העסק שלך, אך מהנדסי IT עשויים להילקח לעבודה כדי לסייע בזיהוי אנומליות בתחומי המומחיות שלהם בהתאם לסוג האיום העומד בפניך. הצלחת כל הפעולות הנוספות תתאים ישירות לאופן שבו הארגון שלך מזהה את היקף הפריצה.

אם אתם מתמודדים עם תוכנת כופר, קבוצת ההאקרים שאתם מתמודדים איתה נקטה בכמה צעדים שונים כדי לפרוס את המתקפה הזו ברחבי הרשת שלכם. עליכם להתחיל לעבוד אחורה, להבין כיצד הם פרצו למערכת שלכם ודחפו את התוכנות הזדוניות שלהם ברחבי הרשת, וכן הלאה. זו משימה דומה אם מדובר במתקפה שקטה, אבל ייתכן שיהיה לכם פחות על מה להתבסס – אולי מדובר בכמה מיילים של פישינג שסומנו על ידי מישהו במשאבי אנוש, או תעבורה חשודה שנשלחת מחוץ לרשת.

דבר חיוני לקחת בחשבון הוא שאתם עובדים כעת למעשה בזירת פשע. האופן שבו אתם משמרים ראיות עשוי להיות חיוני ליצירת שרשרת משמורת בהמשך. לכן, לעולם אל תעבדו על מערכות פעילות עד שתהיו מוכנים להתחיל לחזור למצב הקודם.

3. יצירת קשר עם בעלי עניין חיצוניים

ייתכן שאין לכם את היכולת הפנימית לבצע כל משימה המתוארת ב-IRP שלכם. ייתכן שחלק מהעובדים נמצאים בחופשה, ייתכן שאחרים לא בעלי המיומנות הטכנית הנדרשת, וייתכן שבעיות מסוימות פשוט לא זוהו בעת הגדרת ה-IRP שלכם. זה מצער, אבל זה קורה. 

אסור לכם לפחד לפנות לאנשים פרטיים וארגונים מחוץ לעסק שלכם (עם הסכמי סודיות מתאימים, כמובן) כדי למלא כל פער שעשוי להיות לכם מבחינה תפעולית במהלך משבר. אתם רוצים לבצע את העבודה עם כמה שפחות זמן השבתה. 

לדוגמה, אם אתם מחליטים לסגור את הרשת שלכם כדי למנוע גישה נוספת למידע המאפשר זיהוי אישי (PII) על ידי תוקף, אינכם רוצים שצוות הרשת שלכם ינסה לברר כיצד לעשות זאת בזמן אמת. פנייה לספקים שלכם לקבלת תמיכה וייעוץ חירום יכולה לקצר באופן דרסטי את הזמן שאתם מקדישים לביצוע משימות טכניות, מה שיאפשר לצוות שלכם להתמקד בפעולות הליבה הנדרשות לגילוי ושחזור.

זה חיוני במיוחד מכיוון שהמומחיות שלהם יכולה לחסוך לכם הון תועפות. לא כל כנופיות תוכנות הכופר משתמשות בתוכנה מותאמת אישית שפותחה באופן פנימי כדי לבצע את ההתקפות שלהן. חלקן מסתמכות על תוכנה זמינה לציבור עם פגמים ידועים, וייתכן בהחלט שהפתרון לבעיה שלכם זמין באינטרנט בחינם, מה שחוסך לכם מיליוני דולרים בכופר.

שוב, אתם לא רוצים לבזבז את הזמן בבדיקת זה. אתם רוצים להעביר את המשימה לצוות אבטחת סייבר חיצוני בעל ניסיון מוכח בטיפול בפריצות קריפטו כדי שתוכלו לחזור לטפל בדברים האחרים.

אתם גם רוצים שצד שלישי כמו חברת הביטוח שלכם יטפל בתקשורת שלכם עם קבוצת תוכנות הכופר מכמה סיבות. ראשית, גם אם תרצו, איך אתם הולכים להשיג מיליוני לירות שטרלינג של ביטקוין (או, חס וחלילה, מונרו) בגחמה? רוב בורסות המטבעות דורשות מספר ימים כדי לעמוד בדרישות הקשורות לקליטת לקוח חדש, וזה יכול לקחת אפילו יותר זמן אם אתם נרשמים כעסק. בנוסף, יש את סוגיית מגבלות ההחלפה היומיות, עמלות החלפת מטבעות וכן הלאה. זה לא משהו שאתם יכולים לגרום לו לקרות במקום. עם זאת, אם תבחרו לשלם את הכופר, לחברת הביטוח שלכם כבר יהיו נהלים שיאפשרו את ההחלפה.

