5 מיליארד דולר - זה הסכום שנדרש לשיקום הנזק של מתקפת הכופרה NotPenya, שפגעה בחברות ובארגונים בארצות-הברית ובאירופה בקיץ 2017 ויוחסה להאקרים מזוהי הביון הרוסי. ענקית השינוע הימי הדנית מארסק לבדה שילמה 300-200 מיליון דולר על תהליכי ההתאוששות. בשנים שחלפו מאז, ובמיוחד מפרוץ הקורונה והמעבר המהיר לעבודה מרחוק, זה רק הלך והחמיר. את המחיר הכבד ביותר משלם סקטור שירותי הרפואה הרגיש, וכבר ראינו מוסדות בארץ ובעולם שעוברים לעט ונייר, כשחלק מהמידע אבד לעד. במציאות שכזאת, לצד השקעות העתק באמצעי ניטור ומיגון בסייבר, ארגוני האנטרפרייז, הריטייל והטק הגדולים חייבים לוודא שהם יודעים מה הם עושים, אנושית וטכנולוגית, היה והאסון כבר קרה. 

המעבר המסיבי למרחב הדיגיטלי רק חידד את הסוגיה הבוערת: "נגמרו הימים שאנשי ה-IT יכולים להחזיר אותנו לפעילות תוך שבועיים-שלושה", אומר ליאור כלב, שותף ב-Deloitte וראש תחום הסייבר. "כשהממשק עם הלקוחות הוא דיגיטלי, וכשהתחרות העסקית כל כך גדולה והמתחרים נמצאים במרחק הקלקה, ה-Need for speed עולה משמעותית". הוא מביא לדוגמה את שוק הגיימינג: "משחק פופולרי שלא באוויר שעתיים זה הפסד של מיליונים. החברה שמפעילה אותו חייבת להיערך למצב כזה ולדעת מראש איך היא מעלה אותו בחזרה, או לפחות חלקים מרכזיים מתוכו, בכל תרחיש ותרחיש. איך היא מוודאת שהסביבה מבודדת ונקייה. וזה לא רק גיבוי ושחזור".

ליאור כלב, שותף ב-Deloitte וראש תחום הסייבר (צילום: שיווק)
ליאור כלב, שותף ב-Deloitte וראש תחום הסייבר|צילום: שיווק

בעיה נוספת היא העומס בעת השיקום: "בדקנו תרחישים שונים מול לקוח בינלאומי גדול, ושאלנו אם קווי התקשורת יוכלו בכלל לעמוד בנפח כזה של טרה-בית. התשובה הייתה שלילית. עכשיו צריך להחליט אם המסקנה היא שיש צורך בשדרוג של כלל מערך התקשורת, או ששיהוי בשחזור זה משהו שאפשר לחיות איתו במקרה קיצון ולקחת אותו בחשבון. זאת תהיה אמירה לגיטימית, כי בניגוד למה שספקיות סקיוריטי מבטיחות לפעמים, אי אפשר להגן על הכול במידה שווה באנטרפרייז גדול. בסוף, זה ניהול סיכונים".

 "כשהממשק עם הלקוחות הוא דיגיטלי, וכשהתחרות העסקית כל כך גדולה והמתחרים נמצאים במרחק הקלקה, ה-Need for speed עולה משמעותית"    

מי אחראי ומי מתעדף

אז מי בארגון אחראי על תהליך ה-DR, Disaster Recovery, שנועד להבטיח את הרציפות וההמשכיות העסקית? מתברר שזו שאלה טובה, שמחדדת בעיה מרכזית: החומה שקיימת בין הצד הטכנולוגי-תשתיתי לבין הצד העסקי. "ה-IT חייב לשרת את ליבת הביזנס ולהבין מה חיוני ומה פחות, מה בוער ומה סובל דיחוי", אומר תומר רובל, מנג'ר ומוביל תחום ה-Resilience ב-Deloitte. "בנק יכול למשל להגיד שעל חדר המסחר הוא לא יכול להתפשר, כי זה ה'לחם והחמאה' של השירות או מה שמכניס לו הכי הרבה כסף. לאמירה כזאת יש משמעות רבה: זה אומר ששם צריך לרכז את מערכות הגיבוי והשחזור החזקות ביותר, ושזו תהיה העדיפות העליונה באירוע קיצון".

"אסור שסדר העדיפויות ינבע בעיקר משיקולים טכנולוגיים", מחדד כלב. "לכן, כשאנחנו מלווים ארגון, אנחנו קודם כול ממפים את התהליכים העסקיים בו. המרכזיים שבהם יוגדרו Tier-0, שפירושו: שיקום מיידי של דקות עד שעה. אחריו יבואו ה--Tierים הבאים, בסדר עדיפויות הולך ופוחת וזמני התאוששות הולכים ומתארכים. עבור כל תהליך עסקי אנחנו בודקים, בין היתר: מהן המערכות הטכנולוגיות התומכות (תקשורת, Firewall)? האם הן נותנות מענה? האם ניתן לעבור לזמן מה לפתרון ידני מבלי להסב נזק כבד מדי לפעילות? האם חידוש הפעילות יבזבז זמן יקר מדי לאותו שלב? האם יש תהליכים שתלויים באחרים ולכן, גם אם הם קריטיים יותר, סדר הפעולות בהתאוששות מחייב למקם אותם לאחריהם?"

