5.5 בקרות הגנת סייבר
בקרות הגנת סייבר
ה"בקרות" הם האמצעים שמשמשים להגנת סייבר. נהוג לסווג בקרות בדרכים שונות. למשל: סיווג לפי "נקודת הזמן שבה הבקרה פועלת" תחלק אותן לשלושה סוגים עיקריים: בקרה מונעת (כלי המונע מבעוד מועד מפעולה שלא רצוי שתתרחש), בקרה מגלה (כלי שמטרתו לגלות פעולות לא רצויות שהתרחשו כך שיתאפשר לארגון לתקן אותן לאחר מעשה), ובקרה מפצה (בקרה שמטרתה לתת מענה במקום שבו בקרה אחרת אינה חזקה מספיק).
אפשר ונהוג לסווג את הבקרות גם לפי "אופן היישום", כאן, נזכיר בקרה טכנולוגית (כדי למנוע, לגלות או לפצות על אירועי סייבר. לדוגמה: חומות אש, תוכנת אנטי-וירוס, תוכנת הצפנה). או בקרה ניהולית (בקרות המבוססות על תהליכים, נהלים ותרבות ארגונית. לדוגמה: מדיניות אבטחת מידע, הדרכות עובדים, ניהול סיכונים).
בשיטת סיווג אחרת לפי "מטרה", קיימות בקרות הגנה (בקרות שנועדו להגן על נכסי הארגון מפני אירועי סייבר), בקרות גילוי (בקרות שנועדו לגלות אירועי סייבר לאחר התרחשותם), ובקרות תגובה (בקרות שנועדו להגיב לאירוע סייבר לאחר התרחשותו).
בסיווג לפי "מיקום", נשמע על בקרות פיזיות (בקרות שנמצאות בעולם הפיזי, כגון: גדר, מצלמות אבטחה, ומערכת בקרת גישה). בקרות טכנולוגיות (בקרות שנמצאות בעולם הטכנולוגי, כגון: תוכנות אנטי-וירוס, חומות אש, ומערכת לניהול סיכונים), בקרות אנושיות (בקרות המבוססות על התנהגות אנושית, כגון: הכשרה והדרכה של עובדים, ומדיניות אבטחת מידע).
ועוד חלוקה:
• בקרות פיזיות: כוללות אמצעים כמו גדרות, דלתות, מנעולים, ומטפים. הן מסייעות בהגנה על רכוש פיזי ומניעת גישה פיזית לא מורשית.
• בקרות פרוצדורליות: כוללות תהליכי תגובה לאירועים, פיקוח על ניהול, מודעות אבטחה, והדרכה. הן מתמקדות בשיפור האופן שבו הארגון והעובדים מתמודדים עם איומים אבטחתיים.
• בקרות טכניות: כוללות אמצעים כמו אימות משתמשים, בקרות גישה לוגיות, תוכנת אנטי-וירוס, וחומות אש. הן פועלות להגנה על מערכות המידע והנתונים מפני התקפות מקוונות ואיומים אחרים.
• בקרות משפטיות ורגולציה או תאימות: כוללות חוקים ומדיניות הקשורים לפרטיות מידע. הן נועדו להבטיח שהארגון עומד בדרישות החוקיות והתקניות הקשורות לאבטחת מידע.
כל הבקרות הללו, בכל שיטו הסיווג, פועלות בצורה משלימה. המונחים מבלבלים? כל הסיווגים נכונים. אנחנו "נתרגל" אליהם. בספר זה, אנחנו נוהגים לחלק את הבקרות לפי תחום במערכות המידע.
סיווג בקרות לפי נקודת הזמן שבה הבקרה פועלת
בסיווג של בקרות לפי נקודת הזמן שבה הבקרה פועלת, הבקרות נחלקות לשלושה סוגים עיקריים: בקרה מונעת, בקרה מגלה, ובקרה מפצה. כל אחת מהבקרות אלו משמשת מטרה שונה ותפקוד שונה בתהליך הניהולי ובשמירה על התקינות והיעילות של ארגונים.
הקשר בין בקרות לבין הטכנולוגיות, הנהלים, התהליכים ואנשים (PPT)
הטכנולוגיות, הנהלים והתהליכים (אופרציה) ואנשים הם שלושת הגורמים המרכזיים בהקמה ויישום של בקרות אבטחת מידע.
