בימים מאתגרים וקשים אלו, כאשר אנו מתמודדים עם אסון בריאותי גלובלי, ארגונים נדרשים לשנות סדרי עבודה מהיסוד ולשנע את עובדיהם למודל עבודה מרחוק, כלומר מבתיהם. במצב כזה היקף החשיפה לאירועי סייבר עולה אקספוננציאלית, מאחר והתשתיות בבתים הפרטיים ודרכי התקשורת אינם מאובטחים דיים. בימים כתיקונם, קיומה של תכנית מוכנות לאירועי סייבר הינה קריטית ועל אחת כמה וכמה כשלתמונה נכנס אלמנט בלתי צפוי כמו נגיף הקורונה, או אירוע עוצמתי אחר, אשר מגדיל את החשיפה לפגיעה במרחב הסייבר.
עמית הרטמן ועמיר סנדר עושים סדר ומסבירים כיצד ארגונים צריכים להיערך בימי שגרה כדי לתת מענה בעת משבר
- ארגונים רבים חוו כבר את הפגיעה העסקית הכרוכה באירוע סייבר ועדיין כשאירוע קורה בארגון, התגובה הראשונית היא הלם ואף שיתוק המערכת לזמן ניכר עד טיפול בבעיה. האם אתם מסכימים עם קביעה זו?
עמית: “אתחיל בהגדרה המקובלת לאירוע סייבר (cyber incident), אשר על פי מערך הסייבר הלאומי, היא – התרחשות המעידה על פגיעה אפשרית בפעילותו התקינה של נכס סייבר, שיש יסוד להניח כי היא נובעת מפעילות מכוונת במרחב הסייבר. לפיכך, ברור שגילוי של אירוע סייבר משבש את ההתנהלות העסקית השוטפת עד כדי פוטנציאל לפגיעה חמורה, ואני מסכים עם הקביעה שרוב הארגונים אשר חווים אירוע סייבר, נכנסים בשלב הראשון למעין שיתוק. מה שמפליא הוא, שהיינו מצפים מארגונים שכבר חוו את הפגיעה העסקית שכרוכה באירוע סייבר, יידעו כיצד להיערך ולנהל את המצב בלי לשתק את הארגון, ולא כך המצב בשטח”.
- מה קורה למעשה מרגע הגילוי והלאה, שצריך לשנות?
עמית: “בדרך כלל, הגורם שמוביל אירוע סייבר הינו הגורם הטכנולוגי ולכן תהליך המעבר למצב חירום ארגוני על המשמעויות העסקיות הנלוות, לוקה בחסר. יש לשים על סדר היום את חשיבות ההתייחסות לאירועי סייבר כאירועים ניהוליים/עסקיים מהותיים, אשר צריכים להיות מובלים ע”י הדרג הניהולי ולא להישאר בתחום טיפולו הבלעדי של מנהל אבטחת המידע או מנהל מערכות המידע”. חשוב להבין כיצד בונים מוכנות ארגונית לאירועי סייבר ומדוע זו אחריות ההנהלה ולא רק של אנשי הטכנולוגיה בארגון, בד”כ מנהל אבטחת המידע או מנהל מערכות המידע.
* כיצד בונים מוכנות לסייבר? מה חשוב לדעת?
עמיר: “לא הרבה חושבים על אירוע סייבר כבעל אלמנטים פסיכולוגיים-ניהוליים. מדובר למעשה בתהליך מובנה שכולל חמישה שלבים להלן, שרצוי להכיר על מנת לבנות תכנית יעילה להכנת הארגון מפני אירועי סייבר”.
“א. שיגרה מול חירום – בארגון בריא קיימת שיגרה ארגונית המאופיינת בהתמקדות ביצירת ערך עסקי ובהזנחת מה שמפריע לכך. לרוב אין מודעות לאפשרות שיקרה אירוע סייבר וגם אין ציפייה לכך שתהיה מודעות לכך באופן מתמיד. שלב זה עלול להיות מסוכן, כי הוא מלווה בהכחשה המתבטאת בהקצאה מועטה של משאבים, זמן וקשב, לנושא ההיערכות לאירוע ולגילוי אקטיבי של חדירה ובהתעלמות מסימנים.
