צוות תגובה לאירועי סייבר ואבטחת מידע | Cyber Incident Response Team

ניהול אירוע סייבר וצוות תגובה מהירה לאירועי אבטחת מידע – IR (ראשי תיבות Incident Response) הינה גישה מובנת ומאורגנת לטיפול וניהול נכון ויעיל על ידי צוות מומחי אבטחת מידע וסייבר במקרים של מתקפת סייבר, פריצה למאגרי מידע, דליפת מידע, וירוס כופר, סחיטה וסיכוני סייבר אחרים.

מטרתו של צוות תגובה לאירוע סייבר (צוות IR) היא לצמצם למינימום את זמן ההשבתה של החברה, להחזירה לשגרה במהירות, לסגור את פרצות אבטחת המידע ולמזער נזקי עלות, מוניטין ותדמית. פורס מאז'ור משמשת כצוות תגובה מהירה למתקפות סייבר מטעם מרבית חברות הביטוח בישראל המציעות כיסוי ביטוחי לאירועי סייבר.

צוות ה-IR של Force Majeure אושר לניהול אירועי סייבר על ידי מבטחי המשנה המובילים באירופה: Lloyd's, Beazley Group, The Channel Syndicate

ניהול אירוע סייבר – התמחויות

תפיסה ניהולית – איתור פתרונות להשבת הארגון לשגרת עבודה, מלאה או חלקית, מנקודת מבט ניהולית ותפעולית.

מומחיות בתחום אבטחת מידע והגנת סייבר –  ניסיון של למעלה מעשור בטיפול במתקפות סייבר, אבטחת מידע וחקירות סייבר מאפשרת שילוב של עולם ידע מעשי בטיפול וניהול אירועי אבטחת מידע.

הכרות מעמיקה עם הרגולציה, תשתיות IT ומערכות מידע – לכל חברה וארגון ממשקים שונים לתוכנות שונות, שרתים וספקי צד ג'. התמצאות בקונפיגורציות ומערכות מגוונות והכרות של הדרישות הרגולטוריות ורגישויות משפטיות – מקצרת משמעותית את זמן הטיפול באירועי אבטחת מידע ומצמצמת חשיפה לסיכונים בטווח הקצר והארוך.

על צוות ניהול אירועי סייבר בפורס מאז'ור נמנים בוגרי יחידות סייבר ומודיעין, מומחי אבטחת מידע, הונאות ומעילות, בעלי ניסיון רב שנים בחקירות סייבר, ניהול אירועי אבטחת מידע והגנת סייבר.
שירותי IR / CIRT / IRT ניתנים לחברות וארגונים באופן ישיר או באמצעות הפעלת פוליסת ביטוח סייבר, אם קיימת.

לפרטים נוספים בנושא צוות IR חייגו 03-6259898

פעילות IR נשענת על שלושה יסודות קריטיים:

שיתוף פעולה עם צוות התגובה

חיבור צוות התגובה אל אנשי אמון המחזיקים בעמדות המפתח הרלוונטיות, שתודרכו לשקיפות ושיתוף פעולה מול הצוות מהותי לניתוח תמונת המצב וצמצום זמן ההשבתה והנזקים הנלווים. עמדות המפתח הרלוונטיות בדרך כלל יהיו: מנכ"ל, מנהל הטכנולוגיות, משרד יחסי הציבור של החברה (אם קיים), יועצים משפטיים, אנשי כספים ועוד.

רגולציה – האם חלה חובת דיווח במקרה של מתקפת סייבר ודליפת מידע?

בחינת הרגולציה לה כפופה החברה המותקפת והדרישות העולות מתוך רגולציה זו:

• חברה פרטית / חברה ציבורית.
• חברה שמרכזת פעילותה בישראל וכפופה לתקנות הגנת הפרטיות (אבטחת מידע) של רשות הגנת הפרטיות במשרד המשפטים.
• חברה אשר כפופה לתקני אבטחת מידע והגנת פרטיות בעולם, דוגמת GDPR של פרלמנט האיחוד האירופי, תקנות אמריקאיות המחייבות דיווח על אירועי סייבר ומקרים של דליפת מידע, תקנות HIPAA, תקני אבטחת מידע לגוף המחזיק במידע רפואי וכדומה.

זיהוי, בידוד, בלימה, נטרול, שימור ראייתי, אטימה והחזרה לשגרה

לאחר תהליך מהיר של הבנת מבנה הארגון, מערכות המידע, רגישות המידע, ומהות המתקפה, תוך יצירת ממשקים עם הגורמים הרלוונטיים בארגון וספקיו הרלוונטיים לאירוע יחל הטיפול במתקפה. ביצוע חקירה מהירה, תוך תיעוד ואיסוף ראייתי מדוקדק של מקורות פרצת האבטחה, בידוד הזירות שנפגעו, בלימת המתקפה ובחינת אפשרויות החזרת הארגון לשגרת עבודה במהירות האפשרית.

מדוע נדרשת מומחיות מיוחדת של IR?