שנית, לחברת הביטוח שלכם יהיה ניסיון בטיפול בפושעי קריפטו. גם אם אינכם מתכוונים לשלם, תוכלו לגלות מידע חשוב מחקירת כנופיית ההאקרים. ייתכן שתבקשו מצד שלישי לבקש פרטים על קבצים שהכנופיה סוחטת כהוכחה לכך שיש להם את הנתונים שהם טוענים שהם עומדים לשחרר. לאחר שתאשרו שהקבצים ברשותם, צוות האבטחה שלכם יוכל לקשר את הקבצים לשרת מסוים ולהתחיל להבין כיצד ההאקרים נכנסו.

4. הודע ללקוחות שלך כראוי

תחומי שיפוט מסוימים דורשים ממך לדווח לגוף ממשלתי או לגורם פיקוח עצמאי תוך פרק זמן מסוים אם גיליתם פרצת נתונים. הקריטריונים ומסגרת הזמן תלויים בתחום השיפוט המדובר, אך במקרה של בריטניה, אימוץ ה-GDPR פירושו שעליך לדווח למשרד נציב המידע (ICO) תוך 72 שעות מרגע גילוי הפרצה. עם זאת, ישנם ניואנסים רבים בנושא זה, כמו גם גמישות מסוימת מבחינת מה עליך לדווח ולמי.

לא עוברות 72 שעות מרגע שאתם מגלים שהאקר נמצא במערכת שלכם – החקירה צריכה להתקדם עד לנקודה שבה אתם בטוחים שהאקר מחוץ לחברה ניגש למידע אישי של לקוחות חיים. בשלב זה, ללא קשר להחלטות שלכם לאחר מכן לגבי גילוי, עליכם לתעד את היקף הדליפה באופן פנימי. לאחר מכן עליכם להעריך האם דליפת הנתונים עלולה להוות סיכון לאנשים שנפגעו. 

אם כן, השעון באמת מתקתק: עד סוף תקופת 72 השעות, ה-ICO חייב להיות מודע לפריצה. אם לא, עליך לתעד את נימוקיך לאי-דיווח ל-ICO למקרה שחקירה תדרוש זאת בהמשך. עליך גם להיות מסוגל להעריך מחדש את ההחלטה הזו, ואם תגלה שהנסיבות השתנו, השעון יתחיל לתקתק שוב.

גילוי ל-ICO לא אמור להשפיע באופן מהותי על התקדמות החקירה הפנימית שלכם, לכן עליכם לדווח ברגע שאתם בטוחים בהשפעת הפריצה. גם במקרה בו אינכם בטוחים, עדיף לגלות גילוי מיותר מאשר לא לגלות גילוי הכרחי.

השאלה המסובכת יותר היא מתי וכיצד אתם חושפים ללקוחות שלכם שייתכן שנגישה לנתונים שלהם. המדד ש-ICO משתמש בו לגילוי הוא האם הפריצה מייצגת "סיכון גבוה" לזכויותיהם וחירויותיהם של אנשים המעורבים בפריצה. אם אתם מעריכים שהפריצה עוברת את הרף, אתם מחויבים להודיע להם ללא "עיכוב בלתי סביר".

שוב, יש כאן מעט מרווח תמרון. עליכם להכיר בכך שגם אם האינסטינקט הראשוני שלכם הוא גילוי מלא למעורבים כדי שיוכלו לנקוט בפעולות כדי להגן על עצמם, אתם נמצאים בעיצומה של חקירה פעילה. אם ההאקרים שאתם עובדים נגדם עדיין לא מודעים לכך שתפסתם אותם באמצע פרצה, יידוע המעורבים יכול להוביל במהירות לסיפור חדשותי נרחב שיתריע עליהם. בתורו, הדבר עלול להוביל אותם לנקוט בפעולות שעשויות להשפיע לא רק על סודיות הנתונים המושפעים, אלא גם על שלמותם וזמינותם.

במילים פשוטות, ההאקרים המעורבים עשויים להחליט ללכת לאדמה חרוכה ברגע שיתגלו ולהתחיל להצפין או למחוק מאגרי נתונים שלמים בדרך החוצה. יש טיעון לגיטימי לדחיית הגילוי למעורבים.

טיעון זה הרבה פחות סביר שיעבוד על ה-ICO אם אתם קורבן למתקפת כופר. במקרה זה, אין יתרון באי-ליידע את המעורבים במהירות האפשרית, במיוחד אם יש איום לשחרר את הנתונים לציבור. במקרה זה, כדאי ליצור קשר ישיר ובשקט עם המעורבים כדי להסביר את היקף הפריצה, וכן לנקוט באמצעים הדרושים כגון שינוי סיסמאותיהם וערנות מפני ניסיונות פישינג מסוג "Spear Phishing".

