24.6.2020

​

ביום ב׳ ה-15.6.2020, קיימנו Webinar בשיתוף עם ISACA, בנושא ניהול משבר סייבר. ה-Webinar כלל הרצאה ופאנל מומחים בהנחיית רם לוי, מייסד ומנכ״ל Konfidas. 
משתתפי הפאנל: עו״ד סיגל שלימוף, נציגת לוידס בישראל, שותפה מייסדת במשרד עורכי דין גרוס, אורעד, שלימוף ושות׳, מוטי קריסטל, מומחה למשא ומתן במצבי משבר, שי סימקין, ראש תחום סייבר, קבוצת האודן בעולם, אמיתי זיו, כתב הייטק, TheMarker, אלי זילברמן-כספי, מייסד שותף וראש תחום Konfidas, IR, רעות מנשה, מומחית ומנהלת אירועי אבטחת מידע וסייבר, מייסדת Tetrisponse.

לנוחיותכם, ריכזנו  את עיקרי הדברים שעלו ב-Webinar

​

״הנושא של הביזנס והנושא הטכני זה שני צירים שחייבים לחיות במקביל. הם מקדמים אחד את השני.״ (רעות מנשה, מומחית ומנהלת אירועי אבטחת מידע וסייבר, מייסדת Tetrisponse).

• התפקיד של צוות ניהול המשבר הוא לצמצם את ההשפעה של אירוע הסייבר על החברה. למעשה, הצוות עוזר למנכ״ל לנהל את הסיכון. 

• המעבר ממצב שגרה למצב חירום הוא החלטה קשה שיש לקבל - אסור להתעלם או להתעכב. צריך להפנים שיש צורך לעזוב את תפיסת המציאות הקודמת ולהכנס למציאות אחרת, לדוגמא: אין סופ״ש, אין לילה, ניתוחי מצב פעמיים ביום. 
• פעמים רבות, מה שמאפיין ארגונים בשלב בו צוות ניהול המשבר נכנס לפעולה הוא לחץ ואי סדר. ניהול נכון של משבר מאפשר סדר וסנכרון בין אנשי הצוות, הוא מתבצע בשני מישורים: 
  • כאן ועכשיו: החדרת שיטתיות בניהול האירוע - על מנת למנוע הדרדרות, לדוגמא: 
    • העברת הארגון למצב חירום
    • הקמת צוות ניהול משבר
    • קביעת שעון לחימה- למשל, סטטוסים לצוות ניהול האירוע פעמיים ביום, שיחות של צוות מצומצם עם המנכ״ל, ועוד. 
    • קביעת שיטת ניהול המשימות והתיעוד
  • הסתכלות קדימה: חשוב להסתכל 6/12/24 שעות קדימה ולפעמים אף יותר, על מנת להכין את הארגון לאתגרים שבדרך. למשל, במידה והעובדים מגיעים לבניין - מה תהיה החוויה שלהם? מה עובד ומה לא? איזו הערכות נדרשת?
• חשוב להבין שבשלב הראשון הצוות הפורנזי ישאיר את ההנהלה באי ודאות. מצב שעלול להמשך ימים ולפעמים גם לא מגיעים עד הסוף לחקר האמת.
• חשוב להכין תכנית IR ליום הדין שתכלול בין השאר הגדרה של האנשים הרלוונטיים, תרגול, הגדרת איום הייחוס, חלופות הטכנולוגיות, ועוד. 
• פניה לרשויות החוק לרוב תעשה כאשר קידום החקירה דורש פעולות שלאדם הפשוט אין יכולת להשיג (צווים, חדר מצב אחוד עם גופי סייבר בעולם בו משתפים מידע). כמו כן, לעיתים פניה זו נדרשת מבחינה ביטוחית על מנת לענות על דרישות הפוליסה. 

• אירוע סייבר מאופיין בחוסר וודאות, אשר מגביר את רמת החרדה ומשפיע פסיכולוגית על יכולת קבלת החלטות. לכן, בזמן משבר בו יש צורך במו״מ ישיר עם התוקף (מתקפות סחיטה למיניהן), מומלץ להיעזר באיש מקצוע. 
• ניהול משא ומתן עם תוקף במסגרת אירוע סייבר הוא נושא מקצועי לכל דבר - ניהול נכון מסייע בהגדרת היקף הפגיעה ובהפחתת סכום הכופר.
• ערוץ התקשורת עם התוקף משמש גם כערוץ מודיעין. ניהול מו״מ נכון מאפשר להשתמש בתקשורת עם התוקף על מנת לקבל מידע פורנזי, ובכך לחסוך בזמן ובמשאבים. 
• Ransom Note - במקרים בהם התוקף מגדיר שעון זמן עד למתן תגובה מהצד הנתקף, אין סיבה למהר לענות, תגובה מהירה ופזיזה עלולה להחריף את הנזק. 
• במידה ונדרשת תגובה מיידית - מומלץ לענות באופן כללי ומנומס, בסגנון: ״אנחנו מבינים, האם תוכל לספק עוד מידע? נחזור אלייך בתוך זמן קצר״. מומלץ שלא לשקר או להתחכם. לאחר מתן התגובה הכללית מומלץ לערב מומחה. 

• חשוב מאד להגדיר מראש אדם בחברה אשר ישמש כ״כתובת״ לניהול משבר סייבר מול התקשורת. בעת משבר רק אותו אדם יעביר מידע לתקשורת, כל יתר בעלי התפקידים לא יגיבו ואף ״ינתקו לעיתונאי את הטלפון בפנים״. מאד לא מומלץ לבחור את אותו האדם תוך כדי משבר.
• מומלץ לדבר בכנות, להגיד את הדברים כמו שהם מבלי לנסות לגמד את הנושא. עיתונאי שמרגיש שמי שמולו מנסה להפעיל מניפולציות עשוי לסקר בצורה חשדנית יותר, ואוהדת פחות.
• כאשר יש תמונת מצב, גם אם חלקית, כדאי לתקשר את זה לעיתונות. גם במידה ויש נושאים שאי אפשר לדבר עליהם בשלב זה, אפשר בהחלט לומר לעיתונאי ״אי אפשר לדבר על זה״. 
• חשוב לעדכן את התגובה לאור התפתחות האירועים לאורך היום (לדוגמא, לשחרר הצהרה שעתיים מתחילת האירוע ובסיומה להוסיף ״נשוב לעדכן בהתפתחות החקירה בעוד כשעתיים״).
• ניתן להשתמש באוף דה רקורד כאשר מדובר בפרטי מידע רגישים (למשל נושאים ביטחוניים), אשר יאפשרו לעיתונאי תמונת מצב ברורה יותר.
• כיצד ניתן להיות אקטיביים מול התקשורת?
  • עדכון ברשתות החברתיות.
  • חברת יח״צ במידה והעסק עובד עם אחת.
  • עדכון בהתאם לחובות הגילוי - (למשל הרשות להגנת הפרטיות, הבורסה, מערך הסייבר הלאומי). אין סיבה להסתיר את המידע שכן סופו להתגלות.

״אירוע סייבר שמבוטח הוא אחד החריגים בעולם הביטוח - פעם הראשונה שחברות הביטוח משתמשות בכח, בנסיוןף במומחיות ובמומחים שלהן, כדי לעמוד לצד המבוטח ברגע האמת.״ (עו״ד סיגל שלימוף, נציגת לוידס בישראל, שותפה מייסדת במשרד עורכי דין גרוס, אורעד, שלימוף ושות׳) 

• בעולם הביטוח הסיכון במרחב הסייבר מדורג במקום הראשון - כמסוכן ביותר לעסקים.
• אירוע סייבר אינו דומה לשום אירוע ביטוחי אחר. זמני התגובה הנדרשים מאד קצרים. ברגע שהתגובה הראשונית מהירה ונכונה כולם מרווחים - גם העסק הנתקף וגם חברת הביטוח. 
• מומלץ שלא לנסות לטפל באירוע באופן עצמאי ומיד לערב את חברת הביטוח. 
• חשוב לעבוד עם גורם ביטוחי שיש לו נסיון ספציפי בניהול משבר סייבר.
• חברות הביטוח מעמידות לרשות הלקוחות צוותים טכניים מיוחדים למתן תגובה ראשונית לאירוע סייבר (IR), שמכירים היטב את הנושא והמנטליות הנדרשת. הן פועלת כדי להשלים את עבודתם של אנשי ה-IT ולא כדי להחליף אותם. 
• לרוב, פוליסת סייבר מכסה גם (BI (Business Interruption - לכן יש לחברת הביטוח אינטרס משותף עם העסק שנמצא במשבר - לחזור לפעילות מלאה בהקדם האפשרי.
• ברוקר הביטוח פועל מטעם הלקוח, (בניגוד לסוכן ביטוח שפועל מטעם חברת הביטוח), הוא נכנס לתמונה בשלב ראשוני ביותר (בד״כ הטלפון השני אחרי חברת ה-IT). יחד עם הצוות מתחילים להבין מה קרה ואת מי צריך להעמיד לרשות הלקוח: צוות ניהול אירוע מקצועי, עו״ד, צוותי תקשורת, ועוד. הברוקר למעשה מלווה את הלקוח צעד אחר צעד משלב חוסר הוודאות הראשוני ועד למצב של חזרה לתפקוד. 
• בעקבות הכניסה של הטכלונוגיה ללב העסקים, ביטוח סייבר הפך לצורך מהותי. במקרה של משבר הוא ממתן עלויות בצורה דרסטית אשר פעמים רבות מטה את הכף בין להיות או לחדול.
• מבחינת דיווח לתקשורת, ההמלצה היא אכן לשקף, עם הסתייגות - לא מומלץ להוציא את המידע מבלי שמבינים מה קרה: מה היקף האירוע? האם דלף מידע? אם כן איזה סוג מידע דלף? ישנן מספר נקודות מפתח שחשוב להבין לפני שמשקפים החוצה.