מהי כופרה ומהן דרכי ההתמודדות המומלצות?
כופרה (Ransomware) מהווה סוג של נוזקה (Malware) אשר מטרתה לשלול מהגורם המותקף גישה לנכס הסייבר והמידע המאוחסן בו. כתנאי להסרת מגבלת הגישה, התוקף עשוי להציג תנאים שונים לגורם המותקף, דוגמת תשלום "דמי כופר".
תקיפת כופרה עשויה להוות אירוע סייבר בעל משמעות נרחבת לארגונים במשק. במסגרת התקיפה, שכיח לראות כי תוקף מצפין את המידע אשר ברשות הארגון, ומתנה את הסרת ההצפנה בקבלת תגמול, דוגמת העברת כסף דיגיטלי לתוקף. ובמילים אחרות, התוקף סוחט את הארגון בדרישה לקבלת תגמול, וזאת כתנאי להסרת ההצפנה. בהינתן כי הארגון לא עמד בדרישות התוקף, וכי אין ברשות הארגון דרך אפקטיבית לשחזור המידע, לארגון עשוי להיגרם נזק בלתי הפיך, עד לכדי פשיטת רגל.
בשנים האחרונות ניתן לראות כי תוקפים במרחב הסייבר עושים שימוש במודל תקיפה מתקדם יותר בעת שימוש בכופרה – "סחיטה כפולה" (Double Extortion), כאשר המודל מבוסס על שני שלבי תקיפה עיקריים. בשלב הראשון התוקף מבצע הדלפה של מידע רגיש/חסוי מהארגון. ובשלב השני, התוקף עושה שימוש בהצפנה לשם מניעת גישה לנכסי הסייבר והמידע הארגוני, ולאחר מכן התוקף מפרסם את התנאים שלו להסרת מגבלת הגישה. יתרון מודל זה לתוקף הינו שגם אם הארגון מצליח לשחזר את המידע ונכסי הסייבר, החשש של הגורם המותקף מחשיפת המידע הרגיש/החסוי (וההשלכות הנגזרות) עשוי לדרבן אותו להיענות לדרישות התוקף.
לאחרונה התגלו מספר מקרים בהם בוצע שימוש במודל תקיפה מתקדם עוד יותר – "סחיטה משולשת" (Triple Extortion), כאשר מודל זה מבוסס על שלושה שלבי תקיפה עיקריים. בשלב הראשון התוקף מבצע הדלפה של מידע רגיש/חסוי מהארגון. בשלב השני, התוקף עושה שימוש בהצפנה לשם מניעת גישה לנכסי הסייבר והמידע הארגוני, ולאחר מכן התוקף מפרסם את התנאים שלו להסרת מגבלת הגישה. בשלב השלישי התוקף פונה לגורמי צד-שלישי (דוגמת לקוחות הארגון) בדרישה לתשלום דמי כופר כתנאי לאי פרסום מידע רגיש/חסוי שלהם או התוקף מאיים להפעיל תקיפה נוספת כנגד הארגון, דוגמת תקיפת מניעת שירות מבוזרת (DDoS), אם דרישותיו לא יענו. יתרון מודל זה לתוקף הינו שגם אם הארגון מצליח לשחזר את המידע ונכסי הסייבר, החשש של הארגון המותקף או גורם צד-שלישי מחשיפת המידע הרגיש/החסוי (וההשלכות הנגזרות), וזאת לצד שילוב אופציונאלי של תקיפה נוספת כנגד הארגון, עשוי לדרבן היענות לדרישות התוקף.
לאור זאת, גם אם הארגון מצליח להתאושש בהצלחה מפעילות הכופרה, עדיין מתקיימת חשיפה גבוהה לארגון ולמידע של צד-שלישי (דוגמת לקוחות הארגון).
יצוין כי בשנים האחרונות החלו תוקפים במרחב הסייבר לאמץ מודל כופרה כשירות (RaaS – Ransomware as a Service), דבר המקנה לתוקפים בעלי יכולות טכנולוגיות מוגבלות או תוקפים אשר אינם מעוניינים להשקיע משאבים רבים במחקר ופיתוח, לקבל גישה לכלי תקיפה מתקדמים.