5. הערך את פעולותיך

ייתכן שתצטרכו פשוט לסגור את הרשת הפנימית שלכם עד שהחוקרים שלכם יוכלו להבין מתי התרחשה הפריצה. למרות שזוהי האפשרות הגרעינית, לאפשר למערכות ה-IT הפנימיות שלכם להישאר פעילות בזמן שמתרחשת פריצה באופן פעיל עלול להיות גרוע יותר. זה לא פשוט כמו חזרה לתמונות גיבוי שיוצרו שבוע לפני הפריצה. 

עד לסיום החקירה, אין לכם מושג כמה זמן ההאקרים באמת בילו בתוך המערכות שלכם. ייתכן שהם בילו חודשים בהכנות למתקפה הזו, כך שביטול הפעולה עשוי פשוט לתת להם את הגישה הדרושה כדי לנסות שוב עם כמה הפתעות נוספות.

כדי לתת לעצמכם את מרווח הנשימה להבין מתי התרחשה הפריצה הראשונה, ייתכן שזו פשוט האפשרות הטובה ביותר מבין מגוון אפשרויות גרועות לסגור את הרשת שלכם בינתיים. תצטרכו להציג את הטיעון הזה בפני בעלי העניין העסקיים בצוות התגובה, דבר שיכול להיות די כואב אם זה אומר ירידה בהכנסות. 

עליכם גם להתייעץ עם צוותי ה-IT ומומחי הפורנזיקה שלכם כדי לוודא שאינכם מאבדים ראיות חיוניות עקב ניתוק הגישה לרשת. ניתוח תעבורה בזמן אמת עשוי לאפשר לכם לזהות אילו שרתים נפגעים על ידי זיהוי העברות נתונים גדולות במיוחד או חתימות תעבורה מוזרות, שאובדות אם הרשת מאבדת קישוריות.

כאשר החקירה תושלם והצוותים הפורנזיים בטוחים שזיהו את כל נקודות החדירה, הגיע הזמן לזהות את הטכנולוגיות שאפשרו את הפריצה ולתקן, להסיר, לחסום פורטים או להשבית אותן.

ברגע שאתם בצד השני של תקרית, תיעוד הוא המפתח. לא רק מבחינת מה שההאקרים השפיעו עליו, או איך הפריצה עבדה, אלא איך החברה כולה ביצעה. מה הלך טוב? מה היה איטי? האם קווי התקשורת עבדו ביעילות? האם בעלי העניין החיצוניים פעלו בהתאם לציפיות שלכם? האם אדם או צוות כלשהם הוטלו עליהם יותר מדי אחריות? האם מישהו נכשל?

זיהוי בעיות אלו תוך שבוע או שבועיים מהאירוע יאפשר לכם ללכוד את הניואנסים של האירוע בפירוט ולשנות את ה-IRP שלכם בהתאם למה שהלך טוב ומה שיש לעשות טוב יותר.

6. מה קורה אם אין לי תוכנית תגובה לאירוע?

אם אינכם נמצאים כעת בתרחיש של מתקפת סייבר, נהדר! כדאי לכם להשתמש בכמה מהטיפים כאן כדי להתחיל לנסח את תוכנית התגובה שלכם לאירועים ולהקצות או לגייס חברי צוות לביצוע תפקידי תגובה לאירועים.

אם אתם נמצאים כעת בתרחיש של מתקפת סייבר, עליכם ליידע את מי שאחראי על הקשר עם ספקים חיצוניים הדרושים להם ליצור קשר עם חברת אבטחת סייבר המתמחה בתגובה לאירועים, רצוי באמצעות ערוץ תקשורת מוצפן כמו WhatsApp או Signal. צאו עכשיו!

פרצת אבטחת סייבר היא מתח טהור. יכולות להיות לה השלכות מרחיקות לכת על החברה שלך, אך תגובה מהירה ומתואמת יכולה לסייע במתן הנזק ולהקל על ההתאוששות.

תוכלו להתמודד ביעילות עם האתגרים שמציבה מתקפת סייבר אם רק תזכרו את הנקודות המרכזיות הללו כשאתם מתמודדים עם אחת כזו. למרבה הצער, רבות מהעצות הללו מסתכמות ב"היו מוכנים מראש".

זוהי המציאות של התמודדות עם מתקפת סייבר: מוכנות היא הגנה על הנכסים הדיגיטליים והמוניטין של החברה שלכם בנוף איומי הסייבר של ימינו.