כשמתגלה חשד לאירוע סייבר, הדקות והשעות הראשונות הן הקריטיות ביותר. פעולה נכונה יכולה לבלום את האיום מהר; פעולה שגויה יכולה להחמיר את הנזק או למחוק ראיות חשובות.
מה לעשות
1. לתעד הכל מהרגע הראשון — מי גילה את האירוע, מתי, ומה נראה חריג. תיעוד מדויק חשוב גם לחקירה וגם לדיווח רגולטורי אם נדרש.
2. לבודד, לא לכבות — ניתוק מערכת נגועה מהרשת מונע התפשטות, אבל כיבוי שלה עלול למחוק ראיות קריטיות בזיכרון שיעזרו להבין מה קרה.
3. להפעיל את צוות התגובה המוגדר מראש — אם אין צוות מוגדר ונוהל כתוב, זה הזמן לקרוא לגורם חיצוני מנוסה ולא לאלתר.
מה לא לעשות
לא לנסות "לתקן" בעצמכם בלי הבנה מלאה — מחיקת קבצים שנראים חשודים, או הרצת כלי ניקוי לפני תיעוד, יכולה להרוס את היכולת להבין את מקור התקיפה.
לא להתעלם ולחכות "שיעבור" — אירועי כופרה ודליפת מידע מחמירים ככל שעובר זמן ללא תגובה.
לאחר השליטה הראשונית
השלב הבא הוא חקירה דיגיטלית מסודרת: איך התוקף נכנס, מה הוא עשה, ומה נדרש כדי לסגור את הפרצה ולמנוע הישנות. רק בסיומה ניתן להגדיר את האירוע כ"סגור" באמת.
ארגון שמכין נוהל תגובה לאירועים לפני שמתרחש אירוע — חוסך לעצמו שעות קריטיות בדיוק כשהן הכי שוות.
