תרגיל סייבר מדמה מציאות: מה ההנהלה מגלה בזמן משבר?
מנכ"ל של חברה בינונית היה בטוח שהארגון שלו ערוך למתקפת סייבר. היו נהלים, אנשי טכנולוגיה מנוסים ומסמכים שהגדירו כיצד אמורים לפעול. אלא שבתרגיל ההנהלה הראשון התברר שאיש אינו יודע מי מוסמך לקבל החלטות, המידע זורם בין גורמים ללא שליטה וההנהלה מתקשה לקבוע סדרי עדיפויות.
בתוך פחות מחצי שעה, הארגון לא נכשל בגלל מחסור בכלי אבטחה, אלא בגלל חוסר בהירות ניהולית.
תרגיל סייבר מדמה מציאות נועד לבדוק כיצד הארגון פועל כאשר המידע חלקי, הזמן קצר וההשלכות העסקיות הולכות ומתרחבות. נקודות תורפה רבות אינן מתגלות בשגרה וגם לא במהלך דיון רגוע סביב שולחן. הן מופיעות רק כאשר ההנהלה נדרשת לקבל החלטות בתנאים הדומים ככל האפשר לאירוע אמיתי.
המטרה אינה להוכיח שהארגון מוכן, אלא לגלות היכן הוא עדיין אינו מוכן ולתקן את הכשלים לפני שיתרחש אירוע ממשי.
תוכנית כתובה עדיין אינה מוכנות אמיתית
ארגונים רבים מחזיקים תוכנית תגובה לאירועי סייבר, רשימת אנשי קשר, הגדרת תפקידים ונהלים לדיווח. כל אלה חשובים, אך עצם קיומם אינו מבטיח שהם יעבדו תחת לחץ.
רק במהלך תרגיל ניתן לבדוק אם בעלי התפקידים מכירים את הנהלים, אם אנשי הקשר אכן זמינים, אם המידע מגיע למקבלי ההחלטות ואם ההנהלה מסוגלת להשתמש בתוכנית ולא רק לדעת שהיא קיימת.
פערים קטנים שנראים שוליים בשגרה עלולים להפוך למשמעותיים במשבר. מספר טלפון שאינו מעודכן, מנהל שאינו יודע מי מחליף אותו או מערכת תיעוד שאינה נגישה מחוץ לרשת הארגונית יכולים לעכב את התגובה ברגעים קריטיים.
תרגיל מאפשר לגלות את הכשלים האלה בסביבה מבוקרת. טעות שמתרחשת בתרגיל הופכת ללקח ולפעולת שיפור, בעוד שאותה טעות באירוע אמיתי עלולה לגרום להשבתה, להפסד כספי ולפגיעה באמון הלקוחות.
תרחיש פשוט מדי אינו בודק את הארגון
כדי שהתרגיל יהיה אפקטיבי, הוא צריך לדמות את המורכבות של אירוע אמיתי. תרחיש שבו כל המידע ברור והפתרון ידוע מראש אינו בוחן כיצד ההנהלה מתפקדת באי־ודאות.
באירוע אמיתי המידע מגיע בהדרגה. חלקו מדויק, חלקו חלקי ולעיתים הוא אף סותר מידע שנמסר קודם. התוקף עשוי לשנות את פעולותיו בהתאם לתגובת הארגון, וההשלכות עשויות להתפשט ממערכות המחשוב אל השירות, המכירות, התקשורת והקשר עם הרשויות.
תרגיל איכותי מציב את ההנהלה מול דילמות שאין להן תשובה מושלמת. כל החלטה עשויה לכלול יתרונות, סיכונים ומחירים, בדיוק כפי שקורה במשבר ממשי.
אירוע סייבר הוא קודם כול אירוע עסקי
אחת התובנות החשובות ביותר שעולות מתרגילי הנהלה היא שאירוע סייבר אינו רק אירוע טכנולוגי. הוא אירוע עסקי שנוצר בעקבות כשל או תקיפה טכנולוגית.
צוותי המחשוב ואבטחת המידע אחראים לנתח את התקיפה, לבלום אותה, לשחזר מערכות ולבדוק אילו נכסים נפגעו. עם זאת, חלק גדול מההחלטות אינו טכני.
ההנהלה צריכה להחליט האם להפסיק פעילות מסוימת, כיצד לשמור על שירותים קריטיים, מתי לעדכן לקוחות, כיצד לפעול מול עובדים ומהי רמת הסיכון שהארגון מוכן לקבל.
בתרגילים רבים מתגלה שאנשי הטכנולוגיה הופכים בפועל למנהלי האירוע כולו. ההחלטות מתקבלות בהתאם לצורך הטכני המיידי, בעוד שההשלכות העסקיות, המשפטיות והתקשורתיות מקבלות תשומת לב מאוחרת מדי.
מי צריך להשתתף בחדר המצב?
אירוע משמעותי דורש מעורבות של כמה תחומים בארגון. לצד אנשי הטכנולוגיה ואבטחת המידע צריכים להשתתף גם הנהלה בכירה, ייעוץ משפטי, תקשורת, משאבי אנוש, תפעול ושירות לקוחות.
לכל אחד מהגורמים קיימת תמונה שונה של המשבר. אנשי הטכנולוגיה רואים את המערכות שנפגעו, אנשי השירות שומעים מהלקוחות, הצוות המשפטי בוחן חובות אפשריות ואנשי התקשורת מעריכים כיצד האירוע עלול להיתפס בציבור.
תפקיד ההנהלה הוא לחבר בין נקודות המבט ולנהל את ההשפעה הכוללת על הארגון. כאשר האחריות נשארת רק בידי הצוות הטכני, ההנהלה עלולה לאבד שליטה על ההשלכות הרחבות של האירוע.
גיבוש תמונת מצב משותפת
במהלך משבר סייבר מתקבל שטף של עדכונים: מערכת שאינה זמינה, דיווח של עובד, הודעה מהתוקף, פנייה מלקוח או מידע חדש מצוות החקירה.
הנטייה הטבעית היא להגיב לכל עדכון מיד. אלא שניהול מידיעה לידיעה עלול ליצור מצב שבו אף אחד אינו עוצר כדי להבין מה ידוע, מה עדיין אינו ידוע ומה השתנה מאז הערכת המצב הקודמת.
בתרגילים רבים מתברר שלכל משתתף נוצרה תמונה שונה. מנהל אחד בטוח שהאירוע מוגבל למערכת מסוימת, בעוד שמנהל אחר כבר מבין שההשבתה משפיעה על לקוחות. מידע משמעותי נשאר אצל צוות אחד ואינו מגיע לשאר מקבלי ההחלטות.
נקודות עצירה יזומות
אחד הלקחים המרכזיים הוא לקבוע מראש נקודות זמן שבהן עוצרים את הפעילות השוטפת ומבצעים הערכת מצב מסודרת.
בכל הערכה יש לחדד מה קרה, אילו מערכות ושירותים נפגעו, מהן ההשלכות העסקיות, אילו פעולות כבר בוצעו ומהן ההחלטות שנדרשות מההנהלה.
העצירה אינה בזבוז זמן. היא מונעת החלטות סותרות ומאפשרת לכל הגורמים לפעול לפי אותה תמונת מצב.
כלי תיעוד מרכזי מסייע לשמור על רציפות. כאשר העדכונים, ההחלטות והמשימות נרשמים במקום אחד, קל יותר לעקוב אחר הטיפול ולהכניס לתמונה מנהלים שמצטרפים בשלב מאוחר יותר.
מה תרגיל מדמה מציאות חושף?
הערך המרכזי של התרגיל הוא היכולת לראות כיצד המשתתפים פועלים בפועל, ולא כיצד הם מאמינים שיפעלו.
תרגיל יכול לחשוף חוסר בהירות בסמכויות, עיכובים בקבלת החלטות, מידע שאינו מגיע לגורם הנכון ותלות מוגזמת באדם מסוים או בספק חיצוני.
חברת Elements, המתמחה בתכנון ובניהול תרגילי סייבר ותרגילי הנהלה, משתמשת במערכת ייעודית לתיעוד פעולות המשתתפים ולהפקת לקחים מהתרגיל.
התיעוד חשוב משום שלאחר סיום התרגיל קשה להסתמך רק על זיכרון או על התחושה הכללית של המשתתפים. ניתוח מסודר מאפשר לבדוק מי קיבל כל החלטה, איזה מידע עמד לרשותו ומה התרחש בעקבותיה.
מידע חלקי, לחץ ורעש
בתרגיל שמדמה מציאות, המידע אינו מוגש למשתתפים בצורה מסודרת. הוא עשוי להגיע באמצעות הודעות של עובדים, שיחות טלפון, פניות של לקוחות, פרסומים ברשת ועדכונים טכניים.
חלק מהמידע מתברר מאוחר יותר כלא מדויק. המשתתפים נדרשים להפריד בין עובדה, הערכה ושמועה ולפעול גם כאשר עדיין אין תשובות לכל השאלות.
המורכבות הזו היא שהופכת את התרגיל למועיל. היא מאפשרת למנהלים לפתח דפוסי עבודה וקבלת החלטות שישמשו אותם כאשר אירוע אמיתי יתרחש.
קבלת החלטות בתנאי אי־ודאות
בשעות הראשונות של אירוע סייבר קיימות בדרך כלל יותר שאלות מתשובות. לא תמיד ברור כיצד התוקף חדר, איזה מידע נחשף, האם קיימת עדיין גישה למערכות ומהו היקף ההשפעה.
אחד הכשלים הנפוצים הוא עיכוב החלטות עד לקבלת ודאות מלאה. ההנהלה ממתינה לדוח טכני סופי, ובינתיים נמנעת מפעולות שאולי היה צורך לבצע מוקדם יותר.
בקצה השני נמצאות החלטות שמבוססות על הנחות נוחות אך לא מאומתות. מנהלים עשויים להניח שהאירוע מוגבל או שאין פגיעה בלקוחות, רק משום שעדיין לא התקבל מידע שמוכיח אחרת.
תרגיל מאפשר ללמוד כיצד לפעול בין שני הקצוות. אין צורך לקבל כל החלטה מיד, אך גם אי אפשר להקפיא את הארגון עד שכל העובדות יתבררו.
הפרדה בין עובדות להערכות
אחד הכלים החשובים הוא להפריד בצורה ברורה בין שלושה סוגי מידע: מה ידוע בוודאות, מה מוערך על בסיס הנתונים הקיימים ומה עדיין אינו ידוע.
ההפרדה מסייעת להנהלה להבין על איזה בסיס מתקבלת כל החלטה ולבחון אותה מחדש כאשר נכנס מידע חדש.
ניתן גם לקבוע מראש נקודות בחינה. החלטה שהתקבלה בשעה הראשונה אינה חייבת להישאר ללא שינוי, אך חשוב להגדיר מתי ובאילו תנאים בוחנים אותה שוב.
תעדוף משימות בזמן משבר
קשב ניהולי הוא משאב מוגבל. במהלך אירוע סייבר עשויות להיפתח עשרות משימות במקביל, אך לא כולן דורשות את מעורבות ההנהלה הבכירה.
ההנהלה צריכה להתמקד בהחלטות שמשפיעות על המשכיות הפעילות, בטיחות, לקוחות, עובדים, רגולציה ומוניטין. משימות טכניות ותפעוליות צריכות להיות מנוהלות בידי הצוותים המתאימים.
תרגיל חושף לעיתים מנהלים שנכנסים לפרטים טכניים ומאבדים את התמונה הרחבה. במקרים אחרים, ההנהלה מתרחקת מדי ומעבירה בפועל את האחריות לספק חיצוני.
צוות חיצוני יכול לסייע בחקירה, בשחזור ובייעוץ, אך האחריות לניהול האירוע נשארת בידי הארגון. ההנהלה צריכה להבין את המצב, לאשר החלטות מרכזיות ולוודא שהפעולות תואמות את האינטרסים העסקיים.
עבודה מול הרשויות וגורמים חיצוניים
אירוע סייבר אינו תמיד עניין פנימי בלבד. בהתאם לסוג הארגון, המידע שנפגע והנסיבות, עשוי להתעורר צורך לדווח לרשויות, לרגולטורים, ללקוחות, לחברת הביטוח או לגורמים עסקיים נוספים.
אחד הדברים שכדאי לתרגל מראש הוא עצם תהליך הפנייה. מי אחראי לדווח, מי מאשר את תוכן הדיווח, איזה מידע זמין וכיצד שומרים על תיאום בין הגורמים.
מערך הסייבר הלאומי מפעיל שירות של דיווח על אירוע סייבר, שמאפשר לארגונים ולאזרחים להעביר דיווח ולקבל מענה ראשוני.
הכרת ערוצי הפנייה מראש חוסכת זמן. במקום להתחיל לחפש אנשי קשר ונהלים בזמן המשבר, הארגון מגיע לאירוע כאשר האחריות והשלבים כבר הוגדרו.
תרגיל טוב אינו מסתפק באמירה שצריך לדווח. הוא בוחן מי מבצע את הפעולה, מה יימסר, כיצד יאושר המידע ומה קורה לאחר הפנייה.
מסגרת לאומית לניהול משברי סייבר
ארגון אינו חייב לבנות את תפיסת ניהול המשבר שלו מאפס. קיימות מסגרות והנחיות שמציגות עקרונות להיערכות, לחלוקת אחריות ולניהול מצבי משבר.
