אומרת עו"ד מיטל דהרי, DPO, CISO, CISM, סמנכ"לית חברת "פריימסק", העוסקת בנושאי סייבר, אבטחת המידע והגנת הפרטיות. "בסופו של יום, אנו נמצאים במצב בו המוטיבציה של התוקפים גבוהה יותר, עומדים לרשותם משאבים רבים והם מנצלים גם חולשות במערכות קיימות אבל בעיקר את התמימות שלנו". במאמר מדברת עו"ד דהרי על הרגישות בפריצה למאגרי המידע במושבים או בקיבוצים
בשנתיים האחרונות אנחנו מזהים מגמת עלייה בחומרתן ותדירותן של מתקפות סייבר. הבולטת מביניהן היא מתקפת הכופרה שנעשית מתוחכמת יותר עם דרישות כופר יקרות יותר מצד האקרים, המאיימים להשמיד או לחשוף את נתוני הארגון אליהם הם נחשפו.
בסופו של יום, אנו נמצאים במצב בו המוטיבציה של התוקפים גבוהה יותר, עומדים לרשותם משאבים רבים והם מנצלים גם חולשות במערכות קיימות אבל בעיקר את התמימות שלנו. לכן אם תשאלו כל גורם בתחום הסייבר הוא יגיד שהשאלה שצריכה להישאל היא מתי יקרה אירוע ולא האם האירוע יקרה. כך אומרת עו"ד מיטל דהרי, סמנכ"לית חברת "פריימסק", חברת בוטיק העוסקת בנושאי סייבר, אבטחת מידע, טכנולוגיות המידע והגנת הפרטיות.
מהי אבטחת מידע ואיך מיישמים אותה?
"אבטחת מידע או הגנת הסייבר הוא תחום העוסק בהגנה על נכסי המידע של הארגון בהיבטים של סודיות – דלף מידע, זמינות – נעילת קבצים בעקבות מתקפת כופרה, שלמות – שינוי זדוני של המידע או השמדה.
"הטמעת אמצעי אבטחת מידע וסייבר לא מהווה שינוי טכנולוגי בלבד אלא שינוי בחשיבה ובתרבות הארגונית שמתחילה בהנהלה הבכירה ומושרשת לכלל המשתמשים בארגון.
"אבטחת מידע הפכה בשנים האחרונות לאחד האספקטים היותר משמעותיים בחיי כל ארגון ממשלתי, ציבורי או מסחרי. המידע האישי, הפיננסי, הבריאותי, הבטחוני ומה לא, הפך למטרתם של האקרים ופושעי רשת וכתוצאה מכך מנהלי הסייבר בסקטורים השונים מנסים להמציא את עצמם כל פעם מחדש ולא לקפוא על השמרים."
מדוע ההחמרה במתקפות הסייבר?
"בעקבות הריחוק הפיזי ממקומות העבודה והמעבר לעבודה מהבית, עובדים מתחברים למשאבי הארגון באמצעות מחשבים פרטיים, שלעיתים משמשים גם את שאר בני הבית, ועושים שימוש בפלטפורמות פחות מאובטחות. פושעי הסייבר מנצלים זאת, וכן את החולשות שקיימות במערכות לא מאובטחות ושאינן מעודכנות.
"בנוסף, לאור השינוי בהרגלי הצריכה שלנו וריבוי הקניות ברשת אנו עדים להתגברות מתקפות פישינג והנדסה חברתית – אלו הן מתקפות שמבוססות על ניצול תכונות פסיכולוגיות אנושיות, לטובת הונאה, שכנוע והתחזות, המביאות את האדם להיענות מרצון ובתום לב לבקשת התוקף ולמסור לידיו מידע, אישי או ארגוני."
איך זה עובד?
"האקרים שולחים הודעות בתפוצה רחבה בעודם מתחזים לגורמים לגיטימיים, למשל, חברות תקשורת, חברות צרכנות או גורמים ממשלתיים רשמיים (הביטוח הלאומי, שב"כ, מערך הסייבר וכד'), במטרה לאסוף מידע מאיתנו או לשלוח לנו נוזקות שיאפשרו להם שליטה על המכשירים שלנו. ההודעות הללו יכולות להגיע לדואר האלקטרוני שלנו בעבודה, לדואר האלקטרוני האישי שלנו וגם כמובן בהודעות SMS."
