מקרה #1 – הגענו למשרד ביום ראשון בבוקר וראינו שבמהלך הסופש, כל המחשבים ״חטפו מתקפת כופר״


סוג חברה: מפעל יצרני קטן במרכז הארץ, 18 עובדים

סוג מערכת מחשוב ורמת גיבוי:
1. שרתים ותחנות עם מערכות הפעלה מיושנות 
2. גיבוי מחוץ לאתר הכי בסיסי וזול רק לשרת
3. אנטיווירוס בסיסי ביותר 

איך זה נראה מהעיניים של הלקוח:
״הגענו בבוקר של יום ראשון ואף אחד מהמחשבים לא עובד״
״החברה מושבתת לגמרי , לא ניתן לתת שירות אפילו לא ברמה הבסיסית ביותר , אין מיילים , אין גישה לתוכנה הראשית, אין אפשרות להוציא תעודות משלוח״


איך זה נראה מהעיניים של אנשי המחשבים:
קיבלנו טלפון דחוף מהאדם הראשון שהגיע למשרד, זאת הייתה אחת מהצוות של הנהלת החשבונות והיא אמרה שהמחשב לא עובד,
לאחר שהתחברנו ראינו שהמחשב נפגע ממתקפת כופר וכעת יש ״ בקשה לתשלום כופר״

לאחר כ 20 דקות נוספות התברר שכל המחשבים בחברה נדבקו , טוב כמעט כל המחשבים כי חלק היו כבויים ולא ״הספיקו להדבק״

ניתוח האירוע מהעיניים של אנשי המחשבים:
1. החברה נפרצה דרך שרת ישן בחברה שלא עבר עדכונים והתפשטו דרך תחנות שלא עברו עדכונים 
2. במהלך הסופש דרך השרת כל החברה נדבקה ב ״ווירוס כופר״ – Ransomware
3. רוב המחשבים שהיו דלוקים נדבקו 

נקודת כשל עיקרית:
1. לא בוצעו עדכונים בשרתים , השרתים הריצו ״ מערכות LEGACY״
2. לא בוצעו עדכונים בתחנות שהריצו מערכת הפעלה ישנה
3. היה אנטיווירוס בסיסי מאד אך בגלל שהמחשבים הריצו WINDOWS מיושן זה לא עזר


מה עשינו כדי לאושש את החברה:

1. שרת ראשי של החברה – הותקנה באופן נקי מערכת הפעלה חדשה ( לא מיושנת ) על השרת + בוצע שחזור מ ״ גיבוי מחוץ לאתר״
2. מחשבי החברה עברו פרמוט והתקנה מחדש עם מערכת הפעלה חדשה + בוצע שחזור חלקי למה שהיה אפשרי

הנזק שנגרם לחברה:

1. לקח לחברה כ 3 ימי עסקים לחזור לפעילות עסקית בסיסית ו 12 ימי עסקים לחזור לפעילות עסקית מלאה
2. החברה שלמה באיזור ה 35 אש״ח לספק ה ERP כדי להתקין מחדש את מערכת ה ERPהראשית שלהם ולהתאים אותה לשרת החדש
3. החברה איבדה כשבוע וחצי של מחזור מכירות ישיר ועוד כחודש בעסקאות עקיפות במהלך הרבעון
4. כל החומר שהיה שמור במחשבים , בתחנות עבודה ולא בשרת הלך לאיבוד

מה החברה עשתה לאחר כדי לוודא שכזה נזק לא יקרה שנית:
1. כל השרתים והתחנות עבודה שודרגו למערכות הפעלה חדישות 
2. הותקן פתרון גיבוי מתקדם של VEEAM שנותן מענה גם בתוך האתר וגם גיבוי מחוץ לאתר 
3. האנטיווירוס שודרג לגרסה מתקדמת יותר 
4. בוצעה הקשחה למחשבים
 
 

מקרה #2 – במהלך שדרוג גרסה של ה SAP B1 שלנו – המסד נתונים קרס וכמעט איבדנו מידע של רבעון שלם 


סוג חברה: חברה טכנולוגית עם מפעל יצור , דרום הארץ , 80 עובדים

סוג מערכת מחשוב ורמת גיבוי:
1. שרתים ותחנות עדכניים
2. גיבוי מחוץ לאתר סביר
3. גיבוי פנימי לדיסק קשיח חיצוני שמחובר לשרת 
4. אנטיווירוס / אבטחת מידע תקינה 

איך זה נראה מהעיניים של הלקוח:
״במהלך שדרוג גרסה של ה SAP B1 , הספק שביצע את הגיבוי שאל אותנו האם יש לנו גיבוי , ואמרנו לו שכן , גם גיבוי מחוץ לאתר, וגם גיבוי לדיסק קשיח חיצוני, התחלנו בתהליך ותוך כדי הייתה תקלה בשדרוג״

״הספק ביקש לשחזר את הגיבוי , ואז גילינו שהדיסק החיצוני תקול ואין שם גיבוי תקין , ולשחזר מהגיבוי מחוץ לאתר היה לוקח כ 72 שעות לפחות לפי הגודל של המסד נתונים״


איך זה נראה מהעיניים של אנשי המחשבים:
קיבלנו פניה מאיש הקשר של ה SAP  ( מחלקת כספים ) בארגון כשיחת וועידה עם ספק ה SAPאחרי שהם הבינו שיש כשל בדיסק קשיח החיצוני ושאין מספיק זמן לשחזר משירות גיבוי מחוץ לאתר איטי 

ניתוח האירוע מהעיניים של אנשי המחשבים:
1. גיבוי לדיסק קשיח חיצוני שהיה לא ״ברמה עסקית״ וברגע האמת כשל 
2. פתרון גיבוי מחוץ לאתר קיים אך איטי מאד לשחזור ברגע האמת 

נקודת כשל עיקרית:
1. לא קיים גיבוי איכותי שמציע שחזור מהיר

מה עשינו כדי לאושש את החברה:

1. לקחנו את הדיסק הקשיח החיצוני התקול לחברת שחזור , והצלחנו תוך 2.5 ימים להציל את הגיבוי היחסי 
2. במקביל עשינו שחזור מהפתרון גיבוי מחוץ לאתר האיטי , הוא לקח כ 4.5 ימים 
3. ספק ה SAP ביצע שחזור , ואז שדרוג מחדש

הנזק שנגרם לחברה:

1. לא הייתה גישה למערכת סאפ במשך כ 3 ימים עסקים 
2. נזק של מחזור מכירות של מעל שבוע 

מה החברה עשתה לאחר כדי לוודא שכזה נזק לא יקרה שנית:
1. הותקן פתרון גיבוי מתקדם של VEEAM לגיבוי פנימי מהיר, במקום על דיסק קשיח חיצוני. הגיבוי רץ על שרת יעודי עם מערכת RAID ליתירות + ניטור של מצב בריאות הדיסקים. 
2. בוצע שדרוג לגיבוי מחוץ לאתר למערכת VEEAM שיושבת בישראל ומאפשר שחזור באותו יום עסקים