תגובה קריטית: 5 טעויות שאנשי ההנהלה עושים באירועי סייבר
איך מגיעים מוכנים לאירוע סייבר? מתכוננים מראש. הנהלות רבות מדמות תרחישים, אבל רובן עושות את אותן טעויות
כאשר חברה נופלת קורבן לאירוע סייבר, ולא משנה מה סוגו, מתחיל כאוס. תמונה: dreamstime
מאת רפי ביטון
ההנהלה הבכירה היא הקפטן שמשיט את הספינה הארגונית, בשגרה ובחירום: היא זו שקובעת את החזון הארגוני, סדרי העדיפויות, האסטרטגיה להגשמת החזון והיעדים ומקצה את המשאבים הזמינים בין הגורמים השונים בחברה. ובמשפט אחד: "הנהלה בכירה אחראית על איסוף הנתונים הנכונים שיביאו לקבלת ההחלטה הטובה ביותר״, והמשפט הזה נכון שבעתיים בעת אירוע סייבר.
כאשר חברה נופלת קורבן לאירוע סייבר, ולא משנה מה סוגו, מתחיל כאוס. הצוותים הטכניים מכתתים רגליים, מתכנסים בינם לבין עצמם ומנסים לנהל את האירוע למיטב ידיעתם. לעיתים מתלווים אליהם צוותי תגובה (Incident Response Team) חיצוניים המסייעים בתהליכים הטכניים, ולעיתים לא. לא משנה מה קורה בחוץ, הנהלת הארגון תמיד תהיה זו שתצטרך להחליט את ההחלטות הקשות ולקבוע את אסטרטגיית הפעולה. היא גם זו שבסופו של דבר אחראית על כך שהחברה צולחת את האירוע, או נכשלת.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
כמו בכל דבר בחיים, כדי להגיע מוכנים צריך להתכונן. לא מעט חברות עורכות תרגילי הנהלה כדי לוודא – או יותר נכון לעלות את הסיכוי – שבעת אירוע רמת הכאוס תהיה מינימלית ואיכות ההחלטות מקסימלית. תרגילי הנהלה הם סימולציה יבשה, שבה מכנסים את כלל מקבלי ההחלטות בחברה (לרוב הנהלה בכירה או דירקטוריון) בחדר אחד למשך כחצי יום. בזמן הזה מוצגים לארגון מספר תרחישי סייבר שונים – אירוע כופר, השתלטות על נכסים קריטיים, גניבת מידע, שיחה מרגולטור, דליפה של האירוע לתקשורת ועוד – ולאחר כל תרחיש ניתן להנהלה זמן דיון שבו הם נדרשים לנתח את מצב החברה, לאסוף נתונים עד אותה נקודת הזמן ולהחליט על דרך פעולה.
התרגילים האלה חשובים, בעיקר כאשר אנחנו רואים את הליקויים שעולים בהם. אין להם קשר ליכולות או לידע של ההנהלה הבכירה, אלא לחוסר הניסיון הקודם בניהול אירועי סייבר. ובכל זאת, יש כמה נקודות חולשה שחוזרות על עצמן בחברות רבות. אספנו עבורכם את חמשת הליקויים הנפוצים ביותר העולים במסגרת תרגילי הנהלה.
1. מקבלים החלטות מתוך חוסר ידע
מנהל בכיר בחברת טק הגיע לעבודה, לקח את היוגורט שלו מהמקרר והתיישב לעבוד. בתיבת הדואר חיכה לו מייל שהודיע שהייתה פריצה לספק גדול שלו ״אך לא קיים נזק ללקוחות החברה״. במקרה דומה אחר, מנהל מערכות המידע בחברת ביטוח גדולה החליט לנתק את החיבור לספק ״על כל מקרה״. ההחלטה לבצע פעולה כלשהיא או לא לעשות כלום צריכה להתקבל לאחר קבלת המידע המדויק להבנת האירוע בשלמותו. פריצה אצל ספק יכולה להיות פתח למערכות הארגון, לעצירת השירות ללקוחות, וזה עלול להוביל להעמקת הנזק, התארכות המתקפה ועד לקריסת הארגון. ניתוק הארגון מהספק הפגוע לא בהכרח מבטיחה שהתוקף לא הצליח להגיע למערכות הארגון, גם אם אין אינדיקציה ברורה לכך. הנהלה מתורגלת תדע ותכיר שיש ״שאלות נכונות״, ורק אחרי שיש תשובות מתאימות אפשר לגבש החלטה מושכלת.
