פעילות חשודה בחנות המקוונת מקפיצה יום אחד את תשומת ליבו של העובד מול המסך. הוא מבחין בתמונות חריגות שקפצו למסך ולא קשורות לאלה המתפרסמות בחנות. בחנות אחרת, עובד מסמן על בעיה שלא אמורה להיות בפורטל התשלומים. או אולי, חנות נוספת בה עובד לחץ בטעות, לחיצה תמימה, על קישור בדוא"ל שמוריד תוכנה זדונית למחשב.
עשרה וחצי חודשים לתוך המלחמה ולצד תחושת ההמתנה לתקיפה מהצפון, שתהיה או לא תהיה מהצפון ואולי גם מחזיתות אחרות, ברור שההתקפה לא תהיה רק פיזית או "Boots on the ground" כמו שאומר נשיא ארצות הברית.
הדו"ח השנתי של מערך הסייבר הלאומי ל-2023, שהתפרסם ביוני האחרון, הציג עלייה של 43% באירועי הסייבר מתחילת המלחמה וחנויות קמעונאיות רגישות במיוחד להתקפות כאלה. לכן, הכרחי לגבש תוכנית תגובה לאירועי סייבר. כלומר מדריך שלב אחר שלב שמפרט מי יעשה מה בארגון, במידה ויתרחש אירוע אבטחת סייבר. תוכנית כזו, המתוכננת מראש, עוד לפני תקרית, תסייע להשתלט על המצב, ולהפחית את ההשפעה על העסק. היא צריכה להיות מובנת לכולם, קצרה ומהירה.
מומלץ גם להכין תוכנית תגובה אחת לאירוע קטן ואחת לאירוע גדול יותר - כך מי שאחראי בזמן האירוע יוכל להגיע לתוכנית הנכונה. תמיד ניתן להגדיל או להקטין את התוכנית ככל שלומדים יותר על האירוע, אבל כדאי להתחיל מתכנית בסיס.
אז איך יוצרים תוכנית תגובה לאירוע סייבר באתר מסחרי? הנה כמה שלבים שאסור לוותר עליהם.
חלוקת תפקידים ברורה
בשעת חירום, עוזר מאוד לדעת מי עושה מה ולבסס את התפקידים בקרב חברי הצוות לניהול יעיל של האירוע כדי לחסוך זמן, למנוע בלבול ולספק לצוות מושג ברור מה עליהם לעשות. כך למשל, אפשר להחליט שמנהלת האבטחה היא זו שתנהל את התגובה המיידית ותתקשר עם צוות ה-IT. המומחה הטכני יחקור את מקור הפריצה ודובר החנות יתאם את הפרסומים עם התקשורת והלקוחות. במיוחד אם מדובר בפריצה רחבת היקף, המשפיעה על מספר רב של לקוחות, טוב שיהיה מישהו אמון על כל אחד מהצרכים העיקריים כדי שדברים לא יפלו בין הכסאות.
שמירה על עסקים כרגיל
במקרה של התקפת סייבר, כשבעל החנות לא יוכל לגשת לאימיילים, לעבד חשבוניות, לאשר הזמנות ולתקשר עם לקוחות מסוימים, יש לוודא מראש כי ישנו מסלול חלופי להמשך העבודה, גם אם הוא חלקי, עד לסיום האירוע. לדוגמא, חנות אופנה אונליין חוותה התקפת סייבר שמונעת עיבוד הזמנות חדשות. למרות זאת, העבודה לא נפסקה. מנהל הלוגיסטיקה מוודא שההזמנות שאושרו יישלחו במועד וצוות שירות הלקוחות מוכן לטפל בפניות של לקוחות בנוגע לעיכובים אפשריים. הזמנות חדשות מתקבלות בטלפון או במייל, בתקשורת ישירה שמחליפה זמנית את התהליכים האוטומטיים המושבתים.
יצירת רשימת אנשי קשר לחירום
כדאי להכין מראש רשימת אנשי קשר של אנשי קשר פנימיים וחיצוניים שיכולים לעזור בתגובה ובתיקון המערכת. כך למשל, חנות מקוונת למוצרי קוסמטיקה תיצור רשימת אנשי קשר הכוללת את ספק השרתים שמנהל את אתר החברה, עורך הדין שמספק ייעוץ משפטי במצבים כאלה מול הלקוחות, ודובר חיצוני שמתמחה בניהול משברים.
תקשורת פתוחה עם הצוות
מתקפת סייבר היא אירוע רגיש הגורם לחששות בקרב לקוחות וספקים. לכן יש לעדכן את הצוות מה הם יכולים או לא יכולים לומר בפומבי. לאן עליהם להפנות לקוחות לשאלות ומאיפה הם עצמם יכולים לקבל מידע. באותו האירוע, המנהלים יוודאו שכל הצוות ידע מהו המסר המרכזי שימסרו ללקוחות שפונים לשאול על המצב, וכן מה תהיה נקודת המגע הרשמית אליה יפנו לקוחות עם שאלות נוספות.