במאמר מוסגר יצוין כי ישנם מספר דיווחים מהעולם על שימוש בכופרה המממשת מספר שכבות הצפנה בלתי תלויות, כאשר כל מפתח פענוח שכבת הצפנה הינו ייחודי, וקבלתו מחייבת תשלום נפרד. בנוסף, ישנו דיווח ראשוני על התכנות קיומם של מודלים עסקיים מתקדמים יותר מצד תוקפים העושים שימוש בכופרה, דוגמת "מכירת מפתח פענוח" המותאם לפי פרמטרים דוגמת נפח מידע לשחזור, סוג קבצים הניתנים לשחזור, קצב פענוח/משך זמן פענוח צפוי, פענוח מטאדאטה (Metadate) בלבד או פענוח מידע גולמי מלא.
למי המידע מיועד?
מסמך זה בא לסייע למנהלי אבטחת מידע וסייבר, ממוני ממונה הגנת המידע והסייבר (CISO) ומקבלי ההחלטות בארגון בהיערכות והתמודדות עם אירוע כופרה בארגון. גורמים נוספים אשר עשויים להפיק ערך מוסף ממסמך זה הם מנהל/ת מערכות המידע (CIO – Chief Information Officer), מוסמך/ת מתודולוגיות הגנת סייבר, מוסמך/ת מיישמ/ת הגנת סייבר, מוסמך/ת טכנולוגיות הגנת סייבר (ארכיטקט הגנה בסייבר), אנשי תקשורת נתונים/תקשוב/IT וסיסטם.
המסמך דרכי פעולה מומלצות – היערכות והתמודדות עם אירוע כופרה (Ransomware) בארגון מתמקד בהמלצות ליישום לשם שיפור יכולת הארגון להתמודד עם אירוע כופרה. ראוי לציין כי המסמך אינו כולל הרחבה בנושאים שלגביהם מערך הסייבר הלאומי כתב ופרסם מסמכים ייעודיים. דוגמה לנושא מסוג זה הינה הגנה פרטנית על מערכת ותשתית, דבר הזוכה למענה במסגרת תורת ההגנה בסייבר לארגון אשר נכתבה ופורסמה על-ידי מערך הסייבר הלאומי.
איומים הנגזרים מתקיפת כופרה (Ransomware)
מניעת גישה למידע
- תוקף עשוי להצפין את המידע, ובכך למנוע גישה של מורשים אליו.
- תוקף עשוי למחוק מידע ארגוני, לרבות גיבויים קיימים.
ערבול נתונים – תוקף עשוי לערבל נתונים, ובכך לפגוע במהימנות המידע. דוגמה לכך הינה שינוי סדר ההופעה או מיקום רשומות במסדי נתונים.
הדלפת מידע רגיש/חסוי – תוקף עשוי להדליף מידע רגיש/חסוי כשלב מקדים להפעלת הכופרה או במהלך הפעלתה.
סחיטה
- תוקף עשוי לדרוש קבלת תמורה כלכלית או אחרת כתנאי לשחרור מפתח ההצפנה או הערבול.
- סחיטה כפולה (Double Extortion) – תוקף עשוי לאיים בהפעלה של איום נוסף במקביל לכופרה (דוגמת הפעלת תקיפת מניעת שירות מבוזרת) וזאת לשם הגברת עצימות הנזק.
- סחיטה משולשת (Triple Extortion) – תוקף עשוי לפנות לגורמי צד-שלישי בדרישה לקבלת תמורה, וזאת תוך ציון כי אם לא יעשו כן, מידע רגיש/חסוי שלהם יודלף.
- סחיטה הפוכה (Reverse Extortion) – תוקף עשוי להטמין בארגון "מידע מפליל", ולהתנות אי-חשיפה / אי דיווח בקבלת תמורה.
דרכי פעולה מומלצות – היערכות והתמודדות עם אירוע כופרה בארגון
רשימת פעולות מומלצות להיערכות אירוע כופרה:
כללי
מודיעין סייבר – האם הארגון מקבל מידע מודיעיני בנושא תקיפות כופרה? כיצד הארגון משתמש במידע זה לשם שיפור מערך ההגנה ותהליך ניהול הסיכונים? האם יש לארגון היכרות מקדימה עם אתרים מקובלים לקבלת מידע/תמיכה במקרה הצורך? לדוגמה The No More Ransom Project. באחריות צוות הגנת סייבר.
הסכמי שירות – האם ברשות הארגון הסכמי שירות אשר יוכלו לסייע במקרה של אירוע כופרה, והאם עוגנו בהסכם ההתקשרות מדדים רלוונטיים? כיצד נבחנת עמידת הספקים במדדים שהוגדרו? בכלל זה יש לתת את הדעת לסמכויות הארגון במקרה של אירוע סייבר אשר מקורו בגורם משרשרת האספקה של הארגון. באחריות אגף מערכות מידע.
הון אנושי – האם ברשות הארגון כ"א מתאים להיערכות והתמודדות עם אירוע כופרה על בסיס 24/7? אם לא, האם יש הסכם התקשרות מול ספק רלוונטי (למשל – דוגמת ספק המתמחה ב-DFIR – Digital Forensics and Incident Response או בשחזור מידע. באחריות צוות הגנת סייבר ואגף מערכות מידע.
המשכיות עסקית וגיבויים
צוות ניהול משברים – האם ישנו צוות ניהול משברים בארגון? אם לא, מי יהיה חבר בצוות? האם נדרש לבצע התקשרות עם גורם צד-שלישי שיוכל לסייע בעת הצורך? מי מוסמך לבצע אסקלציה ובאלו תנאים? באחריות ההנהלה
המשכיות עסקית – האם קיימת תכנית המשכיות עסקית? האם נושא הכופרה נכלל ברשימת התרחישים להתמודדות? האם ועדת היגוי דנה בתרחישים באופן עתי? האם תרחישי קיצון דוגמת מחיקה או אובדן של כלל המידע הארגוני זוכים להתייחסות? האם הוגדרו לכל נכסי/תהליכי הליבה מדדים מקובלים (דוגמת RPO\RTO)? מה עושים עם שאר עובדי החברה בזמן משבר? האם שגרת העבודה נשמרת או נדרש לבצע שינוי בסדר היום? באחריות ההנהלה
אתר חלופי (DR) – האם לארגון יש תכנית התאוששות מאסון? האם יש לארגון אתר חלופי? אם לא, מדוע? מתי האתר החלופי יופעל? כמה זמן ייקח להפעיל את האתר החלופי? האם האתר החלופי מבטיח עמידה במדדים אשר הוגדרו להמשכיות עסקית? באחריות ההנהלה
גיבויים – האם מערך הגיבוי חסין בפני תקיפות סייבר? כיצד נבחנת תקינות הגיבויים? האם מדיניות הגיבויים עונה לדרישות תכנית המשכיות עסקית? האם קיים הסכם התקשרות מול ספק שירות אשר יוכל לסייע במקרה של תקלה/בעיה בביצוע השחזור?
בדיקת מוכנות וכשירות
תרגול סייבר – באחריות צוות ניהול משברים, האם הארגון ביצע תרגול בשנה האחרונה של מערך ההגנה תוך התייחסות לתרחישי כופרה מקובלים? אם כן, מה היו הממצאים? האם התרגול כלל ביצוע אסקלציה במקרה הצורך? האם המסקנות יושמו? האם שולבו גורמי צד-שלישי, דוגמת MDR\MSSP? האם תכנית התאוששות מאסון מכילה פרק תרגול ייעודי? האם ישנם נושאים נוספים שיש לתרגל?
צמצום משטח תקיפה – האם הארגון יישם את בקרות ההגנה בתורת ההגנה בסייבר לארגון בגרסתה העדכנית? אם לא, מהו תאריך היעד? אלו משאבים יש להקצות על-מנת להשלים הטמעה אפקטיבית? האם ישנם חסמים שיש לטפל בהם לשם הצלחת התהליך?
בדיקות חוסן – האם הארגון מבצע בדיקות חוסן עיתיות, תוך התייחסות לתרחישי תקיפה מסוג כופרה? באחריות צוות הגנה סייבר.
סריקת פגיעויות/חולשות – האם הארגון מבצע סריקת פגיעויות / חולשות, תוך התייחסות ל-IOE's אשר שכיח כי כופרות מנצלות לרעה? באחריות צוות הגנה סייבר.
נוהל תגובה לאירוע סייבר – האם ברשות הארגון נוהל תגובה לאירוע סייבר? האם הנוהל עדכני? מי אחראי לעדכן את הנוהל? האם הנוהל נכתב בהתאם למתודות עדכניות בתחום? האם קיים העתק מודפס של הנוהל כך שניתן להשתמש בו במקרה של העדר זמינות תשתית התקשוב? באחריות צוות הגנה בסייבר.
בקרה רציפה ומתמשכת ( Continuous Monitoring) – האם ברשות הארגון תהליכי בקרה רציפה ומתמשכת? אם לא, האם יש ברשות הארגון הסכם שירות מתאים מול MSSP\MDR? האם ישנם מדדים מתאימים לבחינת אפקטיביות? באחריות צוות הגנה בסייבר.
דרכי הפעולה המומלצות לשם התמודדות עם אירוע כופרה
מס' | הנושא | פירוט | גורם אחראי |
זיהוי – ביצוע בירור ראשוני אודות היתכנות של אירוע סייבר, לרבות נקיטת דרכי פעולה מידיות לטיפול. | |||
ניטור סייבר מיהו הגורם האחראי לגילוי וזיהוי הכופרה? מיהו הגורם האחראי לוודא כי אין מדובר בהתרעת שווא או תקלה תפעולית? מה אמינות מקור דיווח (המערכת או המכשיר המדווח)? האם קיים נוהל טיפול באירוע סייבר? מהם שלבי העבודה לפי הנוהל? מי אחראי לביצוע כל שלב? מיהו הגורם האחראי לתיעוד הפעילות המתבצעת במסגרת האירוע (ניהול יומן אירועים)? האם אותרו IOC's מוכרים או שישנה התנהגות/אנומליה חריגה המחייבת בחינה? האם בוצעו פעולות לשיפור איכות הניטור? צוות הגנה סייבר | |||
ניתוח – ביצוע בירור מקיף ומעמיק לגבי האירוע לשם אימוץ דפוסי פעולה הכרחיים תוך בחינת חלופות אפשריות לבלימה והתמודדות עם האירוע. | |||
ממשל תאגידי | האם קיים תהליך לביצוע רכש מהיר במקרה הצורך? | אגף מערכות מידע רכש | |
האם קיימת תוכנית המשכיות עסקית (BCP)? מיהו האחראי להפעלתה ויישומה? מהם המדדים שהוגדרו לכל תהליך/נכס סייבר (RPO\RTO וכד')? מיהו הגורם המעדכן את צוות ניהול המשברים? מה קורה אם אותו גורם אינו זמין? | הנהלת הארגון | ||
האם קיים נוהל טיפול במשבר? מהם שלבי העבודה לפי הנוהל? | צוות ניהול משברים | ||
בקרת נזקים ראשונית | האם הגיבויים תקינים? איך אנו יודעים שהגיבויים תקינים? | אגף מערכות מידע | |
