שירותי מחשוב להגנה מפני כופרות וזדון בונים מערך הגנה רב שכבתי לארגון. מתקפות כופר משתקות חברות תוך שעות וגורמות לנזק כספי ותדמיתי כבד, ותשתית אבטחה מתקדמת מצמצמת את הסיכון משמעותית.
תוכן עניינים
- מה כוללים שירותי מחשוב להגנה מפני כופרות וזדון?
- סוגי האיומים שהמערך צריך להתמודד איתם
- שכבת הגנה ראשונה – אבטחת נקודות קצה בשירותי מחשוב להגנה מפני כופרות וזדון
- הגנה על תשתית הרשת והשרתים מפני כופרות וזדון
- גיבוי מבודד – קו הגנה אחרון בשירותי מחשוב להגנה מפני כופרות וזדון
- ניטור, זיהוי ותגובה מהירה לאיום בשירותי מחשוב להגנה מפני כופרות וזדון
- הגורם האנושי – הכשרת עובדים והעלאת מודעות
- תוכנית התאוששות מאסון ושחזור משירותי מחשוב להגנה מפני כופרות וזדון
- בחירת ספק לשירותי מחשוב להגנה מפני כופרות וזדון
- סיכום – הגנה כוללת מתחילה בתכנון נכון
מה כוללים שירותי מחשוב להגנה מפני כופרות וזדון?
מתקפת כופר (Ransomware) היא תוכנה זדונית שמצפינה את הקבצים על מחשבי הארגון ודורשת תשלום כדי לשחרר אותם.
תוכנה זדונית (Malware) הוא מונח רחב יותר שכולל וירוסים, סוסים טרויאניים, תוכנות ריגול, ועוד שורה של איומים שעלולים לגרום נזק או לאפשר גישה לא מורשית לתשתית הארגונית.
שירותי מחשוב להגנה מפני כופרות וזדון הם מערך טכנולוגי ותפעולי שמשלב הגנה ברמת נקודת הקצה, ברמת הרשת, ברמת השרת, מנגנוני גיבוי מבודדים, יכולות ניטור ותגובה, וכן הכשרת עובדים – כדי לצמצם את שטח התקיפה ולהבטיח עמידות גם כאשר מתקפה חודרת.
אנחנו ב-IP מחשבים, עם למעלה משני עשורים של פעילות בתחום ה-שירותי IT לעסקים, ראינו מקרוב כיצד מתקפת כופר אחת מצליחה למוטט פעילות של ארגונים שלמים בתוך שעות ספורות.
הנזק הכלכלי הישיר הוא רק חלק מהסיפור.
ארגון שספג מתקפת כופר מתמודד עם השבתה תפעולית, אובדן אמון מצד לקוחות, חשיפה רגולטורית, חבות משפטית כלפי ספקים ושותפים, ולעיתים אף קנסות מנהליים בהתאם לחוקי הגנת הפרטיות הישראליים והאירופיים.
היום אין עוד אפשרות לסמוך על מערכת אנטי וירוס בודדת או חומת אש מסורתית.
תוקפים מתחכמים, מתקפות מותאמות אישית, ושימוש מתרחב בכלי בינה מלאכותית – כל אלה הופכים את ההגנה למשימה הנדסית מורכבת שדורשת אסטרטגיה ברורה ויישום הנדסי קפדני.
המטרה של מערך הגנה אפקטיבי אינה רק למנוע מתקפות, אלא להבטיח שגם אם מתקפה חודרת – הנזק יוגבל, השחזור יתבצע במהירות, והעסק ימשיך לפעול בהפרעה מינימלית.
סוגי האיומים שהמערך צריך להתמודד איתם
לפני שניתן לבנות הגנה אפקטיבית, חשוב להבין מול אילו איומים אנחנו עומדים.
נוף האיומים בעולם הסייבר מתפתח באופן מתמיד, אך ניתן לזהות מספר משפחות מרכזיות שכל ארגון צריך להיות מודע אליהן:
- תוכנות כופר (Ransomware) – מצפינות מידע ודורשות תשלום, לעיתים גם מאיימות בפרסום המידע (Double Extortion)
- סוסים טרויאניים (Trojans) – תוכנות שמתחזות לתוכנה לגיטימית ומאפשרות גישה מרחוק
- תוכנות ריגול (Spyware) – אוספות מידע על פעילות המשתמש בלי ידיעתו
- תוכנות פרסום זדוניות (Adware) – מציגות פרסומות ולעיתים פותחות פתח להדבקה נוספת
- תולעים (Worms) – מתרבות ומפיצות את עצמן ברשת באופן אוטונומי
- Rootkits – מסתתרות עמוק במערכת ומאפשרות שליטה מתמשכת
- פישינג מתקדם (Spear Phishing) – תקיפות מותאמות אישית שמטרתן השגת אישורי גישה
- Zero-Day Exploits – ניצול חולשות שטרם פורסם להן תיקון
- Supply Chain Attacks – תקיפה דרך ספק או רכיב בשרשרת האספקה הדיגיטלית
בשנים האחרונות בולטת מגמה של התמקצעות והתעשייתיות בעולם הפשע הקיברנטי.
קבוצות תוקפות פועלות כעסקים מסחריים לכל דבר – הן משווקות "שירותי כופר כשירות" (RaaS – Ransomware as a Service), מציעות תמיכה טכנית לקורבנות שמשלמים, ומחלקות את הרווחים בין שותפים בכל רחבי העולם.
ההכרה הזו חשובה: התוקף מצדו השני אינו האקר חובב שיושב במרתף, אלא ארגון מקצועי עם משאבים, ידע ותמריצים כלכליים ברורים.
התוקפים גם משכללים את שיטות החדירה.
מתקפת RDP חזיתית או ניצול חולשת שירות שאינו מתוקן הם רק נקודת הפתיחה – לאחר החדירה מתחיל שלב של "Lateral Movement" שבו התוקף נע ברשת, מאתר את הנכסים החשובים ביותר, ומכין את הקרקע להצפנה רחבה ולגניבת מידע במקביל.
לפי דיווחי מערך הסייבר הלאומי, ארגונים ישראליים נמצאים תחת מתקפות סייבר באופן יומיומי, וחלק ניכר מהמתקפות מצליחות בגלל ליקויים בסיסיים בהיגיינת הסייבר ולא בגלל יכולות תוקף יוצאות דופן.
זה בדיוק המקום שבו תכנון נכון של תשתית מחשוב יכול לעשות את ההבדל.
שכבת הגנה ראשונה – אבטחת נקודות קצה בשירותי מחשוב להגנה מפני כופרות וזדון
נקודות הקצה – תחנות עבודה, ניידים, שרתים, מכשירים ניידים – הן הוקטור המרכזי שבו תוקפים מנסים לחדור לארגון.
שכבת ההגנה הראשונה מתמקדת בהגנה על נקודות אלה באמצעות שילוב של מספר טכנולוגיות:
פתרון EDR/XDR מתקדם
פתרון Endpoint Detection and Response שונה מהותית מאנטי וירוס מסורתי.
במקום להסתמך על חתימות סטטיות שמזהות איומים ידועים, פתרון EDR מנתח את התנהגות התהליכים על המחשב בזמן אמת ומזהה דפוסים חשודים.
לקוחותינו פרוסים על פלטפורמת SentinelOne כפתרון EDR מוביל, שמשלב מנועי בינה מלאכותית לזיהוי איומים גם כאשר אין להם חתימה ידועה מראש.
היכולת לזהות התנהגות חריגה ולעצור תהליך הצפנה תוך שניות בודדות היא קריטית כשמדובר בכופר – כי ברגע שתוכנת הכופר מתחילה להצפין קבצים, כל שנייה עולה במחיר.
ניהול תיקוני אבטחה (Patch Management)
חלק משמעותי ממתקפות מנצל חולשות במערכות הפעלה או בתוכנות שלא עודכנו.
פלטפורמת NinjaOne RMM שאנחנו מפעילים אצל לקוחותינו מאפשרת הפצה אוטומטית של תיקוני אבטחה ברגע שהם משוחררים, על פני כל נקודות הקצה בארגון, יחד עם מעקב מרכזי על מצב התיקונים בכל מכשיר.
חולשה שאינה מתוקנת תוך שבועיים-שלושה מהפרסום, היא חולשה שתוקפים יודעים עליה ויודעים לנצל.
ניהול הרשאות וגישה
תוכנת כופר שרצה תחת חשבון משתמש רגיל מצליחה להצפין רק את הקבצים שאותו משתמש יכול לגשת אליהם.
אם המשתמש הוא בעל הרשאת מנהל, הנזק מתפשט לכל המחשב ולעיתים לכל הרשת.
לכן אנחנו ממליצים ללקוחותינו על מודל של הרשאות מינימליות (Least Privilege), הפרדה בין חשבון יומיומי לחשבון מנהל, ושימוש בכלי PAM (Privileged Access Management) לחשבונות עם הרשאות גבוהות.
הצפנה ובקרת מדיה
דיסקים מוצפנים על כל המכשירים הניידים, בקרה על שימוש בדיסק און קי וזיהוי של חיבור מדיה זרה – כל אלה צמצמו משמעותית את החשיפה.
נכון לשנת 2026, גניבת מחשב נייד של עובד ממסעדה או מהרכב הפכה לנפוצה, וללא הצפנה מלאה – המידע שעליו פתוח וזמין לכל מי שמרים את המכשיר.
בקרת יישומים (Application Control)
מנגנון שמגדיר רשימת תוכנות מאושרות לריצה ומונע מתוכנה אחרת לפעול, חוסם הרבה מאוד מתקפות עוד לפני שהן מצליחות להתחיל.
תוקפים מנסים להריץ סקריפטים ובינאריים זדוניים, ופתרון בקרת יישומים מקצועי הופך זאת לבלתי אפשרי גם אם המשתמש בטעות נתן הרשאה.
הגנה על תשתית הרשת והשרתים מפני כופרות וזדון
מעבר לנקודות הקצה, מערך הגנה אפקטיבי דורש שכבות נוספות שמכסות את הרשת הפנימית, השרתים, ושירותי הענן של הארגון.
אסטרטגיית Defense in Depth מבוססת על הנחה שאף שכבת הגנה בודדת אינה ניתנת להבטחה, ולכן יש לבנות שכבות מרובות שכל אחת מהן עומדת בפני עצמה.
חומת אש מודרנית (Next-Generation Firewall)
חומת אש מסורתית שמסננת על פי כתובות IP ופורטים אינה מספיקה היום.
חומת אש מודרנית מנתחת את התוכן בפועל של תעבורת הרשת, מזהה תקשורת ליעדים ידועים כמזיקים, וחוסמת ניסיונות תקשורת של תוכנות זדוניות כלפי שרתי שליטה (C&C – Command and Control).
סגמנטציה רשתית מדוקדקת
מערכות שמחזיקות מידע רגיש לא צריכות להיות באותה רשת לוגית עם תחנות העבודה הרגילות.
מיקרו-סגמנטציה ברמת המכונה הווירטואלית, VLANs בין מחלקות שונות, וחומות אש פנימיות שמבקרות גם תעבורה צדדית – כל אלה הופכים את ה-Lateral Movement של תוקף לקשה מאוד.
בשירותי מחשוב ענן לעסקים שאנחנו מספקים מחוות השרתים הפרטית בראשון לציון, הסגמנטציה היא ברירת מחדל, וכל לקוח מקבל סביבה לוגית מבודדת לחלוטין מסביבות לקוחות אחרים.
חיזוק שרתים (Server Hardening)
שרת ברירת המחדל לא בנוי להיות בטוח באופן מקסימלי – הוא בנוי להיות פונקציונלי.
תהליך חיזוק שכולל ביטול שירותים מיותרים, כיבוי פורטים שאינם בשימוש, החלפת סיסמאות ברירת מחדל, הגדרת לוגינג מפורט, וניהול קונפיגורציה מאובטחת – הופך את השרת לפחות חשוף משמעותית.
תהליך זה צריך להיות מתועד, אוטומטי ככל הניתן, ולעבור בדיקה תקופתית כדי לוודא שאף שינוי אינו פותח חזרה את החזית להתקפה.
שרת שלא עבר תהליך חיזוק לפני העלאתו לפרודקציה הוא שרת שמהווה סיכון לכל המערכת, גם אם הוא יושב מאחורי כמה שכבות של חומת אש.
הגנה מפני פישינג ומיילים זדוניים
המייל הוא ערוץ החדירה המוביל בעולם הסייבר.
פתרון Mail Relay מתקדם שכולל סינון ספאם, סריקת קישורים, ניתוח קבצים מצורפים בסביבת Sandbox, ובדיקת מקור (DMARC, DKIM, SPF) – חוסם את רוב הניסיונות עוד לפני שהמייל מגיע לתיבת העובד.
לפי הנחיות תקנות הגנת הפרטיות (אבטחת מידע) משנת 2017, בעלי מאגרי מידע נדרשים להגנה מקצועית מפני תקיפות וסיכונים פנימיים וחיצוניים, ויישום שכבת הגנת מייל איכותית הוא חלק בלתי נפרד מעמידה בדרישות אלה.
