"ארגונים יודעים למנוע תקיפות סייבר, אבל לא איך להתאושש במהירות"

"ארגונים בישראל שיפרו מאוד את היכולת שלהם במניעת התקפות, או נכון יותר בצמצום משטח התקיפה, אבל עדיין אין תורת התאוששות כוללת שמדריכה את הנהלות הארגונים מה עושים כשהתקיפה כבר קורית, איך נערכים להתאוששות מהירה לפני כן, ומה כל אחד צריך לעשות בכל רגע נתון", כך אמר רפאל פרנקו, מנכ"ל חברת קוד בלו, שהוציא לאור באחרונה את הספר PLAN B, המציע חשיבה קצת אחרת לכל נושא ההתאוששות מסייבר בארגונים.

"המטרה שלי בספר היא לסייע לארגונים להתאושש מהר יותר מכל תקיפה, בצורה מהירה עם מינימום של נזקים לארגון, פיזיים, כלכליים ומוניטין, ולעבור את התקיפה בשלום, מתחת לרדאר", אמר פרנקו. 

פרנקו הוא ממקימי מערך הסייבר הלאומי. בתפקידו האחרון היה סגן ראש המערך, ובעברו היה בשירות הביטחון. הספר הוא בהוצאה עצמית ומחולק חינם להנהלות. "זוהי התרומה שלי לחברה, לכלכלה ולעסקים, על סמך הידע הרב שצברתי", הסביר פרנקו.

כל מנכ"ל חייב את הספר בקרבתו. PLAN B מאת רפאל פרנקו. צילום: שער הספר של הוצאת קוד בלו

למה בחרת בשם PLAN B?
"כי PLAN A זה ההגנה, החסימה, השמירה על המערכות שלך. זוהי PLAN A, אבל כולנו יודעים שאין הגנה מאה אחוז. כל מה שתוקף צריך למצוא זה חור קטן בחומה שלך, ואז מגיע אירוע התקיפה, שהמטרה העיקרית באירוע זה היא ההתאוששות. הספר הוא למעשה תורת ההתאוששות, שתהווה מעין מדריך מעשי ושימושי מה לעשות בזמן תקיפה. כל מנכ"ל צריך שזה יהיה בכיס שלו או על שולחן העבודה, וברגע שקורית תקיפה – יפתח אותו וידע מה לעשות".

תן דוגמאות למה שאפשר ללמוד מהספר
"השלב הראשון הוא הנושא של העלאת כוננות. הרבה מנהלים אומרים לי 'אני מעלה כוננות כי יש לי מידע'. מהלך כזה פוגע בתפקוד העסק ואתה לא יכול לעבוד כל הזמן במערך של התגוננות, סגירת מערכות וכדומה. ולכן, בספר למשל יש פירוט של סוגי התרעות: כללית, ממוקדת, חשד לתקיפה ומידע על תקיפה, ואז זה מוגדר כאירוע מהותי".

מה הגדרה של אירוע מהותי?
"אנחנו מגדירים אירוע מהותי בהקשר להשלכות הצפויות כתוצאה מהסייבר: חשש לחיי אדם, פגיעה משמעותית בתפקוד הארגון, האם הארגון ערוך לצפי לירידה של 10 אחוזים בפעילות עד שיתאושש, או דלף מדע בסיכון גבוה. אם אף אחד מהסממנים האלו לא צפוי לקורת, אז אולי אין אירוע מהותי ותוכל לעבור אותו מבלי לדווח לרשויות ולא לפגוע במוניטין שלך".

איך מנהל יכול לבדוק את כל זה?
"עושים תהליכי סימולציה לפני. מתרגלים למשל חמישה ימי השבתה – איך ארגון מתפקד ללא מערכות מחשב או אינטרנט, מה עושים באותו זמן. בכל הספר אני מנסה להבהיר כי גולת הכותרת היא: הייתה תקיפה, מה עושים כעת, איך מגבשים תמונת מצב מהירה, ויש בספר שורה של טכניקות, דרכי תיעדוף, מה חשוב ומה לא".

אז המסקנה היא שארגונים משקיעים בהגנה, אבל פחות בהיערכות לתפקוד בעת אירוע?
ראשית אנחנו משתמשים בטרמינולוגיה של צמצום משטח תקיפה. הגנה זה מושג שזלג מהצבא. בסקטור האזרחי כל מנהל צריך לצאת מתוך הנחה שמחר בבוקר הארגון שלו מותקף. ככל שהוא יהיה ערוך טוב יותר מה לעשות בזמן התקיפה, כך ההתאוששות שלו תהיה מהירה יותר וקלה יותר.

בנושא הזה חייב לציין שיש מגמת שיפור. מנהלים מתחילים להפנים שזה נושא שהם חייבים להיות מעורבים בו ואז פונים גם לחברות כמו שלי, כי אתה חייב את הניסיון והידע של האנשים שעוסקים בכך".

מה לגבי תרגולים? ידוע שהנושא הזה לא ממש מתבצע
"יש שני סוגי תרגולים. יש תרגולים שאני קורא להם 'תרגולי בורקסים', שבהם יושבים באווירה נינוחה רואים סרטונים והכל סבבה. ויש תרגול שאנחנו ממליצים ומדגימים אותו, שבו למעשה מתרגלים כל בעל תפקיד בארגון מה הוא עושה בזמן תקיפה. החל מהמנכ"ל, מנהל הכספים, מנהל הסייבר, מנהל משאבי אנוש ואפילו הקב"ט. בפני כל אחד מציגים תרחישים. מנכ"ל צריך לדעת להתמודד עם העובדה שעל פי גרטנר תקיפה ממוצעת משביתה ארגון ל-16 שעות. האם הארגון שלו ערוך לזה? מנהל כספים צריך לתרגם את המשמעות של איבוד 16 שעות עבודה לאיבוד הכנסות, וכך הלאה. כמובן שהמספר 16 הוא שם קוד. כל עסק והקו האדום שלו.

בתרגולים כאלו אנו מסבירים שטיפול באירוע סייבר שונה מטיפול בכשל טכני. בכשל טכני אתה מחליף שרת, והכל נמשך כרגיל. באירוע סייבר, גם התהליכים הטכניים של העלאת גיבויים לוקחים זמן.

אז השאלה מה קורה לארגון? עם כל המידע הזה, הנהלות חייבות להגיע לאירוע כשהן כבר מוכנות. בכלל, ההחלטות צריכות להתקבל בהתאם לסיטאוציה באותו רגע, מנותקות מכל אמוציות, ועל פי כללי ניהול סיכונים, שמפורטים כמובן בספר בצורה מדוקדקת. יש כמובן הבדל נוסף בין כשל טכני לאירוע סייבר. בכשל טכני אתה יודע מה מקור התקלה ומטפל בה. באירוע סייבר אתה לא יודע מהיכן תקפו אותך, אין לך מושג מי התוקף וגם אתה לא יודע איזה סוג של מידע יש לו, ולכן ככל שתגיע מוכן לאירוע ותהיה לך שליטה על המידע, תוכל למזער נזקים".

"כופר – לשלם או לא?"
"אני לא מתחמק משאלה זו. ולכן, בהמשך לתשובה לשאלה הקודמת, אם עשיתי ניהול סיכונים נכון ואני מגיע למסקנה שאני מסוגל להתאושש במהירות, אין סיבה לשלם. אבל אם ההערכה מראה שהנזק מהפסד של שבוע עבודה, למשל, יזיק לי יותר מאשר הכופר – אז צריך לשלם, למרבה הצער. יכול לומר שבארגונים שיצא לנו לעבוד איתם, והם הותקפו, לא יצא להם לשלם, כי ההיערכות שלהם הייתה מספיק טובה. אבל שוב חשוב להדגיש שההחלטות צריכות להיות רציונליות, בהתאם למצב באותו רגע".

לסיכום, אני מנכ"ל של חברה – מה אני צריך ללמוד מהספר?
"כל מנכ"ל חייב להכיר את העולם של הסייבר, כי זה השקעה ביכולת הצמיחה של הארגון וקשורה לאחריות הניהול שלו. הוא חייב לדעת לתפקד ולהפעיל את כל המערכת, כי מוכנות לסייבר היא חלק מהנראות של הארגון, המיצוב שלו. וכיום בכל מו"מ של עסקת מיזוג או רכישה בעולם, המוכנות לסייבר נבדקת היטב".