5 טעויות שחושפות את המחשב בעסק הקטן להאקרים - עושים עסק - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

5 טעויות שחושפות את המחשב בעסק הקטן להאקרים

פעולות שמבצעים העובדים בטעות או בזדון עלולות לפתוח את הדלת לשל העסק הקטן לאיומי סייבר ■ תדרוך העובדים והקפדה של מנהל העסק על כללי הביטחון יכולה למנוע נזק רב

2תגובות

תופעת הפריצות לעסקים באמצעות האינטרנט הולכת ומתרחבת ומידי יום יותר ויותר עסקים חשופים לאיומים ברשת.

כל עסק בכל גודל הוא מטרה למתקפת סייבר בין אם זו חנות בגדים, עסק לייבוא תכשיטים או מפעל ייצור. מספיק שהאקרים יצליחו לחדור דרך נקודה אחת למערכות המחשב בעסק כדי ליצור בעיה גדולה שמשמעותה פגיעה בפעילות השוטפת של העסק. הנזק מגוון ויכול להתבטא באמצעות גניבת נתונים, כתובות מיילים, מספרי טלפון, כתובת בתים, דרישה לתשלום כופר (Ransomware) תמורת שחרור קבצים במחשב והמידע העסקי השמור בו, דליפת מידע בנוגע ללקוחות ואף גניבת מידע עסקי ומכירתו למתחרים או לגורמים בעלי עניין.

דובר צה"ל

מרבית הפרסום על אירועים כאלו בחברות גדולות עוסק בחברות בחו"ל, שכן בארץ הנטייה היא כמעט ולא לחשוף התרחשות מתקפות סייבר והדבר עלול לפגוע במוכנות של עסקים, וזאת למרות שמספר ההתקפות על ארגונים בארץ רק גדל.

כדי להגן על הארגון מפני איומי רשת יומיומיים כדאי להכיר את הפעולות הנפוצות ביותר שעובדים מבצעים שמובילות לטעויות שעלולות לפתוח דלת לאיומים נפוצים כגון וירוסים, תוכנות ריגול, פרסום ותולעי מחשב ולהכניסם לארגון. פעולות אלו נעשות על ידי העובדים בדרך כלל בתום לב ובשל חוסר ידיעה אולם לעתים גם בזדון. הנזק שלהם מתבטא בכך שהן מגדילות את הסיכוי ליצירת פרצות באבטחת המידע של הארגון ויכולות להוביל למתקפות סייבר מסוכנות ולנזקים כלכליים ותדמיתיים. 

רצוי כי הבעלים של הארגון ידריך את עובדיו בנושא ויפעל לזהות סיכוני אבטחה. חלק ניכר מסיכונים אלו ניתן למנוע באמצעות מודעות ותשומת לב, ולשלב אותם עם תוכנות מתאימות להגנה על מחשבי הארגון. להלן מספר כללים חשובים שיכולים לסייע בהגנה על המחשבים בעסק.

רויטרס

הסיכון: תיבת הדואר של העובדים

האיום הנפוץ ביותר הוא "דייג" מקוון (Pishing) באמצעות המייל של העובדים. הכוונה היא להתחזות של האקרים בכדי לגנוב זהות ולהשיג מידע רגיש. הפיתיון לרוב נשלח למשתמש בצורת הודעה תמימה בפורום ועד לדואר זבל שנשלח במסווה של דואר אלקטרוני חשוב או הודעה על זכייה, הגרלה מיוחדת או מבצע אטרקטיבי ואף הודעות במסווה של הודעת אבטחה משירות מוכר כמו PayPal, בנק, Gmail, Facebook, LinkedIn וכדומה.

האקרים רבים מתחזים ושולחים קישורים ולינקים כאלו, כל לחיצה על לינק כזה עלולה להשתיל וירוס במחשב או לגרום למשתמש לעדכן את פרטיו האישיים באתר דמי מתחזה וכך ללא ידיעה בעצם מוסרים פרטים רגישים ביותר כולל סיסמאות להאקר.  כיום מאוד קל לשלוח מייל שמכיל חומר התקפי לתוך ארגונים, ולמרות שישנן מערכות ייעודיות שיודעות לסנן היטב את מרבית הוירוסים והמיילים שמטרתם הוא דייג מקוון. מומלץ לא לפתוח בכלל מיילים כאלה שנשלחו ממקור שאינו מזוהה ובטח שלא ללחוץ על קישורים ולינקים חשודים ולא מזוהים. גם לגבי כאלה שנראים כביכול כאילו נשלחו ממקור מזוהה הרי שהם צריכים לעורר חשד גדול, לרוב אגב אלו נשלחים לכאורה מגוף מוכר אבל כזה שהמשתמש בכלל לא היה איתו בקשר וזוהי כמובן "נורה אדומה" משמעותית.