מסמך התפיסה הלאומית בסייבר להיערכות ולניהול מצבי משבר מציג מסגרת להתמודדות עם מצבי משבר במרחב הסייבר.
העקרונות הכלליים יכולים לשמש בסיס לתוכנית הארגונית, אך הם אינם מחליפים התאמה לצורכי הארגון. חברת שירותים פיננסיים, מפעל יצרני, מוסד רפואי וחברת מסחר מקוון אינם מתמודדים עם אותם נכסים, לקוחות וסיכונים.
התרגיל צריך להתבסס על הפעילות האמיתית של הארגון, על המערכות הקריטיות שלו ועל ההשלכות האפשריות של השבתתן.
הפקת לקחים היא המטרה האמיתית
תרגיל אינו מסתיים כאשר התרחיש נעצר. למעשה, השלב החשוב ביותר מתחיל לאחר מכן.
יש לאסוף את התיעוד, לשוחח עם המשתתפים ולזהות היכן נוצרו עיכובים, אילו החלטות התקבלו ללא מידע מספיק ואילו נהלים לא התאימו למציאות.
חשוב להבחין בין טעות של אדם לבין כשל מערכתי. אם מנהל לא קיבל מידע בזמן, ייתכן שהבעיה אינה בו אלא באופן שבו הארגון מעביר עדכונים. אם אף אחד לא ידע מי מוסמך לאשר הודעה ללקוחות, נדרשת הגדרת אחריות ברורה יותר.
הפיכת הלקחים לתוכנית עבודה
לקח שאינו מתורגם לפעולה אינו משפר את המוכנות. לאחר התרגיל יש לקבוע משימות, בעלי אחריות ולוחות זמנים.
ייתכן שיהיה צורך לעדכן את תוכנית ניהול המשבר, לשנות רשימות אנשי קשר, להטמיע מערכת תיעוד או להגדיר מחדש את מבנה חדר המצב.
חלק מהלקחים דורשים הכשרה ולא רק מסמך חדש. מנהלים עשויים להזדקק לתרגול בקבלת החלטות, אנשי תקשורת לתרגול מסרים וצוותים טכניים לשיפור תהליך הדיווח להנהלה.
בתרגיל הבא יש לבדוק האם התיקונים אכן יושמו והאם הם פתרו את הבעיה שהתגלתה.
מוכנות נבנית באמצעות שגרת תרגול
תרגיל בודד הוא התחלה חשובה, אך מוכנות ארגונית אינה נשמרת ללא תרגול חוזר.
אנשים מתחלפים, מערכות משתנות, ספקים חדשים נכנסים והפעילות העסקית מתרחבת. תוכנית שהייתה מתאימה לפני שנתיים אינה בהכרח משקפת את המבנה הנוכחי של הארגון.
כדאי לגוון בין סוגי התרגילים. תרגיל הנהלה מתמקד בקבלת החלטות ובניהול ההשלכות העסקיות. תרגיל טכני בודק את יכולות הזיהוי, הבלימה והשחזור. תרגיל משולב בוחן את העבודה בין ההנהלה, צוותי הטכנולוגיה ושאר היחידות.
יש לשלב בתרגול גם מנהלים מדרגים שונים ולא רק את חברי ההנהלה הבכירה. אירוע אמת עשוי להימשך שעות או ימים, ולכן נדרשים מחליפים, מנהלי ביניים ובעלי תפקידים שיוכלו להמשיך לנהל אותו לאורך זמן.
עדיף לגלות את הכשל בתרגיל
תרגיל סייבר מדמה מציאות אינו נועד להציג לארגון תמונה נוחה, אלא לחשוף את הפער בין התוכנית הכתובה לבין ההתנהלות בפועל.
הוא מלמד את ההנהלה שאירוע סייבר הוא משבר עסקי, מחדד את חלוקת האחריות ומאפשר לתרגל קבלת החלטות כאשר המידע עדיין חלקי.
התרגיל גם בודק את זרימת המידע, את העבודה מול גורמים חיצוניים ואת היכולת לשמור על תמונת מצב משותפת לאורך המשבר.
כאשר הלקחים מתועדים ומתורגמים לפעולות, התרגיל הופך מכלי אבחון למנגנון שמחזק את החוסן הארגוני. ארגון שמתרגל בזמן שגרה מגדיל את הסיכוי שההנהלה תנהל את אירוע האמת, במקום שהאירוע ינהל אותה.
קרדיט תמונה: magnific
