ניהול משבר סייבר אינו משימה קלה או פשוטה. משבר הסייבר צץ במפתיע, כאשר לעתים הוא מתוזמן בזדוניות למועד רגיש – תקופת שיא פעילות, סמוך לגיוס לקוח משמעותי או רגע לפני הנפקה – ומכניס כאוס למערכת. מסובך לגלות את זהות התוקפת ומניעיה, מתסכל לחפש את החולשה או הפרצה שאיפשרו לה להיכנס, וקשה לאתר את כל המערכות הנגועות. בזמן שהארגון מתוודע למשבר ומנסה להבין מי נגד מי, התוקפת כבר בילתה זמן רב במערכת ומיפתה אותה. בזמן שהארגון מתחיל לחלק תפקידים ומשימות, ההאקרית כבר מדליפה דגימות מידע ויוצרת קשר עם עיתונאים. בזמן שהארגון מגיע סוף סוף להפעיל את תוכנית החירום שנבנתה בחופזה, ההאקרית משתמשת בגישה שלה למערכת, עוקבת בזמן אמת אחרי המאמצים לסכל את תוכניותיה ומשנה אותן בהתאם. לא נעים.
משברי סייבר מסוכנים לארגון – הפגיעה עשויה להיות ישירה או עקיפה, מיידית או בטווח הארוך, ממוקדת או רחבת היקף. בהיעדר אסטרטגיית ניהול משבר סייבר מתאימה, גם פגיעה קטנה עלולה להידרדר לנזק משמעותי לחברה, משיבוש מסיבי של פעילותה, כפי שראינו במקרה של מתקפת הכופרה על ביה"ח הלל יפה, שנאלץ לדחות הליכים רפואיים ולהפנות מטופלים לבתי חולים אחרים. הנזק עשוי להיות כה כבד ולפגוע בחברה עד כדי חדלות קיום – כמו במקרה של אתר ההכרויות הלהט"בי אטרף, שנסגר בהוראת הרשויות לאחר שהאקרים גנבו והפיצו מידע אישי מתוכו, ושנה מאוחר יותר עדיין מבטיח באתרו באותיות ענק שהוא עוד ישוב.
חומרת הפגיעה בארגון מושפעת מהתנהלות הארגון מול המשבר, ומההשלכות הרחבות וארוכות הטווח של המשבר, ששולחות זרועות גם מעבר למתחם הסייבר. התנהלות פזיזה ובלתי מחושבת של ארגון לא רק שלא תפחית את הנזק – היא עלולה להחריפו. למשל, חברה שספגה מתקפת כופרה שכרה חוקרי סייבר על מנת למצוא מי אחראי על התקיפה, ואלו כתבו דו"ח שבו ייחסו את התקיפה לקבוצות הקשורות לאיראן. בכך החברה "סינדלה" את עצמה, מאחר שסנקציות בינלאומיות וחוקי איסור מימון טרור מונעים ממנה לפתור את הבעיה על ידי תשלום הכופר. דוגמה נוספת להתנהלות פזיזה שהחמירה את הנזק היא הפריצה לרובין הוד. חברת הפינטק הודיעה שהמידע שנגנב על 7 מיליון לקוחותיה היה מוגבל בעיקר לשמות מלאים וכתובות אימייל. בתגובה לטענה הזו, ההאקרים טענו שרובין הוד משקרת בניסיון לגמד את חומרת הפריצה, בעוד שהם הצליחו לגנוב גם תעודות מזהות, שאותן הציעו למכירה בפורום דארקווב (Dark web) פופולרי. ייתכן כי רובין הוד שיקרה, וייתכן כי לא הייתה מודעת לגניבת התעודות – ובכל מקרה, שני התסריטים הללו מוציאים אותה רע מאוד. הדוגמאות הללו מהדהדות מוסכמת יסוד של מומחי ניהול משברי סייבר: משבר סייבר אינו רק משבר טכנולוגי או אבטחתי – משבר סייבר הוא במהותו אתגר ניהולי.
כשמשבר הסייבר מגיע, הארגון זקוק לעמידות ארגונית וניהולית (Resilience), תוכנית המשכיות עסקית סייברית (CBCP) כדי לצמצם נזקים בטווח הקצר והארוך. משום שמשברי סייבר כוללים אתגרים רבים מתחומים שונים, יש צורך להתכונן לכך מראש עם אסטרטגיה פרקטית ואפקטיבי. למשל, האתגר התקשורתי – איך להתייחס פומבית למשבר, מתי לדווח עליו, אילו פרטים לחשוף ואילו להסתיר, מה אומרים ללקוחות; האתגר הרגולטורי – מהן חובות הדיווח, אילו רגולטורים רלוונטיים למשבר, האם כדאי לשתף אותם בניהולו או לתת להם רק לצפות מבחוץ, אילו דרישות צפויות להיות להם ולאילו מהן הארגון חייב לציית; האתגר הביטוחי – איך מגדירים את המתקפה באופן שהיא לא תיפול מחוץ לטווח הכיסוי של הפרמיה, האם חברת הביטוח תכסה תשלום כופר; ועוד ועוד. העמידות הארגונית נועדה לבצר את הארגון מול המשבר, והיא מצריכה תירגול מתמיד של תוכנית ההתמודדות, בין השאר באמצעות סימולציות שמדגימות משברי סייבר אפשריים ובוחנות את התנהלות ההנהלה מולם.
ניתוח מקרי עבר מראה כי בעת משבר, היכולת של ארגון להתנהל תחת חוסר ודאות, לגלות כי הוא נמצא באירוע סייבר ולהגיב אליו בצורה יעילה ואפקטיבית תלוי בהכנה מוקדמת, הכוללת תכנון אסטרטגיית תגובה ותרגול ניהולי ומקצועי שלה, שבאמצעותם מושגת עמידות ארגונית למשברי סייבר (Resilience). תרגול אסטרטגיית ההתנהלות במשבר על ידי סימולציות מוכוונות סיכון עשויות להכריע את הכף ולסייע לבלום, לתחם ולצמצם את הנזק של משברי סייבר. כמו כן, ליכולת של ארגון להתנהל כרגיל ולהתאושש ממשבר, או – המשכיות עסקית והתאוששות (CBCP), השלכות מרחיקות לכת על צמצום הנזק, שביעות רצון הלקוחות ומוניטין החברה.
תכנית ניהול משברי סייבר בארגונים פותחה במטרה להקנות למשתתפיה כלים פרקטיים להיערכות ולבניית חוסן ארגוני לקראת משבר סייבר. ההכשרה תתבסס על מתודולוגיות ייחודיות לניהול משברי סייבר שפותחו בתעשייה באמצעות מומחים מובילים מהתעשייה ומהאקדמיה שמתמחים בנושא. החוויה הלימודית האינטראקטיבית תאפשר למידה מעמיקה, משמעותית ופרקטית, הניתנת ליישום בעולם התאגידי.
הכתבה פורסמה לראשונה במגזין דה-מרקר לכנס HLS & CYBER 2022