ארגונים קטנים ובינוניים נוטים לחשוב כי אין להם מה לחשוש מאיומי סייבר. “לי זה לא יקרה”, הם אומרים, “מי מתעניין בארגון כמו שלי? התוקפים יכוונו את האש לארגונים הגדולים והעשירים!”
אך העובדות מספרות סיפור אחר. ארגונים קטנים ובינוניים הפכו בשנים האחרונות ליעד מועדף על ארגוני פשיעה הפועלים במרחב הסייבר. יותר מ-60% מהתקפות הסייבר מופנות נגד ארגונים מסוג זה והסיבות מגוונות:
הרוב המוחלט של הארגונים עשים שימוש במערכות מידע ומחוברים לאינטרנט.
התקפות המתבססות על כלים אוטומטיים מאפשרות לתקוף מאות ואפילו אלפי ארגונים בעת ובעונה אחת. תוקפים המעוניינים לזכות בכסף קל מפיצים התקפות כגון “כופרה” (ransomeware) לכל יעד שהם מגיעים אליו ללא התמקדות ביעד מסוים.
ארגונים קטנים הם בדרך כלל מטרות קלות לתקיפה, היות וההגנה עליהם מפני התקפות סייבר מוגבלת או לא קיימת ויכולת הזיהוי בזמן אמת כי התקפות כאלה התרחשו, במרבית המקרים, אינה קיימת.
היות וארגונים קטנים בדרך כלל, מוגנים פחות מארגונים גדולים, הפושעים עושים שימוש בארגונים אלה כשער אחורי לתקיפת ארגונים גדולים יותר.
זה טבעי וברור כי יש לנעול את העסק שלך כשאתה עוזב אותו, להפעיל מערכת אזעקה ומצלמות אבטחה אבל למה אנחנו לא חושבים בטבעיות על הגנת על המידע שלנו?
להלן מספר עצות פשוטות כיצד לשפר את רמת ההתמודדות של הארגון שלך מפני התקפות סייבר.
דע היכן אתה חי
התגוננות בפני איומי סייבר מתחילה בהבנת המידע שנמצא ברשותך והסיכונים העומדים בפניו, וכן הכנת תכנית להתמודדות עם סיכונים אלה.
חשוב על השאלות הבאות: על מה צריך להגן? הכסף? המידע? המוניטין? השירותים מבוססי מחשוב שאתה מספק או צורך? היכן נמצא המידע הזה וכיצד הוא מוגן? היכן נמצאת רשימת הלקוחות? בסיס נתוני הלקוחות? המערכות הפיננסיות? עסקאות אותן בצעת או אתה מתכונן לבצע? התמחור? תכנון המוצרים? האם ההגנה על נכסים אלה מספקת?
כדאי לבצע סקר סיכונים אשר יסייע לך לספק מענה לכל השאלות הללו. מצא גורם מקצועי ואמין שיסייע לך בכך.
הכר את החברים שלך
הבן למי יש גישה למידע שלך ולמידע של מי יש לך גישה. הספקים והלקוחות שלך עלולים לסכן את המידע שלך וכך גם להיפך – דרך התקפה על ארגון אחד יכול הפורץ להגיע לארגון אחר.
לאחר זיהוי שרשרת האספקה, מומלץ לוודא את רמת האבטחה של כל אחד מהגורמים בשרשרת. כדאי לוודא ולהבטיח חוזית כי הגורמים אתם אתה בקשר, בפרט כאלה שיש להם גישה ישירה למערכות המידע והנתונים שלך, שומרים על המידע ברמה מספקת.
כאשר ממפים את הספקים, יש לקחת בחשבון גם כאלה שלכאורה אינם ניגשים באופן ישיר למידע. אחד מסיפורי הפריצה הגדולים בעולם – הפריצה לרשת TARGET – התבצע דרך גישה למערכת של ספק המקררים שלהם..
הגן על המידע
מומלץ להגן על הכניסה והיציאה מן הארגון במערכות הגנה על הרשת – “חומות אש” – Firewall. תחום זה מתפתח, והיום מדברים על מערכות “ניהול איום מאוחדות” – Unfired Threat Protection.
יש לתת את הדעת להגנה על רשתות ה- WIFI הזמינות בארגון. המינימום הנדרש הוא הצפנה של הנתונים בטווח זה ושימוש בסיסמה מורכבת לגישה אליו.
חשוב לדאוג להתקנה של תוכנות בסיסיות להגנה על המידע בכל מערכות המחשוב בהן אתם עושים שימוש (טלפונים ניידים, מחשבים ניידים, תחנות עבודה, שרתים). שימוש ועדכון תוכנות שנקראו בעבר אנטי-וירוס והיום הן רחבות יותר ונקראות הגנה על מערכות קצה (endpoint protection), הוא חיוני.
