5 טעויות אבטחת מידע שעסקים עושים שוב ושוב

טעויות באבטחת מידע לא מגיעות תמיד מרשלנות. לעיתים קרובות הן נובעות מפערי ידע, מתעדוף לא נכון של משאבים או מהנחות יסוד שגויות לגבי רמת הסיכון. ארגונים שחוזרים על אותן טעויות מוצאים את עצמם חשופים לאיומים שהיו ניתנים למניעה. ההכרה בטעויות האלה

היא הצעד הראשון לשינוי.

כדי לשבור את המעגל הזה, צריך להכיר תחילה את הטעויות הנפוצות. מנהל אבטחת מידע מנוסה יזהה את רובן מיד כאשר יכנס לארגון חדש, כי הן חוזרות בצורות שונות ברוב הארגונים שלא בנו תשתית אבטחה מסודרת. הבנת הטעויות האלה היא הצעד הראשון לתיקונן, ובמקרים רבים התיקון אינו מצריך השקעה ענקית.

טעות ראשונה: להניח שאתם לא יעד מעניין

התפיסה שגודל הארגון קובע את רמת הסיכון שלו נפוצה מאוד, אך היא מבוססת על הבנה שגויה של האופן שבו פועלים תוקפי סייבר. ארגונים קטנים ובינוניים נתפסים בעיני רבים כ"תחת הרדאר", אך התמונה בשטח שונה לגמרי. הנחה זו גורמת לארגונים להשקיע פחות בהגנה, וכך הופכים להיות יעדים אטרקטיביים.

אחת ההנחות הנפוצות בעסקים בינוניים היא שפושעי סייבר מתמקדים בתאגידים גדולים ובשמות מוכרים. הנחה זו שגויה ועלולה לגרום לנזק רב. תוקפים בוחרים יעדים לפי נגישות ורמת ההגנה הקיימת, לא לפי הגודל או היוקרה של הארגון.

כלים אוטומטיים סורקים את האינטרנט בחיפוש מתמיד אחר מערכות עם פרצות ידועות. כאשר סריקה כזו מוצאת שרת עם תוכנה לא מעודכנת, גישה לא מאובטחת או סיסמה חלשה, היא מנצלת את הפרצה ללא מאמץ אנושי מיוחד. גודל הארגון לא רלוונטי בשלב הזה, ועסק בינוני חשוף באותה מידה כמו תאגיד גדול.

כדאי לבחון את הארגון שלכם מנקודת מבט של תוקף פוטנציאלי. שאלו את עצמכם אילו נתונים יש לכם שמישהו עלול לרצות, אילו מערכות חשופות לאינטרנט ומי יכול לגשת אליהן. התשובות לשאלות האלה מגדירות את מפת הסיכון האמיתית שלכם, ומכוונות היכן להשקיע את מאמצי האבטחה. ארגון שעוסק בנתוני לקוחות, בתשלומים או בקניין רוחני מחזיק מידע שיש לו ערך לתוקפים, ללא קשר לגודלו.

טעות שנייה: הזנחת הכשרת עובדים

הטכנולוגיה לבדה אינה מסוגלת לספק הגנה מלאה. חומת אש, תוכנת אנטי-וירוס ומערכות ניטור מתקדמות לא יועילו אם עובד לחץ על קישור זדוני בדוא"ל שנראה לגיטימי. ההשקעה בהכשרת עובדים היא ממשק קריטי שלעיתים מוזנח לטובת השקעה בטכנולוגיה.

עובדים הם לעיתים קרובות נקודת הכניסה הקלה ביותר לארגון. מייל פישינג שנראה אמין, קישור שמפנה לדף התחזות, או קובץ מצורף שמתיימר להגיע מלקוח מוכר הם כלים שעובדים נפגשים איתם בכל יום. ארגון שלא משקיע בהכשרה מציב את עצמו בסיכון גבוה.