גישה מרחוק מאובטחת
בעידן העבודה ההיברידית, חיבור עובדים מרחוק לתשתית הארגונית הוא צורך תפעולי – אך גם נקודת חשיפה משמעותית.
שימוש ב-VPN ארגוני עם אימות רב גורמי (MFA), פתרונות ZTNA (Zero Trust Network Access), והפרדה בין רשת הביתית של העובד לסביבה הארגונית – הם הסטנדרט בארגונים שלוקחים את הנושא ברצינות.
גיבוי מבודד – קו הגנה אחרון בשירותי מחשוב להגנה מפני כופרות וזדון
גם המערך הטוב ביותר אינו מבטיח חסינות מוחלטת – ולכן הגיבוי הוא קו ההגנה האחרון, וברוב המקרים המכריע, של ארגון מול מתקפת כופר.
המפתח הוא לא רק שהגיבוי קיים, אלא שהוא מבודד באופן שתוקפים אינם יכולים להגיע אליו ולהצפין אותו יחד עם שאר המערכות.
אסטרטגיית 3-2-1-1 מודרנית
המודל המוכר של 3 עותקים על 2 מדיות שונות עם 1 עותק מחוץ לאתר, הורחב בשנים האחרונות לכלול עותק נוסף מבודד לחלוטין (Immutable).
פלטפורמת גיבוי בענן לעסקים שאנחנו מציעים מבוססת בדיוק על העיקרון הזה – גיבוי מקומי לזמן שחזור מהיר, גיבוי בענן הפרטי שלנו בראשון לציון לטווח בינוני, וגיבוי מבודד שאינו ניתן לשינוי אפילו על ידי מנהל מערכת.
גיבוי בלתי שמיד (Immutable Backup)
המאפיין הקריטי הוא היכולת לקבוע שגיבוי שנוצר לא ניתן לשינוי או למחיקה לתקופה שהוגדרה מראש, גם לא על ידי משתמש בעל הרשאות מנהל.
טכנולוגיה זו מבטיחה שגם אם תוקף משיג שליטה מלאה על תשתית הגיבוי, הוא אינו יכול להצפין או למחוק את הגיבויים הקיימים.
חוסר היכולת של תוקף לפגוע בגיבוי הוא ההבדל בין ארגון שמשחזר תוך שעות לארגון שנאלץ לשלם כופר או לאבד את כל המידע.
בידוד פיזי (Air-Gapped Backup)
ברמה הגבוהה ביותר של הגנה, חלק מהגיבוי שומר ברשת נפרדת לחלוטין שאינה מחוברת לרשת הפרודקציה.
מודל זה מבטיח שאפילו חולשה ברמת רשת לא תאפשר לתוקף להגיע לגיבוי, ומומלץ במיוחד לארגונים עם רגישות גבוהה למתקפות סייבר או לארגונים בענפים מוסדרים כמו פיננסים ובריאות.
בדיקת שחזור תקופתית
גיבוי שלא נבדק – אינו גיבוי.
בדיקת שחזור מקיפה לפחות פעם בשנה, ובדיקות נקודתיות פעמיים בשנה, הן השיטה היחידה לוודא שהגיבוי באמת עובד וניתן לשחזר ממנו תוך הזמן שהוגדר במטרות ה-RTO של הארגון.
לקוחות שלא תרגלו שחזור מגלים לעיתים ברגע האמת שיש להם בעיות בקונפיגורציה, ברישוי, או בתקינות הקבצים – וזה הרגע הכי גרוע לגלות זאת.
הגדרת מטרות RPO ו-RTO ריאליות
RPO (Recovery Point Objective) מגדיר כמה מידע מותר לארגון לאבד במקרה של אירוע, ו-RTO (Recovery Time Objective) מגדיר תוך כמה זמן צריך לחזור לפעילות.
ארגון שדורש RPO של 15 דקות ו-RTO של שעתיים זקוק לארכיטקטורת גיבוי שונה לחלוטין מארגון שמוכן לאבד יום עבודה ולשחזר תוך שני ימי עסקים.
התאמת הארכיטקטורה למטרות העסקיות היא הצעד הראשון בכל פרויקט הגנת מידע מקצועי.
|
⭐טיפ זהב⭐ בדיקת חוסן אמיתית של מערך הגיבוי שלכם היא לבצע סימולציה של מתקפת כופר על סביבת ייצור מבודדת. נתקו את הגיבוי הראשי לחלוטין, נסו לשחזר רק מהעותק המבודד, מדדו את הזמן בפועל, ותעדו את כל הצעדים. הפעם הראשונה שמסמלצים את זה תגלו לרוב פערים שלא הייתם מודעים אליהם – וזה הרבה יותר טוב לגלות אותם בתרגיל מאשר באירוע אמת. |
ניטור, זיהוי ותגובה מהירה לאיום בשירותי מחשוב להגנה מפני כופרות וזדון
ההבדל בין ארגון שנפגע קלות לארגון שעובר שבר משמעותי הוא בדרך כלל מהירות התגובה.
ככל שמזהים מתקפה מוקדם יותר, כך הנזק קטן יותר, השחזור מהיר יותר, והעלויות נמוכות יותר.
פלטפורמת SIEM מרכזית
Security Information and Event Management היא הפלטפורמה שמרכזת לוגים מכל המערכות בארגון – מהפיירוול, דרך מערכות ההפעלה, אפליקציות, ועד מערכות בקרת גישה – ומאפשרת ניתוח חוצה מערכות בזמן אמת.
ללא SIEM, איתור פעילות חשודה דורש בדיקה ידנית של עשרות מערכות שונות – מה שמעשי בלתי אפשרי בארגון מורכב.
זיהוי אנומליות מבוסס למידת מכונה
פלטפורמות SIEM מודרניות משלבות רכיבי UEBA (User and Entity Behavior Analytics) שמזהים סטיות מההתנהגות הרגילה גם בלי כללים מוגדרים מראש.
עובד שלרוב מתחבר מהמשרד בין 8 ל-17, ופתאום מתחבר ב-3 לפנות בוקר ממדינה זרה ומוריד אלפי קבצים – זו אנומליה שמערכת חכמה תזהה גם אם המשתמש מורשה טכנית לכל הפעולות.
ניטור 24/7 ומוקד תגובה
מתקפת כופר אינה מחכה לשעות העבודה.
לרוב התוקפים פועלים דווקא בלילות, בסופי שבוע ובחגים – בזמן שצוות ה-IT הפנימי אינו זמין.
לקוחותינו נהנים משירותי Help Desk פרואקטיביים עם ניטור מתמשך, יכולת זיהוי איומים, ויכולת התערבות מהירה גם בשעות שאינן שעות עבודה רגילות.
תהליך תגובה לאירוע (Incident Response)
כאשר מתגלה אירוע, הזמן הוא קריטי וקבלת ההחלטות חייבת להיות מתורגלת מראש.
תהליך תגובה מסודר כולל את השלבים הבאים, ולכל ארגון מומלץ להגדיר ולתרגל אותם:
- זיהוי האירוע – איך מאתרים שמשהו חריג מתרחש
- סיווג ראשוני – הערכת חומרת האירוע ועומק החדירה
- בלימה – ניתוק המערכות הנגועות מהרשת כדי למנוע התפשטות
- חקירה – הבנת מקור החדירה, מה התוקף עשה, ומה הוא לקח
- מיגור – ניקוי המערכות הנגועות וסגירת פירצת החדירה
- שחזור – החזרה לפעילות מבוססת על גיבויים נקיים
- תיעוד ולקחים – ניתוח האירוע ועדכון נהלים והגנות בהתאם
- תקשורת לבעלי עניין – הודעה לרגולטור, לקוחות ושותפים לפי הצורך
תרגיל Tabletop תקופתי שמדמה את התהליך, מבלי להתערב בפעילות הייצור, מבטיח שכאשר יקרה אירוע אמת – הצוות יידע מה לעשות.
תהליך תגובה לאירוע שלא תורגל מעולם הוא תוכנית על הנייר, ובערוץ הקרב הוא יתפרק לחלקיו תוך דקות.
הגורם האנושי – הכשרת עובדים והעלאת מודעות
מחקרים בתחום אבטחת המידע מצביעים שוב ושוב על אותה תובנה: הגורם האנושי הוא הסיבה השכיחה ביותר לאירועי אבטחה.
טעות עובד אחת – לחיצה על קישור פישינג, פתיחת קובץ מצורף מפוקפק, שיתוף סיסמה דרך הטלפון, חיבור דיסק און קי שנמצא בחניון – יכולה לבטל את כל ההשקעה הטכנולוגית של הארגון.
הכשרה תקופתית מובנית
לפחות פעם בשנה, וברצוי פעמיים, צריך לבצע הכשרה רוחבית לכל עובדי הארגון.