הסיכון: סיסמאות קלות לפריצה

מומלץ להגדיר סיסמא בעלת מורכבות גבוהה ככל האפשר. הכוונה למשל לשילוב בין אותיות גדולות ואותיות קטנות, מספרים וסימנים מיוחדים בכדי למנוע מתוכנות אוטומטיות לאתר את הסיסמה בקלות כאשר קומבינציה פשוטה מגדילה את הסיכוי לפריצה.

כך זה עובד: תוכנות זדוניות אלו מריצות את כל הקומבינציות האפשריות (ידוע כשיטת Brute Forcing) וכמובן שככל שהסיסמא קלה יותר ל-"ניחוש" הזמן הנדרש לפצחה נמוך יותר. במידה והסיסמא מורכבת מספיק אז הסיכוי שתוכנות רצות יפרצו את הסיסמאות קטן. לא מומלץ גם להגדיר בתור סיסמא תאריכי לידה, שמות של הילדים, מספרי תעודת זהות וכדומה וכל מידע שניתן לקשרו למשתמש או לנחש באמצעות קומבינציות סבירות (ידוע כשיטת Dictionary Attack). את הסיסמאות צריך להחליף בתדירות גבוהה יחסית ולא להחליפן לסיסמאות שדומות למה שהוגדר בעבר. ארגונים קטנים כגדולים צריכים להטמיע מדיניות סיסמאות כאמור במערכותיהם, Hard Coded, כדי למנוע פריצה חמורה זו, ומרבית המערכות כיום ערוכות לכך היטב.

הסיכון: למי נתתם הרשאות?

מתן הרשאות מותאמות תפקיד וצורך והגדרת הרשאות באופן מסודר מאפשרים לארגון לפקח על פעילות העובדים במחשבים. עובדים רבים מתקינים על מחשביהם מיני תוכנות משלל מקורות שלעתים לא ברורה טיבם  וכל התקנה כזו יכולה להיות פתח לפריצה ולהוות איום ממשי על אבטחת המידע של הארגון. מומלץ במיוחד להגביל את אפשרויות ההתקנה לעובדים בהתאם לתפקידם ולאפשר התקנה של תוכנות ספציפיות שמשרתות את התפקיד ולהעניק הרשאות המאפשרות התקנה רק לעובדי IT.

אל תתעלמו מהמכשירים הניידים

בכך הקשור לאבטחת מידע סמארטפונים וטלפונים ניידים  קיימים אינסוף סיכונים, שהעיקריים שלהם נוגעים לאובדן / גניבה של מכשירים עליהם מצוי מידע רב אודות העסק. תדרכו את העובדים לשמור על מכשירי הסמארטפון כאילו היה מחשב נייד לכל דבר ועניין. במידה ונגנב טלפון חכם כדאי להתייחס לכך כאילו נגנבו מחשבים ניידים  מהעסק.  דרכם ניתן להיכנס לרשתות הארגוניות ולכן יש לנקוט במדיניות אבטחת מידע מחמירה בנוגע למכשירים אלו. יש להגן  על המכשיר באמצעות הצפנה וכן באמצעות זיהוי כניסה באמצעות PIN או קוד ביומטרי. יש להפעיל את אפשרות שימוש בתוכנות איתור ומעקב שמציעות חברות דוגמת google ודומיהן  אשר מאפשרות הפעלה מהירה לאיתור מדויק של המכשיר ואף לצלם את המשתמש הפלילי  בזמן אמת, לנעול אותו מרחוק, לגבות את המידע שיש עליו ולמחוק אותו מרחו. לצורך כך קיימים מגוון פתרונות חינמיים.

טעויות שהעובד עושה בעולם ה-"פיזי"

טעויות אלה הן שגורמות בין היתר לקיומה של פרצת אבטחת מידע: למשל עובד שמכניס לסביבה הארגונית ציוד מחשבים מהבית שלו, או ראוטר אלחוטי פרטי שמחובר ע"י העובד לרשת הארגונית ויוצר פרצת אבטחה לחדירת האקרים מבפנים, התקנת והפעלת תוכנות מהבית או לצרכים פרטיים, מתן אפשרות גישה פיזית למחשבים, שרתים או סביבה פנימית שהיא מוגנת ומאובטחת לאנשים שהם לא מורשים ולפעמים אפילו משהו ממש טריוויאלי כמו חוסר סגירה של דלת, אי-נעילת מגירה או רישום על פתק או לוח של נתונים רגישים כמו סיסמאות כדי "להקל לזכור אותם", כל אלו כמובן אסורים בהחלט.

הכותב הוא מומחה לביטחון ואבטחת מידע



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות ראשיות באתר

כתבות שאולי פיספסתם

*#