עדכן את התכנה
הקפד לעדכן את התוכנות שלך. מידי פעם מתגלים חורי אבטחת מידע המאפשרים לפורצים לחדור למערכות שלך בתוכנות שונות, כולל המפורסמות שבהן. כך, למשל, לא מעט חורי אבטחת מידע התגלו וטופלו בתוכנות לקריאת קבצי PDF.
גבה את הנתונים
התקפות סייבר עלולות לגרום לפגיעה, שינוי, שיבוש או מחיקה של נתונים. גיבוי עדכני של הנתונים החשובים בארגון הוא חיוני לאבטחת שרידותו.
יש להקפיד על נהלי גיבוי ושחזור מסודרים ולא לשכוח להגן על המידע השמור בסביבת הגיבוי. גם מידע השמור בגיבוי יכול להוות מוקד להתקפה אשר תחשוף מידע רגיש.
הדרך את העובדים
רוב איומי הסייבר מגיעים דווקא מתוך הארגון כתוצאה מפעילויות של עובדי הארגון. לרוב פעולות אלה הן תוצאה של שגיאות, חוסר תשומת לב או חוסר מודעות של העובדים. חשוב להדריך את עובדי הארגון כיצד לעשות שימוש בטוח בשירתי האינטרנט והדואר האלקטרוני.
השקעה בהדרכה מסוג זה הינה קטנה יחסית והיא בהחלט משתלמת.
יש להסביר לעובדים כללי התנהגות בסיסיים. אל תצא מתוך הנחה כי הדברים ברורים מאליהם!
כך, למשל, הסבר להם כי עליהם להיזהר מלחיצה על קישורים ופתיחת קבצים בלתי מוכרים. הדגש את החשיבות בהחלפה תקופתית של הסיסמה במערכות בהן הם עושים שימוש ובחירה של סיסמה חזקה הכוללת אותיות, מספרים ותווים מיוחדים.
הרם טלפון
הסבר לעובדים וזכור בעצמך – כאשר אתה מקבל הודעה או בקשה בדואר אלקטרוני לבצע פעולה כגון הפקדת כסף או קבלת פרטים מאדם שאינך מכיר או אפילו מגורם מוכר, כגון הבוס הישיר שלך או אשתך, הרם טלפון, וודא שהבקשה אכן נשלחה על ידי האדם המדובר ולא על ידי מתחזה.
שריין את הענן
ארגונים קטנים הם חלוצים בשימוש במערכות מידע בענן ושמירת נתונים בסביבה זו. הדבר מיעל את עבודתם ומאפשר להם להתרכז בתחום מומחיותם.
ספקי שירותי הענן מציעים, בדרך כלל, יכולות הגנה מתקדמות שבמקרים רבים אף גבוהות מאלה הקיימות באתר הלקוח. יחד עם זאת, עצם העובדה כי יכולות אלה קיימות אינה מבטיחה כי הן מופעלות באופן הולם.
חוסר הקפדה על אבטחת המידע בעת אחסון נתונים בסביבה זו עלולים לחשוף מידע רגיש לגורמים בלתי מורשים ואף לפגיעה בהם.
הזדהות חזקה למערכות הענן מחזקת באופן משמעותי את הגנת הנתונים בו. רבים מהסיפורים על התקפות מערכות וגניבת מידע התחילו בחשיפה של סיסמאות משתמשים למערכות אלה.
היה נכון תמיד
התקפת סייבר היא איום אמיתי וממשי. חשוב להיערך מבעוד מועד להתמודדות עם מצב בו איום כזה יתממש אצלך בארגון.
תכנן כיצד יש להתנהג כאשר התקפת סייבר מתרחשת אצלך. למי להודיע? מה צריך לעשות? כיצד להחזיר את פעילות השירות.
אל תישאר לבד
ארגונים קטנים ובינוניים אינם יכולים להרשות לעצמם העסקה של צוות סייבר ואבטחת מידע המתמחה בכל ההיבטים הסבוכים של אתגר זה. נושא הסייבר מטופל, אם בכלל, על ידי עובד פנימי או חיצוני העוסק בתחזוקת המחשוב של הארגון.
עולם הגנת הסייבר מורכב והוא מצריך ידע רב תחומי ועדכון תמידי. יש להכיר את החוקים והתקנות, האיומים והחולשות, המערכות הטכנולוגיות, התהליכים העסקיים והסיכונים הגלומים בהם, תהליכי ניהול סיכונים ועוד. נדיר למצוא אדם אחד המתמצא בכל התחומים האלה.
מומלץ לשקול התקשרות עם גוף שבו מומחים בכל ההיבטים שלעיל תוך התאמת היקף ההתקשרות לגודל הארגון ולסיכונים העומדים בפניו.
בתמונה: אופיר זילביגר, שותף ומנהל SECOZ-מרכז הגנת הסייבר, BDO Consulting Group
