תארו לעצמכם שאתם מגיעים בבוקר לעסק, מדליקים את המחשב ורואים מסך שחור עם הודעה בשפה שאתם לא מזהים. כל הקבצים נעולים. מערכת הניהול לא עולה. אי אפשר להוציא חשבוניות, אי אפשר לגשת לתיקי לקוחות, ואי אפשר לדעת אם מידע רגיש כבר דלף החוצה. זה בדיוק הרגע שבו רוב בעלי העסקים הקטנים בישראל מגלים שאין להם שום תוכנית. הם לא יודעים למי לפנות, מה לעשות קודם ומה לא לגעת בו בשום מצב. בלי תוכנית מוכנה, הדקות הראשונות הופכות לשעות של בלבול ופאניקה, והנזק מתפשט בלי בלם.
מה קורה כשאין תוכנית לטיפול באירוע סייבר
בעל עסק שנתקף בלי הכנה מראש עושה בדרך כלל את כל הטעויות האפשריות. הוא מנסה להפעיל מחדש את המחשבים, מה שעלול להחמיר את המצב. הוא מתקשר לטכנאי מחשבים שלא מתמחה באירועי סייבר ומקבל ייעוץ לא רלוונטי. הוא לא יודע שהחוק מחייב אותו לדווח על האירוע, ולכן מפספס את חלון הזמן הנדרש. ובינתיים, התוקפים ממשיכים לפעול בתוך המערכות. כל שעה שעוברת בלי תגובה מקצועית מגדילה את הנזק – יותר מידע דולף, יותר מערכות ננעלות, וסיכויי ההתאוששות הולכים ויורדים. עסקים שנכנסים למתקפה בלי תוכנית מוכנה משלמים בממוצע פי כמה יותר מעסקים שהיו ערוכים מראש.
מה כוללת תוכנית מוכנה
תוכנית מוכנה לא צריכה להיות מסמך של מאה עמודים. היא צריכה לענות על שלושה דברים פשוטים בלבד: מי אנשי הקשר שמתקשרים אליהם מיד כשמזהים משהו חריג, איך מבודדים את המערכות הנגועות כדי לעצור התפשטות, ומאיפה משחזרים את המידע כדי לחזור לפעילות. תוכנית טובה כוללת גם הגדרה ברורה של מי בעסק אחראי על מה, רשימת גיבויים ומיקומם, ונוהל דיווח לרשויות כפי שהחוק דורש. את התוכנית צריך לבדוק ולתרגל מראש, לא לגלות אותה לראשונה ביום של המשבר.
טיפול באירוע סייבר מתחיל הרבה לפני האירוע
עסק שמחכה למתקפה כדי להתחיל לחשוב על תגובה כבר הפסיד. טיפול באירוע סייבר אפקטיבי מתחיל בהכנה – בבניית תוכנית, בבחירת גורם מקצועי מלווה, בביצוע גיבויים שוטפים ובתרגול התגובה. עסק שנערך מראש יכול לחזור לפעילות תוך שעות במקום שבועות, לצמצם את הנזק ללקוחות ולעמוד בדרישות החוק. ההשקעה בתוכנית מוכנה היא זניחה ביחס לעלות של אימפרוביזציה באמצע משבר. כי כשהמסך נהיה שחור, כבר מאוחר מדי להתחיל לתכנן.