דייגי רשת מאיימים על העסק שלך. כך תתגונן
כדי להגן על העסק מפני איומי רשת יומיומיים, כדאי להכיר את הטעויות הנפוצות ביותר שעובדים עושים באמצעות המחשב. איך מונעים "דיג מקוון" (פישינג), איך מאבטחים מחשב נייד שלוקחים הביתה, ומתי צריך להתאים הרשאות לפי התפקיד בארגון. מדריך
פרצות באבטחת המידע של העסק, מתרחשות לא פעם בתום לב ומחוסר ידיעה של העובדים בכל הקשור לשימוש במחשב. כדי לחסוך נזקים כלכליים ותדמיתיים, חשוב להשקיע מאמץ באבטחת המחשב האישי - הנייד או הנייח. לפניכם שמונה כללים חשובים, שיעזרו לכם לשמור על המחשב נקי.
לטורים אורחים נוספים בערוץ קריירה :
- מעניבה לכפכפים: כך הקמתי עסק עצמאי
- רעש, מזגן וניאון: מה הורס לנו את העבודה?
- רומן בעבודה? חיתמו על הסכם הבנות מראש
>>>רוצים לדבר עם עורכי וכתבי ynet? כיתבו לנו בטוויטר
מתן הרשאות מותאמות תפקיד וצורך
הבעיה: ניתן לפקח על פעילות העובדים במחשבים באמצעות הגדרת הרשאות באופן מסודר. אנשים מתקינים על מחשביהם תוכנות משלל מקורות, שלעתים לא ברור טיבם. כל התקנה כזו יכולה להיות פתח לפריצה ולהוות איום ממשי על אבטחת המידע של הארגון.
ההמלצה: להגביל את אפשרויות ההתקנה לעובדים בהתאם לתפקידם ולאפשר התקנה של תוכנות ספציפיות המשרתות את התפקיד. בנוסף מומלץ להעניק הרשאות המאפשרות התקנה רק לעובדי IT או לעובדים בעלי כישורים, מיומנות, ידע ומודעות בנושא אבטחת המידע.
גלישה באינטרנט
הבעיה: גלישה באתרים שהם לא לצרכי העבודה חופשת את העסק לסיכונים. כך למשל אתרי משחקים חינמיים - שבמקרים רבים כוללים תוכנות ריגול ומעקב ש"מודבקות" למשחקים עצמם או לפלאגינים; אתרי ספורט; ושימוש בצ'אטים המגדילים את הסיכוי לזליגה של קבצים ותוכן מתוך הארגון.
ההמלצה: מכיוון שכל גלישה באתר כזה חושפת את הארגון לאיומים חיצוניים - מומלץ להתקין מערכות ייעודיות שתפקידן לנטר את האתרים אליהם העובדים יכולים להיכנס ולחסום את הגישה לאתרים המוגדרים כבעיתיים. מערכות אלו משמשות מעין פילטר, ויכולות אף לסמן את העובד "הסורר" שלא מילא אחר ההנחיות.
שימוש במחשב נייד:
הבעיה: במקרים רבים עובדים משתמשים במחשב נייד שאותו הם לוקחים הביתה, ואז חזרה לעבודה וחוזר חלילה. הבעיה היא שהם מכניסים וחושפים את המחשב הנייד לסביבה הביתית, שאינה מאובטחת באותה רמה בה מאובטח הארגון. בסביבה הביתית, לעתים יש משתמשים אחרים או ילדים, ובכך הם מגדילים את רמת הסיכון והחשיפה לאיומים עבור הארגון, שאינם נתונים לפיקוח ולבקרה.
ההמלצה: כדאי להקפיד על הפרדה בין העבודה לבית, ולא לאפשר לילדים ולמשתמשים אחרים להשתמש במחשב. כדאי גם להתקין מערכות לחיבור מרחוק מהבית בדרך מוצפנת (VPN וכדומה), ולוודא שעל המחשב עצמו יש את כל אמצעי אבטחת המידע העומדים באותם סטנדרטים של הארגון. אגב, ישנן אף מערכות ייעודיות לעניין זה שלא יאפשרו התחברות או גישה מרחוק אם אלו לא עומדים בסטנדרט הארגוני.
אובדן או גניבה של מחשבים ניידים
הבעיה: מחשבים ניידים וציוד נייד כמו טאבלטים וסמארטפונים מועדים יותר לאובדן או גניבה כיוון שאנשים נוסעים איתם לחו"ל, משתמשים בהם ברכבת, ברכב וכדומה.ההמלצה: מומלץ להצפין את המחשב או ההתקן הנייד, ואף להתקין מערכת שיודעת לאתר היכן המחשב נמצא ולמחוק את המידע מרחוק במידת הצורך. כך, במידה שיש סיכוי לגניבת מידע ותוכן, המחשב הופך להיות רק "ברזל", והנזק לארגון מוגבל לשווי הציוד שאבד או נגנב. מן הסתם, במקרה זה מדובר בנזק זניח לעומת שווי המידע שעליו. כמו כן, המערכות מאפשרות אף לעתים איתור הגנב והשבת האבדה.
אי-מייל
הבעיה: האיום הנפוץ ביותר הוא "דייג מקוון" (Phishing) - התחזות של האקרים כדי לגנוב זהות ולהשיג מידע רגיש. הפיתיון נשלח לרוב למשתמש בצורת הודעה תמימה בפורום ולעתים כדואר זבל שנשלח במסווה של דואר אלקטרוני חשוב; או הודעה על זכיה, הגרלה מיוחדת או מבצע אטרקטיבי.
