1. גיבוש תמונת מצב והערכת מצב
שטף ההתרחשויות והאירועים מחייב לעצור אחת לכמה זמן, לנתח בצורה מסודרת את כל המידע שהתקבל, להגדיר תמונת מצב משותפת ולסנכרן אותה עם כל השחקנים בתרגיל.
במרבית התרגילים שניהלנו השחקנים ניהלו את המשבר מאירוע לאירוע ומידיעה לידיעה, ולא עצרו לרגע לניתוח מסודר של תמונת המצב.
המחיר:
- אצל כל שחקן הצטיירה תמונת מצב מעט שונה.
- אף אחד מהשחקנים לא ראה את התמונה הכוללת.
- השחקנים לא הצליחו לזהות תבניות ומכנים משותפים ואיבדו הרבה מידע משמעותי, שנפל בין הסדקים.
2. ניהול טקטי ותגובתי של האירוע
בכל אירוע סייבר יש שני צדדים: התוקף והנתקף. לאחר כל פעולה של הנתקף תבוא תגובה של התוקף. ניהול אפקטיבי של האירוע מחייב לנתח את התגובות האפשריות של התוקף ולתכנן כמה צעדים קדימה.
בתרגילי סייבר רבים השחקנים הגיבו לכל אירוע אבל לא היו פרואקטיביים – לא יזמו מהלכים ופעולות עצמאיות, לא ניתחו את ההשפעות ארוכות הטווח של ההחלטות שלהם, ולא העריכו מה עלולה להיות תגובת הנגד של התוקף, מהם האינטרסים שלו, ולאן הוא רוצה להגיע.
המחיר:
- חשיבה טקטית ותגובתית ומתן תשומת לב מועטה לניתוח הסיכונים ותרחישי ההסלמה.
- ניהול תזזיתי ושינוי של ההנחיות בתדירות גבוהה.
- קבלת החלטות לא אופטימליות.
3. דומיננטיות של הגורמים הטכנולוגיים
אירוע סייבר הוא לא אירוע טכנולוגי, אלא אירוע עסקי שנובע מכשל טכנולוגי. ההחלטות החשובות והאתגרים המשמעותיים הן של הדרג הניהולי והעסקי, ולא של הגורמים הטכנולוגיים.
בתרגילים רבים אנשי הטכנולוגיה תפסו מקום דומיננטי מאד, והשתלטו בפועל על ניהול האירוע, על חשבון שאר המנהלים.
המחיר:
- ההחלטות התקבלו על בסיס שיקולים טכנולוגיים ולא על בסיס השיקולים העסקיים.
- נוצר עומס גדול על אנשי הטכנולוגיה שהסיט אותם מעיסוק במשימה העיקרית שלהם.
4. ציפייה לוודאות מוחלטת
השעות הראשונות של אירוע סייבר הן ממלכת האי-וודאות – יש הרבה יותר שאלות מתשובות, ותשובות לשאלות כמו מהו וקטור התקיפה, איזה מידע זלג ומה היקף הנזק, לא יתבררו אלא לאחר זמן רב. בינתיים הארגון נדרש לקבל החלטות מבלי שיהיה לו את כל המידע המבוסס.
בתרגילים רבים השחקנים עיכבו החלטות וחיכו לקבלת מידע מאומת, ובינתיים לא עשו פעולות הכרחיות. במקרים אחרים השחקנים הניחו את ההנחות הנוחות להם, וקיבלו החלטות על סמך הנחות מקלות אלה.
המחיר:
- עיכוב בקבלת החלטות ובביצוע פעולות קריטיות.
- דיווחים, ובעיקר דיווחים לציבור, שהתגלו בדיעבד כשגויים, או אופטימיים מדי.
- לחץ כבד על צוותי הפורנזיקה (בעיקר) לתת תשובות מהירות לפני שהן התבררו בוודאות.
5. עומס רב על השחקנים
תנאי הכרחי לניהול משברים מוצלח הוא עבודה מסודרת, חלוקת תחומי אחריות ומשימות בין המשתתפים, שקט ויכולת לשמוע את הנתונים ולעבד אותם בצורה אפקטיבית.
בתרגילים רבים נוצרו רעש ומהומה רבה בחדר המצב, שהיה עמוס באנשים רבים מאד ונוהל בצורה לא מסודרת (בקריאות, צעקות ובדיונים מקבילים). העומס התגבר בגלל ידיעות שנשלחו בתפוצה רחבה מדי, ובקושי להגדיר במדויק את תחומי האחריות וגבולות הגזרה של כל שחקן.
