תגובה לאירוע סייבר: מה עושים בשעה הראשונה (ולמה זה מרגיש כמו דקה)
אם יש רגע שבו כל ארגון מגלה מה הוא באמת שווה, זה הרגע של תגובה לאירוע סייבר בשעה הראשונה.
זו לא דרמה.
זה לא ״אקשן״.
זה בעיקר סדר פעולות פשוט, שמפריד בין ״הפרעה מעצבנת״ לבין ״שבוע של כאב ראש״.
השעה הראשונה היא לא ״טכנית״ – היא ניהולית (עם כבלים)
בשעה הראשונה כמעט תמיד חסר מידע, והמידע שיש – רועש.
התפקיד שלך הוא לא לנחש מה קרה.
התפקיד שלך הוא לבנות שליטה.
שליטה = מי מקבל החלטות, איך עוצרים דימום, איך שומרים ראיות, ואיך לא עושים ״טוב״ שמייצר נזק.
0-5 דקות: מי על ההגה עכשיו?
הדבר הראשון: ממנים מוביל אירוע אחד.
אדם אחד שמרכז, מחליט, ומוודא שלא כולם ״עוזרים״ בו זמנית.
לא חייב להיות הכי טכני בחדר.
כן חייב להיות אחד שאנשים מקשיבים לו.
- מגדירים ערוץ תקשורת נקי: שיחת ועידה או צ׳אט חירום נפרד (לא על המערכת החשודה).
- פותחים שעון: כותבים זמן התחלה ומתחילים תיעוד.
- מייצרים כלל זהב: אף אחד לא משנה כלום בלי להגיד בקול רם.
כן, זה מרגיש בירוקרטיה.
בפועל זה הדבר שמונע כאוס.
5-15 דקות: מה ראינו? ומה לא יודעים עדיין?
אוספים סימפטומים, לא תיאוריות.
האם יש הצפנה?
האם יש חשד לדליפת מידע?
האם יש תעבורה מוזרה?
האם משתמשים לא מצליחים להתחבר?
האם התקבל מייל חשוד?
- רושמים מה קרה בפועל (מסכים, הודעות שגיאה, קבצים שנעלמו, חשבונות שננעלו).
- רושמים איפה זה קרה (שרתים, תחנות, ענן, אפליקציה, ספק).
- רושמים מתי התחיל (הערכה ראשונית + מקור: משתמש, ניטור, ספק).
המטרה: תמונה בסיסית בלי ״סיפורי סבתא״.
זה הזמן להחליט אם מדובר באירוע קטן או משהו שמצריך ״מצב אירוע״ אמיתי.
הטעות הכי נפוצה: לכבות הכול ואז להתפלא שאין ראיות
הדחף הטבעי הוא לנתק חשמל, לכבות שרתים, ולהרגיש גיבורי על.
ולפעמים זה נכון.
אבל הרבה פעמים זה מוחק קצוות מידע, שובר רצפים, ומסבך חקירה.
בשעה הראשונה עובדים חכם:
- עוצרים התפשטות בלי למחוק עקבות.
- מתעדים לפני שמפעילים ״מכונת כביסה״ על הלוגים.
- מבודדים במקום להשמיד.
15-30 דקות: בידוד נקודתי – איפה סוגרים את הברז?
כאן נכנסת הפעולה הראשונה שבאמת משנה את המסלול.
בידוד לא אומר ״לזרוק הכול מהחלון״.
בידוד אומר: להפוך את האירוע למקומי.
- תחנה חשודה? מנתקים מהרשת (רצוי פיזית) ומשאירים דולקת אם צריך לזיכרון נדיף.
- חשבון חשוד? משביתים זמנית ומסמנים כחשוד. לא ״מאפסים סיסמה״ בלי תכנון.
- שרת עם פעילות חריגה? שוקלים חיתוך גישה חיצונית, חסימת פורטים, או בידוד ברמת סגמנט.
- ענן? מקפיאים מפתחות גישה שנחשדו ומצמצמים הרשאות באופן זמני.
הרעיון: להאט את התוקף, לאפשר נשימה, ולמנוע נזק נוסף.
כן, גם אם זה אומר שחלק מהשירותים יהיו איטיים או מוגבלים.
זה עדיין ניצחון קטן.
30-45 דקות: אוספים ראיות בלי להיות בלשים בסדרה
לא צריך להיות ״CSI: חדר שרתים״.
צריך להיות עקביים.
מחר בבוקר, כשכולם ישאלו ״מה קרה בדיוק״, אתם תרצו תשובות שלא מתחילות ב״בערך״.
- צילום מסך של הודעות, חלונות כופר, שגיאות, מסכי התחברות.
- איסוף לוגים קריטיים: אימותים, VPN, EDR, פיירוול, ענן, דואר.
- רשימת נכסים שנפגעו: שרתים, תחנות, חשבונות, שירותים.
- ציר זמן ראשוני: לפני האירוע, בזמן האירוע, ומה נעשה מאז.
אם יש לכם EDR או SIEM – זה הזמן ״להוציא חוט״ ולבדוק היקף.
אם אין – עדיין אפשר עם מה שיש.
רק לא להסתמך על זיכרון של ״מישהו אמר״.
45-60 דקות: ההחלטות הכי חשובות – תקשורת, תעדוף, והמשך פעולה
בשעה הראשונה לא חייבים לפתור הכול.
חייבים להחליט מה הכיוון.
כאן בונים תכנית ל-6-24 שעות הקרובות, עם סדר עדיפויות ברור.
- מה משחזרים קודם? שירותים קריטיים ללקוחות, תפעול פנימי, או מערכות פיננסיות.
- מי מעודכן? הנהלה, IT, אבטחה, שירות לקוחות, ספקים רלוונטיים.
- מה אומרים לעובדים? הודעה קצרה, עניינית, בלי דרמה ובלי האשמות.
- מה אסור לעשות? לא למחוק קבצים חשודים, לא להריץ ״כלי ניקוי״ אקראיים, לא לשנות מדיניות בלי תיעוד.
וכדאי גם לעצור לשנייה.
לנשום.
כן, נשמע מצחיק.
אבל זה מפחית טעויות ב-50 אחוז לפחות (מבחינה מדעית: ״תחושת בטן של מישהו שנכווה כבר פעם״).
רשימת בדיקה קצרה: מה צריך להיות לכם ביד עוד לפני האירוע?
אם אתם קוראים את זה בזמן שקט, זה הזמן להכין ״קופסת חירום״.
היא תחסוך לכם דקות יקרות אחר כך.
- מפת מערכות פשוטה: מה קריטי, מה תלוי במה, ומי הבעלים.
- גישה ללוגים מרכזיים + הרשאות חירום עם תיעוד.
- רשימת אנשי קשר: ספקי ענן, ISP, אבטחה, משפטי, יח״צ פנימי.
- מדיניות בידוד: מתי מנתקים תחנה, מתי חוסמים רשת, מי מאשר.
- גיבויים עם בדיקת שחזור תקופתית (כן, שחזור אמיתי, לא ״הקובץ קיים״).
זה לא סקסי.
זה כן מציל שבועות.
5-7 שאלות ותשובות שמורידות לחץ (ומעלות שליטה)
ש: צריך מיד לכבות את כל השרתים?
ת: לא כברירת מחדל. קודם מזהים היקף ומבודדים נקודתית. כיבוי גורף עלול לשרוף ראיות ולשבור שירותים שלא נפגעו.
ש: אם יש חשד לדליפה – מה עושים קודם?
ת: מצמצמים גישה (חשבונות, מפתחות, VPN), בודקים נקודות יציאה, ושומרים לוגים. אחר כך בונים תמונת היקף לפני הכרזות דרמטיות.
ש: מותר לשלם כופר?
ת: זו החלטה עסקית-משפטית מורכבת שתלויה בהקשר. בשעה הראשונה מתמקדים בהכלה, איסוף מידע, ובניית אפשרויות, לא בלחיצה על ״כן״ או ״לא״ מתוך לחץ.
ש: איך יודעים אם התוקף עדיין בפנים?
ת: מחפשים אינדיקציות המשכיות: התחברויות חשודות, תהליכים חריגים, תעבורה יוצאת, יצירת משתמשים, שינויים בהרשאות. אם יש EDR – משתמשים בו לתחקור רוחבי.
ש: מי אמור לדבר עם העובדים והלקוחות?
ת: מי שמוגדר לכך בארגון, עם מסר קצר ומדויק. העיקר להימנע מהבטחות ומפרטים לא מאומתים. שקיפות זה מצוין, ניחושים פחות.
ש: כדאי לערב גורם חיצוני כבר עכשיו?
ת: אם אין לכם יכולת תגובה פנימית מלאה או אם יש סימנים לנזק רחב – כן, מוקדם. זה לא ״כישלון״, זה קיצור דרך לתיקון מסודר.
ש: מה המשפט הכי חשוב בשעה הראשונה?
ת: ״תעדו לפני שאתם משנים.״ זה משעמם, ולכן זה מנצח.
מיקרו-הומור חשוב: האירוע לא עליכם, הוא על התהליך
אירוע סייבר מוציא מאנשים שני מצבים:
או ״אני פותר הכול לבד״.
או ״שמישהו אחר ייגע בזה״.
בשעה הראשונה בוחרים באמצע: עבודה בצוות, עם תיעוד, ועם החלטות קטנות שמצטברות לשליטה.
ואם מישהו אומר ״זה בטח כלום״ – מצוין.
שירשום את זה בתיעוד, ונראה אחר כך מי צדק.
שני אזכורים שימושיים להמשך העמקה (בלי להסתבך)
אם אתם אוהבים ללמוד ממסלולים של אנשים שבנו הבנה פרקטית סביב אבטחת מידע וסטארטאפים, אפשר להציץ בפרופילים האלה:
זה לא יחליף תכנית תגובה, אבל זה כן יכול לתת עוד זווית על איך אנשים חושבים תכל׳ס.
המסר האחרון: השעה הראשונה היא שריר – אפשר לאמן אותו
החלק היפה הוא שהשעה הראשונה היא לא קסם.
היא רצף פעולות שחוזר על עצמו כמעט בכל סוגי האירועים.
ממנים מוביל, מתעדים, מבודדים, אוספים ראיות, מתקשרים חכם, ובונים תכנית להמשך.
ככל שתתרגלו את זה יותר בשגרה, ככה ברגע האמת יהיה פחות ״אוי לא״ ויותר ״אוקיי, מתחילים״.
ואז, במקום לרדוף אחרי הסיפור – אתם כותבים אותו.