במקרים מסוימים, הפיתיון יכול לבוא במסווה של הודעת אבטחה משירות מוכר כמו PayPal, בנק, Gmail, Facebook, LinkedIn וכדומה. כל לחיצה על לינק כזה עלולה להשתיל וירוס במחשב או לגרום למשתמש לעדכן את פרטיו האישיים באתר לידי המתחזה. כך נמסרים פרטים רגישים ביותר, כולל סיסמאות, להאקר.
ההמלצה: קל מאוד לשלוח כיום מייל שמכיל חומר התקפי לתוך ארגונים, למרות שיש מערכות ייעודיות שיודעות לסנן היטב את מרבית הוירוסים והמיילים שמטרתם הוא דייג מקוון. לכן מומלץ לא לפתוח בכלל מיילים כאלה, שנשלחו ממקור שאינו מזוהה - ובטח שלא ללחוץ על קישורים ולינקים חשודים ולא מזוהים. גם כאלה שנראים כביכול ממקור מזוהה, צריכים לעורר חשד. הם אמנם נשלחים לכאורה מגוף מוכר, אבל כזה שהמשתמש בכלל לא היה איתו בקשר. וזוהי, כמובן, "נורה אדומה" משמעותית.
הגדרת סיסמאות
הבעיה: תוכנות זדוניות יכולות לגלות ססמאות בקלות - הן רצות על כל הקומבינציות האפשריות (מה שידוע כשיטת "Brute-force Attack") וכמובן שככל שהסיסמא קלה יותר ל"ניחוש", כך הזמן הנדרש לפצחה נמוך יותר. לא מומלץ גם להגדיר בתור סיסמא תאריכי לידה, שמות של הילדים, מספרי תעודת זהות וכדומה - וכל מידע שניתן לקשרו למשתמש או לנחש באמצעות קומבינציות סבירות (ידוע כשיטת "Dictionary Attack").
ההמלצה: מומלץ להגדיר סיסמא בעלת מורכבות, למשל לשלב בין אותיות גדולות ואותיות קטנות ומספרים וסימנים מיוחדים בכדי למנוע מהתוכנות האוטומטיות לאתר את הסיסמה בקלות. במידה שהסיסמא מורכבת מספיק, הסיכוי שתוכנות רצות יפרצו את הסיסמאות - קטן. את הסיסמאות צריך להחליף בתדירות גבוהה יחסית, ולא להחליפן לסיסמאות שדומות למה שהוגדר בעבר. בנוסף, כדי למנוע פריצה שכזו, ארגונים צריכים להטמיע מדיניות סיסמאות כאמור במערכותיהם.
ביטחון פיזי
הבעיה: מבקרים אקראיים במקום העבודה, שיכולים להשתיל בקלות ובאופן ידני תוכנות במחשבים, או להעתיק מידע ותוכן באמצעות דיסק נשלף. לעתים, גם גורם תמים שמופיע באקראי לכאורה, למשל לצורכי התרמה או שסתם איבד את דרכו - עלול להתגלות כהאקר או כשלוח של מתחרים זדוניים. היו בעבר גם מועמדים פיקטיביים לתפקיד, שהתגלו כ"שתולים", כאלו שהושתלו בחברות כוח אדם המספקות שירותים חיצוניים כמו שירותי ניקיון משרד.
ההמלצה: כדי למנוע פריצה ידנית, מומלץ להתוות מדיניות לגבי אנשים שאינם עובדים בארגון ונכנסים למשרדים, דוגמת ספקים חיצוניים, טכנאים ואנשי מחשבים. במסגרת המדיניות, יוגדר כי הם נכנסים לארגון בליווי צמוד ולאחר הזדהות ותיעוד של הגעתם ועזיבתם.
מחלקת IT
מחלקת IT טובה יכולה למנוע פרצות באבטחת מידע, ולמזער איומים באמצעות הגדרת נהלי עבודה והטמעת מדיניות ברורה - כמו גם מתן הרשאות מוגבלות בהתאם לצורך ולתפקיד. תפקיד המחלקה הוא גם ליישם את הנהלים במערכות, כדי למנוע מאנשים לעשות שגיאות.
ההמלצה: חשוב להגדיר ברמה הארגונית כי אחד מתפקידיה של מחלקה זו יהיה לעסוק באופן קבוע בנושא אבטחת מידע, בקרה וניטור, ולהשתמש בעדכונים שוטפים שמציעה מערכת ההפעלה: שימוש בתוכנות לאיתור וירוסים, שימוש בתוכנות ניקוי שונות, רכיבי חומת אש בכדי לחסום התקשרויות בלתי רצויות, חדירת האקרים ומניעת זליגת נתונים מחוץ לארגון. הסטנדרט המקובל היום הוא להעסיק איש IT ביחס של 1:8 לכל עובד בארגון.
יש להקפיד כי אנשי המחלקה הם בעלי ידע מתאים, כישורים מתאימים וכי הם עוברים הכשרות בתחום אבטחת המידע. כמו כן, לעתים מעסיקים יועצים חיצוניים (מומחים) להשלמת פערים עבור תכנים שלא מצופה ממחלקת ה-IT לתת להם מענה.
שלומי אדר הוא מומחה לביטחון ואבטחת מידע
פז יצחקי-וינברגר הוא עו"ד מומחה לאבטחת מידע