ניהול התגובה
חנות ספרים דיגיטלית התמודדה עם תוכנה זדונית שניסתה לפרוץ לפרטי האשראי של הלקוחות. צוות ה-IT אימת כי התקיפה נוטרלה, וסיפק תובנות למנהלים על הצעדים שצריך לנקוט כדי למנוע מתקפות דומות בעתיד.
יש להנחות את הצוות לדווח על כל בעיות אבטחת סייבר לספק ה-IT. צוות ה-IT יוכל גם לאשר כי הדרך שהותוותה לפתרון המצב נכונה ולהצביע על טיפים כדי למנוע את הישנות האירוע.
משימות לשעת חירום
הכינו מראש רשימה הכוללת אילו משאבים נדרשים לטיפול באירוע, כך שברגע האמת שום דבר לא ישכח ויתאפשר טיפול מהיר ויעיל. בעת פריצה, אנחנו לא תמיד יכולים להגיב בקור רוח ולהבין את הצרכים המיידיים לטיפול בבעיה. רשימה כזו סייעה במיוחד לחנות ציוד ספורט אונליין אשר חוותה תקלה חמורה בשרתים לאחר פריצה. מיד לאחר זיהוי הבעיה, מנהל האתר סיפק, על פי הרשימה שהכין מראש, גישה לצוות ה-IT לעבוד על השרתים מעבר לשעות העבודה הרגילות, וחדר עבודה נפרד כדי שיוכלו לפעול באופן שקט ויעיל.
שמירה על רישום האירועים
מסמך רישום אירועים, כלומר, טבלה שבה נרשמים זמנים של פעולות והחלטות המתקבלות באירוע בזמן אמת, היא כלי משמעותי בחקר עתידי של האירוע. חנות כלי מטבח אונליין חוותה פריצה שהובילה לדליפת נתוני לקוחות. במהלך האירוע, מנהלת האבטחה הקפידה לרשום כל פעולה שננקטה - מהדקות הראשונות של זיהוי הפריצה ועד לסגירת הפערים האבטחתיים. רישום זה סייע לכל העוסקים במלאכת השיקום להבין מה בדיוק היתה השתלשלות העניינים, אילו פעולות נעשו מצד הלקוח כדי לעצור את המתקפה, מה עזר ומה נכשל וכן הלאה, במטרה להגיע לפתרון הסופי.
תחקיר לאחר פתרון האירוע
מסמך חקר האירוע מסייע במיוחד בפגישת תחקיר בתוכנית התגובה שקורית מיד לאחר סיום האירוע. חנות צעצועים אונליין, שהותקפה באירוע כופרה, יזמה פגישה של צוות ההנהלה עם ה-IT כדי לבחון מדוע התרחשה, ואיך ניתן למנוע מקרים דומים בעתיד. התחקיר הוביל למסקנה כי ההתקפה התרחשה בשל קישור נגוע שנלחץ על ידי עובד. כתוצאה מכך, החליטו לשפר את הכשרות האבטחה לצוות.
Practice makes Perfect
ממש כמו לפני הרצאה או מצגת חשובה, תרגול הוא המפתח החשוב. תרגול מסייע להגיב במהירות בזמן
אמת ומונע לחץ מיותר. תרגול של תסריטי התקיפה ומה לעשות במצב כזה "על יבש" אחת לשישה חודשים, תכין את העובדים ובמצב של מתקפה אמיתית, כל עובד ידע מראש מה תפקידו וההגנה תהיה מהירה יותר. לדוגמא, חנות צעצועים אונליין החליטה לערוך תרגול תרחיש שבו שרתי האתר נופלים בעקבות תקיפת DDoS. במהלך התרגול, כל חברי הצוות תרגלו את פעולותיהם וווידאו שהם מודעים לסדר הפעולות שכל אחד מהם צריך לעשות בזמן אמת.
לסיכום, ניהול הסיכונים והתגובה למתקפות סייבר הם הכרח בלתי נמנע עבור חנויות מקוונות כיום. באמצעות יישום פרוטוקולי אבטחה מחמירים, עדכונים שוטפים של תוכנות, הכשרת צוותים, ויצירת תוכניות תגובה לאירועים, עסקים יכולים למזער את הסיכון ולצמצם את הנזק שנגרם מהתקפות סייבר. החשיבות של תגובה מהירה, שקיפות מול הלקוחות, ושיקום המערכות לאחר מתקפה היא קריטית לשימור האמון של הלקוחות והמשך תפקוד תקין של העסק לאורך זמן.
הכותב הוא יותם לין CTO חטיבת הדיגיטל באלעד מערכות