אלו נכסי סייבר נפגעו? האם גורמי צד-שלישי נפגעו/יפגעו? האם מדובר במסך עשן (Fog Screen) להסתרת תקיפה אחרת? האם נוצלו לרעה IOE's מוכרים (בהתאם למודיעין סייבר וכד')? האם אותרו IOE's חדשים? האם ניתן להתחקות אחר אמצעי התשלום? מהו היקף ואיכות המידע שנפגע ( CHD\CUI\PHI\PII וכד')? האם המידע הוצא על-ידי התוקף מחצרות/גבולות הארגון? האם ישנה דרישת תשלום? מי אחראי לווידוא כי הראיות נאספות ונשמרות בהתאם לעקרון "שַׁרְשֶׁרֶת מִשְׁמֹרֶת" (Chain of Custody)? כיצד הוא מוודא זאת? לכמה זמן יש לשמור ראיות/מידע פורנזי, ומהו היקף השמירה (כל נכסי הסייבר, שרתים בלבד, נכסי סייבר שנפגעו בלבד, Image מלא? הגדרות תצורה בלבד? קבצים חשודים בלבד ? וכד') ? | צוות הגנה סייבר | ||
מהו סוג הכופרה? מהן יכולות התקיפה שלה? מהי דרך החדירה? האם ניתן להסיר את הכופרה? מהי רמת הודאות שניתן לעשות את זה? האם מידע שדלף פורסם באינטרנט? רשתות חברתיות? Darknet? מהי המטרה של התוקף? כסף? פגיעה במוניטין? וכד' מיהו התוקף (בהנחה שניתן לזהותו)? האם ישנם פרסומים מחוץ לארגון אודות האירוע? כיצד מתמודדים עם פרסומים כוזבים (Disinformation)? האם לקוחות/ספקים וכד' פנו לארגון בתלונות? האם הוגשו תביעות נגד הארגון ו/או נושאי המשרה? האם הוגשו תלונות/קובלנות נגד הארגון ו/או נושאי המשרה? מה יקרה אם לא נשלם? מהי הדרך לקבלת פיצוי/שיפוי או שירות רלוונטי מחברת הביטוח? | צוות ניהול משברים | ||
בהינתן כי האירוע מקורו מגורם בשרשרת האספקה של הארגון, מי מוסמך לתקשר מולו? מהן חובות אותו גורם כלפי הארגון? האם ניתן לשלוח צוות DFIR מהארגון לאותו גורם? | צוות ניהול משברים | ||
כוח-אדם | האם חברי צוות הסיסטם הרלוונטיים זמינים ובעלי נגישות לנכסי הסייבר? האם נדרש לתגבר את צוות הסיסטם בגורמי צד-שלישי (דוגמת מומחה גיבויים)? אם כן, מהו ה-SLA? | אגף מערכות מידע | |
האם על הארגון לתגבר את הצוות הקיים בגורמי מקצוע צד-שלישי? אם כן, האם יש לנו חוזה התקשרות עם גורמי מקצוע? מהו ה-SLA? | צוות ניהול משברים | ||
האם ברשות הארגון צוות חקירה פורזנית ותגובה לאירועים( DFIR) ? אם כן, מהו ה-OLA? אם לא, האם יש לנו חוזה התקשרות עם גורמי מקצוע חיצוניים? ואם לא, את מי נזמן? מהו ה-SLA? | צוות הגנה סייבר | ||
ביטוח סייבר | האם ברשות הארגון ביטוח סייבר תקף? מיהי חברת הביטוח? מיהו סוכן הביטוח של הארגון? האם הביטוח הקיים מכסה סוגיות סייבר? אם כן, אלו תכולות שירותים הביטוח כולל? מהו ה-SLA ביחס לכל שירות? האם גורמי החוץ אשר הארגון מעוניין לזמן מוכרים ומורשים ע"י חברת הביטוח? האם עלינו לקבל את אישור חברת הביטוח לפני המשך פעולה? מהו היקף הפיצוי/השיפוי? האם זה משתלם לפנות לחברת הביטוח? מי הגורם בארגון המוסמך להתקשר עם חברת/סוכן הביטוח? האם הסוכן/חברת הביטוח זמינה להתייעצות בזמן זה? האם יש לנו איש קשר ספציפי בחברת הביטוח שזמין 24/7? | צוות ניהול משברים | |
בדיקת הגיבויים | האם הגיבויים תקינים? איך אנו יודעים שהגיבויים תקינים? מהו הוא תאריך הגיבוי האחרון? כמה זמן ייקח לשחזר את הנכס/המידע? כמה מידע/זמן עבודה נאבד לאחר שחזור המידע? מהו סדר השחזור? על סמך מה הסדר נקבע? מה יעשה אם העתק הגיבוי יתגלה כתקול או כנגוע? האם ניתן לעשות שימוש ביכולת המובנית במערך האחסון/הסביבה הווירטואלית לחזרה ל"תמונת מצב" (Snapshot) מוגדרת? האם ניתן להביא מערכת גיבוי נוספת לקיצור זמן השחזור? האם ברשות צוות הסיסטם רישוי, Images ותוכנות ממקור מהימן אשר יאפשרו ביצוע שחזור או התקנה מאפס בעת הצורך? האם פעולת השחזור תשמיד ראיות נדרשות, ואם כן, אלו צעדים נדרשים לביצוע לשם הגנה עליהן? | אגף מערכות מידע | |
האם הגיבויים שברשות הארגון אינם מכילים נוזקות? כיצד נוכל להבטיח שהמידע המשוחזר אינו מכיל נוזקות? | צוות הגנה סייבר | ||
אתר DR | מהי רמת המוכנות והכשירות של אתר ה-DR? | אגף מערכות מידע | |
האם ישנו צורך לדלג לאתר DR? מהי הסבירות להצלחה של מעבר בהתאם למדדים שהוגדרו? | צוות ניהול משברים | ||
הכלה – השגת שליטה ראשונית של האירוע לצורך הכלתו ועצירת החמרת השפעתו על פעילות הארגון. | |||
צמצום אפקט הנזק | האם נדרש לנתק את הקישור לממשקים חיצוניים דוגמת האינטרנט? מהן ההשלכות האפשריות מכך? מי מוסמך לאשר ביצוע? האם נדרש לנתק את הקישור לממשקים פנימיים דוגמת הקישור לאתר DR ? מהן ההשלכות האפשריות מכך? מי מוסמך לאשר ביצוע? האם נדרש לנתק את מערך הגיבוי / האחסון מהרשת? מהן ההשלכות האפשריות מכך? מי מוסמך לאשר ביצוע? האם נכסי סייבר שנפגעו נותקו מהרשת? אם לא, מדוע? האם נדרש לבצע פעולות נוספות לצמצום משטח התקיפה/הגבהת חומות? האם מדובר בנוזקה מוכרת? האם ישנן דרכים לחלץ את המפתח? האם השימוש במפתח מאפשר שחזור של המידע? האם יש ברשות הארגון תיעוד (לוגים, קבצי היסטוריה, אחר) וארטיפקטים (Artifacts) אחרים אשר יוכלו לסייע בחקירה? האם ברשות הארגון כלים מתאימים לביצוע החקירה? האם ישנם סממנים לרמת המורכבות (דוגמת יכולת חמקנות) של הנוזקה? כמה זמן מתקיימת אחיזת תוקף? | צוות הגנה סייבר | |
חובת דיווח | מיהם בעלי העניין החייבים בדיווח? לקוחות? ספקים? רגולטורים? מהו ערוץ הדיווח (מייל? טלפון? וכו')? האם יש צורך לעשות שימוש ב-TLP בעת העברת מידע? האם נדרש לוודא הגעה של הדיווח/ההודעה? מה חלון הזמן לדיווח? האם יש מקרים בהם נדרש לעדכן אודות התפתחות האירוע גם לאחר הדיווח הראשוני? מהו הטריגר להמשך דיווח ומיהו הגורם המורשה להעביר דיווח? האם מערך הסייבר הלאומי עודכן על אודות האירוע? אם לא, מדוע? | צוות ניהול משברים | |
