אזעקה וירטואלית: כך נשמור על העסק מפריצה
כל עסק היום הוא דיגיטלי, ולכן כל עסק צריך לפעול כדי לצמצם איומים ולהיות מוכן להתמודד עם מתקפת סייבר אפשרית. מתי כדאי להשתמש בתשתיות פרטיות, מהם מבדקי חדירה ואיך עומדים בתקנים ויוצרים רגולציה. מדריך
מתקפות סייבר הן יומיומיות ועשויות להיות פנימיות וחיצוניות. כיום, כל עסק חשוף במידה מסוימת למתקפות אלו. לצד ההשלכות הכלכליות הכבדות, מתקפות סייבר עלולות לפגוע במוניטין ובתפקוד החברה עד להשבתת הייצור כולו.
לטורים אורחים נוספים בערוץ קריירה :
- בני דור המילניום ‒ איך הם יעבדו?
- פוטרתם? מרוויחים מעט? זה גם באשמתכם
- משבר גיל 40 בהיי-טק: כך תשארו רלוונטיים
בפני כל חברה ניצבת מפת איומים אחרת, אך לרוב האיום המרכזי מגיע מכיוון המתחרים. מדובר באיומי רשת שרצים ונמצאים כל הזמן ברשת. לעתים, האיום מגיע מאירגוני פשיעה מאורגנים לדוגמת RBN, שמאוד קשה להתמודד איתם.
כל עסק היום הוא דיגיטלי, וזה למעשה ה"לב" של העסק. כל המידע והפעולות אודות הפעילות השוטפת, מכירות, מכרזים, ספקים, שיווק ופרסום, הנהלת חשבונות, שכר, תכניות אסטרטגיות, פעולות עתידיות ועוד - נעשות באמצעות המחשב. לכן, כל עסק צריך לפעול כדי לצמצם איומים ולהיות מוכן להתמודד עם מתקפת סייבר אפשרית.
יש פעולות הכרחיות שבאמצעותן ניתן להתמודד מול איומים חיצוניים ופנימיים בעלויות נמוכות יחסית. כל שצריך הוא לקבוע מדיניות ברורה מול העובדים, ולפעול לפי מספר כללים.
14 איומים פנימיים וחיצוניים
1. הערכת סיכונים. בפני כל עסק ניצבת מפת איומים שונה, וחשוב לדעת מהם סוגי האיומים הספציפיים העשויים להוות איום על העסק שלך. זהו מהלך ראשוני החשוב להבנת הנדרש לעסק שלך.
2. אחסון אתר אצל ספק גדול ומוכר. רצוי לאחסן את האתר על שרת המצוי אצל ספק אמין ואיכותי. לדוגמא, מייקרוסופט או אמזון. פתרון זה מתאים לעסק שלא מעסיק איש אבטחת מידע קבוע, ולא יכול להשקיע משאבים ניכרים באבטחת מידע. חברות אלו גם מבצעות את כל הבדיקות הנדרשות, ועורכות בקרה באופן קבוע על השרתים והתשתיות שלהן. מומלץ גם לבדוק מראש את רמת הזמינות של האתר, התחייבות לגיבויים וטיפול בנזקים במידת הצורך - הכל במסגרת הסכם
SLA–Service Level Agreement. כך תדעו שיש מי שמטפל בכם בעת הצורך.
3. שימוש בתשתיות פרטיות. ככל שרוב התשתיות של האתר הן פרטיות, כך ניתן לשמור על שליטה ולהיות מוכן מאיומים אפשריים. אופציה זו גם מונעת את האפשרות שעוד אתרים נמצאים ביחד על אותו שרת. מרבית העסקים הולכים על פתרון שהוא Shared: זהו פתרון זול יותר, אך חשוף משמעותית להתקפות סייבר ואיומי אבטחת מידע, זה בדיוק כמו לחלוק משרד עם 20 עסקים אחרים לא מוכרים לך, שלכל אחד יש את המפתחות למשרד ואתה מאחסן בו חומר רגיש שלך.
4. שימוש במובייל. זהו איום פנימי. כל התחברות עם מכשיר מובייל למערכות העסק יוצר ריבוי גדול יותר של איומים. יש המון סוגים של ניידים וכל אחד מכיל אפליקציות מותקנות. כל אלו עלולים להגדיל את הסיכוי לפריצת סייבר. קיימים מגוון פתרונות אבטחת מידע ייעודים לתחום המובייל, וצריך לתת לתחום זה דגש מיוחד ועצמאי.
5. תחזוקה שוטפת. הקפידו על תחזוקה שוטפת של ציוד ותוכנות כדי ליצור סיכול ומניעה מפני איומים ומתקפות אפשריות. מדובר בפעולה חשובה ביותר. לעתים יש לארגון את כל האמצעים הדרושים, אבל הזנחה או חוסר תשומת לב לתחזוקה שוטפת הופכת אותו לחשוף לאיומים.
6. ביקורת. אחת לתקופה מומלץ לבצע ביקורת באופן שוטף כדי לבחון שאכן המערכות מתפקדות, תקינות ופועלות.
7. מבדקי חדירה. כדאי להעסיק אדם חיצוני לארגון שישמש כביכול כהאקר על מנת שיבדוק איומים חיצוניים ופנימיים פוטנציאליים. כלומר, לבקש ממנו לפרוץ לאתר של העסק, ובאמצעות כך לבדוק היכן הנקודות הרגישות. לאחר הבדיקה יתקבל דו"ח הכולל המלצות לפעולה.
8. אנשי IT. הסטנדרט המקובל היום הוא לא להתרכז רק בטיפול השוטף, בתחזוקה יומיומית, בתקלות וב"כיבוי שריפות", אלא להעסיק איש IT ביחס של 1:8 לכל עובד בארגון. תפקידו יהיה לעסוק בנושא אבטחת מידע, בקרה, ניטור ופרויקטים שונים הקשורים בתשתית.
9. עמידה בתקנים ורגולציה. לחברות המנהלות אתרי סחר יש תקנים מוגדרים וברורים לשימוש בכרטיסי אשראי. כל עסק כזה צריך לבדוק את המדיניות והרגולציה ולפעול לפיה. בסקטורים שונים יש רגולציה שונה ויש להקפיד לעמוד לכל הפחות בתקנים הקבועים - ואף יותר מכך במידת האפשר.
10. אחריות אישית. הנהלת החברה צריכה לוודא כל הזמן שאין פתח לביצוע עבירות פנימיות שעלולות לפגוע בחברה ובעובדיה. בנוסף, כאשר יש שיתוף פעולה עסקי בין חברות שהתחייבו לפעול במשותף יש אחריות ורגישות יתרה למידע של לקוחות, ולכן צריך לפעול למניעת עבירות פנימיות שעלולות להזיק לחברות השונות. דירקטורים ומנהלים חשופים לסנקציות קשות ביותר, ולכן אפילו מבחינה זו חשוב לוודא כי הארגון מבצע את כל מה שהוא נדרש לו.
11. תרבות סייבר ארגונית. כל עסק צריך להטמיע תרבות של התנהגות סייבר בארגון ולהתייחס לביטחון מידע כערך עליון בארגון. לכל עובד בארגון יש מידע רב ברשותו גם אם הוא לא מספיק מודע לו. כדאי להגדיר מדיניות ברורה בעת שימוש באאוט לוק, כניסה למיילים לא מוכרים אשר עלולים להכיל וירוסים שונים, נהלי שימוש ב-CD ודיסק און קי, שימוש במערכות מחשוב ונהלי עבודה בכלל.
12. שימוש ברשתות החברתיות במהלך העבודה. כחלק מהגדרת מדיניות כדאי להתייחס גם לשימוש ברשתות החברתיות. המעורבות ברשת חושפת מידע רב מבלי לדעת. באמצעות העלאת תמונות, פוסטים וסרטונים עלולים העובדים לחשוף מידע רגיש על החברה. מומלץ להגדיר הרשאות לכל עובד בהתאם לתפקידו. ברכישת ציוד סטנדרטי היום אפשר להגדיר חסימות והרשאות לאתרים מסוימים ולהגדיר מה מותר ומה אסור.
13. הדרכות עובדים. מומלץ מעת לעת לערוך הדרכות עובדים כדי לעורר מודעות למתקפות סייבר חיצוניות ופנימיות.
14. "שירותי ניקיון" - רכישת שירות חיצוני מבעוד מועד. במידה וקרתה מתקפת סייבר על העסק, כדאי להזמין אנשי מקצוע כדי שיעשו ניקוי יסודי, ישחזרו פעולות ויחזירו את המצב לקדמותו. זה שירות שכדאי לקנות מראש כדי לטפל במתקפה במהירות מרבית.
יש חברות המספקות את השירות הזה ללא תשלום בזמן רכישת האנטי וירוס, ולארגונים בינוניים ו/או גדולים כדאי לבדוק בזמן הרכישה אילו שירותים נוספים הם מספקים במידה ותהיה תקרית סייבר. לרוב, שירותים אלו ניתנים ללא תשלום נוסף, כיוון שהחברות מתחייבות שהאנטי וירוס שלהם איכותי ביותר. מדובר בשירות CERT–Computer Emergency Response Team חיצוני לארגון.
שלומי אדר הוא מומחה לביטחון ואבטחת מידע. פז יצחקי-וינברגר הוא עו"ד ומומחה אבטחת מידע