מה עלינו לעשות כדי להיזהר מהודעות אלה?
"דבר ראשון לא ללחוץ על קישורים ולא למסור פרטים לפני שאנחנו מוודאים שמדובר בהודעה לגיטימית. אם לא הזמנתם כלום וקיבלתם הודעה שהחבילה שלכם בדרך זה כנראה ניסיון הונאה. ישנן מספר דרכים לבדוק זאת: שימו לב לניסוח בהודעה – לרוב בהודעות מסוג זה הניסוח בעייתי ולא לפי כללי העברית; לרוב פניה כללית ולא אישית עשויה להעיד שזו הודעה לא לגיטימית – כלומר אם במקום שם הנמען רשום למשל 'לקוח יקר'; הסתכלו על כתובת השולח במייל – הודעה מגוף ממשלתי למשל תסתיים בסיומת Gov.il ושימו לב לשיכולי אותיות של שם המען ששלח את ההודעה 'נפלטיקס' במקום 'נטפליקס'; קישורים לגיטימיים לרוב יהיה מפרוטוקולים מוצפנים – Https ולא Http. ובכל מקרה, אם קיבלתם הודעה שבה אתם מתבקשים למסור פרטים, כנסו לאתר הרשמי של החברה ובדקו אם יש בו מסר על נושא ההודעה, ואם מדובר בשיחת טלפון – נתקו את השיחה והתקשרו בעצמכם לארגון שחיפש אתכם.
"לגבי ארגונים – חשוב לזכור שכל מאגר המכיל מידע אישי עשוי להוות פיתיון עבור פושעים אלו. כך למשל מאגרי מידע של מושבים וקיבוצים עשויים להכיל נתונים רגישים אודות החברים בהם כמו מספרי הזהות שלהם, שנת הלידה, כתובת, תאריך הצטרפות לקיבוץ, נתוני שכר ורכוש. בשל האופי הקהילתי שקיים ביישובים אלו עשויים להישמר במאגרי המידע אף נתונים רגישים עוד יותר, כגון מצבם הבריאותי והרווחתי. אתגר נוסף הקיים במושבים וקיבוצים הוא שיתוף של הנכסים הבסיסים עם ארגונים ו/או מפעלים הפועלים בתחום המושב / הקיבוץ. על כן קיימת חשיבות רבה למידור הרשאות והפרדת סביבות ונכסים בפני אותם ארגונים.
"חלק ניכר מאירועי אבטחת המידע והסייבר שהתרחשו בשנים האחרונות נבעו כתוצאה מחוסר ידע ומודעות של עובדים וספקים לנושא. כיום אחת הסכנות המרכזיות לארגונים היא תקיפה מתוך הרשת הפנימית של הארגון, הדרכה נכונה ומודעות של עובדי הארגון יכולה למנוע מגוון סכנות ומתקפות.
"ניתן להגיע לרמת הגנה הולמת גם עם תקציב צנוע, כאשר הדגש הוא במיוחד על נושא המודעות. בליווי נכון, כמו שאנחנו מעניקים בחברת 'פריימסק', מתאפשרת בין השאר הגברת המודעות בארגון, שינוי תהליכים והיערכות לאירועים, שעשויים לצמצם את הנזק הפוטנציאלי שיכול להיגרם כתוצאה מאירועי סייבר."
"פריימסק" פועלת במגוון רחב של מגזרים ומעניקה להם ליווי וייעוץ שוטף כדי לסייע להם לעמוד בהוראות הדין, להעלות את רמת אבטחת המידע וכן את רמת המודעות של הנהלת ועובדי הארגון לאיומים ולסכנות הקיימות.
עשרת כללי הזהב להגנת המידע בארגון:
* מחויבות ואחריות ההנהלה.
* ניהול סיכונים באופן שוטף.
* הגדרה והטמעה של מדיניות ונהלים.
* מודעות, הכשרות והדרכות לכלל עובדי הארגון.
* הטמעת עדכוני אבטחת מידע באופן שוטף.
* גיבויים למידע ובדיקות שחזור.
* הטעמת מערכות הגנה טכנולוגיות (לפי ניהול הסיכונים והתקציב הקיים).
* הסדרת פעילות מול גורמי מיקור חוץ.
* ניטור הפעולות הנעשות במערכות ובמאגרי המידע.
* הכנה, הכלה ותרגול של אירועי סייבר.