האותיות שמופיעות בכל כתבה על סייבר, ואף אחד לא מסביר
כל פעם שמתפרסמת ידיעה על מתקפת סייבר שפגעה בחברה ישראלית, מופיעות בה מילים כמו IR, CIRT, DFIR, תגובה לאירוע, בידוד מערכות. המונחים האלה נזרקים לאוויר כאילו כולם מבינים אותם, אבל בפועל הציבור ומרבית בעלי העסקים מתעלמים מהם בדיוק בגלל שהם נשמעים טכניים מדי.
הבעיה מתחילה כשאותם בעלי עסקים נמצאים לפתע בצד השני של הכותרת. אז פתאום כל מונח הופך לשאלה דחופה: מה עושים עכשיו, למי מתקשרים, ואיך מצמצים את הנזקים.
מאמר זה נועד לפרק את המונחים האלה לעברית פשוטה ומובנת, ולהסביר מדוע שירותי IR הפכו לאחד הנושאים החמים ביותר בעולם אבטחת הסייבר בישראל.
IR: ראשי תיבות – הסבר ענייני וקצר
IR הוא קיצור של Incident Response, בעברית: תגובה לאירוע. כשמדברים על אירוע בהקשר של סייבר, הכוונה לכל מקרה שבו מערכות מחשוב של ארגון נפגעו, נפרצו, הוצפנו, הושבתו, או נחשפו לגורם זדוני.
CIRT [DL2] הוא ראשי תיבות של Cyber Incident Response Team, כלומר צוות תגובה לאירועי סייבר. זהו הצוות האנושי שמגיב לאותם אירועים. בארגונים גדולים לעיתים מדובר בצוות חיצוני. בארגונים קטנים ובינוניים, וגם בחלק מהגדולים, הוא מסופק על ידי חברה חיצונית שנמצאת בכוננות ויכולה להגיע או להתחבר למערכות מרחוק תוך פרק זמן קצר.
DFIR – משלב בין חקירה של הראיות הדיגיטליות (Digital Forensics) לבין תגובה לאירועי סייבר (Incident Response) – בשפה פשוטה, זהו צוות החירום והחקירות של עולם הסייבר, שתפקידו לבלום תקיפות בזמן אמת, להוציא את התוקף מהרשת ולמזער את הנזק לארגון. במקביל לבלימת האירוע, מתבצעת חקירה דיגיטלית .(Digital Forensics) המטרה היא להבין כיצד בוצעה החדירה, אילו פעולות בוצעו ברשת, וכיצד התוקף ניסה לייצר מנגנוני שרידות במערכת (Persistence mechanisms) כדי שאפשר יהיה לחסום את הפרצות ולמנוע את המתקפה הבאה.
ההבדל בין ארגון שיש לו חוזה עם חברת IR לבין ארגון שאין לו ומתחיל לגשש באפילה כשהוא תחת מתקפת סייבר, הוא לרוב ההבדל בין התאוששות מהירה של ימים לבין התאוששות של שבועות, ולעיתים גם ההבדל בין הישרדות עסקית לסגירה.
מה קורה בשעות הראשונות אחרי מתקפה
כשמתקפת כופר פוגעת בארגון, השעות הראשונות קריטיות. בהיעדר צוות מוכן, רוב הארגונים מגיבים בצורה כאוטית: מנסים לכבות מחשבים, לנתק חיבורי רשת ולפנות לספק ה-IT הרגיל – שאינו מיומן או מומחה בתחום – ועשוי, מתוך רצון טוב לסייע ללקוחותיו – לפעול לפי סדרי עדיפויות שגויים, לפגוע בראיות חשובות ולעיתים אף להחריף את הנזק.
צוות IR מקצועי פועל לפי פרוטוקול מובנה שמכסה מספר שלבים עוקבים ומנהל את האירוע.
זיהוי והכלה: הצוות מאתר את נקודת הפריצה ואת היקף ההדבקה, ומבודד את המערכות הנגועות כדי למנוע התפשטות נוספת. בידוד שגוי או חלקי יכול לגרום להאקר לפעול לגרימת נזקים נוספים גם בזמן שנדמה שהמצב נשלט.
חקירה פורנזית: מהיכן נכנס התוקף? האם דרך מייל פישינג, חולשה במערכת, כשל באחד מכלי ההגנה, גישה של ספק חיצוני? התשובות לשאלות אלה קריטיות לא רק לאירוע הנוכחי אלא גם למניעת המתקפה הבאה.
שחזור ותיעוד: הצוות מלווה את השחזור המבוקר של המערכות מגיבויים נקיים, ומתעד את הטיפול כדי שהארגון יוכל, במידת הצורך, לדווח לרגולטור (כמו רשות הגנת הפרטיות), לחברת הביטוח, ללקוחות וכיו"ב.
ואולי התוקף כבר בפנים?
על פי נתוני IBM לשנת 2025, הזמן הממוצע שלוקח לארגון לגלות שנפרץ עומד על 241 יום. כלומר, יותר מחצי שנה שבה תוקף "מסתובב" ברשת של הארגון – צופה, גונב מידע, ומתכנן. ארגונים עם תכנית תגובה מוכנה מקצרים בממוצע את שלב הזיהוי וההכלה בעשרות ימים, מה שמתורגם ישירות לנזק נמוך יותר ולעלויות התאוששות מופחתות.
הנתון הזה חשוב כי הוא שובר הנחה נפוצה: רוב הארגונים שנפגעים לא יודעים על כך בזמן אמת. הם מגלים את הפריצה שבועות ולעיתים חודשים לאחר מכן, לרוב כשהנזק כבר נעשה ולעיתים רק כשגורם חיצוני מיידע אותם.
שירות חיצוני מול צוות פנימי
שאלה נפוצה היא אם לא עדיף שהצוות יהיה פנימי – בפועל בניית צוות IR פנימי מצריכה השקעה משמעותית בגיוס מומחים, כלים יעודיים, ותרגולים שוטפים. עבור רוב הארגונים בישראל זה לא ריאלי כלכלית.
השירות החיצוני מאפשר לארגון ליהנות ממומחיות שנצברת על פני מאות אירועים בשנה, כוננות 24 שעות ביממה, וכניסה לפעולה תוך זמן קצר. חוזה retainer, שבו הארגון משלם ריטיינר חודשי לזמינות הצוות, הוא הפורמט הנפוץ והמועדף, מכיוון שהוא מבטיח שהצוות מכיר את הארגון ומוכן לאירוע לפני שהוא מגיע.
מוכנות היא לא פרנויה, היא ניהול סיכונים
שנת 2025 מסמנת שיא חדש במתקפות הסייבר על ארגונים ישראלים, עם עלייה של למעלה מ-55% בדיווחים על אירועים בהשוואה לשנה הקודמת לפי מערך הסייבר הלאומי. ישראל נמצאת כיום בין שלוש המדינות המותקפות ביותר בעולם.
המציאות הזו לא מחייבת פאניקה, אבל היא כן מחייבת הכנה. ארגון שמוכן עם נהלים שכוללים בין היתר הסכם עם חברת סייבר בעלת צוות IR לפני הפריצה, נמצא במצב שונה לחלוטין מארגון שמנסה למצוא מומחים בטיפול באירועי סייבר באמצע הלילה, כשמערכות המידע מושבתות.
חברת פורס מאז'ור מציעה שירותי תגובה לאירועי סייבר לארגונים בישראל, כולל כוננות שוטפת, תגובה בזמן אמת, וחקירה פורנזית מקצה לקצה. אם אתם רוצים להבין מה רמת המוכנות הנוכחית של הארגון שלכם לתרחיש סייבר, שיחת היכרות היא נקודת התחלה טובה.
לפרטים נוספים על שירותי IR של פורס מאז'ור
