מה שאתם לא יודעים על האיש שיושב לידכם - מגזין TheMarker - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן
מגזין TheMarker

מה שאתם לא יודעים על האיש שיושב לידכם

בישיבת החברה הבאה שלכם, הסתכלו מסביב. ייתכן שהאדם שיושב לידיכם הוא זה שישאיר דלת לא נעולה, חלון פתוח, או פשוט יפתח לרווחה את שערי החברה שלכם לפושעים ממולחים

2תגובות

העיתונים מלאים בכותרות על פריצות ענק, הדלפות של נתונים אישיים ותאגידים בינלאומיים שלא הצליחו להגן על עצמם: פרטי משתמשים בשירותי ה"דייטינג" של אשלי מדיסון, מיילים מביכים ששלחו מנהלי האולפנים של סוני, כ־80 מיליון פרטי כרטיסי אשראי שנגנבו מענקית המרכולים טארגט. שמות התאגידים משתנים, וגם היקף הנתונים שנחשפו, אבל לרוב "פרשות השבוע" בעולם הסייבר יש מכנה משותף אחד: בכל ארגון – ביטחוני או פרטי, גדול כקטן – תמיד תימצא החולייה החלשה שדרכה ישיגו הפורצים גישה למידע הפנימי. עובד זוטר, מנהלת בכירה, ספק שירותי אאוטסורסינג או חברת הניקיון. לכן, את האשמה באירועי הסייבר הגדולים אל תחפשו בטכנולוגיה. במקום זאת – בישיבת החברה הבאה שלכם, הסתכלו מסביב. ייתכן שהאדם שיושב לידיכם הוא זה שישאיר דלת לא נעולה, חלון פתוח, או פשוט יפתח לרווחה את שערי החברה שלכם לפושעים ממולחים.

כנראה שגם בפרשיית הפריצה לשרתיהן של חברות פורקס ישראליות די היה במייל שנשלח לכמה אנשי מפתח (שאת פרטיהם ותיאורי תפקידיהם אפשר בוודאי לגלות ברשתות החברתיות), כדי להשיג גישה למידע הפנימי של החברות. מייל עם כותרת מפתה וקובץ מצורף או לינק יכול בקלות להוביל להתקנת תוכנה זדונית (Malware) על מערכות החברה.

אחרי שנכנסו בשערי הארגון, הפורצים יכולים בקלות למצוא את דרכם אל הנכסים שלכם – וגם כאן כדאי לחשוב פעמיים. כיום, פושעים מעוניינים לא רק במספרי כרטיסי אשראי או בנוסחה הסודית לקוקה־קולה. למעשה, מרבית הפריצות המסיביות של השנים האחרונות היו למאגרי מידע שהכילו כמויות אדירות של פרטים אישיים. לכן גם חברות שלא חושבות שהן מטרות לפריצות סייבר, נהפכו לכאלה. ארגוני הפשיעה למדו לייצר רווח כמעט מכל דבר וירטואלי. אפילו המחשב הביתי שלכם עשוי להפוך לנכס, כאשר כוח החישוב שלו יושכר לפי שעה כדי להפיץ ספאם או להשתתף במתקפת עומס על אתרי אינטרנט.

אז מה אפשר לעשות? ראשית, אל תאמרו "לי זה לא יקרה", או "לאף אחד לא אכפת מהסודות שלי". נכון, לפושעים ממש לא אכפת עם מי יצאתם לדייט, אבל אכפת להם שאכפת לכם מהמידע שלכם. בדיוק בגלל זה דורשים הסוחטים בפרשיית הפריצה לחברות הפורקס תשלום כופר מהחברות. הפגיעה במוניטין העסקי ובמידע אודות הלקוחות יכולה בקלות להוציא חברות מתחרות מחוץ למשחק.

השלב הראשון, אם כך, הוא לדעת מהם הנכסים הדיגיטליים שלכם, איפה "יושב" המידע שלכם, ועד כמה הוא עשוי להיות בעל ערך למתחרה או לארגון פשע. איך תשפיע דליפת ענק של פרטי לקוחות על המוניטין העסקי שלכם? מה יקרה אם המידע שלכם יוצפן על ידי עבריינים ולא תהיה לכם גישה אליו? כמנהלים, שאלו עצמכם האם בחברה שלכם יש מנהל אבטחה או ממונה ביטחון שאחראי לאתר את הבעיות. אם כן, מתי דיברתם אתו באחרונה?

2015 היא השנה שבה מנהלים בכירים בחברות החלו לשאת באחריות אישית לאירועי סייבר. האם אתם יכולים להרשות לעצמכם לא להקדיש לכך מחשבה? במקביל, תקנות חדשות לניהול סיכונים וגם פוליסות ביטוח נגד נזקי סייבר החלו לצוץ בעולם. הגיע הזמן להבין מה עושים אצלכם בארגון בנושא.

עכשיו, חזרו לישיבת החברה שלכם וחשבו: מי מחזיק בגישה לנכסים? איפה החוליות החלשות? אלה האנשים שאתם צריכים להכין לאפשרות שהאיום יגיע דווקא מתיבת המייל שלהם. השקיעו בכך זמן ומשאבים, וכמובן, חשבו פעמיים בעצמכם כשאתם מתחברים לשירות חדש, פותחים אימייל שמכיל קובץ לא ידוע, או מתקינים תוכנה פופולרית במחשב שלכם תוך התעלמות מאזהרות האבטחה המוכרות. דאגו גם לעדכון והחלפה סדירה של הססמאות בארגון (תוכלו לבדוק אם הפרטים שלכם הודלפו לרשת באתר haveibeenpwned.com), ולעדכון מערכות ההפעלה והתוכנות המשמשות אתכם.

קרן אלעזרי
אייל טואג

רבות מהתקפות הסייבר נגד ארגונים מצליחות במיוחד בגלל השימוש הנרחב במערכות הפעלה ותוכנות ארגוניות שאינן מעודכנות. בדיוק כמו חיסון כנגד שפעת שצריך לקחת כל חורף, כך כדאי לעדכן את מערכת ההפעלה, הדפדפן ורכיבי תוכנה מצד שלישי כמו Java ופלאש הפופולריים.

הכותבת היא אנליסטית פרטית וחוקרת אבטחת מידע באוניברסיטת תל אביב



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות ראשיות באתר

כתבות שאולי פיספסתם

*#