ממשקי תקשורת פנימיים/חיצוניים | האם הארגון ישוחח עם גופי התקשורת? האם יש ברשות הארגון נוסח מוכן ("תבניות") של הודעות לפרסום? מיהו הגורם המוסמך לדבר על כך בתקשורת? האם עובדי הארגון תודרכו בנושא הרגישות של הנושא/מותר ואסור להם בנושא והאם המעגל המטפל באירוע תודרך בהתאם מבחינת מסרים וכו' האם הוגדר תהליך שקיפות מול לקוחות וספקים אודות המצב? מידע אודות מה קרה, מה הנזק המוערך, מהן ההמלצות לספקים/לקוחות שפרטיהם נמצאים בסכנה? מה מומלץ להם לבצע? כיצד אתם מתמודדים עם האירוע ומה עתיד לקרות? טלפון/מייל ליצירת קשר? האם יש פרסומים אודות האירוע בערוצי התקשורת? האם יש פרסומים אודות האירוע ברשתות החברתיות? האם ישנה השפעה על ערך המנייה? פניות משקיעים? פניות מגורמים אחרים? | צוות ניהול משברים | |
ניהול משא ומתן | מי מנהל את המשא ומתן? מהן מטרות הארגון במשא ומתן (משיכת זמן?) ? מי מפקח אחר ביצוע הפעילות? מהי מטרת התוקף? האם ניתן למשוך זמן עד להשלמת פעולות החירום? האם ישנן דרישות מיוחדות מצד התוקף? האם התוקף חשף מידע ייחודי? מה יעשה אם לא ניתן לשחזר את המידע? האם התקבלו הנחיות ספציפיות מרגולטור או גורם אחר? | צוות ניהול משברים | |
הכרעה – נטרול רכיבי התקיפה שמצויים במערכות הארגון תוך שאיפה למזעור הנזק שנגרם בשל המתקפה. | |||
הסרת הנוזקה | האם הנוזקה הוסרה? האם כל נכסי הסייבר נקיים? מה ימנע הדבקה חוזרת של נכסי הסייבר? האם ישנם מזהים שניתן לכייל (IOC's\IOA's) במערך האבטחה? האם ישנן הנחיות מסודרות להסרת הנוזקה? כיצד ניתן לדעת שהנוזקה הוסרה, ושאין נוזקות נוספות שיש להן אחיזה בתשתית ומערכות הארגון? | צוות הגנה סייבר | |
מיהו הגורם האחראי למעקב/בקרה אחר ביצוע הפעולות הנדרשות? מה יעשה אם לא ניתן לשחזר את המידע? האם התקבלו הנחיות ספציפיות מרגולטור או גורם אחר? | צוות ניהול משברים | ||
האם צוות הסיסטם יודע מה עליו לעשות על-מנת להסיר את הנוזקה? האם צוות הסיסטם צריך לבצע התקנה מחדש של מערכות הפעלה מאפס? האם צוות הסיסטם צריך לבצע הסרה של הנוזקה ע"י סקריפטים או שיטה אחרת? האם יש צורך לגבות מידע שהוצפן, כך שניתן יהיה לשחזר אותו בעתיד במקרה של חשיפת מפתח? | אגף מערכות מידע | ||
הסרת מידע שדלף | האם וכיצד ניתן להסיר מידע שדלף לאינטרנט, Darknet, רשתות חברתיות? | ||
בקרת נזקים | מהם הנזקים אשר נגרמו עד כה לארגון? מהן ההשפעות בטווח הקצר והארוך? האם ניתן לצמצם את הנזקים? מה קורה אם מתגלה שהאירוע לא הסתיים ואולי אף מוחרף? | צוות ניהול משברים | |
השבה – חזרה לתקינות ופעילות מלאה של הארגון המותקף. | |||
ביצוע שחזור של מידע | האם קצב ואיכות שחזור עומדים במדדים הנדרשים? אם לא, מה אפשרי לעשות על-מנת לשפר את המצב? האם פעולות השחזור הסתיימו באופן מוצלח מבחינת צוות הסיסטם? | אגף מערכות מידע | |
האם הסביבה אליה המידע ישוחזר נקיה מנוזקות? האם/כיצד ומי אחראי לבדיקה שלא קיימת אחיזה של התוקף ברשת הארגונית לצורך הדבקה חוזרת והסלמת האירוע? האם אין סממנים (IOA's\IOC's\TTP's) שהאירוע חוזר על עצמו? | צוות הגנה סייבר | ||