ההכשרה הנדרשת אינה חייבת להיות ארוכה או מסובכת:

• זיהוי פישינג: כיצד לזהות דוא"ל חשוד לפי כתובת השולח, הניסוח ולחצי הדחיפות
• ניהול סיסמאות: שימוש בסיסמאות ארוכות וייחודיות לכל שירות, ושימוש במנהל סיסמאות
• דיווח על אירועים: פרוטוקול ברור לדיווח כאשר עובד חושד שנפל קורבן לתקיפה

הכשרה שנתית בלבד אינה מספיקה. ארגונים שרוצים לשמור על רמת ערנות גבוהה מבצעים תרגולים תקופתיים, כולל מתקפות פישינג מדומות שמלמדות עובדים לזהות ניסיונות הונאה בסביבה בטוחה. עובד שנחשף לתרגיל כזה ו"נפל" בו לומד שיעור שנשאר איתו הרבה יותר מאשר הרצאה בפאוור-פוינט. התוצאה היא עובדים שמעבירים מיילים חשודים לבדיקה במקום ללחוץ על קישורים, ושמדווחים על אירועים חריגים גם כאשר אינם בטוחים לחלוטין.

טעות שלישית: לא לנהל גישות ורשויות

ניהול גישות נתפס לעיתים כעניין ביורוקרטי שמסבך את חיי העובדים. גישה זו מתהפכת כאשר מתרחשת תקיפה ומגלים שלעובד אחד שחשבונו נפרץ הייתה גישה לנתוני לקוחות, מסמכים פיננסיים ומערכות ניהול שלא השתמש בהן כלל. הנזק שנגרם בגלל הרשאות יתר יכול להיות גדול בהרבה מהנזק שהיה נגרם אחרת.

בארגונים רבים, עובדים מקבלים גישה רחבה למערכות שאינם צריכים לצרכי עבודתם השוטפת. תופעה זו נקראת "הרשאות יתר", והיא יוצרת סיכון ממשי: אם חשבון עובד נפרץ, התוקף מקבל גישה לכל מה שאותו עובד יכול לגשת אליו. מרחב הנזק גדל פי כמה.

עיקרון ה"הרשאה המינימלית הנדרשת" קובע שכל עובד יקבל גישה רק למשאבים שנחוצים לו לביצוע תפקידו. יישום העיקרון הזה מצמצם את הנזק הפוטנציאלי שתוקף יכול לגרום אם הצליח לפרוץ לחשבון אחד. כמו כן, יש לוודא שגישות מבוטלות מיד כאשר עובד עוזב את הארגון.

מעקב שוטף אחר הרשאות הוא חלק חשוב מהניהול השוטף של אבטחת המידע. רשימה שאינה מתעדכנת הופכת לבעיה: עובדים שעברו תפקיד שומרים על גישה מיותרת, וחשבונות של עובדים שעזבו נשארים פעילים. ביקורת תקופתית על מצב ההרשאות מונעת בעיות כאלה ומקטינה את שטח הפנים שתוקף יכול לנצל. פרוטוקול ברור לביטול גישות ביום שעובד עוזב הוא אחד הצעדים הפשוטים ביותר שארגון יכול לנקוט.

טעות רביעית: הזנחת גיבויים ותוכנית התאוששות

בעת מתקפת כופר, הנכס החשוב ביותר שיש לארגון הוא גיבוי תקין ומעודכן. ארגון שיש לו גיבויים מאובטחים ומאוחסנים כראוי יכול לשחזר את פעילותו מבלי לשלם כופר. ארגון שאין לו כזה עומד בפני בחירה קשה: לשלם לתוקפים או לאבד נתונים חיוניים.

ארגונים רבים מניחים שאם יש להם גיבויים, הם מוגנים. אולם גיבוי שלא נבדק אינו גיבוי אמין. גיבויים שמאוחסנים ברשת הפנימית של הארגון עלולים להיפגע בעת מתקפת כופר שמצפינה את כל הנתונים, כולל הגיבויים עצמם. הגיבוי הוא חלק מהפתרון, לא כל הפתרון.

תוכנית התאוששות מאסון היא מסמך שמגדיר מה עושים בעת תקיפה מוצלחת. כמה שאלות בסיסיות שהתוכנית צריכה לענות עליהן:

• מי אחראי לקבלת ההחלטות בעת אירוע?
• כיצד מעדכנים לקוחות ושותפים עסקיים?
• מהו סדר השחזור של המערכות לפי עדיפות?