בכל תגובה למתקפת סייבר, נדרשת מיומנות מוקפדת של תעדוף – אופן וסדר הפעולות לחברה בה מתרחש האירוע ולאופי התקיפה. צוותי תגובה לאירועי סייבר נתקלים לא פעם בטעויות קריטיות שביצעה החברה בטרם קבלת ההודעה במוקד IR המופעל על ידי מומחי הסייבר של פורס מאז’ור. טעויות נפוצות בניהול משבר כזה יכולות לכלול: ניהול מו”מ לקוי ולא מקצועי עם ההאקרים; דריסת ראיות דיגיטליות מהותיות שעשויות לסייע בהליכים משפטיים בעתיד; השבת המצב לקדמותו בטרם אותר וקטור התקיפה; דריסת קבצים מוצפנים מתוך הנחה שגויה לגבי תקינות הגיבוי; השבה לשגרה מנקודת מבט טכנולוגית, ללא תהליך קבלת החלטות מסודר מול הנהלת החברה ויועציה תוך הפעלת שיקול דעת ניהולי, משפטי, תקשורתי (כלפי פנים – העובדים, וכלפי חוץ – לקוחות, ספקים, תקשורת) ותפעולי.

בנוסף, ישנה חשיבות קריטית לאיסוף ראיות באופן תקין במהלך האירוע, למשל על מנת לאתר האם האירוע קשור, בטעות או בזדון, לספק חיצוני של החברה או לשיתוף פעולה מתוך הארגון וכמו כן, בכדי לאפשר לארגון לתעד, להסיק מסקנות, להגיע להבנת התמונה במלואה לגבי האפשרות כי דלף מידע אשר עשוי להוביל לחשיפת סודות מסחריים ולנזקים תדמיתיים, משפטיים ועוד.

ניהול מתקפת סייבר | ניהול אירוע אבטחת מידע

• Detection – אבחון אירוע סייבר
• First Response – זיהוי ראשוני של הזירות הדיגיטליות שנפגעו
• Analysis – אנליזה לזיהוי המערכות שנפגעו וחקירת מקור בתקיפה ומהותה
• Assessment – הערכת היקפי האירוע, בחינת האפשרות כי דלף מידע
• Forensics – בחינת הצורך בתיעוד ראייתי פורנזי
• malware analysis / reverse engineering – בהתאם לצורך ניתוח הנוזקות (כלי התקיפה) והנדסה לאחור
• Containment –בידוד הזירות הפגועות
• Eradication –בלימת המתקפה
• Recovery –קביעת סדרי עדיפויות להתאוששות ושיקום, תוך פיקוח על התהליכים הנדרשים בדגש על צמצום מקסימלי של הנזקים לחברה
• Conclusions – תחקור האירוע והפקת לקחים לצמצום סיכונים עתידיי

תחקור מתקפת סייבר, דליפת מידע ופרצת אבטחת מידע

• ניהול חקירה לאיתור מקור הנזק, המניעים והאחראים
• בדיקת תקפות של דרישות המיגון ואבטחת המידע
• תיעוד ראייתי של כל שלבי התהליך
• כתיבת דוח ממצאים והמלצות מסכם לאירוע אבטחת מידע – ההמלצות אינן מחליפות סקר אבטחת מידע ובמסגרתן המלצות קונקרטיות וספציפיות לחברה על רקע מתקפת הסייבר, המלצות כלליות לחידוד נהלים, הרצאות סייבר ואבטחת מידע לעובדי החברה וכדומה.

עם סיום הטיפול במתקפת סייבר והחזרת החברה לפעילות מלאה ותקינה, נוכל לעמוד לרשות החברה בייעוץ אבטחת מידע. במסגרת שירותים אלו: סקר סיכונים, מבדקי חדירה, הדרכות אבטחת מידע ומינוי ממונה אבטחת מידע – קב"ט סייבר, לפיקוח ושמירה על רמת אבטחת המידע הנדרשת על ידי הנהלת החברה והרגולציה.

תוכנית תגובה לאירועי סייבר – תוכנית IR

בין אם מתוך הבנת הצורך של הנהלת החברה ובין אם מתוך חובה רגולטורית, חברות רבות נערכות מראש לקרות אירוע או מתקפת סייבר על מערכותיהן. במסגרת תוכנית לטיפול באירוע סייבר ממנה החברה דמויות מפתח אשר לכל אחת מהן מוגדר תפקיד במסגרת הטיפול במשבר שנוצר. כל אחד מחברי הצוות מתמנה לביצוע משימות אותן הוא מכיר מראש.

בניית תוכנית מסודרת מראש לטיפול במתקפת סייבר צפויה לקצר משמעותית את היקפי ונזקי המשבר. אם בחברה קיימת תוכנית IR, צוות התגובה המהירה של פורס מאז'ור נכנס לפעולה וסיוע לצוות שמונה מראש. כמו כן, ניתן להסתייע ולהיוועץ בצוות מומחי הסייבר ואבטחת המידע בעת בניית תוכנית הטיפול במשברי סייבר.

טיפול באירוע סייבר