תומר רובל, מנג'ר ומוביל תחום Resilience ב-Deloitte (צילום: שיווק)
תומר רובל, מנג'ר ומוביל תחום ה-Resilience ב-Deloitte|צילום: שיווק

מיפוי שכזה חייבים לתקף שוב ושוב: "סדר עדיפויות זה עניין שמשתנה מעת לעת, והמעבר לענן עוד מאיץ את זה. זה ממש לא 'נגעת נסעת'. ובכל תיקוף ועדכון שכזה חייבים לערב לא רק את ה-CISO, אחראי הסייבר הארגוני, אלא גם את ה-CIO, את מי שאמון על ניהול הסיכונים ואת ההנהלה כולה. את מקבלי ההחלטות בדרגים הכי גבוהים בארגון".

בחר את הקרבות שלך

תומר רובל מציין שארגון חייב לפתח Resilience, חוסן ועמידות, מול תרחישים שונים: "התאוששות טכנית זה לא כמו התאוששות מאירוע כופרה. ארגונים חייבים לזהות את ה-Security Posture, החשיפה והאיומים שיש להם במרחב הסייבר, ולנקוט גישה פרואקטיבית לא רק בסיכול ובזיהוי, אלא גם בנושא ההתאוששות. לחשוב, למשל, אם יש להם חלופה אפקטיבית, או שהחלופה שהייתה - מעבר לידני, למשל - לא רלוונטית עוד בעידן הדיגיטלי, וכאשר פגיעה ב-Trust עלולה להיות אנושה".

איך מוודאים שכל זה אכן מתרחש? ליאור כלב מתאר את הליווי שהוא וצוותיו מעניקים לארגונים מקצה לקצה: "זה מתחיל ב-Business Impact Analysis (BIA) - מיפוי ותעדוף מקיף מאוד ומתוקף שוב ושוב, הן של התהליכים העסקיים והן של המערכות הטכנולוגיות, עד רמת הביטס והבייטס, עם הגדרה של סדר פעולות ומענה מקיף לכל תרחיש - לעיתים ממש מדריך כתוב. אנחנו מחדדים את איום הייחוס, גם כדי למנוע מצב של יתר אבטחה בהתחשב במשאבים המוגבלים. למשל: מה באמת סביר שיחפשו אצלנו, והאם אנחנו באמת מסוגלים להתמודד עם תקיפה של מעצמה - או שכאן נרים ידיים מראש".

"התאוששות טכנית זה לא כמו התאוששות מאירוע כופרה. ארגונים חייבים לזהות את ה-Security Posture, החשיפה והאיומים שיש להם במרחב הסייבר, ולנקוט גישה פרואקטיבית לא רק בסיכול ובזיהוי, אלא גם בנושא ההתאוששות"

אגב, בעניין הרמת הידיים, לעיתים משתלם יותר לשלם את הכופר מאשר להתמודד עם ההשלכות, ויש ארגונים שמכניסים גם את ההיבט הזה ל-BIA ול-DRP. חשוב רק לזכור שלא תמיד חוקי לשלם להם; שאין כל ערובה שהמידע אכן יימחק ולא יימכר לצדדים שלישיים, או שזה לא רק המבוא לתקיפות נוספות מצד אותו שחקן; ושחלק מהמידע לא ניתן לשחזור כך או אחרת.

אבל כל זה רק צד אחד של העניין. "אנחנו מדברים על תרבות ארגונית והבנה שהאחריות להתאושש היא לא רק על אנשי ה IT אלא לאורך ולרוחב הארגון", אומר כלב. "לשם כך אנחנו מעבירים ימי עיון ותרגילים, 'מתקילים' את הצוותים במצבי קיצון שונים ועוזרים להם לוודא שיש להם מענה מספק, או שהם לפחות יודעים מול מה הם עומדים, ומה הכי קריטי כדי שהעסק יוכל לנוע ולא יושבת במקרה של Recovery". הבסיס הוא שינוי בצורת המחשבה: " בתוכנית ה-DRP שלנו חייבים לפתח הסתכלות הוליסטית על הארגון כדי להבין, במקרה שהאסון כבר קרה, מה קריטי ומה בגדר Nice to have. ואת סדר העדיפויות בשחזור ובחזרה לחיים חייבים להוביל השירותים, לא השרתים".

ארגונים חייבים להבין שהאתגר הזה שנקרא סייבר הוא לא רק של אנשי הסייבר, מהצד השני על ה- CISO להבין שהשיח על נושא הסייבר לא יכול להסתכם בשרתים, עדכוני אבטחת מידע וכמה וירוסים היו לנו,חייב להיות שיח שמשלב הבנה של העסק שעליו הוא אחראי להגן בשילוב הטכנולוגיה שתומכת בו.

למידע נוסף בנושא ניהול סיכוני סייבר. לחצו כאן