admin
פרצו לי, מה עכשיו? קודם כול לעצור את הדימום
כשיש חשד לפריצה, הדקות הראשונות קובעות את גודל הנזק. האתגר אינו רק לעצור את האירוע, אלא להבין כמה זמן הוא כבר מתרחש ומה כבר יצא החוצה.
ברגע שעולה חשד לפריצה, דליפת מידע או גישה לא מורשית, האינסטינקט הראשון הוא לחץ, ובצדק. אבל דווקא בשלב הזה חשוב לעבור ממצב של תגובה רגשית ל־Containment מדויק.
השלב הראשון הוא להבין האם מדובר בגישה חיצונית דרך credentials שנגנבו, API, VPN, ספק חיצוני או חולשה תשתיתית, או דווקא באירוע פנימי כמו export שנשמר במקום שגוי, guest access ב־365, הרשאות עודפות או Shadow IT.
בשלב הזה חשוב לעצור קישורים, לבצע revoke לשיתופים, להקפיא exports אוטומטיים, לחסום משתמשים חשודים ולסגור מסלולי שיתוף רגישים.
המטרה הראשונה אינה עדיין להבין הכול, אלא להפסיק את הדימום.
ברוב המקרים הפריצה לא התחילה היום
ייתכן שהתוקף כבר בתוך הארגון חודשים
אחת התובנות החשובות ביותר ב־2026 היא שברוב האירועים, הפריצה לא “התחילה עכשיו”. לפי IBM, הזמן הממוצע לזיהוי ובלימה עומד על 241 ימים, כלומר כשמונה חודשים.
המשמעות היא שבזמן שהארגון מגלה את האירוע, ייתכן שהתוקף כבר למד את התהליכים, צבר הרשאות, זיהה exports של CRM, BI או שכר, והוציא מידע בהדרגה.
הצעדים שכל ארגון חייב לבצע: עכשיו צריך להבין מה באמת דלף ומה צריך לעשות
בתחילת האירוע חשוב לשאול:
- מתי נוצרה הגישה הראשונה
- האם זו גניבת credentials
- האם יש lateral movement
- אילו Data Rooms, Drive, Teams או MFT jobs נוצלו
השלב הבא הוא זיהוי מקור הדליפה.
האם מדובר במסד נתונים, export של CRM, קובץ BI, שיתוף Google Drive, OneDrive, Data Room מייל עם attachment
ההבחנה הזו קריטית כי היא קובעת 5 צעדים לאקסלרציה:
- מי הושפע
- האם מדובר בדליפת מידע פנימי מסווג או גם באירוע Privacy
- האם הסיכון הוא גם רגולטורי
- האם נדרש לפעול מול לקוחות או ספקים
- האם יש חובת דיווח
בדיוק כאן Data Classification ו־Audit logs הופכים לקריטיים.
בשלב הבא עוברים למסלול מסודר: מבלימה ועד בנייה מחדש
תחילה מבודדים את זהות הפריצה ומקור החדירה, לאחר מכן ממפים את משך השהייה, מזהים את מקורות המידע שנפגעו, בודקים האם מדובר בתקיפה ממוקדת או זליגה אקראית, עוצרים את כל מסלולי ההעברה הבעייתיים, מרחיבים את החקירה דרך SIEM, Microsoft 365, FileCloud ו־GoAnywhere logs, ולבסוף בונים מחדש את מסלול המידע לפי least privilege, DLP ו־Governance.
החלק האחרון הוא הקריטי ביותר, כי הוא מבדיל בין כיבוי שריפה לבין בניית חסינות אמיתית.
לפעמים הסימן הראשון בכלל נמצא ב־Dark Web
כך בודקים אם יש “פצע מדמם” שלא ראיתם
לא מעט ארגונים מגלים את האירוע דווקא דרךפרסום של קבוצות תקיפה או אירוע כופרה אחרים מגלים דרך Dark Web Monitoring, מאגרי credentials דולפים או דגימות נתונים שמופיעות בפורומים סגורים.
כאשר כתובות מייל ארגוניות, פרטי לקוחות, exports של CRM או hashes מופיעים בזירות כאלה, זו לעיתים האינדיקציה הראשונה שהמידע כבר בחוץ.
בעזרת סריקה של הרשת הארגונים יכולים לגלות האם קיימת או הייתה דליפה גם בלי סימני תקיפה.
זו בדיוק הסיבה שכיום נכון לשלב לצד IR גם:
- dark web scanning
- threat intelligence
- leaked credential checks
- customer data exposure search
כדי להבין אם יש דליפה פעילה ואחרי זה למצוא את המקור.
באירוע משמעותי חשוב לערב גם את מערך הסייבר הלאומי
דיווח מוקדם יכול לקצר את זמן התגובה ולצמצם נזק
כאשר עולה חשד לפריצה, דליפת נתונים או גישה לא מורשית לנתוני לקוחות, חשוב לא להישאר רק בתוך גבולות הארגון.
במקרים משמעותיים, במיוחד כאשר יש פגיעה אפשרית בלקוחות, שירותים דיגיטליים, ספקים, תשתיות או מידע רגיש, נכון לבחון דיווח מיידי למערך הסייבר הלאומי ול־CERT ישראל.
הדיווח מאפשר לקבל הכוונה מקצועית, לבדוק האם מדובר בקמפיין רחב יותר, לקבל אינדיקציות Threat Intelligence ולפעול מהר יותר מול וקטורים שכבר מוכרים בזירה.
ניתן לדווח דרך טופס האירוע באתר הממשלה בטלפון 119, מוקד הפועל 24/7 בישראל או באתר מערך הסייבר.
מעבר להיבט התפעולי, חשוב לזכור שבאירוע הכולל מידע אישי או נתוני לקוחות, ייתכן שיש גם משמעויות של חובת דיווח לפי חוק הגנת הפרטיות ותיקון 13, במיוחד כאשר מדובר במאגר מידע, חשש לשימוש לא מורשה, זליגת פרטים מזהים או פגיעה מהותית בזכויות נושאי המידע. לכן נכון לערב כבר בשלב מוקדם גם את ה־DPO, היועץ המשפטי וה־CISO, כדי לוודא שהתגובה משלבת גם בלימה טכנולוגית וגם עמידה בדרישות Privacy ורגולציה.
בחברה ציבורית האירוע הוא גם אירוע שוק
לעיתים נדרש דיווח מיידי לבורסה ולרשות ניירות ערך
כאשר מדובר בחברה בורסאית, מנפיקת אג״ח או תאגיד מדווח, אירוע סייבר משמעותי אינו נשאר רק אירוע IT או Privacy.
במקרים שבהם לפריצה יש השפעה מהותית על פעילות החברה, זמינות השירות, נתוני לקוחות, קניין רוחני, תוצאות כספיות, שרשרת אספקה או אמון המשקיעים, יש לבחון באופן מיידי גם חובת דיווח לבורסה ולרשות ניירות ערך באמצעות דיווח מיידי במערכת MAGNA / MAYA. עמדת סגל רשות ניירות ערך בנושא סייבר מדגישה כי אירוע מהותי מחייב גילוי מיידי, בדומה לכל אירוע מהותי אחר, בהתאם להשפעה בפועל או הצפויה על החברה ועל החלטת “המשקיע הסביר”.
בפועל, כבר בשעות הראשונות נכון לערב מנכ״ל, CISO, יועץ משפטי, DPO, CFO ומזכיר חברה, כדי להחליט האם מדובר באירוע בעל השפעה מהותית המחייב דיווח לבורסה, לצד הדיווחים למערך הסייבר, לרשות להגנת הפרטיות וללקוחות שנפגעו. בחברות דואליות או חברות עם זיקה לשוק האמריקאי, חשוב לבחון גם דרישות SEC ו־Form 8-K / 6-K, שכן בעולם של 2026 אירוע סייבר הוא גם אירוע סיכוני שוק, ממשל תאגידי ומוניטין משקיעים.
ב־2026 השאלה היא כבר לא האם תהיה פריצה אלא מתי
ארגונים חייבים לעבוד מתוך breach assumption
הנתון החשוב ביותר הוא שהעלות הממוצעת של דליפת מידע עומדת על 4.4 מיליון דולר, ובאירועים שנמשכים מעל 200 יום היא כבר מטפסת ל־5 מיליון דולר.
לכן ארגונים חייבים לעבוד מתוך תפיסה של Assume Breach:
לא האם תהיה פריצה, אלא מתי, ואולי אפילו האם יש כבר דליפה פעילה שעדיין לא זוהתה.
ב־Messagenet אנחנו מלווים ארגונים בבניית שכבת Incident Readiness, DLP, Dark Web Monitoring, ו־Privacy Governance,
כדי לצמצם את זמן הזיהוי ולמנוע מהאירוע להפוך למשבר.
אם גם אצלכם עולה השאלה “פרצו לי, מה עכשיו?”, נשמח לעזור לבלום, לחקור ולבנות מחדש מסלול מידע מאובטח וחסין יותר.
https://www.messagenet.net/2019/08/07/%d7%a4%d7%a8%d7%a6%d7%95-%d7%9c%d7%99-%d7%9e%d7%94-%d7%a2%d7%9b%d7%a9%d7%99%d7%95/