גיבויים צריכים להיות מאוחסנים לפי כלל ה-3-2-1: שלושה עותקים של הנתונים, על שני סוגי מדיה שונים, כאשר לפחות עותק אחד מאוחסן מחוץ לאתר הפיזי של הארגון. בדיקה תקופתית שהגיבוי אכן ניתן לשחזור היא חלק הכרחי מהתהליך, כי גיבוי שמסתבר שאינו תקין ברגע האמת אינו שווה דבר.

טעות חמישית: לא לעדכן תוכנות ומערכות בזמן

דחיית עדכונים היא הרגל שנוצר מתוך נוחות: העדכון דורש הפעלה מחדש, העובד באמצע משהו, ויש תמיד דברים דחופים יותר. לאורך זמן, הרגל זה יוצר שכבות של תוכנות לא מעודכנות שכל אחת מהן עלולה לכלול פרצות ידועות שלא טופלו.

עדכוני תוכנה לא מותקנים הם אחד הגורמים הנפוצים לפריצות. כאשר חברת תוכנה מפרסמת עדכון אבטחה, היא מודיעה על כך לציבור, ובכך מסמנת גם לתוקפים אילו פרצות קיימות. ארגון שמאחר בהתקנת העדכון נותן לתוקפים חלון זמן לנצל את הפרצה הידועה, ותוקפים מכירים את הדינמיקה הזו ומנצלים אותה.

ניהול עדכונים בארגון מחייב מדיניות ברורה. יש לקבוע מי אחראי לעדכונים, מה לוח הזמנים לבדיקתם ואיך מתמודדים עם מצבים שבהם עדכון דורש הפסקת שירות. ארגונים שאין להם מדיניות כזו נוטים לדחות עדכונים שוב ושוב בגלל עומס עבודה, ויוצרים בכך חשיפה מצטברת. חלון הזמן שבין פרסום עדכון לבין התקנתו הוא החלון שתוקפים ממתינים לו.

כמה נקודות שכדאי לבדוק בהקשר של עדכונים:

• מערכות הפעלה: שרתים ותחנות עבודה דורשים עדכון שוטף ומסודר
• תוכנות עסקיות: מערכות CRM, ERP ותוכנות ניהול שלעיתים נשכחות
• ציוד רשת: נתבים, חומות אש ומתגים שמתקינים ושוכחים

כמה מילים לסיום

חמש הטעויות שהוצגו כאן חוזרות בארגונים שונים ובגדלים שונים, ובכולן המשותף הוא שהן ניתנות לזיהוי ולתיקון. לא נדרש תקציב ענק או טכנולוגיה מתקדמת, אלא מדיניות ברורה, הכשרה נכונה ותשומת לב שוטפת. ארגון שמחליט לטפל בנקודות האלה עושה שינוי ממשי ברמת ההגנה שלו.

הדרך הנוחה לגשת לנושא היא לבחור שתיים שלוש מהטעויות שהכי רלוונטיות לארגון שלכם ולהתחיל משם. כל שיפור שעושים מקטין את הסיכון, ותהליך הדרגתי תמיד עדיף על המתנה לפרויקט מושלם שאף פעם לא מתחיל. גם שינויים קטנים כמו הפעלת אימות דו-שלבי או ביטול חשבונות של עובדים שעזבו יכולים לסגור פרצות חשובות. ארגון שלוקח צעד אחד קדימה בכל חודש יצבור לאורך שנה רמת הגנה שונה לגמרי מזו שבה התחיל.

ארגון שמזהה את נקודות התורפה שלו ועובד על שיפורן הוא ארגון שמתמודד עם המציאות בצורה בוגרת. אבטחת מידע אינה מצב סופי שמשיגים פעם אחת, אלא תהליך מתמשך שמשתפר ומסתגל לאיומים המשתנים. השקעה עקבית ומתמשכת בנושא הזה היא ההגנה הטובה ביותר שיש, והיא שמאפשרת לעסק להמשיך לפעול בביטחון גם בסביבה שמשתנה כל הזמן.