המחיר:
- שחקנים פספסו פרטי מידע חשובים, או שלא שמו לב למשמעות שלהם.
- הוקדש זמן קצר מאד לניתוח כל התפתחות.
- חלק מההודעות כלל לא נקרא או טופל.
6. הסתמכות על צוותים חיצוניים
ארגונים רבים נעזרים בצוותים חיצוניים בעת אירוע סייבר. אלה יכולים להיות צוותי IR, צוותי מו"מ וצוותי ניהול משברים. לעיתים קרובות צוותים אלה מוקצים על ידי חברת הביטוח, ומשרתים בראש ובראשונה את האינטרס שלה.
בתרגילים רבים ראינו שמרגע שהגיעו הצוותים החיצוניים, ההנהלה העבירה את האחריות בפועל אליהם, וציפתה שהם יקבלו את ההחלטות במקומה.
המחיר:
- ההנהלה איבדה את היכולת לראות ולנהל את התמונה השלמה.
- הצוותים החיצוניים, שלרוב ממוקדים בטיפול בתקיפה עצמה, הזניחו את האינטרסים של ההיבטים העסקיים.
- האחריות עברה לצוותים שהמחויבות הראשונה שלהם היא לא לחברה.
7. תעדוף משימות ותשומת לב
בזמן אירוע משברי קשב מנהלים וצוותים טכניים הוא אחד המשאבים החשובים ביותר, ותמיד נמצא בחסר. מאחר שלא ניתן לטפל בכל המשימות ולשמר את כל היכולות, חייבים למקד את תשומת הלב במשימות הליבה, גם במחיר של פגיעה במשימות החשובות פחות.
בתרגילים רבים לא הושקעה חשיבה בהגדרת סדרי עדיפויות, ולא נעשה ניסיון למקד את תשומת לב ההנהלה והצוותים הטכניים במשימות ובאירועים החשובים ביותר.
המחיר:
- קשב המנהלים התפזר בין משימות ואירועים רבים ולא אפשר להשקיע מספיק באירועי הליבה.
- הושקעו משאבים במשימות שוליות וב"רעש".
- העומס הכולל על הצוותים היה בלתי אפשרי.
8. עזרים ותיעוד
רצף האירועים באירוע סייבר הוא מהיר ועמוס מאד. הנתונים זורמים בלי הפסקה. אף אחד לא מסוגל לזכור את כל העדכונים, לעקוב אחר ההחלטות שהתקבלו וסטטוס הביצוע, ולהיות מעודכן כל הזמן בתמונת המצב.
במרבית המקרים חברות לא השתמשו בעזרים מתאימים, לא תיעדו את ההתפתחויות ולא עקבו אחר סטטוס ביצוע ההחלטות.
המחיר:
- בלבול וחוסר שליטה בנתונים ובתמונת המצב.
- החלטות שהתקבלו לא בוצעו, ואיש לא ידע על כך.
- קושי לעדכן ולחפוף מנהלים שהצטרפו במהלך האירוע (משמרות, העברת מקל).
קצת על תרגילי החירום והשולחן העגול בניהולנו
לחברת אלמנטס נסיון רב בתכנון וניהול תרגילי סייבר, תרגילי חירום ותרגילי הנהלה עבור חברות וארגונים מהמובילים במשק, כולל ניתוח התרגול, הפקת לקחים והמלצות לשיפור.
תרגילי הסייבר של חברת אלמנטס:
מועברים באמצעות מערכת CHESS, שמנתחת ומתעדת כל פעולה של המשתתפים.
מדמים וממחישים את החיים האמיתיים ככל האפשר:
- אין פתרונות בית ספר – לכל החלטה יש את היתרונות שלה אבל גם את המחירים שלה.
- המידע לא מגיע לכולם באותה מידה.
- המידע מגיע בצורה גולמית ולא מעובדת.
- יש מידע שגוי, מסיח, רועש, מזובל.
- נמצאים בממלכת אי הוודאות, ללא תרחישים ידועים מראש. ממש כמו בעולם האמיתי.
- המשחק הוא דו-צדדי – התוקף מגיב לפעולות של החברה.
חברת אלמנטס מתמחה בבניית וניהול שגרת תרגילי סייבר עבור ארגונים וחברות, מהמובילים במשק הישראלי.