8 פעולות שצריך לבצע אחרי דליפת מידע

למאמר הבא
ESET

נהוג לומר שדליפות מידע הן כבר לא שאלה של "אם", אלא שאלה של "מתי". אלה הצעדים שהארגון שלכם צריך לעשות (או להימנע מלעשות) במקרה של דליפת מידע.

לפי ההערכות, הנזק הממוצע של דליפת מידע הוא כ-4.2 מיליון דולר לכל תקרית. כמות אירועי דליפות המידע היא חסרת תקדים, כתוצאה מבניית תשתית דיגיטלית בארגונים רבים, שמגדילה גם את משטח ההתקפה של אותם הארגונים. בארצות הברית, לדוגמה, מספר אירועי דליפת המידע שדווח ברבעון השלישי של 2021 בארה"ב גדול ממספר האירועים בשנת 2020 כולה. למרבית הארגונים לוקח יותר מדי זמן לאתר דליפת מידע ולטפל בה – כיום הממוצע הוא כ-287 ימים. (!)

אם כך, מה עליכם לעשות?. הנה הצעדים שעליכם לבצע לאחר דליפת מידע.

1. הישארו רגועים

סביר להניח שדליפת מידע היא אחד מהמצבים המלחיצים ביותר שאליהם הארגון שלכם יכול להיקלע, במיוחד אם התקרית נגרמה ע"י גורמי כופרה שהצפינו מערכות קריטיות בארגון ודורשים תשלום עבור שחרורן. במקרים כאלה, תגובות של שליפה מהמותן עשויות ליצור יותר נזק מאשר תועלת. מובן מאליו שהחשיבות של החזרת העסק לפעילות היא גדולה מאוד, אך עבודה בצורה שיטתית ומסודרת היא חשובה הרבה יותר. קודם כל, עליכם לפעול על פי תוכנית תגובה לאירועי אבטחה שגובשה אצלכם בארגון וכמובן להבין את היקף הדליפה לפני ביצוע צעדים משמעותיים.

2. עקבו אחר תוכנית התגובה לתקריות שלכם

מכיוון שדליפת מידע היא לא שאלה של "אם" אלא שאלה של "מתי", תוכנית תגובה לאירועי אבטחה היא אמצעי אבטחה חיוני במיוחד. יצירת תוכנית כזאת תדרוש תכנון מתקדם, וייתכן שתרצו לעקוב אחר ההנחיות של המוסד הלאומי לתקנים וטכנולוגיה של ארה"ב (US National Institute of Standards and Technology – NIST) או לעיין בתורת ההגנה של מערך הסייבר

לאחר זיהוי דליפה חמורה, צוות תגובה לאירועי אבטחה שהוגדר מראש הכולל בעלי תפקידים ,הארגון כולו צריך לבצע את כל השלבים שהוגדרו בתוכנית, צעד אחר צעד. כדאי לבחון תוכניות כאלה באופן קבוע כך שכולם יהיו מוכנים ומסמך הפעולה יהיה מעודכן.

3. העריכו את היקף הדליפה

אחד מהצעדים החיוניים שיש לבצע לאחר כל אירוע אבטחה חמור הוא להבין את מידת הפגיעה בחברה. המידע הזה יסייע בקביעת הפעולות שיבואו לאחר מכן, כמו יידוע וטיפול בנזקים. במקרה הטוב ביותר, בסיום ההערכה תדעו כיצד התוקפים הצליחו להיכנס למערכות שלכם, ומהו היקף הפגיעה – באילו מערכות הם נגעו, אילו נתונים הודלפו, והאם הם עדיין נמצאים בתוך המערכת. ברוב המקרים, זה השלב בו חוקרים חיצוניים נכנסים לתמונה.

4. ערבו את המחלקה המשפטית

לאחר דליפה, עליכם להבין את מצבו של הארגון. אילו חובות חלות עליכם? את מי מהרגולטורים עליכם ליידע? האם כדאי לכם לשאת ולתת עם התוקפים כדי להרוויח זמן? מתי צריך ליידע את הלקוחות ו/או השותפים? ייעוץ משפטי מתוך החברה עצמה הוא העדיפות הראשונה, אך ייתכן והיועצים המשפטיים ירצו להיעזר במומחים בתחום. המידע העובדתי בנוגע לאופן התרחשות האירוע יהיה חיוני בשלב הזה, והוא יסייע למומחים האלה לקבל החלטות על בסיס המידע המדויק ביותר.

5. דעו מתי, איך ולמי להודיע

חשוב להבין מהן הדרישות המינימליות ליידוע הזה, מכיוון שיש סוגי אירועים שבהם לא תהיו מחויבים לדווח. במצב הזה, חשוב לדעת מהו היקף הפגיעה. אם אינכם יודעים מה היקף ההדלפה או כיצד פושעי הסייבר הצליחו להיכנס למערכת, תצטרכו להניח שהדבר הרע ביותר קרה. מומלץ ליצור קשר עם מערך הסייבר ולעדכן אותו על האירוע, הם יוכלו לתת סיוע מקצועי

6. החלו בשחזור ובתיקון התקלות

לאחר שהיקף המתקפה התברר וצוותי התגובה/החקירה משוכנעים שלתוקפים אין עוד גישה למערכות, הגיע הזמן להחזיר את כל המערכות לפעולה. חלק מהאפשרויות הקיימות בצעד זה הם שחזור מערכות מתוך גיבוי, התקנה מחדש של מערכות, עדכוני אבטחה על תחנות הקצה שנפגעו ואיפוס סיסמאות.

7. התחילו ליצור הגנה מפני המתקפות הבאות

פושעי סייבר חולקים את הידע שלהם עם תוקפים אחרים. במקרים רבים הם גם שבים לתקוף את אותם הארגונים מספר פעמים – במיוחד באמצעות כופרות. לכן, חשוב מתמיד שתשתמשו במידע שנאסף מכלי הזיהוי והתגובה וכלי החקירה כדי שתוכלו לוודא שכל אחת מהדרכים בהן השתמשו התוקפים בפעם הראשונה לא ינוצלו במתקפות הבאות. תוכלו לשפר את פרצות האבטחה ואת ניהול הסיסמאות, לבצע הכשרות הנוגעות למודעות לאבטחה, להטמיע אימות רב-שלבי או לבצע שינויים מורכבים יותר הנוגעים לאנשים, לתהליכים או לטכנולוגיות.

8. למדו מהטעויות

החלק האחרון בפאזל הוא למידה מהניסיון. חלק מכך הוא בניית הגנה מפני המתקפות הבאות, כפי שהוסבר לפני כן. תוכלו ללמוד גם מדוגמאות של אחרים. ההיסטוריה של אירועי דליפת המידע מלאה במקרים פופולריים שבהם התגובה לתקרית הייתה גרועה. במקרה מסוים שזכה לתפוצה רחבה, חשבון הטוויטר של חברה מסוימת שנפרצה צייץ קישור להונאות פישינג במקום להודעת התגובה לדליפה של אותה החברה. במקרה אחר, חברת תקשורת בריטית קיבלה מטר ביקורות לאחר ששחררו מידע סותר.

חלק ניכר מהלקוחות מניח שארגונים יסבלו מאירועי אבטחה. האופן בו ארגונים מגיבים, יקבע אם הלקוחות יישארו איתכם או יעזבו אותכם – וכתוצאה מכך, את הנזק הכלכלי והנזק למוניטין שייגרם לכם.

לקבלת הצעת מחיר לפתרון הגנה לארגון ניתן ליצור איתנו קשר:

לקבלת הצעת מחיר לפתרון הגנה לארגון ניתן ליצור איתנו קשר: