חובה להיערך לסיכוני סייבר עם צוות תגובה לאירוע

מרבית הארגונים בישראל ובעולם מודאגים מאירוע סייבר שעלולים לפגוע במאגרי מידע, מערכות מידע ותפעול בענן, תפקוד של בתי חולים, מוסדות לימודים, בנקים, חברות חשמל, מים ואנרגיה. לפיכך, בתהליכי ההגנה מעורבים מספר רב של מומחים, יועצים, ספקי טכנולוגיה, מבצעים של מבדקים, מוסדות למידה ועוד. אם נבחן את כל ההשקעות שמתבצעות, לאורך שנים, כולל שימוש בטכנולוגיות חדישות ומצוינות, איך ייתכן כי עדיין נאמרים דברים כמו: "תקיפות סייבר בעתיד עלולות להתרחש", או "אנחנו לא מוגנים באופן מושלם", וכן לפנינו עבודה רבה"?

צוות התגובה בארגון נדרש להכיר את מערכות המחשוב והבקרה בחברה ולהיערך למגוון אירועים במטרה למזער סיכונים ונזקים

השאלות שדווקא כן צריכות להישאל

כדי לענות באופן יסודי ומקצועי לסוגיה זו, חייבים לשאול האם יש פעילויות לטובת הגנת סייבר משודרגת וזמינה בעלויות סבירות, שיכולנו לעשות אבל לא עשינו? התשובה: "בהחלט כן", ויש גם סדרת משימות לעשות.

אז ראשית חשוב לענות על השאלות הבאות:

– האם אנחנו מבצעים בהתמדה סקר סיכונים תקופתי, מנתחים את התוצאות ומשפרים את מה שנדרש?

– האם העובדים שלנו עברו הדרכות להתגוננות בפני אירועי סייבר, בהתאם לתחום עסוקם בחברה?

– האם הקמנו צוות תגובה לאירוע (IR – ר"ת Incident Response), כתבנו נהלים מותאמים וביצענו תרגולים?

– האם המערכת שלנו מחוברת 24/7 למרכז הגנת סייבר (SOC – ר"ת Security Operation Center)?

– האם אנחנו מבצעים מעקב אחרי חולשות ואירועים שהתפרסמו, ולומדים מכך מה שנדרש לעשות?

– האם אנחנו מבצעים שדרוגי תוכנה כנדרש עבור מערכות מידע (IT) ומערכות תפעוליות (OT)?

צוות תגובה לאירוע חייב להכין אותה. תוכנית היערכות לסיכוני סייבר. צילום: אילוסטרציה.Shutterstock

מה חשוב שיעשה ה-CISO?

ללא ספק כי בכל ארגון נתון, בעל תפקיד מנהל מערכות המידע והגנת הסייבר (CISO – ר"ת Chief Information Security Officer) ימצא פעולות שניתן לעשות באמצעות תהליכים ברורים וגם בעלויות סבירות. בין השאר מדובר בפעולות:

• אבטחת סייבר חייבת להתבצע על פי משולש PPT (ר"ת People, Processes, Technologies), ובתהליך זה המשימה החשובה היא להקפיד על פיתוח הידע בתחום הסייבר לבעלי תפקידים בחברה.
• באבטחת סייבר בארגונים שמפעילים מערכות מידע, כולל בענן, נדרש להקפיד על סודיות המידע, תקינות ונגישות למידע: CIA (ר"ת Confidentiality, Integrity, Availability), עם דגש על סודיות.
• לצורך אבטחת סייבר לארגונים שמפעילים תהליכים תפעוליים נדרש להקפיד על בטיחות, אמינות וביצועים תקינים: SRP (ר"ת Safety, Reliability, Performance) עם דגש על בטיחות.

מעבר לנאמר לעיל, חשוב להדגיש כי הגנת סייבר על ארגונים שמנהלים מערכות מחשוב ומערכות תפעוליות חייבת לכלול הגנה בפני גישה פיזית למתקנים. נדרש לבצע הפרדה בין רשתות על פי רמת הקריטיות, הפרדה בין איזורים שלא אמורה להיות ביניהם תקשורת לא מבוקרת, וכמובן הדרכות תקופתיות לעובדי הארגון בכל הקשור לסיכוני סייבר ודרכי התגוננות. צוות התגובה בארגון נדרש להכיר את מערכות המחשוב והבקרה בחברה ולהיערך למגוון אירועים במטרה למזער סיכונים ונזקים.

לסיכום, במאמר זה תיארנו את הנושאים החשובים ביותר לארגון, על מנת שיהיה מוכן היטב לכל אירוע שעלול להתרחש. חייבים להכיר את הנהלים הישימים לתחום העיסוק של החברה; אלה שנכתבו על ידי מערך הסייבר הלאומי (מס"ל) ואלה שהוכנו באופן פרטני עבור כל אירגון. חלקם נבחנים גם על פי מגוון סוגי תקינה בינלאומיים, כמו: ISA, ISO, IEC, NIST, ועוד, אבל, אין תחליף ללמידה ותרגולים כדי להיות ערוכים לאירועים שעלולים לפגוע בחברה. תפקידה של ההנהלה להקצות את המשאבים והתקציבים להשגת מטרות אלה.

הכותב הוא יועץ ומרצה בתחום אבטחת סייבר למערכות תפעוליות ויו"ר הכנס השנתי ICS CyberSec⁹ 2025, המאורגן על ידי אנשים ומחשבים.

הכנס הקרוב יארח מרצים מישראל ומחו"ל ויתקיים בלאגו ראשל"צ, ב-8 בינואר 2025. להרשמה ופרטים נוספים – לחצו כאן.