האיראנים תקפו אתכם בסייבר? אלו הפעולות לביצוע מיידי

״במידה וישראל תחווה למשל אירוע שבו מותקפות 100 חברות במקביל, למדינה אין מספיק כוח כדי לטפל בכך בעצמה״, מזהיר רם לוי, מנכל חברת "קונפידס"

האיראנים תקפו אתכם בסייבר? אלו הפעולות לביצוע מיידי

bigstock

על רקע מתקפת הסייבר במפעל הפלדה האיראני, שהתרחשה אחרי מתקפת סייבר אחרת שהובילה לאזעקות בירושלים ובאילת, ראש הממשלה בנט הבהיר בשבוע הסייבר השנתי: "אם מישהו תוקף אותנו באמצעות סייבר - נתקוף חזרה. לא נציג את הלחי השנייה".

גם ראש מערך הסייבר הלאומי, גבי פורטנוי, הבטיח כי "בימים אלה נבנית 'כיפת הברזל' של הגנת הסייבר על ישראל". עם זאת, רק הבוקר נפרצו אתרי תיירות ומלונאות בארץ, וכשהבחירות מתקרבות גם אישים פוליטיים ומפלגות עשויים להוות מטרה.

בשנת 2021 התקבלו 12,739 פניות מאזרחים ומארגונים שהתבררו כאירועי סייבר או ניסיונות תקיפה – כלומר אחד מתוך חמישה עסקים בישראל חווה אירוע סייבר. בנוסף, דרישות הכופר בישראל מגיעות על פי ההערכות ל-100 מיליון שקלים בשנה.

המתקפה על מפעל הפלדה הגדול באיראן, שעליה לקחה אחריות קבוצת ההאקרים "הדרור הטורף", היא חלק ממתקפות סייבר בהיקף עצום שהאיראנים סופגים בשנים האחרונות. מהלך שמעצים את החשש מתגובות נגד, גם נגד ישראל,.

"לישראל יש מזל שהתגובה האיראנית אינה סימטרית, אבל לא לעולם חוסן ורק לאחרונה ראינו את המתקפה על מערכות האזעקה בירושלים ובאילת, ולפניה את המתקפות על חברת הביטוח שירביט ועל אוניברסיטת בן גוריון", מדגיש רם לוי, מנכל חברת "קונפידס" המתמחה בהגנה וניהול משברי סייבר. 

לדבריו, "אם לא נתכונן כראוי למתקפות הבאות עלולות להיות תוצאות קשות בהרבה. כך, למשל, אישים פוליטיים ומפלגות עשויים להוות 'מטרה' לקראת הבחירות הקרובות. בנוסף, במידה וישראל תחווה למשל אירוע שבו מותקפות 100 חברות במקביל, למדינה אין מספיק כוח כדי לטפל בכך בעצמה ולכן על כל הגופים והחברות בישראל להתכונן ולהתמגן כבר עכשיו מפני מתקפת סייבר עתידי או אירוע של משבר סייבר".

על פי הערכות גורמי האכיפה, "דרישות הכופרה בישראל מגיעות למאות מיליוני דולרים בשנה ותשלומי הכופר מגיעים לעשרות מיליוני דולרים, שיכולים להיתרגם ל-100 מיליון שקל תשלומי כופר בשנה".

מהנתונים של מערך הסייבר עולה עוד כי בשנת 2021 התקבלו 12,739 פניות מאזרחים ומארגונים שהתבררו כאירועי סייבר או כניסיונות תקיפה. מבחינה סטטיסטית מדובר באחד מתוך חמישה עסקים בישראל - זאת בהשוואה לכ־9,000 דיווחים ב־2020. 

כשמתמקדים בארגונים גדולים התמונה מדאיגה אף יותר, שכן מדובר ב-40% מארגונים אלה על פי הערכה זהירה. כיוון שהתחום סובל מתת דיווח משמעותי וחברות רבות מעדיפות לא לדווח כדי להימנע מפרסום. בנוסף, כיום גם לא חלה על כלל החברות חובת דיווח.

לפני שהשמיים נופלים עליכם, אלי זליברמן-כספי, מייסד שותף בחברת הגנת וניהול משברי הסייבר קונפידס ומומחה לניהול משברי סייבר, ממליץ על שמונה צעדים שאתם חייבים לבצע באופן מיידי.

כנסו "צוות ניהול משבר". אם כבר יש לכם כזה - טוב. אם לא - קובעים מי יהיו השותפים בצוות שינהל את האירוע ויעריך את כלל הסיכונים (טכנולוגי, משפטי, רגולטורי, תקשורתי ועסקי). הצוות,  צריך לכלול לכלול, לצד אנשי הצד הטכני, גם אנשי HR, מחלקה משפטית ויחסי ציבור.

נתקו את המחשבים והשרתים הנגועים מהרשת. עדיף לא לכבות אותם, אלא רק לנתקם מחיבור לרשת. 

שיקלו לנתק מחשבים ושרתים אחרים מהרשת, בדגש על כאלה שאתם ממש לא רוצים שיוצפנו גם הם. 

שיקלו לנתק את תקשורת האינטרנט פנימה והחוצה מהארגון.

החליפו את הסיסמאות של כל האדמיניסטרטורים באופן מהיר - אך מסודר.

בדקו אם יש לכם ביטוח סייבר. אם יש - צרו קשר עם הסוכן או המבטח באופן מיידי. 

הקצו משאבים וצוותי עבודה, בדגש על עבודה מסודרת ומתועדת. כל צוות ידווח על הפעולות המבוצעות לצוות ניהול המשבר.

צרו קשר עם חברה המתמחה בניהול משברי סייבר. לרוב המנהלים, גם לא למנהלי מערכות המידע, אין ניסיון בניהול משברי סייבר (באופן טבעי). ניהול אפקטיבי של משבר הסייבר דורש פעולה על פי מתודולוגיות ייעודיות וכולל שימוש בניסיון רב של ניהול משברים מסוג זה והיכרות עמוקה עם קבוצות התקיפה השונות, יכולותיהן ושיטות העבודה שלהן. 

זכרו, אין לנסות להשיב את המערכות מגיבויים לפני כניסה של צוות מומחה, שיבדוק כיצד קרה האירוע ויוודא שהרשת נקייה. השבה לא נכונה של המערכות עלולה לסכן את הגיבויים הזמינים ולהכניס את הארגון לסחרור מסוכן. 

בנוסף, באירוע שנערך אתמול (שני, 27 ביוני) במסגרת שבוע הסייבר של אונ' ת"א בשיתוף מערך הסייבר הלאומי, אמרה מנהלת מחלקת אכיפה ברשות להגנת הפרטיות, עו"ד ליאת קילנר, כי לאור העובדה שהרשות היא רגולטור בעל סמכויות אכיפה פליליות, השתלבות הרשות בשלביה הראשונים של מתקפת סייבר חיונית. 

לדבריה, "בשלב זה אנו מתמקדים גם בזיהוי התוקף ובהבנת האירוע, מה שמאפשר לנו לבצע חקירה פלילית לצד פעולות ההגנה שעושה החברה באמצעות צוותי ניהול משברי הסייבר שלה (IR), תוך התחשבות בעבודתם. אי שילוב הרשות בשלב חיוני הזה עלול לגרום לשיבוש הליכי החקירה".

אולי יעניין אותך גם