דוח אירוע אבטחה/סייבר (להורדה)

אירוע אבטחה/סייבר (security incident) בארגון הינו אירוע עם פוטנציאל של נזקים נמוכים, בינוניים וגבוהים והמטרה שלנו היא למזער את הבעיות והנזקים בכל אחד מן המצבים. לעיתים לא כך הדברים ואנו נאלצים להיות חלק מאירוע אבטחה.

אירוע אבטחה/סייבר מושפע מגורמים שונים הקשורים לאירוע החל מכמות המשתמשים הקשורים לאירוע, דרך מידת השפעה על הארגון והנזק שיכול להיגרם בעקבותיו. נזקי סייבר נחלקים לקטגוריות שונות ובמקרים שונים אותם נזקים מאירוע הסייבר מתבססים על אומדנים שונים, אך בסופו של דבר הכל מחושב לפי אומדן כספי.

פוטנציאל הנזק נחלק למספר קטגוריות:

• נזק נמוך – נזק אשר נגרם לנכסים שאינם חשובים ואינם משפיעים על הארגון באופן כזה או אחר – אומדן כספי שהוא בסדר גודל של 5 ספרות.
• נזק בינוני – נזק אשר נגרם לנכסים חשובים או משתמשי קצה ומשפיע על עבודתם – אומדן כספי שהוא 6 ספרות.
• נזק גבוה – נזק הגורם להשבתה חלקית או מלאה של הארגון בין אם זה ברמת משתמשים או נכסים חשובים ורגישים של הארגון – אומדן כספי של 7 ספרות ומעלה.

במקרים מהסוג הנ"ל ישנו תהליך בקרה ותגובה של אומדן נזקים וביצוע תחקיר של אירוע סייבר, במקרים כאלה יש להיערך לכך מראש עם תוכנית מסודרת של תגובה לאירוע סייבר (Incident Response Plan).

במקרים כאלה ישנה חלוקה של תגובה לאירוע לפי הקטגוריות הבאות:

• פוטנציאל נזק נמוך – הארגון יבצע תהליך פשוט של מענה ותגובה לפי מיפוי יעדים ויבין לפי תהליך את אופן ההגנה הנדרש.
• פוטנציאל נזק בינוני – הארגון יבצע תהליך מסודר וחלקי לפי תוכנית תגובה מונהלת מראש ויגיב לפי תהליך הגנה נדרש.
• פוטנציאל נזק גבוה – ארגון יבצע תהליך תגובה מלא הנשען בצורה משמעותית על מרחב הסייבר ונדרש לבצע תגובה ותחקור מלא. כמו כן יבצע תהליך התאוששות מאירוע סייבר.

תהליך תגובה, תחקור והתאוששות הינו תהליך לא פשוט וכולל בתוכו תהליך בחינה וניתוח מתודולוגי של ניהול אירוע הסייבר מראשיתו לסופו בהיבטי אנשים, תהליכים וטכנולוגיה. התהליך מבוצע בסמוך ככל שניתן למועד הטיפול האופרטיבי באירוע, במטרה לספק לקחים ותובנות אשר יאפשרו טיפול יעיל ומהיר יותר באירוע סייבר עתידי.

ניהול אירוע מתבסס על ידי המאפיינים הבאים:

• זיהוי – בירור ראשוני של אירוע סייבר וגיבוש מהיר ככל האפשר של דפוס הפעילות
• ניתוח – בירור מקיף ומעמיק ככל האפשר לגבי אירוע הסייבר, לצורך קבלת החלטות ברמה האופרטיבית, גיבוש רשימת חלופות של דפוסי פעולה אפשריים לבלימת התקיפה והחלטה על דרך הפעולה העיקרית לשלב ההכלה
• הכלה – השגת שליטה ראשונית באירוע לצורך הכלתו ועצירת החמרתו והשגת יעדיו
• הכרעה – נטרול רכיבי התקיפה שמצויים במערכות
• השבה – חזרה לתקינות ופעילות מלאה של פעילות הארגון
• הפקת לקחים (נזק) – תוצאה בלתי רצויה, לרבות שיבוש/הפרעה/השבתה של פעילות; גניבת נכס;איסוף מודיעין; פגיעה במוניטין
• תחקור והפקת לקחים – תהליך בחינה וניתוח מתודולוגי של ניהול אירוע הסייבר מראשיתו לסופו
• בהיבטי אנשים, תהליכים וטכנולוגיה.
• מעקב אחר יישום הלקחים ותובנות – תהליך בחינה הבא לוודא כי כל הלקחים והתובנות שעלו באירוע ימומשו בפועל.

הורדת קובץ דוח אירוע סייבר

הדוח אשר מצורף להורדה יכול לסייע במקרים של אירוע סייבר אך אינו מחליף תוכנית תגובה ואירוע המבוססת על נהלים.