ב. קושי בזיהוי המצב ובהגדרתו – שלב ההתראה או החשש לאירוע, לאחר קבלת חיווי ממערכות המידע על אינדיקציה לחדירה, פגיעה, או לשיבוש אפשרי במערכות. בשלב זה, לעיתים קרובות איננו יודעים בבירור האם מדובר באירוע סייבר “אמיתי” בהתאם להגדרה המקובלת, ולכן הארגון חשוף לאינדיקציות, שמועות וידיעות שמגיעות בערוצים רשמיים ולא רשמיים. לעיתים עובר זמן עד לסיווג האירוע כאירוע תקיפה, ובינתיים שוררת אי הבנה של המצב לאשורו, אי ודאות ובלבול. ההאטה בפעילות העסקית, מביאה לעתים לחיפוש אקטיבי אחר מידע וליוזמות מקומיות לא מנוהלות. הצורך הפסיכולוגי-ארגוני הטבעי בכל הרמות, הוא במנהיגות וסמכות, אשר תזהה את המצב ותגדירו.
ג. שלב “המהלומה”- עם ההבנה שאירע בארגון אירוע סייבר, עלול להתרחש ברמה הניהולית תהליך של יציאה משיווי המשקל הארגוני ועצירת התפקוד. זה תהליך טבעי של “חישוב מסלול מחדש” שכן המציאות העסקית והטכנית עלולה להיות מושפעת דרמטית מהאירוע.
ד. קבלת החלטות עסקיות לא שקולות – ההחלטות במצבים מעין אלה, מתקבלות לרוב בהתבסס על מידע חלקי ולא מהימן, שכן המנהל נדרש כל הזמן לקבל החלטות ולעיתים רבות אינו יכול להמתין עד להתבהרות מוחלטת של המצב”.
- היכן הבעיה?
עמית: “הבעיה היא כאשר ההחלטות נובעות מדפוסים הגנתיים אשר אינם תואמים את דרישות המציאות. במצבי חירום יש שתי הנחות ניהוליות אופייניות: האחת – לשמור על נורמליזציה – “עסקים כרגיל, לא יקרה כלום כי לא היה כלום..”. הנחה זו עלולה לפספס את מורכבותו האמיתית של המצב. השנייה – “אנומליה” וחוסר תפקוד – “כלום לא עובד… קטסטרופה… צריך לעצור הכול”. הנחה זו היא למעשה “תחפושת” לשיתוק, פסיביות וקושי בקבלת החלטה”.
- הגענו לשלב האחרון של אירוע הסייבר, מה קורה בו?
עמיר: “שלב ההתארגנות הוא השלב האחרון, שבו מתמודדים עם המציאות תוך כדי התאוששות, בונים מנגנונים וכלים לגיבוש תמונת מצב. בשלב זה מתבצע איסוף נתונים, גזירת משמעויות עסקיות, התייחסות להיבטי רגולציה (הודעות לציבור, לבורסה וכדומה), בניית מענה טכנולוגי וארגוני, התאמה למצב החדש, תחקור, התגייסות, עזרה הדדית, וחזרה לפעילות”.
- שאלת המיליון דולר היא כיצד נערכים מראש ונותנים מענה יעיל ונכון יותר לאירוע סייבר פוטנציאלי?
עמית: “הניסיון המצטבר בארץ ובעולם מלמד כי ככל שהארגון נערך טוב יותר בשגרה למצבי חירום, כן יקל עליו לבצע את המעבר למצב של אירוע סייבר”.
עמיר: “בשלב המניעה, טרם האירוע, יש לבסס את חסינות הארגון, עד כמה שניתן, ותהליך זה כולל ארבעה היבטים:
הראשון, גמישות ארגונית – יכולת הספיגה וההתאוששות של ארגון נשענת על איזון בין חוזק ועוצמה ארגונית מחד, לגמישות ושיווי משקל מאידך. בצד החוזק, יוקמו תשתיות פיזיות וארגוניות, תתבצע הגדרת תפקידים ברורים בשגרה ובחירום, יוגדרו מנגנונים וכלים, מערכות מחשוב, מערכות גיבוי ונהלים. בצד הגמישות, זו היכולת לנהל שיח מהיר הנשען על תרבות של פתיחות, דפוסי התנהגות ותקשורת בינאישית בכתב ובעל פה, יכולת תחקור והבנה מהירה של המצב, סובלנות לטעויות, לעמימות ולאי ודאות, איפוק ויכולת לשאת תסכול.
השלב השני מדבר על בניית תחושת מחויבות ארגונית – רבים מאירועי הסייבר הינם אירועים של “הנדסה חברתית” אותם ניתן לאתר ולמנוע על בסיס תרבות ארגונית חזקה של אחריות ומחויבות למניעת דלף מידע ושמירה על בטחון הארגון.
בשלב השלישי בונים יכולת ניהולית שמבוססת על עבודת רוחב טובה, זרימת מידע מהירה, יכולת בניית תמונת מצב משותפת וקבלת החלטות איכותית. אלה מאפיינים שקשה לבנות במצב חירום וכדאי לטפחם בשגרה.
בשלב הרביעי של ההיערכות, מבצעים סימולציות לצוותי הנהלות – תרגול בצמצום זמן היציאה משלב ה”הלם”, תרגול בגיבוש תמונת מצב וקבלת החלטות, חשיפה לשיקוליו של מנהל אבטחת המידע והבנת המשמעויות העסקיות.
- בפרוץ אירוע, קיימים גורמים ומשאבים רבים אשר מסייעים לחברות הנתונות במתקפה. כיצד מעורבותם באה לידי ביטוי?
עמית: “בהחלט יש במי להיעזר, החל מגורמים מקצועיים במערך הסייבר ובשירותי הבטחון וכלה בחברות ייעוץ אשר יודעות לסייע בזמן אירוע בניהול כלל המעטפת הארגונית. היכולת להסתייע בגורמים אלה ובמהירות, הינה יכולת קריטית אל מול אתגרי הניהול במצבים אלה”.
- באילו אתגרים מדובר?
עמיר: “מדובר בתהליך מובנה מאוד, אשר כולל את השלבים הבאים:
- זיהוי המתקפה והתגוננות (IR – INCIDENT-RESPONSE).
- גיבוש והובלת תהליך הערכת המצב הטכנו-עסקי .
- מתן כלים טכנולוגיים לניהול האירוע.
- ניהול מו”מ מול התוקפים.
- המלצות עסקיות להמשך פעילות.
- בניית מנגנוני תקשורת והסברה פנים וחוץ ארגונית”.
- כיצד WHITE HAT נותנת מענה לאתגר המוכנות לאירוע סייבר, כפי שתיארתם פה?
עמית: “תפיסת ההיערכות וההפעלה שלנו לקראת אירועי חירום (חו”ח) מזכירה במידה מסוימת שיטות הנהוגות בעולם הבטחוני. אנו מיישמים מתודולוגיות הכוללות: היכרות טכנולוגית מעמיקה של הארגון מבעוד מועד,
נהלי הפעלה מסודרים של “לוחמי סייבר”, (רובם בוגרי יחידות טכנולוגיות בצבא, בעלי ניסיון רב בטיפול באירועים מורכבים) המוקפצים למקום, הפעלת צוותי המודיעין בעורף לתמיכה במידע רלוונטי בזמן האירוע ואחריו ופריסת כלים טכנולוגיים ייעודיים. הייחודיות במודל זה באה לידי ביטוי בשילוב המענה הטכנולוגי- מודיעיני, עם פסיכולוגים ומומחים בניהול מצבי משבר ארגוניים.
שילוב זה מאפשר לספק מענה לכל רמות הארגון, מההנהלה הבכירה ועד אחרון העובדים. ההבנה כי אירועי סייבר הופכים לחלק בלתי נפרד מההתנהלות הארגונית, צריכה להוביל הנהלות לבצע עבודת שטח מעמיקה, אשר תכין את הקרקע למתקפה אשר בוא תבוא. למוכנות זו יש חלק קריטי ביכולת הארגון להתמודד ביעילות ובמהירות ככל הניתן עם האירוע ולמזער נזקים עסקיים”.