אבטחת מידע היא חלק אינטגרלי משיגרת הפעילות בעסק. ניתן להיעזר בשירותי ייעוץ אבטחת מידע.
זו לא אופציה זו חובה של הארגון כלפי לקוחותיו, כלפי החוק (תקנות הגנת הפרטיות) וכלפי עצמו אם הוא רוצה להבטיח את המחר.
פגיעה מאירוע סייבר הפכה לדבר נפוץ בשנת 2020 וכל ארגון קטן כגדול חייב להבין את הסיכונים, לנסות לצמצם אותם ולהיות ערוך ליום של פגיעה.
אם בעבר כולנו ידענו שחייבים להתקין אנטי וירוס על המחשבים בכדי להגן על המחשב, היום ההתקפות נעשו הרבה יותר מתוחכמות וההגנות הרבה יותר מורכבות.
בסופו של דבר זה משחק של חתול ועכבר, האחד חוסם והשני מפתח דרך יצירתית לעקוף.
ברגע שהאקר עקף את מנגנוני האבטחה והוא כבר בתוך המערכת הסיפור הופך להיות מורכב הרבה יותר.

1 מניעה

מנגנוני מניעה טובים מספקים הגנה לתשתיות הבאות:

  • תקשורת: חומת אש איכותית ומנוהלת באופן שוטף למשרד, בנפרד חומת אש אפליקטיבית לתחנות הקצה.
  • שירותי הענן: שירותים כמו Office365, שרתים וירטואליים בענן, Dropbox מגיעים עם מנגנוני הגנה טובים, רק אם יודעים להגדיר אותם (9 מתוך 10 ארגונים, משתמשים בהגדרות ברירת המחדל).
    בנוסף, מומלץ להוסיף שכבות אבטחה משלימות כמו הלבנת קבצים, חסימת פישינג ומנגנוני אימות מתקדמים.
  • התקני הקצה: מחשב נייד יוצא מרשת המשרד ומתחבר לרשת יחסית פרוצה בבית העובד, או רשתות ציבוריות. אבל זו רק ההתחלה.
    מדפסות, טלפוני IP, טלפונים חכמים של העובדים המחוברים לרשת, טלויזיות חכמות, מצלמות אבטחה… כולם מתחברים לרשת ופותחים להאקר דלת לפגיעה בארגון.
  • נהלים: אנחנו לא אוהבים בישראל נהלים, זו בירוקרטיה, זה מעייף אבל זה הכרחי.
    אם אין החלטת הנהלה, יישום, תרגול ובקרות לעולם לא תיהיה אבטחה, לא משנה כמה כסף הושקע בטכנולוגיות יקרות ומתקדמות.
    הנהלים אינם עוסקים בטכנולוגיה, אלא בהגדרת הדרישות והבקרות. מי עושה מה, איך ומתי. מי מבקר ומי אחראי.
    אם אין נוהל, מדוע שהמזכירה תעצור את מי שנכנס למשרד ואומר שהוא בא להפגש עם אחד המנהלים (שאת שמו הוא מצא באינטרנט)?
    אם לא הוגדר תהליך, מה יעצור את העובדת בהנה”ח להעביר כספים לגורם שהתחזה לספק?
    אם אין בקרה, למה שאיש המחשבים יבצע שיחזור יזום מידי רבעון לבדוק תקינות של מערכת הגיבוי?
    אם לא הוגדר תקציב לסקר סיכונים ופגיעויות, איך ההנהלה תדע על מה נדרש להגן והיכן היא חשופה?
    ארגון ללא נהלים, הוא ארגון ללא אבטחת מידע!

2 זיהוי

מנגנון זיהוי החשוב ביותר והזול ביותר הם העובדים, כח-האדם הוא חלק אינטגרלי וקריטי לאבטחת הארגון.
עובדים עם מודעות ידעו לזהות דואר חשוב ולא להפעיל קישור או מסמך מצורף (עיקר הפגיעות מגיעות דרך המייל).
עובדים עם מודעות יתריעו על כשלי אבטחה כמו ספק בעל גישה למערכות שלא מיישם את הנהלים, גישה למידע רגיש שהם לא אמורים להגיע אליו, או הודעה מוזרה מהמחשב שהם לא יודעים להבין אם היא לגיטימית או חשודה.

מנגנוני זיהוי נוספים מבוססים על מערכות ניטור, אשר סורקות את הפעילות ברשת ובתחנות הקצה ויודעות להתריע לגורם הרלוונטי על כל פעילות חשודה.
דוגמה פשוטה וזולה שמעטים מיישמים, ניטור זמינות ואבטחה לאתר החברה.
כמה מפתיע היה לגלות שהאתר של קולגה שלנו נפרץ, אתר של מומחה אבטחת מידע שנפרץ זו תופעה לגיטימית, נראה רע מאוד אבל יכול לפגוע בכל אחד.
העובדה שהאתר היה למטה יותר מ-3 שבועות, מעלה הרבה שאלות, על מערכות הניטור של המומחה אבטחה.

