קווים מנחים לתוכנית לטיפול בתקריות סייבר

תקריות סייבר הן חלק בלתי נפרד מעשיית עסקים, בדומה לתשלום מיסים ולדיווחים כספיים. בשל כך, ככל שנוקף הזמן, יותר ויותר ארגונים נדרשים לגבש תוכניות הכוללות תגובות הולמות לאירועי סייבר, מתוך ידיעה שאין ספק שהארגון יותקף בשלב זה או אחר. בעולם גוברת ההכרה שאחד הכלים המשמעותיים ביותר להתמודדות של ארגונים עם מתקפות סייבר הוא תוכנית Incidence Response (IR – טיפול בתקריות סייבר). תוכנית זו מגדירה מי יעשה מה ומתי, כאשר מתברר שהארגון מותקף במתקפת סייבר.

על פי הדוח האמריקאי U.S. Cost of Data Breach שפורסם בשנה שעברה על ידי מכון Ponemon, צוות טיפול בתקריות סייבר יכול לצמצם את העלות הממוצעת של הפרת אבטחה מ-217 דולר ל-193 דולר עבור רשומת מידע אחת שנגנבה או שאבדה. המשמעות הינה כי זמן תגובה יעיל מצמצם את היקף הנזק הכלכלי הצפוי מתקריות סייבר.

היערכות מוקדמת תסייע לייעל את התגובה לאירוע סייבר צילום: שאטרסטוק

בכדי לסייע לארגונים להקים ולהפעיל צוות תגובה (IR) יעיל, גיבשנו רשימה של כמה קווים מנחים שכל ארגון צריך לקחת בחשבון בכדי לממש את הפוטנציאל של צוות כזה. להלן עיקרי ההמלצות:

1. הכל מתחיל בתוכנית: המטרה המרכזית של תוכנית IR היא להתכונן לתקרית סייבר ולנהל אותה באופן שממזער נזק, מגביר את האמון של אנשי קשר חיצוניים ומצמצם את הזמן והעלויות הנדרשים לצורך התאוששות. ללא תוכנית תגובה, ארגונים מגיבים לתקרית סייבר בצורה לא מושכלת, לרוב על בסיס מידע שגוי, אי הבנה או גרוע מכך, פחד. גבשו תוכנית IR שתסביר בראייה כוללת כיצד תטפל החברה בכל סוג של תקרית סייבר. לצד זאת, דאגו שלכל מחלקה בארגון יהיו תכניות מפורטות יותר באשר להתמודדות עם תקרית. החליטו מי ישתתף בצוות תוכנית הטיפול בתקריות סייבר ומי יוביל צוות זה.

2. עדכון התוכנית: בדקו ועדכנו את התוכנית לפחות פעם בשנה וכמו כן, פעם בשנה וחצי עד שנתיים דאגו שצד שלישי יבדוק את התוכנית ויסייע לכם לשפר אותה.

3. תרגולים: אימון ותרגול סדירים חשובים בכדי שתוכנית ה-IR תהיה אפקטיבית. העובדים עשויים להיות קו הגנה קריטי כנגד מתקפות סייבר וכך יש להתייחס אליהם. ודאו שהחברה תנהל תרגולים ובדיקות של מוכנות העובדים למתקפות סייבר. כמו כן, דאגו לגבש ולממש תוכנית להדרכה שתוענק לכל העובדים בנוגע לאבטחת סייבר.

4. מעורבות מועצת המנהלים: מעורבות של מועצת המנהלים בתוכנית ה-IR היא מכרעת. מנהלים בכירים ודירקטורים צריכים לקיים דו שיח פתוח לגבי הציפיות בנוגע ליכולת לשאת סיכונים, וכן בנוגע לשיקולי תקציב, לתכנון IR ולתגובה להפרות אבטחת מידע.

5. ביטוח סיכוני סייבר: ודאו כי הארגון שלכם מבוטח בצורה הולמת בכדי לכסות הפרות של אבטחת מידע. לא סביר שביטוח אחריות מקצועית (liability) וביטוח דירקטורים יכסו תקרית סייבר. סקירה מלאה של פוליסת הביטוח צריכה להיות חלק אינטגרלי מניהול סיכוני סייבר.

6. הגנה מפני סיכוני צד שלישי: חובה לבצע הערכה של אמצעי אבטחת הסייבר של השותפים העסקיים שלכם ולהעריך את תהליכי הניהול הרלבנטיים בקרב הספקים שלכם. עליכם לבדוק באיזו מידה ארגונים אלה יגנו על המידע שלכם ובמידה הצורך לעגן את חובת ההגנה הזו בהתחייבויות חוזיות.

7. תקשורת: תוכנית יחסי ציבור ותקשורת חייבת להיות חלק אינטגרלי מכל תוכנית IR. מעבר לגיבוש המסרים והאופן שבו הם ישכנעו את כל קהלי היעד הרלבנטיים (כגון, לקוחות ועובדים שנפגעו מהמתקפה ובעלי מניות), עליכם להחליט לגביה מי יהיה הדובר שייצג את החברה בתקשורת במקרה של הפרת אבטחת מידע. במידה והתרחשה הפרה משמעותית של אבטחת מידע, הדובר יתקשר אותה בצורה ברורה ובשלב מוקדם.

הכותב הינו דירקטור ומנהל תחום מערכות מידע בפאהן קנה ניהול בקרה Grant Thornton Israel