2. מתמקדים רק בטכנולוגיה
בחברה טכנולוגית שליווינו במהלך אירוע שמנו לב שהצוותים הטכניים מנהלים את האירוע. הם אלה שאומרים מה צריך לעשות עכשיו, הם אלה שבוחנים את מערכות החברה ומחליטים מה יהיה השלב הבא בניהול האירוע. ההנהלה רק מקבלת עדכונים בדיעבד. במבט לאחור, הסתבר שהצוותים הטכניים השקיעו מאות שעות עבודה בחזרה לשגרה של מערכות שלא היו רלוונטיות לליבת העיסוק של החברה בעוד מערכות קריטיות אחרות עדיין היו מושבתות מפאת מחסור בכח אדם. כאשר כח אדם טכנולוגי מוביל אירוע, העיסוק באירוע יהיה טכנולוגי גרידא והם לעד יספקו רק חלק מהתמונה המלאה. לאירוע יש השלכות משפטיות, תדמיתיות, שירותיות – שיחד מספקים את כל הסיפור ונותנים בסיס איתן יותר לקבלת החלטות.
ההנהלה הבכירה והצוותים הטכניים נמצאים באירוע אינטסיבי ובשאר החברה עסקים כרגיל. תמונה: dreamstime
3. משאירים הכל בשו-שו
ברוב החברות מי שמכיר את האירוע מקרוב הם הצוותים הטכניים וההנהלה הבכירה, שמקבלת את המידע מגורם מקשר כמו מנהל אבטחת מידע או מנהל מערכות מידע. ופה זה לרוב נעצר. כלומר, ההנהלה הבכירה והצוותים הטכניים נמצאים באירוע אינטסיבי כל כך, שיכול להשפיע על כל החברה ובלחץ של זמן לסיים אותו כמו שצריך, ובשאר החברה עסקים כרגיל, דנים במה לאכול בארוחת צהריים.
זה מצב אבסורדי. חשוב לשקף את המצב (באופן מלא או חלקי) כלפי עובדי החברה וגם להנחות אותם במה מותר ואסור לעשות בכל אחד משלבי האירוע; כלפי לקוחות החברה – להבטיח כי המוצר והשירות ימשיכו להיות מסופקים כל העת ושיינתן דיווח כמתחייב במסגרת חוזית; כלפי ספקי החברה, בעיקר להרגיע את החשש מאי ודאות לגבי המשך קיום הפעילות העסקית המשותפת; כלפי הרגולטור אם קיימת חובה דיווח חוקית; וכלפי הציבור כללי על מנת למנוע אובדן אמון במותג החברה, במוצר או בשירות.
4. מתעלמים מנהלים קיימים
הנהלות לרוב שואפות לנהל את האירוע אד-הוק ולמעשה להתעלם ממסמכי מדיניות ונהלים שנכתבו בטרם עת. בחברת פארמה בה ערכנו תרגיל הנהלה גילינו כי התרגיל ״מנוהל מהמותן״ וכל מנהל מביא את משנתו. לאחר חצי יום תרגול הצפתי להנהלה כי אף אחד מהם לא עקב אחרי מסמכי המדיניות והנהלים שהיא הגדירה לעצמה או התייחסה לאמור בתוכנית ההמשכיות העסקית.
מסמכי מדיניות ונהלים נכתבים בשגרה לאחר סיעור מוחות ומביאים על הכתב את מיטב הרעיונות של החברה לתפקד בשעת משבר. מסמכים אלה צריכים להיות האורים והתומים של הארגון בתפעול אירוע לצד גמישות בהתאם למתווה האירוע.
5. מתחילים בתהליך יצירתי
אומרים שכשהתותחים רועמים המוזות שותקות. זו לא החוויה שלי. לא פעם, כשאני מציג להנהלה הבכירה תרחישי סייבר, פתאום עולים רעיונות טובים וחלופות חדשות שעוזרים להבטיח את קיומם של תהליכים קריטיים בארגון במקרה של סייבר. זה אמנם מעורר השראה להיות חלק מתהליך יצירתי כזה, ואני מקווה שהרעיונות הטובים האלה יתממשו ויכינו את התשתיות שיסייעו לארגונים בזמן אירוע סייבר, אך העלאת הרעיונות האלה בזמן קריטי חושפת כמה דברים: ההנהלה לא מודעת לתשתיות הקיימות או לחלופות שלה, אם ישנן כאלה; ההנהלה מגלה שהתשתיות שיש לה אינן מספקות; התשתיות של הארגון אינן מספקות וההנהלה לא טיפלה בזה; והכי חשוב – החלופה לא תורגלה מעולם ולא ברור מה טיבה או מידת האפקטיביות שלה.
אירוע סייבר יכול להיות מטלטל מאוד לחברה, ללא קשר לגודלה או לרמת הידע של האנשים העובדים בה. לצד ההכנות בפן האדמיניסטרטיבי (כתיבת מסמכי מדיניות, נוהלי עבודה, תוכניות לשגרה וחירום וכדומה) ובפן הטכנולוגי (הטמעה ותחזוקה של תשתיות ומערכות, קיומן של בקרות אבטחה, ניטור הרשת ויכולות הזיהוי של אירועים פוטנציאליים) חשוב לתרגל גם את ההנהלה שהיא זו שתיתן את הטון וההכוונה לשאר העוסקים באירוע.
הכותב הוא שותף בחברת שורסק ומלווה ארגונים רבים בארץ ובעולם