3 תגובה

תוכנית תגובה, או בשמה המקצועי תוכנית התאוששות מאסון או באנגלית Disaster Recovery Plan, בקיצור DRP.
תוכנית זו מאפשרת לארגון להתמודד בצורה מיטבית בזמן אירוע.
כולם נפגעים, אך עוצמת הפגיעה יכולה להשתנות מנזק קל לנזק בלתי הפיך בגלל התנהלות כושלת בזמן האירוע.
התוכנית תפרט ותבחן תרחישים שונים, תגדיר את זמני התגובה הנדרשים, הגורמים המעורבים הנדרשים לתהליך ומי אחראי לנהל אותו.
דוגמה לארגון שנפגע לאחרונה, ארגון עם מוצר ושירות מצויין שנפגע מוירוס כופר אך לא ידע להתנהל נכון בזמן האירוע.
חברת smarterASP היא ספק שירותי ענן אשר מוכרת את שירותים ל-440,000 לקוחות ברחבי העולם. חברה רצינית, גדולה, עם ותק של 20 שנה.
ביום ראשון 20 לנובמבר 2019 הותקף הארגון ע”י וירוס כופר אשר הצפין את כלל המערכות, האתרים, השרתים, האפליקציות, שירותי הדואר של 440 אלף לקוחות הוצפן והשבית פעילות.
מבלי להכנס לפרטים הטכניים של מערכות ההגנה והשיקום, הכשל הגדול של החברה היתה התגובה והתקשורת מול הלקוחות.
מוקד התמיכה לא ערוך לענות לכ-חצי מיליון לקוחות זועמים. גם האתר וערוצי מדיה לא היו ערוכים לאירוע.
במקום לפרסם באופן שקוף את המצב, הספק השתתק והתעסק בתהליך השיקום, מבלי לעדכן את הלקוחות באופן רשמי ומסודר.
התוצאה של ההתנהלות הזו הובילה למאות אלפי לקוחות להיות בהיסטריה, ולהוציא את כל הלחץ ברשת ולפגוע במוניטין של החברה. החברה הצליחה לשקם את הנזקים רק כעבור יומיים.
תוכנית טובה של התאוששות מאסון היתה מצמצמת את הנזק באופן משמעותי.

4 שיקום

מה ההדל בין תגובה לשיקום?
תגובות הן הפעולות בזמן האירוע, שיקום חלקו במהלך האירוע ובחלקו לאחר האירוע, לדוגמה שיחזור מגיבוי .
אפשר להחזיר פעילות באופן חלקי שיאפשר חזרה לעבודה בשלב הראשון ובתהליך השיקום תבוצע עבודה יסודית לחזרה לשיגרה מלאה.
במידה והיתה פגיעה במוניטין נדרש לשקם גם אותו.
במקרים מורכבים יותר של פגיעות פיזיות כמו שריפה, התגובה היא הקמת מערך השירות באתר חלופי, השיקום יהיה הקמה מחדש של האתר הראשי.

5 בקרות ונהלים

ארגון ללא מדיניות ונהלי אבטחת מידע הוא למעשה ארגון ללא אבטחת מידע.
נהלי העבודה מכסים את כל השלבים: מניעה, זיהוי, תגובה ושיקום, הנהלים הם יישום מדיניות ההנהלה וכוללים באופן מפורט כיצד ליישם את המדיניות.
החלק החשוב של הנהלים הן הבקרות, אחרת מדובר בחוקים ללא שיניים.
הנהלים נדרשים לפרט בהתאמה לכל ארגון איך לדאוג להגנות פיזיות, לוגיות, משאבי אנוש, ספקי חוץ, היכן שומרים את המידע, איך מנהלים את הגיבויים, כל כמה זמן מבוצעות הדרכות לעובדים ומה תכולתן. מה שלא כתוב ולא אושר ע”י הנהלת הארגון הוא לא קיים, מה שלא מבוקר לא יבוצע.

אבטחת מידע זה נהלים ובקרות.
אנטי וירוס וחומת אש, הם חלק קטן מהשכבה הטכנולוגית וגם הם ללא נהלים לא ינוהלו כנדרש.
כל ארגון חייב נהלי אבטחת מידע, אך אל תשלו את עצמכם שקיימת אבטחת מידע לארגון שלא קיימת בו החלטה, תקציב ואחראי לאבטחת מידע.

לקבלת מידע נוסף השאירו פרטים: