10 כלים בסיסיים לאבטחת מידע שכל ארגון חייב ליישם

אבטחת מידע לעסקים במשק הישראלי הינה קריטית לכל בעל עסק וארגון. במאמר הקרוב נסקור את חשיבות הגנת הפרטיות ורמת אבטחת המידע בעסק שלכם.

עודכן לאחרונה ב-5 באוגוסט 2023

בחודש ינואר 2022 הונח על שולחן הכנסת לקריאה ראשונה תיקון מס' 14 לחוק שמטרתו להעניק סמכויות אכיפה דרמטיות יותר לרשות הגנת הפרטיות כך, שבין היתר, תוכל להטיל עיצומים כספיים בסדר גודל של בין 2,000 ₪ ל-320,000 ₪ – תלוי בסוג ההפרה וברמת אבטחת מידע שחלה על אותו ארגון מפר. נכון לכתיבת מאמר זה, התיקון לחוק עבר קריאה ראשונה וממתין לקריאה שנייה ושלישית והצפי הוא כי עד סוף שנת 2022 – יכנס לתוקף באופן רשמי.

חשוב לציין, כל ארגון במשק הישראלי המחזיק ומנהל מידע רגיש כגון: מספרי תעודות זהות של עובדים/לקוחות, מצב בריאותי של המטופלים/מבוטחים, אמצעי תשלום וכו' –  פוטנציאל התקיפה של אותו ארגון הולך ומתעצם כל הזמן.

איומי סייבר לא מבחינים בין ארגונים גדולים, בינוניים או קטנים. מבחינתם, כל עוד קיים מידע רגיש באותו ארגון הרי שיש כאן פוטנציאל לנזק משמעותי כגון: כלכלי (דרישת כופר, מכירת הפרטים של המטופלים וכו') ו/או נזק תדמיתי (פגיעה בשם הטוב והמוניטין). כך לדוגמא מחיקת מאגרי מידע עלולה להוביל הן לנזק כלכלי והן לנזק תדמיתי עד לשיתוק והשבתת הפעילות העסקית.

כיום, רמת האבטחה הממוצעת שקיימת בארגונים קטנים ובינוניים אינה מספקת אל מול איומי הסייבר ושיטות התקיפה המתפתחות מיום ליום. בשל כך נדרשת העלאת חוסנו של הגנת סייבר מלאה, משפטית וטכנולוגית, של הארגונים הקטנים, הבינוניים והגדולים כאחד.  

להלן 10 כלים בסיסיים לאבטחת מידע שחלים על ארגון

לא משנה באיזו רמת אבטחה מדובר- היות והכלים שחלים ברמת אבטחה בסיסית יחולו גם על רמת אבטחה בינונית ורמת אבטחה גבוהה.

  1. מודעות עובדים

מדוע כלי זה מופיע במקום הראשון? נוכח העובדה שכ-90% מאירועי סייבר מתרחשים מטעויות שמבוצעות בשגגה או בזדון על ידי ההון האנושי של הארגון ויתר האירועים הם כתוצאה מהאקרים, אקטיביסטים וארגוני פשע בעלי אינטרנט כלכלי או אידיאולוגי. הקניית מודעות עובדים מהווה נדבך חשוב שתורם כמכפיל למניעת אירועי סייבר וצמצום משטח התקיפה בארגון.

  1. מיפוי נכסי מידע וסקר סיכונים

החיבור בין רשתות המחשבים, מערכות תקשורת וההון האנושי מגדילים את הזדמנויות התקיפה. מטרת תהליך המיפוי היא לזהות מהם הנכסים הדיגיטליים של הארגון, איפה נמצאות נקודות החולשה והתורפה של אותם נכסים דיגיטליים ולשלב אותם בתוך טבלת סקר סיכונים שמטרתה לחשוף בפני הארגון בראייה רחבה יותר מהם הסיכונים אליהם הארגון חשוף. בסיוע מומחה אבטחת מידע, בהתבסס על סקר הסיכונים ומיפוי נכסי מידע, ניתן לבנות תכנית הגנת סייבר שתואמת את רמת האבטחה של הארגון בהתאם להוראות החוק.

