כל מה שצריך לדעת על ניהול משברי סייבר
משברי סייבר מתרחשים כל יום בחברות מסוגים שונים ומסכנים לקוחות אינטרנטיים של ספקי שירות שונים. כמה כללים להתמודדות עם המשבר
ידוע שחברות אבטחת הסייבר משגשגות. אבטחת מידע ופרטיות משתמשים, הן סוגיות מהותיות כמעט בכל ארגון שמספק שירותים אונליין.
רק בקיץ האחרון היינו עדים לפריצת סייבר למערכת של HBO, שהובילה לדליפה של תסריטי פרקים של ׳משחקי הכס׳, סדרת הדגל של החברה. ההאקרים ששיחררו מידע באופן הדרגתי לרשת, הצליחו ככל הנראה לייצר לחץ בהנהלת החברה, שלפי פרסומים הציעה לשלם 250 אלף דולר במטרה להפסיק את ההדלפות. ממש לא מדובר במשבר הראשון שחברת הפקות חווה בתחום, ובוודאי לא האחרון. האקרים ניסו לסחוט את Netflix, וכשהרשת סירבה לדרישות ההאקרים, אלו הדליפו את העונה החדשה של ׳כתום זה השחור החדש׳ מבעוד מועד לרשת.
משברי סייבר ממש לא מוגבלים לז׳אנר ההפקה ההוליוודי, מתרחשים כל יום בחברות מסוגים שונים, ומסכנים לקוחות אינטרנטיים של ספקי שירות שונים – החל מפריצות שהתרחשו ל-Yahoo!, לחברות אשראי, ועד לפריצה למאגרי הנתונים של אתר הבגידות Ashley Madison, שהעמידה לא רק את החברה ללחץ של סחיטה אלא גם את לקוחות האתר.
למרות שחשיבת אבטחת מידע והגנת סייבר נמצאת בחזית, במיוחד כאן בישראל, לא קיים דגש על האופן בו ארגונים צריכים להתמודד עם משברי סייבר כאשר אלה מתרחשים. זהו שלב בו לחברות אבטחת הסייבר יש שליטה פחותה, ונדרש סט רחב ושונה לחלוטין של מיומנויות – מיומנויות ניהול משבר וניהול משא ומתן מול האקרים, לעתים מיומנים, אשר יכולים להיות מצויים במרחק אלפי קילומטרים, ומחזיקים במידע הכי רגיש שלכם. זהו לא עסק לחובבנים, ובוודאי לא לאנשים שלא מתורגלים כלל בהתמודדות עם אירוע זה. הנה כמה כללים להתמודדות עם המשבר.
מול מי אנחנו עומדים? ככל שנצליח להבין את האינטרסים של ההאקריםבאופן מדויק יותר, כך נוכל לדעת מהם הצעדים שיכולים לסייע. לרוב, האקרים שמעוניינים בכסף הם חובבניים יותר, ובמצבים כאלו ייתכן וניתן לנהל משא ומתן תחת תנאים מסוימים. ההאקרים המקצוענים עובדים לא פעם עבור מדינות וסוכנויות ביון. במצבים כאלה, לניהול משא ומתן כנראה אין ערך רב. האינטרס אינו כספי.
מה רמת הנזק? הפורצים לא יעדכנו אותנו מה המידע שמצוי ברשותם, וגם אם יעשו זאת, ודאי לא מדובר במידע אמין. במצבים כאלה יש לחברות אבטחת מידע כלים לבחון את עומק הפרצה. כמובן, ככל שהמערכת נפרצה יותר, ומידע רגיש יותר נמצא בידיים זרות (בין אם מידע פרטי על משתמשים ובין אם אסטרטגיות מרכזיות של הארגון), מדובר באירוע קריטי יותר. בכל מקרה, עדיף להתייחס לפרצה כגדולה יותר מכפי שהיא בפועל.
הגיעה דרישת תשלום. לשלם? לפני שמשלמים חשוב לדעת שתשלום מהיר יכול להתפרש ככניעה מהירה, ולהוביל להמשך הסחיטה. אף אחד לא מבטיח לכם שההאקרים ימשיכו לעשות שימוש במידע גם לאחר תשלום. במידה והם מחזיקים במחשבים כ׳בני ערובה׳, בכלל לא בטוח שהם ישחררו אותם. חשוב להראות קשיחות ועמידות. מתי בכל זאת שווה לשלם מהר? במידה והסכום המבוקש נמוך, ההאקרים כנראה חושבים שהם פגעו באדם פרטי ולא בארגון גדול. במצבים כאלה, ״לקחת את הזמן״ עלול לאותת להאקרים שהם עלו על ״דג שמן״. לכן, במידה ובוחרים לשלם עדיף לעשות זאת מהר.
שילמתם? הדבר יכול להוביל לבעיה חדשה. כאשר ארגון מראה פגיעות ומאותת שהוא משלם, האקרים אחרים ינסו לפגוע בו גם כן. הארגון נכנס ל׳רשימה שחורה׳ של ארגונים שמסכימים לשלם. זה לא סוף העולם – אבל זה כן מצריך היערכות ושיפור משמעותי של מערך הגנת הסייבר.
ומה עם משא ומתן? לא תמיד זה עובד. אם אתם בוחרים לנהל משא ומתן, תנו הצעת נגד נמוכה באופן משמעותי ממה שהאקרים מוכנים להציע. שדרו שהמידע שברשותם לא מאוד רגיש, והוא בגדר nice to have. כאשר זהו המסר – הסיכוי שיסכימו לשחרר את המידע מהר יותר, עולה. מצבים כאלו יכולים להימשך זמן רב, והפתרון לא מגיע תוך יום או יומיים. חשוב להיערך לתקופה ממושכת בה ההאקרים מעלים הילוך עם הזמן, והלחץ בארגון גובר.
מה עוד צריך לעשות? אחד הדברים המשמעותיים ביותר הוא חובת הדיווח. לארגונים הפועלים באירופה ובארה״ב ישנה חובת דיווח שלעתים חייבת להתבצע באופן מהיר של עד 72 שעות מפרוץ המשבר. גם ישראל מתחילה ליישר קו מול המערב, וב-2017 יצאו תקנות של משרד המשפטים הדורשות דיווח כאשר מידע פרטי של משתמשים נגנב. שימו לב כי אתם ערוכים מבעוד מועד לדיווח. הקנסות עלולים להוות ׳מכה על חטא׳.
עו״ד נוי ארז, מומחה למשא ומתן ומצבים קריטיים ומשבריים (ביטחוניים ועסקיים) מזה כ- 20 שנה. מייסד ושותף ב-Critical Impact