ההכשרה צריכה לכסות את העקרונות הבסיסיים של היגיינת סייבר, להציג דוגמאות מהשטח של מתקפות אמיתיות, ולתת כלים מעשיים לזיהוי איומים.
חשוב שההכשרה תהיה תפורה לתפקיד – אנשי כספים מקבלים תוכן שונה ממה שמקבלים אנשי פיתוח, ומחלקת שירות לקוחות מקבלת זוויות שונות מהנהלת הביניים.
סימולציות פישינג מתמשכות
הכשרה תיאורטית אינה מספיקה – צריך לתרגל.
שליחה תקופתית של מיילי פישינג מבחנים פנים ארגוניים, מעקב אחרי מי לחץ ומי לא, ושיחת תיקון אישית עם מי שנפל למלכודת – יוצרים מנגנון לימוד מהשטח שמשפר את עמידות הארגון לאורך זמן.
חשוב לעשות זאת בצורה לא ענישתית – המטרה היא ללמד, לא להעניש.
תרבות של דיווח
עובד שמזהה משהו חשוד צריך להרגיש בנוח לדווח עליו, גם אם הוא אינו בטוח.
ארגון שבו עובדים מפחדים לדווח – בדרך כלל כי מי שדיווח בעבר זכה ביחס שלילי – הוא ארגון שאיומים נשארים בו זמן רב יותר ומתרחבים יותר.
תרבות חיובית של דיווח, עם תהליך פשוט ונגיש (כתובת מייל ייעודית, מספר טלפון פנימי, צאט בוט), היא נכס אבטחתי משמעותי.
הכשרת מנהלים והנהלה בכירה
התוקפים יודעים שמנהלים בכירים הם יעד אטרקטיבי – יש להם גישה רחבה, ולעיתים הם פחות זמינים להכשרות.
תקיפות Whaling – מתקפות פישינג מותאמות אישית למנהלים – הפכו לשכיחות, ולכן הכשרה ייעודית להנהלה היא חלק חיוני מהאסטרטגיה.
שירותי מיקור חוץ IT שאנחנו מספקים כוללים בין השאר גם תהליכי הכשרה מובנים, חומרי הסברה מותאמים, וליווי מתמשך של הצוותים מול שינויי איומים.
תוכנית התאוששות מאסון ושחזור משירותי מחשוב להגנה מפני כופרות וזדון
גם הארגון המוגן ביותר חייב להניח שמתקפה תצליח יום אחד.
תוכנית התאוששות מאסון (DR – Disaster Recovery) היא ההכנה ליום שבו זה קורה – מי עושה מה, באיזה סדר, ועם אילו משאבים.
מיפוי תהליכים עסקיים קריטיים
לא כל מערכת בארגון שווה את אותה עדיפות.
מערכת ההזמנות של חברת מסחר אלקטרוני קריטית הרבה יותר ממערכת ניהול הנוכחות.
מיפוי מקיף של תהליכי הליבה של העסק, וזיהוי המערכות שתומכות בכל תהליך, הוא נקודת הפתיחה לכל תוכנית DR יעילה.
הגדרת RTO ו-RPO לכל מערכת
כפי שציינו קודם, לכל מערכת צריך להיות זמן שחזור יעד (RTO) ונקודת שחזור יעד (RPO).
לעיתים שתי מערכות שמספקות שירות לאותו לקוח דורשות RTO שונה לחלוטין, ולכן יש לבצע את ההגדרה ברמת המערכת ולא ברמת הארגון.
הטבלה הבאה מציגה השוואה בין ארבעת הרמות המקובלות של תוכניות התאוששות שאנחנו ממליצים עליהן ללקוחות:
| רמת הגנה | RTO טיפוסי | RPO טיפוסי | מתאים לארגונים |
|---|---|---|---|
| בסיסית | 24-48 שעות | 24 שעות | עסקים קטנים עם תפעול לא קריטי |
| סטנדרטית | 4-8 שעות | 4 שעות | עסקים בינוניים עם תפעול שוטף |
| מתקדמת | שעה עד שעתיים | 15-30 דקות | ארגונים עם פעילות מסחרית רציפה |
| קריטית | דקות בודדות | בזמן אמת | פיננסים, בריאות, תשתיות לאומיות |
תרגול תקופתי של תוכנית DR
תוכנית DR שלא תורגלה אינה תוכנית – היא רעיון.
תרגיל מלא לפחות פעם בשנה, ותרגילי שולחן (Tabletop) מספר פעמים בשנה, הם הסטנדרט בארגונים מקצועיים.
תרגיל איכותי כולל לא רק את צוות ה-IT אלא גם את ההנהלה, מחלקות התפעול, השיווק והתקשורת, וצוותים נוספים שיש להם תפקיד באירוע אמת.
תקשורת עם רגולטור ובעלי עניין
לפי הנחיות הרשות להגנת הפרטיות לעניין העברת מידע, ואירוע סייבר משמעותי שמשפיע על מידע אישי דורש דיווח לרשות הפיקוח.
תוכנית DR צריכה לכלול מי אחראי על התקשורת מול הרגולטור, מה נדרש לדווח, ובאיזה לוח זמנים – כדי שביום הקרב לא יבזבזו זמן יקר על שאלות פרוצדורליות.
החלטה אם לשלם כופר אינה החלטה טכנית אלא החלטה עסקית, משפטית ומוסרית, ועליה להיות מובאת לדיון בהנהלה הבכירה ולא ברמת ה-IT.
| ⚠️זהירות, מוקש!⚠️ אל תניחו שתשלום הכופר יביא לשחזור המידע. סטטיסטיקות מהשטח מראות שאחוז משמעותי מהארגונים ששילמו לא קיבלו מפתח פענוח תקין, או קיבלו מפתח שעבד רק על חלק מהקבצים. בנוסף, ארגון ששילם פעם אחת מסומן כיעד "משלם" וצפוי להיות נתון להתקפות חוזרות. ההמלצה הבסיסית: לבנות תשתית גיבוי מבודדת איתנה שתאפשר שחזור ללא תלות בתוקף, ולשמור על תשלום ככלי אחרון בלבד. |
בחירת ספק לשירותי מחשוב להגנה מפני כופרות וזדון
לא כל ספק שירותי מחשוב מוכן להעניק הגנה ברמה שדורשת תקופה זו.
ההבדלים בין ספקים יכולים להיות עצומים, ובחירה לא נכונה עלולה לעלות לארגון ביוקר ביום שבו דרושה תגובה מהירה ומקצועית.
תקנים בינלאומיים והסמכות
ספק שמחזיק בתקן ISO 27001 (ניהול אבטחת מידע), ובמידת האפשר גם ISO 27017 או SOC 2 Type II, הוכיח שהוא עומד בסטנדרטים בינלאומיים מקובלים.
חשוב לבדוק שההסמכות תקפות, נוגעות לתחום השירות הספציפי, וכוללות את כל המתקנים שבהם השירות ניתן.
תשתית פיזית וגאוגרפית
ספק שמפעיל את התשתית שלו ממחוות שרתים פרטיות, מציע יתרון משמעותי על ספקים שמתפעלים מענן בינלאומי.
שליטה מלאה על התשתית הפיזית, מיקום הנתונים בישראל ובהתאם לדרישות רגולציה מקומיות, ויכולת לבצע פיקוח פיזי – אלה יתרונות תחרותיים שלא כל ספק יכול להציע.
ב-IP מחשבים אנחנו מפעילים מחוות שרתים פרטית בראשון לציון, מה שמאפשר לנו רמת שליטה ובקרה שאינה ניתנת להשגה בענן ציבורי.
שותפויות עם יצרני אבטחה מובילים
ספק שמחזיק בשותפויות ישירות עם יצרני אבטחת מידע מובילים, נהנה ממידע מוקדם על איומים חדשים, גישה מהירה לתמיכה טכנית, ומקצועיות שמתעדכנת באופן שוטף.
שותפויות עם פלטפורמות כמו SentinelOne וכלי RMM כמו NinjaOne מבטיחות שהפתרון שמיושם הוא לא רק טוב כיום, אלא ימשיך להיות עדכני גם בעתיד.
תהליך עבודה מובנה וזמינות 24/7
ספק שאינו מציע SLA כתוב, ערוץ הסלמה אנושי ברור, וזמינות מסביב לשעון לאירועי משבר – אינו ספק שניתן לסמוך עליו בעת הצורך.
חשוב לבחון את התהליכים שהספק מציע: איך נראה תהליך On-Boarding של לקוח חדש, איך מתעדכנים שינויים, ומה קורה כאשר עולה אירוע חירום בשעה 3 בלילה.
תיקים והפניות
ספק עם ניסיון מצטבר וטיפול במאות לקוחות מבטיח שכבר נתקל באתגרים דומים לאלה שיעלו אצלכם.
ביקור באתרי לקוחות קיימים, ראיון עם מנהלי IT שעובדים מולו, ובחינת תיקי מקרים אמיתיים – כל אלה הם דרכים מהימנות להעריך את היכולות שלו בפועל.
התאמת השירות לאבטחת מידע וסייבר לעסקים דורשת לא רק טכנולוגיה אלא גם הבנה מעמיקה של הענף שבו פועל הלקוח.
תאימות רגולטורית
ארגון שכפוף לחוק הגנת הפרטיות החדש, לתקנות GDPR, או לרגולציות ענפיות אחרות, חייב לוודא שהספק שלו תומך בעמידה בכל הדרישות.
זה כולל יכולת לחתום על הסכם DPA תקין, לספק דוחות מצב למבקרים, ולתמוך בתהליכי בקרה תקופתיים.
לפי תיקון 13 לחוק הגנת הפרטיות, גם בעלי מאגר שמפנים את העיבוד לספק חיצוני נותרים אחראים מלאים על המידע ועל מה שנעשה איתו.
לכן ההמלצה הבסיסית היא לעבוד רק עם ספקים שמבינים את האחריות הזו ויודעים להציג בפועל איך הם תומכים בה.
המדריך המקצועי של רשות הגנת הפרטיות מפרט את הציפיות הספציפיות מבעלי מאגרי מידע בכל הנוגע להגנה מפני תקיפות וזדון, ומומלץ לכל מנהל IT לקרוא אותו לעומק לפני שהוא בוחר ספק.
ההמלצה המעשית שלנו ללקוחות היא לבחון ספקים פוטנציאליים על פני שלושה צירים מקבילים – היכולת הטכנית, היכולת הארגונית, והיכולת המסחרית.
היכולת הטכנית כוללת את כל מה שנדון עד כה – שותפויות, תקנים, תשתית.
היכולת הארגונית מתבטאת ביכולת לתת מענה אנושי מקצועי בזמן אמת, בגיוון הצוות, ובוותק שלו.
היכולת המסחרית כוללת יציבות פיננסית, מודל תמחור שקוף, וגמישות חוזית מתאימה לצרכי הארגון.
ספק שעומד בכל שלושת הצירים הוא ספק שניתן לבנות איתו שותפות ארוכת טווח, וזה בדיוק מה שדרוש בעולם של איומי סייבר מתמשכים.
סיכום – הגנה כוללת מתחילה בתכנון נכון
שירותי מחשוב להגנה מפני כופרות וזדון אינם מוצר בודד שקונים ומתקינים – הם מערך שלם של טכנולוגיה, נהלים ואנשים שעובדים יחד.
ארכיטקטורה נכונה בונה את היכולת ברמה הטכנית, נהלים מסודרים מבטיחים שהתפעול עומד בדרישות לאורך זמן, ותרבות ארגונית של מודעות לסיכוני סייבר שומרת על המערך גם כאשר עולים אתגרים חדשים.
ההשקעה בהגנה איכותית אינה גוזלת תקציב בלי תוצאות מדידות – היא חוסכת באופן ישיר את העלויות של אירועי סייבר, את ההפסדים מהשבתה תפעולית, ואת הפגיעה במוניטין שעלולה ללוות ארגון שנים אחרי האירוע.
אנחנו ב-IP מחשבים מלווים ארגונים במרכז הארץ, ראשון לציון וגוש דן בבניית מערכי הגנה רב שכבתיים, באמצעות חוות שרתים פרטית, שותפויות עם יצרני האבטחה המובילים, ותהליכי תפעול שהוכחו בשטח על פני למעלה משני עשורים של פעילות.
הניסיון הרחב שלנו עם פתרונות ERP מובילים כמו Priority, SAP ו-חשבשבת, מאפשר לנו לטפל גם בהיבטי האבטחה הספציפיים של מערכות עסקיות מורכבות, ולא רק בתשתית הבסיסית.
המסע להגנה אפקטיבית מתחיל באבחון מקיף של מצב התשתית הקיים, ממשיך בתכנון אדריכלי שמותאם לאופי הארגון, ומסתיים בהטמעה מקצועית ובתחזוקה שוטפת.
זה אינו פרויקט שמסתיים יום אחד – זה מסע מתמשך שמתעדכן בהתאם להתפתחות האיומים והטכנולוגיות.
ליצירת קשר עם הצוות שלנו לבחינה ראשונית של מערך ההגנה בארגונכם מפני כופרות וזדון, ולקבלת מפת דרכים מותאמת שתחזק את עמידות הארגון בפני האיומים העכשוויים והעתידיים.