מיהם הגורמים העסקיים שבודקים שתהליך השחזור פעל כמצופה, וכי הנכסים שמישים לעבודה? | צוות ניהול משברים | ||
ביטוח סייבר | האם ישנה כדאיות כלכלית לבקש פיצוי/שיפוי מחברת הביטוח? כיצד ניתן לקבל פיצוי/שיפוי מחברת הביטוח בגין הנזקים שנגרמו? מה עושים אם חברת הביטוח מסרבת לשלם? | צוות ניהול משברים | |
חזרה לשגרה מפוקחת | האם מתבצעים תהליכים מקובלים לחזרה לשגרה מפוקחת (תקופה בה מתבצעות פעולות מוגברות לגילוי וזיהוי תוקף)? כמה זמן היא תיקח (75 ימים כמינימום מומלץ)? מה קורה אם מתגלה שהאירוע לא הסתיים ואולי אף מוחרף? | צוות ניהול משברים | |
ניהול תחקיר והסקת מסקנות | האם ניהול התחקיר מבוצע ע"י גורם בלתי תלוי נטול השפעה פנימית? מהם הכשלים במערך האבטחה שאפשרו את הצלחת התקיפה? מה נדרש לשפר במערך האבטחה? מי אחראי לשיפור מערך האבטחה? כיצד ניתן לוודא את אפקטיביות בקרות ההגנה, וזאת למניעת הישנות האירוע? מתי ומי אחראי לביצוע תרגיל סייבר לבחינת מוכנות וכשירות הארגון? | צוות הגנה סייבר | |
מתי ומי מנהל את התחקיר? מהם ממצאי התחקיר? מה נדרש לבצע על-מנת למנוע הישנות של האירוע? מי אחראי ליישם את המלצות התחקיר? כיצד הארגון מאמת כי המלצות התחקיר יושמו באופן אפקטיבי? מיהו הגורם האחראי להקצאת משאבים לתוכנית שדרוג/שיפור תשתיות המחשוב? האם צריך לשלוח את ממצאי התחקיר לרגולטור או לגורם אחר? האם נדרש לפרסם את הממצאים בדו"חות ציבוריים (דוגמת דיווח לבעלי מניות), ואם כן איזה מידע נדרש, וכיצד נמנע חשיפת מידע רגיש/חסוי שלא לצורך? | צוות ניהול משברים | ||
שיקום מוניטין | אלו פעולות נדרש לבצע לשם שיקום מוניטין הארגון (החזרת אמון הלקוחות והמשקיעים)? מי אחראי לבצע זאת? מהם המשאבים הנדרשים? כיצד ניתן להבטיח בסיום הפעילות כי פעולות השיקום צלחו? | צוות ניהול משברים | |
חזרה לשגרה רגילה | מתי מכריזים על חזרה לשגרה רגילה? האם ישנן סנקציות רגולטוריות נגד הארגון או נושאי המשרה? מי מטפל בהן? האם ישנן תביעות נגד הארגון או נושאי המשרה? מי מטפל בהן? | צוות ניהול משברים |
המסמך מובא במלואו מטה.
תוכן זה נכתב ע"י מערך הסייבר הלאומי לצורך קידום הגנת הסייבר במשק הישראלי. כל הזכויות שמורות למדינת ישראל – מערך הסייבר הלאומי. המסמך נכתב כשירות לציבור. העתקת המסמך או שילובו במסמכים אחרים כפוף לתנאים הבאים: מתן קרדיט למערך הסייבר הלאומי בפורמט המופיע להלן; שימוש בגרסה העדכנית של המסמך; אי הכנסת שינויים במסמך.
המסמך מכיל מידע מקצועי, אשר יישומו בארגון מצריך היכרות עם מערכות הארגון והתאמה למאפייניו בידי איש מקצוע בתחום הגנת הסייבר.
קבצים להורדה
- עוד באותו נושא...
מאמרים קשורים לנושא.