טכנולוגיות יכולות לשמש ליישום בקרות מונעת, מגלה ומפצה. לדוגמה, טכנולוגיות אבטחה יכולות לשמש כדי להגביל את הגישה למערכות מידע, לזהות פעילות חשודה ולשחזר נתונים שנפגעו.
נהלים ותהליכים (אופרציה) יכולים לשמש גם ליישום בקרות אבטחת מידע. לדוגמה, נהלים ותהליכים יכולים להגדיר את הדרכים הנכונות לשימוש במערכות מידע, לזהות אירועים שליליים ולטפל בהם.
אנשים הם הגורם החשוב ביותר בהקמה ויישום של בקרות אבטחת מידע. אנשים צריכים להיות מודעים לחשיבות האבטחה, לדעת כיצד ליישם את הבקרות ולדווח על כל אירוע חשוד.
- בקרה מונעת (Preventive Control): המטרה של הבקרה המונעת היא למנוע את התרחשותה של בעיה לפני שהיא מתרחשת. דוגמאות לבקרה מונעת כוללות הנחיות ופרוצדורות עבודה, הדרכת עובדים, ומערכות אבטחת מידע. בקרה זו פועלת על ידי יצירת מכשולים או מגבלות שמטרתם למנוע פגיעה או שגיאה.
בקרות מונעות הן היעילות ביותר, כי הן מונעות את התרחשות האירוע מלכתחילה. דוגמאות לבקרות מונעות:
- הגבלת הגישה לנתונים רק לעובדים מורשים: בקרה זו מונעת גישה לא מורשית לנתונים, כגון על ידי שימוש במדיניות זיהוי ואימות משתמשים, הגדרת הרשאות גישה לנתונים ומדיניות שימוש בסיסמה.
- שימוש בהצפנה של נתונים: בקרה זו הופכת נתונים לבלתי קריאים עבור גורמים בלתי מורשים, כגון על ידי שימוש בהצפנה של נתונים במהלך אחסון או העברה.
- עדכון תוכנה באופן קבוע: בקרה זו מונעת התקפות וירוסים ותוכנות זדוניות אחרות, כגון על ידי התקנת עדכונים של תוכנות אנטי-וירוס ותוכנות מערכת.
- ביצוע הדרכות עובדים בנושא אבטחת סייבר: בקרה זו מסייעת לעובדים להבין את הסיכונים הקיימים ומספקת להם כלים להתמודדות עם איומים, כגון על ידי הדרכות בנושא זיהוי איומים, הגנה על סיסמאות והתנהגות בטוחה ברשת.
- בקרה מגלה (Detective Control): בקרה מגלה פועלת במהלך או לאחר התרחשות האירוע, ומטרתה לזהות בעיות או שגיאות במהירות האפשרית. דוגמאות כוללות ביקורות, סקירות פנימיות, ומעקב אחר דוחות כספיים. על ידי זיהוי מוקדם של בעיות, ניתן להתערב ולתקן אותן לפני שהן גדלות והופכות לבלתי נשלטות.
בקרות מגלות פחות יעילות מבקרות מונעות, אך הן עדיין חשובות. בקרות אלה מאפשרות לארגון לגלות את האירוע כאשר הוא מתרחש, כך שניתן יהיה להגיב אליו בהקדם האפשרי. דוגמאות לבקרות מגלות כוללות:
- מערכת ניטור אירועים: מערכת זו מנטרת את הרשת הארגונית באופן רציף כדי לזהות אירועים חשודים, כגון ניסיונות כניסה לא מורשים, תוכנות זדוניות או תנועה לא רגילה ברשת.
- מערכת ניטור רשת: מערכת זו מנטרת את התעבורה ברשת הארגונית כדי לזהות תנועה חריגה, כגון תנועה גדולה של נתונים או תנועה המתבצעת ממדינות או משאבים חשודים.
- כלי ניתוח נתונים: כלים אלו יכולים לשמש לניתוח נתונים ממקורות שונים כדי לזהות תבניות חריגות, כגון תנועה לא רגילה של חשבונות משתמשים או שינויים לא צפויים בנתונים.
- בקרה מפצה (Corrective Control): המטרה של בקרה מפצה היא לתקן או להתמודד עם בעיות שכבר התרחשו. היא פועלת לאחר שהבעיה זוהתה ומשמשת להבטחת שלא יהיו השלכות שליליות ארוכות טווח. דוגמאות כוללות תיקון שגיאות, עריכת תכניות תיקון, ושינוי פרוצדורות ומדיניות.
בקרות מפצות אינן יעילות כמו בקרות מונעות או מגלות, אך הן עדיין חשובות. בקרות אלה מאפשרות לארגון לתקן את הנזק שנגרם כתוצאה מהאירוע. דוגמאות לבקרות מפצות כוללות:
- ביטוח עסקי: ביטוח זה מספק כיסוי כספי במקרה של נזק שנגרם לארגון כתוצאה מאירוע סייבר, כגון אובדן נתונים, הפסקת פעילות או הפרת זכויות יוצרים.
- תוכנית שחזור נתונים: תוכנית זו מאפשרת לארגון לשחזר נתונים שנפגעו או אבדו כתוצאה מאירוע סייבר.
- צוות תגובה לאירועי סייבר: צוות זה מאומן לטפל באירועי סייבר באופן יעיל ומהיר.
בחירת סוג הבקרה המתאים
בחירת סוג הבקרה המתאים תלויה בגורמים שונים, כגון:
• אופי הארגון: סוג הארגון, גודל הארגון, תחום העיסוק של הארגון.
• סביבה העסקית: סביבה העסקית שבה פועל הארגון, האיומים הקיימים בסביבה זו.
• הקצאת משאבים: הקצאת המשאבים הזמינה לארגון ליישום בקרות אבטחת סייבר.
בקרות אלו הן חלק בלתי נפרד ממערכת הניהול הפנימית של כל ארגון, והן משמשות כלי חשוב לשמירה על יעילות, תקינות, ומניעת סיכונים. השילוב הנכון של שלושת סוגי הבקרות מאפשר יצירת מערכת ניהולית חזקה ומאוזנת.
סיווג בקרות לפי שלבי התגובה לאירוע אבטחת סייבר
בעולם הגנת הסייבר, ניתן לסווג ולחלק את הפעילויות לפעולות מניעה, ניטור ותגובה (Prevention, Detection & Response).
- מניעה היא השלב הראשון והחשוב ביותר בהגנה מפני מתקפות סייבר. בשלב זה, נעשה שימוש באמצעים טכנולוגיים וארגוניים כדי למנוע ממתקיפים לפרוץ למערכת או לארגון. אמצעים נפוצים למניעה כוללים:
- אבטחת רשת: הגנה על הרשת הארגונית מפני חדירה, כגון באמצעות חומות אש, ניתוב מאובטח ותוכנות אנטי-וירוס.
- אבטחת מידע: הגנה על המידע הארגוני הרגיש, כגון באמצעות הצפנה, הגבלת גישה ומדיניות אבטחת מידע.
- אבטחת יישומים: הגנה על היישומים הארגוניים, כגון באמצעות בדיקות אבטחה, הגבלת גישה ומדיניות אבטחת יישומים.
- ניטור הוא השלב השני בהגנה מפני מתקפות סייבר. בשלב זה, נעשה שימוש באמצעים טכנולוגיים כדי לזהות מתקפות סייבר שמתרחשות כבר במערכת או בארגון. אמצעים נפוצים לניטור כוללים:
- ניטור רשת: מעקב אחר תנועת הנתונים ברשת הארגונית, כדי לזהות חריגות שעשויות להעיד על מתקפה.
- ניטור יישומים: מעקב אחר פעילות היישומים הארגוניים, כדי לזהות חריגות שעשויות להעיד על מתקפה.
- ניטור אירועים: איסוף וניתוח אירועים אבטחתיים, כדי לזהות מתקפות סייבר.
- תגובה הוא השלב השלישי והאחרון בהגנה מפני מתקפות סייבר. בשלב זה, ננקטים צעדים כדי לעצור את המתקפה ולצמצם את הנזק שנגרם. אמצעים נפוצים לתגובה כוללים:
- איתור וניתוח המתקפה: זיהוי סוג המתקפה, המקור שלה וההשלכות שלה.
- מניעת התפשטות המתקפה: נקיטת צעדים כדי למנוע מהמתקפה להתפשט לחלקים אחרים של המערכת או הארגון.
- שחזור המערכות שנפגעו: שחזור המערכות שנפגעו מהמתקפה למצבן המקורי.
סיווג בקרות לפי סביבת ההגנה
חלוקה אפשרית אחרת, גורסת חלוקה לפי סביבת ההגנה:
- הגנה מבוססת רשת (Network-based security) - הגנה שמתמקדת ברשת הארגונית, כגון חומות אש, ניתוב מאובטח ותוכנות אנטי-וירוס.
- הגנה מבוססת יישום (Application-based security) - הגנה שמתמקדת ביישומים הארגוניים, כגון בדיקות אבטחה, הגבלת גישה ומדיניות אבטחת יישומים.
- הגנה מבוססת משתמש (User-based security) - הגנה שמתמקדת במשתמשים הארגוניים, כגון חינוך אבטחת מידע, מדיניות סיסמאות ומדיניות גישה.
- הגנה מבוססת נתונים (Data-based security) - הגנה שמתמקדת במידע הארגוני הרגיש, כגון הצפנה, הגבלת גישה ומדיניות אבטחת מידע.
- ניתן להגיע לרזולוציות עמוקות וממוקדות יותר, לתת סביבות נוספות, על בסיס חלוקה זו.
סיווג בקרות לפי מיקום
- בקרות טכנולוגיות כוללות תוכנות אנטי-וירוס, חומות אש, כלי איתור חדירה, ופתרונות אימות ואישרור. בקרות אלו פועלות כדי למנוע כניסה לא מורשית למערכות מידע, לאתר פעילות חשודה, ולמזער את הנזק הנגרם במקרה של התקפה.
- דוגמאות של בקרות טכנולוגיות: תוכנות אנטי-וירוס, חומות אש, כלי איתור חדירה, פתרון אימות ואישור, הצפנה, רשתות פרטיות וירטואליות (VPN).
- בקרות אנושיות כוללות הכשרה של עובדים בנושא אבטחת מידע, הגדרת מדיניות אבטחת מידע, וגיוס צוות אבטחת מידע מקצועי. בקרות אלו פועלות כדי להעלות את המודעות של העובדים לסיכון ולטפח תרבות של אבטחת מידע בארגון.
- דוגמאות של בקרות אנושיות: הכשרה של עובדים בנושא אבטחת מידע, הגדרת מדיניות אבטחת מידע, גיוס צוות אבטחת מידע מקצועי.
- בקרות תהליכיות כוללות תהליכי עבודה מאובטחים, בדיקות אבטחה תקופתיות, ותוכניות חירום. בקרות אלו פועלות כדי להגן על מערכות מידע מפני התקפות שמצליחות לעבור את הבקרות הטכנולוגיות והאנושיות.
- דוגמאות של בקרות תהליכיות: תהליכי עבודה מאובטחים, בדיקות אבטחה תקופתיות, תוכניות חירום.
סיווג בקרות לפי תחום מקצועי
להלן חלק מהבקרות הקיימות בתחום ההגנה, וקיימות נוספות.
ההסברים על הטכנולוגיות, על הטכניקות המבצעיות ועל העשייה המנהלית (הבקרות) בספר זה, מבוססות על חלוקה מסוג זה.
- בקרות מניעה: מונעות גישה לא מורשית, לדוגמה חומות אש.
- בקרות גילוי: מזהות פעילות חשודה או תקיפות, לדוגמה מערכות זיהוי תוכנות זדוניות.
- בקרות תגובה: מסייעות לזהות, לנתח ולהגיב לאירועי אבטחת מידע.
- בקרות שחזור: מסייעות בשחזור מערכות ונתונים לאחר אירוע אבטחה.
- בקרות תשתית (Infrastructure Controls): בקרות הקשורות לאבטחה פיזית של מתקנים, ציוד וכבילה. לדוגמה שליטה בגישה פיזית, אספקת חשמל גיבוי ועוד.
- בקרות קריפטוגרפיה (Cryptography Controls): בקרות הקשורות להצפנת מידע במנוח או בתנועה. לדוגמה הצפנת דיסקים קשיחים, הצפנת תקשורת ועוד.
- בקרות ניהול זהויות וגישה (IAM Controls): בקרות הקשורות לניהול חשבונות משתמשים, הרשאות גישה ואימות זהויות.
- בקרות תיעוד וניטור (Audit and Logging Controls): בקרות הקשורות לתיעוד וניטור פעילות משתמשים ומערכות.
- בקרות תכנות בטוח (Secure Coding Controls): בקרות הנוגעות לפיתוח בטוח של קוד ותוכנה.
מערכת בקרות אפקטיבית צריכה להיות מורכבת ממגוון אמצעים שונים, כדי ליצור שכבות הגנה מרובות. מערכת כזו תוכל להקשות על התקפת סייבר לצלוח את כל הבקרות, ולהפחית את הסיכוי לנזק.
בקרות תומכות ביישום עקרונות הגנת סייבר בקרות הגנת סייבר מיושמות על מנת לעמוד בעקרונות אלו. לדוגמה, עקרון "שמירה על סודיות" מחייב להגן על מידע רגיש מפני גישה לא מורשית.
עקרונות נוספים כמו מידתיות, הפרדת תפקידים, הרשאה מינימלית וכל שאר העקרונות שמוזכרות ויוזכרו כאן. בקרות טכנולוגיות כגון תוכנות אנטי-וירוס וחומת אש מיושמות כדי לעמוד בעקרון זה.
בקרות הגנת סייבר מהוות חלק חשוב בממשל אבטחת מידע. הן מהוות חלק מהמנגנונים לניהול סיכונים, ציות לרגולציה ומדיניות אבטחת מידע, כל אלו - פרקים שונים בעולם "ממשל אבטחת מידע". לדוגמה, מדיניות אבטחת מידע היא מסמך שמגדיר את העקרונות והנהלים של אבטחת המידע בארגון.
בקרות אנושיות כגון הכשרה של עובדים בנושא אבטחת מידע מיושמות כדי להבטיח שהמדיניות תיאכף.
מודעות אבטחת מידע היא המודעות של העובדים לסיכון של התקפות סייבר. בקרות הגנת סייבר מיושמות כדי להעלות את המודעות של העובדים לסיכון. לדוגמה, הכשרה של עובדים בנושא אבטחת מידע נועדה ללמד אותם כיצד לזהות ולדווח על פעילות חשודה.
הבקרות מסייעות לזהות, להעריך ולמזער סיכוני סייבר, אף זאת, כחלק מפרק בעולם "ממשל אבטחת מידע".
בחירה והטמעה של בקרות אבטחה מתאימות תסייע לארגון להוריד סיכון לרמות סבירות. בחירת בקרה אמורה להתבסס על הערכת הסיכון. בקרות יכולות להשתנות באופיין, אך בעיקרון הן מהוות דרך להגן על סודיות, שלמות או זמינות של מידע. סוגי בקרות:
- בקרה מנהלית: בקרות ניהוליות מורכבות ממדיניות, נהלים, תקנים והנחיות בכתב. בקרות ניהוליות מהוות את המסגרת לניהול עסקים וניהול אנשים. הם מצהירים כיצד יש לנהל את העסק וכיצד לנהל פעולות יומיומיות. חוקים ותקנות שנוצרו על ידי גופים ממשלתיים הם גם סוג של בקרה מנהלית מכיוון שהם מיועדים לעסק. בחלק מהמגזרים בענף יש מדיניות, נהלים, תקנים והנחיות ייחודיים לענף. התקן להגנת סייבר בתעשיות כרטיסי התשלום (PCI DSS) הנדרש על ידי ויזה ומסטרקארד הוא דוגמא כזו. דוגמאות נוספות לבקרות ניהוליות כוללות את מדיניות האבטחה התאגידית, מדיניות סיסמאות, מדיניות שכירות ומדיניות משמעתית.
בקרות ניהוליות מהוות בסיס לבחירה ויישום של בקרות לוגיות ופיזיות.
- בקרה לוגית: בקרות לוגיות (נקראות גם בקרות טכניות) משתמשות בתוכנה ובנתונים כדי לפקח ולשלוט על הגישה למערכות מידע ומחשוב. סיסמאות, חומות אש מבוססות רשת ומארח, מערכות גילוי חדירת רשת, רשימות בקרת גישה והצפנת נתונים הן דוגמאות לבקרות לוגיות.
גם "צמצום זכות גישה" למינימום הנדרש לכל עובד בנפרד, היא בקרה לוגית.
- בקרה פיזית: בקרות פיזיות מנטרות ושולטות בסביבת מקום העבודה ומתקני המחשוב. הם גם עוקבים אחר בקרה על הגישה למתקנים כאלה וממנה וכוללים דלתות, מנעולים, חימום ומיזוג אוויר, אזעקות אש ואש, מערכות דיכוי אש, מצלמות, בריקדות, גידור, מאבטחים, מנעולי כבלים וכו '. הפרדת הרשת ומקום העבודה לאזורים פונקציונליים הם גם בקרות פיזיות.
- בקרה פיזית חשובה שמתעלמים ממנה לעיתים קרובות היא הפרדת תפקידים, המבטיחה כי אדם אינו יכול לבצע משימה קריטית בעצמו. לדוגמה, עובד שמגיש בקשה להחזר לא אמור גם להיות מסוגל לאשר תשלום או להדפיס את ההמחאה. מתכנת לא צריך להיות גם מנהל ה-Server או מנהל מסד הנתונים; יש להפריד בין תפקידים ותחומי אחריות.
להלן הגדרה של "הגנת סייבר":
"הגנת סייבר היא תחום לימודי ופעילות מקצועית רב תחומית העוסקת בפיתוח ויישום של מנגנוני אבטחה מכל הסוגים הזמינים (טכניים, ארגוניים, מונחים אנושיים וחוקיים) על מנת לשמור על מידע בכל מיקומיו (בתוך ומחוץ למתחם הארגון), וכתוצאה מכך, מערכות מידע, בהן מידע נוצר, מעובד, מאוחסן, מועבר ומושמד, נקי מאיומים. ניתן לסווג את הטרדות למערכות מידע ומערכות מידע וניתן להגדיר יעד אבטחה מתאים לכל קטגוריה של איומים. יש לעדכן מעת לעת סט של יעדי אבטחה, המזוהים כתוצאה מניתוח איום, על מנת להבטיח את מידת התאמתו ואת התאמתו לסביבה המתפתחת. מערך יעדי האבטחה הרלוונטי כיום עשוי לכלול: סודיות, אמינות, זמינות, פרטיות, אותנטיות ואמינות, אי-דחיית דין וחשבון ודיווחיות. " (Cherdantseva והילטון, 2013).
סיווג בקרות לפי NIST SP 800-53
NIST Special Publication 800-53 היא מסגרת אבטחת מידע המספקת קטלוג של בקרות אבטחה ופרטיות עבור כל מערכות המידע הפדרליות של ארה"ב למעט אלו הקשורות לביטחון לאומי. היא מתפרסמת על ידי המכון הלאומי לתקנים וטכנולוגיה, שהיא סוכנות לא רגולטורית של משרד המסחר של ארצות הברית.
NIST מפתחת ומנפיקה תקנים, הנחיות ופרסומים אחרים כדי לסייע לסוכנויות פדרליות ביישום חוק המודרניזציה של אבטחת מידע הפדרלית (FISMA) וכדי לסייע בניהול תוכניות חסכוניות להגנה על מערכות המידע והמידע שלהן.
שני מסמכים קשורים הם 800-53A ו-800-53B המספקים הנחיות, וקווי בסיס המבוססים על 800-53.
הבקרות של NIST 800-53
הבקרות מחולקות ל-3 מחלקות המבוססות על השפעה: נמוכה, בינונית וגבוהה, ומחולקות ל-18 משפחות שונות. משפחות בקרת האבטחה NIST SP 800-53 הן:
- בקרת גישה
- ביקורת ואחריות
- מודעות והדרכה
- ניהול תצורה
- תכנון מגירה למצב חירום
- זיהוי ואימות
- תגובה לאירוע
- תחזוקה
- הגנת מדיה
- אבטחת כוח אדם
- הגנה פיזית וסביבתית
- תִכנוּן
- ניהול תוכנה
- הערכת סיכונים
- הערכת אבטחה והרשאות
- הגנת מערכת ותקשורת
- שלמות מערכת ומידע
- רכישת מערכות ושירותים
אף כי הבקרות חולקו על-ידי התקן לפי מידת ההשפעה, הבקרות שייכות ל-4 קטגוריות:
- בקרי הגנה: פעולות שמטרתן למנוע גישה לא מורשית או פגיעה במערכת.
- בקרי זיהוי: כלים לזיהוי פריצות או פעולות חשודות במערכת.
- בקרי תגובה: נהלים להתמודדות עם אירועי אבטחת מידע.
- בקרי התאוששות: צעדים לשחזור המערכת לפעילות תקינה לאחר התקפה או תקלה.