  1. תוכנות ברישוי

שימוש בתוכנות מחשוב שאינן ברישוי או בתוכנות פרוצות וחינמיות מהוות הזדמנות קלה ואטרקטיבית לתקיפה. העובדה שקיימת בארגון תוכנה שאינה ברישוי, חושפת את הארגון לניצול של אותם חורי אבטחה ע"י אותם גורמי סייבר מסוכנים. מומלץ לוודא כי תהליך הרכש הארגוני, עוקב אחר התקנת תוכנות ברישוי מעודכנות.

  1. אנטי וירוס או תוכנה מסוג EDR

מטרת האנטי וירוס הוא לאתר פוגענים באמצעות חתימות ידועות מראש. כלומר, אנטי וירוס הוא טוב והכרחי כאשר הווירוסים החתומים ידועים לתוכנת האנטי וירוס. אבל לא כל הווירוסים מגיעים עם חתימות ידועות מראש וכאן כבר עדיף ורצוי להכניס תוכנת הגנה מסוג EDR שאני ממליצה עליה בחום לכל הלקוחות שלי. תוכנת הגנה מסוג EDR מסוגלת להתמודד עם איומים ללא חתימות, לזהות את האיום, לעקוב אחריו ולהגן על הנתונים עוד לפני שהם נפגעים.

  1. עדכוני תוכנה

על איש המחשוב של הארגון לוודא כי כל התוכנות בארגון מעודכנות במיוחד בתוכנות הפעלה ובתוכנות שנעשה בהן שימוש רב כמו Office. עדכוני תוכנה יבטיחו לצמצם משמעותית את היכולת של תוקף פוטנציאלי לנצל חולשה באחת התוכנות ולתקוף את הארגון.

  1. סיסמאות הזדהות חזקות והגדרת נעילה לאחר כמה ניסיונות הזדהות כושלים

בנוהל אבטחה מידע שעל הארגון לשמור, כמצווה בתקנה 4 לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ו- 2017 (להלן: "התקנות") יש להתייחס בפקידה וביסודיות לנוהל מדיניות סיסמאות בארגון. יש נטייה לזלזל בסיסמאות משתמש, כך למשל בארגונים רבים אני נחשפת למראה של שמירת פתקים בהם סיסמאות שמורות על יד המחשב. חשוב להבין, כי אחת משיטות התקיפה הנפוצות נשענת על ניסיונות פריצה באמצעות ניחוש סיסמאות. התוקף מצויד במילון סיסמאות, ובעת תהליך הפריצה מריץ מיליון סיסמאות במטרה לנסות לפצח את הסיסמא. רצוי להרכיב סיסמא ארוכה וקשה שמשלבת בתוכה את הפרמטרים המפורטים בנוהל אבטחת מידע מקצועי שבונה מומחה אבטחת המידע.

  1. הצפנת מידע כחלק משמירה והסתרה של מידע עסקי ונתוני לקוחות

מטרת ההצפנה היא לשמור על חשאיות הנתונים מפני גורמים בלתי מורשים. כך למשל דרישה מהספק לפתרונות HTTPS כפרוטוקול מאובטח, שמירת המידע באופן המוצפן גם בשרתים ובמחשבי החברה ושימוש בתווך מוצפן VPN – בהחלט יכולים להוביל את הארגון לצמצום משטח התקיפה.

  1. גיבוי

תהליך הגיבוי בארגון חשוב ביותר היות והוא מקנה את היכולת לארגון להתאושש במהירות מאסון ולהמשיך להתנהל עסקית. הדוגמא הטובה ביותר היא מתקפת מסוג כופרה Ransomware  שבה פוגען מצפין את כל הקבצים שעל המחשב ולא משחרר עד לקבלת תשלום כופר. במקרה שכזה ארגון שינהל מדיניות גיבויים תקינה יוכל שחזר את המידע באמצעות גיבויים עדכניים ולהמשיך להתנהל עסקית. ישנן שיטות גיבוי שונות כגון: גיבוי בענן, גיבוי מקומי, גיבוי חיצוני (Offline). יכול להיות גם גיבוי באתר חלופי, שאליו כל הרשת הארגונית עוברת במקרה של אירוע סייבר. יש לוודא כי לארגון קיים נוהל אבטחת מידע, לפיו יופיע, בין היתר, נוהל מדיניות גיבויים שנערך ע"י מומחה סייבר ומיושם ע"י איש המחשוב של הארגון.

  1. רשתות אלחוטיות

בעת התקנת רשת אלחוטית בארגון יש להנחות את אנשי המחשוב להפקיד על הכללים הבאים:

    • לקיים הפרדה מלאה בין רשת הארגון לרשת האורחים בארגון. מומלץ ליישם זאת על מנת שהלקוחות לא יוכלו לגלוש על רשת הארגון.
    • יש לוודא כי ספק התשתית יבצע את הפעולות הבאות:
      1. הצפנה – יש להשתמש בשיטת הצפנה החזקה ביותר WPA-Enterprise, נכון לכתיבת מאמר זה, במטרה לאבטח את הרשת האלחוטית ברמה הטובה ביותר.
      2. הקשחה על בסיס כתובות MAC – כתובת ה-MAC היא בעצם מזהה ייחודי המוטבע על כל רכיב תקשורת לתקשורת נתונים בעת הייצור והיא מוטבעת בדרך כלל בכרטיס הרשת של המחשב או במודם. מומלץ לבצע סינון White list כדי להקשיח את כתובות ה-MAC המתחברות לנתב האלחוטי.
      3. הסתרת שם רשת (SSID)- מומלץ להסתיר את שם הרשת כך שלא תהיה גלויה למי שסורקים רשתות אלחוטיות באזור.
      4. ניהול הנתב – יש לשנות את סיסמת ברירת המחדל.
    • יש להצפין גם רכיבים אלחוטיים נוספים כגון: מדפסות, מקלדות וכו'.
  1. ביטוח סייבר

יש לזכור כי למרות כל מנגנוני ההגנה אין אף ארגון שחסין ממתקפות סייבר ב-100%, היות ובכל יום שעובר האקרים "מחכימים" יותר וממציאים את הגלגל מחדש. כך או כך, חשוב להיות ערוכים לכל אירוע סייבר אפשרי, החל מהנזק המזערי ועד לנזק עצום. מומלץ שבקרות אירוע סייבר הארגון יעמוד בנהלי אבטחת המידע בהתאם להוראות החוק והתקנות על מנת שביטוח סייבר ישפה את הארגון כתוצאה מפגיעה כלכלית. יובהר, כי בדומה לכל ביטוח מסוג אחר, גם ביטוח סייבר מחייב את הארגון ליישם רמה בסיסית של הגנה על מנת להיות זכאי לפיצוי.  

רוצים להוביל את העסק או החברה שלכם
להתנהלות חוקית ונכונה בנושא הגנת הפרטיות,
במינימום חשיפות לפריצות אבטחת מידע, תביעות וקנסות
ובמקסימום שקט נפשי?

התקשרו עכשיו למספר 052-6838261
לשיחת היכרות ואבחון אישית –
ללא עלות וללא התחייבות! –
לבדיקת הגנת הסייבר המשפטית המתאימה לכם ביותר

• מתמקצעת בתחום הגנת הפרטיות, אבטחת מידע וסייבר.
• חברה בלשכה לטכנולוגיות המידע בישראל.
• בוגרת עשרות השתלמויות מקצועיות, כולל קורס סייבר בנושא אבטחת המידע והגנת הפרטיות.
• בעלת תואר ראשון במשפטים LL.B ובעלת תואר שני במנהל עסקים M.B.A
• מתפקדת כמגשרת מוסמכת במשפט האזרחי באישור הועדה המייעצת לענייני גישור במשרד המשפטים.

5/5 - (8 votes)

לשיתוף:

תוכן עניינים

תוכן עניינים

error: פעולה זו חסומה.

לפגישת ייעוץ עסקי

מה תקבלו בפגישה?

  • אבחון עסקי – בפגישה ננתח את העסק שלכם, את ההתנהלות העסקית שלכם ונבין יחד מהם האתגרים בעסק שלכם.
    תקבלו התייחסות לכלל התחומים הנדרשים בעסק ותבינו מהן הפעולות שאתם צריכים לבצע כדי להגיע ליעדים העסקיים שלכם.
  • צורך ספציפי – ייתכן וישנו צורך ספציפי: בחינת רווחיות, התווית אסטרטגיה שיווקית, מימון, היתכנות לתהליך הבראה פיננסית או כל תחום אחר בעסק שלכם שנדרש ייעוץ מקצועי.

לתיאום פגישה, מלאו את הפרטים: