This post is also available in: enEnglish (אנגלית)

כתבה מאת אור שלום

לתרגילי משבר בסייבר יש משמעויות רבות עבור הארגון. התרגיל מאפשר התנסות עם תרחישים (לעיתים במסגרת תנאים של אי ודאות והלא נודע) וכן משליך על שיפור ביצועים, הצטיידות תקציבית, תוכנית עבודה עתידית ומינוף היבטי הסייבר בארגון. כאשר מנתחים את הסיכונים בסביבות ארגוניות, ברור שהקשב של הנהלת הארגון מופנה ללא מעט סוגיות וסיכונים כדוגמת סיכונים תפעוליים, סיכונים בטיחותיים, סיכונים פיננסים, סיכונים משפטיים, סיכוני שרשרת אספקה וכד'. המעניין כאן הוא שמחד לא נכון יהיה לשאוב את הקשב של המנהלים רק לאזורי הסייבר, ומאידך הסייבר פוגש ממילא את כלל הסיכונים הללו מאחר והתהליכים היום ממוחשבים ומכאן המשקל המשמעותי והצורך בתיעדוף הסייבר. לכן, תיכנון של תרגיל סייבר הפוגש ומשליך על היבטי שרשרת אספקה או על היבטי התפעול אטרקטיבי ברוח הארגון כיוון שהוא מאפשר תובנות ורווח ארגוני במספר זירות. על הקשר הזה ניתן ללמוד מלא מעט אירועים שהתרחשו בשנים האחרונות.

אחד האירועים מהם ניתן ללמוד מגיע מתעשיית הרכב, כאשר תקיפת סייבר שהתרחשה על ספק השביתה את קו הייצור וגרמה להפסדים רבים, וכך השליכה תובנתית על שיקולים בניהול מלאי והשלכות אפשריות ברכיבים בשיטת Just-In-Time (שמנעו הצטיידות ברזרבות ויכולת להישען על מלאי קיים ובקרות אפשריות למניעת תלות בספק עיקרי).[1] היכולת לשזור את הגנת סייבר עם דיספלינות ונושאים נוספים בארגון מאפשרת תובנות רחבות, תוכניות עבודה, סינרגיה, ופרודוקטיביות גבוהה עוד יותר בהיבטי ההערכות והמוכנות למצבי משבר בכלל.

היערכות לתרגילי משבר בזירות תפעוליות ותשתיות קריטיות מורכבת גם בשל החשש הקיים מהשלכות של השבתה או פגיעה פיזית (כולל משמעויות של בטיחות וסיכונים סביבתיים), כדוגמת פגיעה בתשתיות פיזיות חיוניות ובמכונות לצד פגיעה בתהליכי עיבוד מידע אפשריים (בזירת ה-IT). תרגיל בזירות תפעוליות הינו מקיף יותר נוכח העובדה שקיים קשר בין ה-IT וה-OT (לדוגמה בתרחיש בו תקיפה מתחילה באמצעות פישינג מתוך מטרה להגיע למערכות תפעוליות, והשלכות פיזיות או פגיעה במערכות ה-ERP כדי להשפיע על פס הייצור). על אף שקיימים לא מעט טמפלטים וערכות מובנות עבור הארגונים, נכון יהיה לתקף את התרחישים בהתאם ליעדי הארגון בהתאם לפעולות הבאות המפורטות להלן.[2]

ביסוס ומיצוי מודיעין לקראת התרגיל:

העיון והשימוש במודיעין לקראת התרגיל חשוב משום שהוא מאפשר לתקף את התרגיל והתרחישים בו, וכך להיערך בהתאם לאירועים ריאליים. נכון יהיה להתחקות אחר מודיעין סקטוריאלי ולהבין את המגמות והטרנדים ביחס לדפוסי התקיפה לאותו הסקטור.[3] הנחת העבודה היא כי מניעי התקיפה כמו גם השיטות, קבוצות התקיפה והדפוסים כולם שונים בין סקטור לסקטור. במטרה לתקף את התרגיל אל מול יעדי הארגון, רצוי לבצע בחינה מזווית התוקף גם אל מול נכסי הארגון. כך בפועל ביצוע תהליך של OSINT (לרבות תהליכי איתור מידע ברשתות העמוקות והדארקנט) מוכוון ביחס לנכסי הארגון הדומיין, מערכות ה-ERP, מערכות ותוכנות בשימוש הארגון וכד'. בהתאם לגישת ה-SANS ניתן לרכז מאמצי מודיעין (ובהמשך תרחישים ייעודים לתרגיל) כנגד 5 הנכסים הקריטיים בארגון ברשתות התפעוליות. הרווח הארגוני הוא מידי ככזה המאפשר גם תמונת מצב מודיעינית עדכנית כבר בתוך תהליך ההיערכות לתרגיל, לעיתים אף באופן שיחייב התערבות או טיפול מידי במטרה לצמצם חשיפה או בקרה מפצה אחרת כנגד היריב.

אופן בניית תרחישים והגדרת מדדי הצלחה:

תהליך בניית התרחישים צריך להיות מותאם לסקטור והארגון המתורגל. הוא יכול לכלול תרחישים שונים כגון פגיעה במערכות המחשוב ואספקת החשמל לארגון, כופר, אובדן וזליגת מידע רגיש, פוגען ברשת ועוד.[4] במטרה לטייב ולהבטיח תרחישים סבירים, נדרש כאמור בין היתר תהליך של תיקוף מודיעני. תהליך בניית התרחישים צריך לאפשר יכולת למפות ולאתר פערים על בסיס הסעיפים הבאים:

  1. בחינת מימוש בקרות ותהליכים בשטח – בהתאם ל-5 המשפחות (Identify, Protect, Detect, Response ו-Recover) ובהתאם לתרחיש.[5]
  2. אופן שיתוף הפעולה בין גורמים ארגוניים וחוץ ארגוניים.
  3. בחינה המתבססת על Incident Response Framework – בדגש על היכולת להגיב, להכיל את האירוע, ולהבטיח את ההמשכיות העסקית (ולבלום את האסון), או לחילופין היכולת להתאושש מהאסון עצמו.[6] כאשר המטרה היא לבחון את הכלים, היכולות והידע העומדים לרשות הארגון בהכלת האירוע, מעבר בין מצבים והתאוששות עצמה.

אירוע הכופר בחברת הפלדה HYDRO יכול לשמש חקר מקרה מעניין, על תובנותיו. בתוך כך, הפעולות שבוצעו במטרה להמשיך את הפעילות, ותפקודם של 35,000 עובדים בסניפים פרוסים, היתירות והמעבר לעבודה ידנית בהמשך, החלטות הקשורות לכ"א והצורך לגייס פועלים לקו הייצור. בחינת תרחישים בפגיעה בנכס או שרות מרכזי אל מול מדד של החזרה לכשירות תייצר לא מעט תובנות להמשך.[7]

לשם המחשה, אם בשדה תעופה עסקינן, אזי נבצע תהליך של תיקוף איומים אפשריים. לדוגמה, תקיפה שמטרתה לפגוע בשירות ולייצר מצב של השבתה, עיכובים בלוח הטיסות וכאוס אפשרי ע"י פגיעה במערכות ליבה בנמל, מערכת משוא המזוודות וכד'.[8] ההתחקות סביב מודיעין ואיתור פגיעויות אפשריות והזדמנויות תהא בראיית התוקף וביחס לסוג המערכות, הדגמים, והתוכנה הנמצאים בשימוש הארגון.

בסקטור הבריאות ובתי החולים נבצע תהליך של תיקוף איומים בהתמודדות עם אירוע כופר, וההשלכה על הפעילות העסקית-ארגונית באופן המכוון להשבתת ומניעת שירותים ופגיעה באופן תהליך קבלת מטופלים, כמו גם השפעה על הטיפול במטופלים כפי שהיה במס' אירועים בבתי חולים שונים בעולם בשנים האחרונות. כמובן שהלקחים העולים מתוך אירועי האמת הם מצע מצוין לעיון ולמידה לצורך הגדרת מדדי הצלחה בתרגיל.[9]

ניסיון השטח באימונים ותרגילים מלמד כי בתרגילים אין תמיד "פתרון בית ספר" קבוע, וייתכן לעיתים כי ההחלטות המתקבלות והפעולות בשטח תחת תנאים משתנים יהיו שונות, מותאמות ולעיתים טובות לא פחות מהמלצות הספרותיות.

תרגיל מנהלים המשלב תהליכי קבלת החלטות לצד תהליכי Hands On:

לרוב, תרגילי המשבר מכוונים לבחון את התהליכים שנוקטים המנהלים במהלך קבלת החלטות, וכן את ממשקי העבודה בין המנהלים עצמם (מנהל הגנת הסייבר בעבודתו אל מול מנהל התפעול, מנהל הכספים או היועץ המשפטי). מאידך, יש לזכור כי יש לעיתים השפעה של התהליכים הטכניים, הפורנזיים, פעילות הצוותים הטכניים ושינויים נוספים העשויים להשפיע על החלטות המנהלים בציר הזמן. לעיתים יש חלון זמנים המאפשר עוד את תהליך ההכלה ומניעת ההידרדרות למצבי משבר בסייבר. במקרים מסוימים ניתן להתחיל עם תרחיש hands on מתפתח כטריגר גם למעורבות והחלטות הנהלה. כך לדוגמא פגיעה באפליקציה, שירותי ענן או מוצר שמספק הארגון והשלכה פונקציונאלית על קהל הלקוחות. ע"י כך יועסקו הצוותים הטכניים וההנהלה באופן שיאפשר את בחינת הסינרגיה והפעילות הרוחבית. משמעויות נגזרות אלו יספקו להנהלה ערך מוסף ההולם את המציאות ותואם להתפתחויות הלכה למעשה.

האימון והתרגיל מטבעו יספק תובנות ולקחים לשימור ולשיפור. על כן, רצוי לתכנן מנגנון מעקב אחר טיפולים בפערים שעלו ביחס ליחידות והממשקים המעורבים. כחלק מ-Action Items יש למצב את תהליך של הצגת פערים באופן מחזורי להנהלה ותוכנית הצגת טיפול וסילוק פערים.

הכותב הינו מומחה לתחומי האבטחה, טכנולוגיות HLS וסייבר ויועץ למשרדי ממשלה, תעשיות ביטחוניות והמשק. בוגר תואר שני ובעל הסמכות ממלכתיות ואזרחיות בעולמות האבטחה והסייבר. בין היתר עוסק בייעוץ ופיתוח עסקי לגופים וחברות ביטחוניות בנושאי תיכנון ובניית הגנה,  חדשנות וטכנולוגית אבטחה, תרגולים ואימונים בזירות האבטחה והסייבר

https://www.cisa.gov/resources-tools/resources/cyber-physical-convergence-scenarios

[1] https://i-hls.com/he/archives/115420 , https://www.bbc.com/news/business-66643936

[2] https://www.mitre.org/sites/default/files/2022-09/pr_14-3929-cyber-exercise-playbook%20.pdf https://www.sans.org/blog/top-5-ics-incident-response-tabletops-and-how-to-run-them/ , https://www.cisa.gov/resources-tools/services/cisa-tabletop-exercise-packages

[3] https://i-hls.com/he/archives/101410

[4] https://www.mitre.org/sites/default/files/2022-09/pr_14-3929-cyber-exercise-playbook%20.pdf , https://www.cisa.gov/resources-tools/services/cisa-tabletop-exercise-packages

[5] https://csrc.nist.gov/pubs/cswp/29/the-nist-cybersecurity-framework-20/ipd , https://www.ncsc.gov.uk/collection/incident-management/cyber-incident-response-processes

[6] https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf

[7] https://www.youtube.com/watch?v=S-ZlVuM0we0

[8]https://abcnews.go.com/US/united-airlines-issues-nationwide-ground-stop-due-computer/story?id=102935382

[9] https://www.youtube.com/watch?v=fmtrQPuxFjI&t=314s