תוכנית תגובה לאירוע סייבר: מדריך מעשי
מדוע כל עסק חייב IRP?
Incident Response Plan (IRP) הוא תוכנית פעולה מוגדרת מראש לכשיקרה אירוע סייבר. ללא תוכנית, אירוע שאפשר לבלום ב-4 שעות הופך לאסון של 4 שבועות.
שלב 0: לפני האירוע (הכנה)
- ☐ הגדירו צוות תגובה: מי מחליט? מי מבצע? מי מתקשר?
- ☐ רשמו מספרי חירום: MSSP, עורך דין, יחסי ציבור, מבטח סייבר
- ☐ תרגלו תרחיש ransomware אחת לרבעון
- ☐ וודאו שגיבויים עובדים ומנותקים מהרשת
שלב 1: זיהוי (0-2 שעות)
סימני אירוע: - קבצים מוצפנים עם סיומת לא מוכרת - מערכת משתמשת ב-CPU/רשת חריגים - הודעת כופר על המסך - משתמשים לא יכולים להתחבר
פעולות מיידיות: 1. אל תכבו את המחשב — ראיות ב-RAM! 2. תעדו הכל בצילומי מסך ורשימות 3. הפעילו את צוות התגובה
שלב 2: בלימה (2-6 שעות)
בלימה מיידית: - נתקו מכשיר נגוע מהרשת (פיזית — שלפו כבל) - בטלו חשבונות משתמש שנפגעו - חסמו IP חשוד בFirewall
בלימה ארוכת-טווח: - רשת מבודדת לחקירה - שמרו על עסקים רגילים על מערכות לא נגועות
שלב 3: חקירה (6-24 שעות)
שאלות שיש לענות: - מה נפגע? (מערכות, נתונים) - מתי התחיל האירוע? - כיצד נכנסו? (phishing? VPN? zero-day?) - מה גנבו/הצפינו?
שלב 4: שיקום
- לא לחזור לפעילות לפני:
- ✅ הסרת כל הנוזקה
- ✅ תיקון חולשת הכניסה
- ✅ שחזור מגיבוי נקי
- ✅ שינוי כל הסיסמאות
שלב 5: לאחר האירוע
תוך 72 שעות: - דיווח לרשות הסייבר (חובה לתשתיות קריטיות) - דיווח ללקוחות אם נתוניהם נחשפו (GDPR/תיקון 13) - תחקיר פנימי
תבנית IRP להורדה
SYSTRU מספקת תבנית IRP מלאה בעברית + ליווי בניית התוכנית לפי גודל הארגון.