8 כללים שכל עובד ומעביד צריך להכיר

חשוב להשקיע מאמץ באבטחת המחשב האישי (הנייד או הנייח) כדי להגן על המחשב מפני איומים שונים המגיעים דרך רשת האינטרנט.

להלן 8 כללים חשובים שכדאי להכיר:

• מתן הרשאות מותאמות תפקיד וצורך: באמצעות הגדרת הרשאות באופן מסודר, הארגון יכול לפקח על פעילות העובדים במחשבים. אנשים מתקינים על מחשביהם כל מיני תוכנות משלל מקורות שלעיתים לא ברור טיבם וכל התקנה כזו יכולה להיות פתח לפריצה ולהוות איום ממשי על אבטחת המידע של הארגון. מומלץ במיוחד להגביל את אפשרויות ההתקנה לעובדים בהתאם לתפקידם ולאפשר התקנה של תוכנות ספציפיות שמשרתות את התפקיד ולהעניק הרשאות המאפשרות התקנה רק לעובדי IT או עובדים בעלי כישורים, מיומנות, ידע ומודעות בנושא אבטחת המידע;

• גלישה באינטרנט: מומלץ למנוע גלישה באתרים שהם לא נדרשים לצרכי העבודה, כגון: אתרי משחקים חינמיים (במקרים רבים באתרים כאלו מצויות תוכנות ריגול ומעקב או שהן "מודבקות" למשחקים עצמם או הפלאגינים, שמאפשרים משחק) אתרי ספורט, שימוש בצ'אטים אשר מגדילים את הסיכוי לזליגה של קבצים ותוכן מתוך הארגון. כל גלישה באתר כזה, חושפת את הארגון לאיומים חיצוניים. מומלץ להתקין מערכות ייעודיות שתפקידן לנטר את האתרים אליהם העובדים יכולים להיכנס ולחסום את הגישה לאתרים שמוגדרים כבעיתיים. מערכות אלו משמשות מעין פילטר ויכולות אף לסמן את העובד "הסורר" שלא ממלא אחר ההנחיות באמצעות מעקב אחר הרגלי הגלישה של העובדים;

• שימוש במחשב נייד: במקרים רבים עובדים משתמשים במחשב נייד שאותו הם לוקחים הביתה ואז חזרה לעבודה והפוך. למעשה, מכניסים את המחשב הנייד לסביבה הביתית שהיא אינה מאובטחת באותה הרמה בה מאובטח הארגון. בסביבה הביתית לעיתים יש משתמשים אחרים או ילדים אשר עושים שימוש במחשב ובכך מגדילים את רמת הסיכון והחשיפה לאיומים עבור הארגון, שאינם נתונים לפיקוח ולבקרה. לכן כדאי להקפיד על הפרדה בין העבודה לבית ולא לאפשר לילדים ולמשתמשים אחרים להשתמש במחשב. כדאי גם להתקין מערכות לחיבור מרחוק מהבית בדרך מוצפנת (VPN וכדומה) ולוודא שעל המחשב עצמו יש את כל אמצעי אבטחת המידע שעומדים באותם סטנדרטים של הארגון כאשר ישנן אף מערכות ייעודיות לעניין זה שלא יאפשרו התחברות ו/או גישה מרחוק אם לא עומדים בסטנדרט הארגוני;

• אובדן או גניבה של מחשבים ניידים: מחשבים ניידים וכן בכלל ציוד נייד כמו טאבלטים, סמארטפונים וכדומה, מועדים יותר לאובדן או גניבה, כיוון שאנשים נוסעים איתם לחו"ל, ברכבת, ברכב וכדומה והם מטבעם ניידים, קטנים יותר וקלים לנשיאה. מומלץ להצפין את כל המחשב / ההתקן הנייד ואף להתקין מערכת אשר יודעת לאתר היכן המחשב נמצא ולמחוק את המידע מרחוק במידת הצורך. כך שבמידה ויש סיכוי לגניבת מידע ותוכן המחשב הופך להיות רק "ברזל" והנזק לארגון מוגבל לשווי הציוד שאבד או נגנב שהוא זניח לעומת שווי המידע שעליו, וכן המערכות מאפשרות אף לעיתים איתור הגנב והשבת הרכוש / האבדה;

• אימייל: האיום הנפוץ ביותר הוא "דייג" מקוון (Phishing), הכוונה היא להתחזות של האקרים בכדי לגנוב זהות ולהשיג מידע רגיש. הפיתיון לרוב נשלח למשתמש בצורת הודעה תמימה בפורום ועד לדואר זבל שנשלח במסווה של דואר אלקטרוני חשוב או הודעה על זכייה, הגרלה מיוחדת או מבצע אטרקטיבי ואף הודעות במסווה של הודעת אבטחה משירות מוכר כמו PayPal, בנק, Gmail, Facebook, LinkedIn וכדומה. האקרים רבים מתחזים ושולחים קישורים ולינקים כאלו, כל לחיצה על לינק כזה עלולה להשתיל וירוס במחשב או לגרום למשתמש לעדכן את פרטיו האישיים באתר דמי מתחזה וכך בעצם מוסרים פרטים רגישים ביותר כולל סיסמאות להאקר ללא ידיעה. כיום מאוד קל לשלוח מייל שמכיל חומר התקפי לתוך ארגונים, ולמרות שישנן מערכות ייעודיות שיודעות לסנן היטב את מרבית הוירוסים והמיילים שמטרתם הוא דייג מקוון. מומלץ לא לפתוח בכלל מיילים כאלה, שנשלחו ממקור שאינו מזוהה ובטח שלא ללחוץ על קישורים ולינקים חשודים ולא מזוהים. גם לגבי כאלה שנראים כביכול ממקור מזוהה הרי שהם צריכים לעורר חשד גדול, לרוב אגב אלו נשלחים לכאורה מגוף מוכר אבל כזה שהמשתמש בכלל לא היה איתו בקשר וזוהי כמובן "נורה אדומה" משמעותית;

• הגדרת סיסמאות: מומלץ להגדיר סיסמה בעלת מורכבות. הכוונה למשל לשילוב בין אותיות גדולות ואותיות קטנות ומספרים וסימנים מיוחדים בכדי למנוע מתוכנות אוטומטיות לאתר את הסיסמה בקלות. קומבינציה פשוטה מגדילה את הסיכוי לפריצה. תוכנות זדוניות אלו רצות על כל הקומבינציות האפשריות (ידוע כשיטת Brute Forcing) וכמובן שככל שהסיסמה קלה יותר ל-"ניחוש" הזמן הנדרש לפצחה נמוך יותר. במידה והסיסמה מורכבת מספיק, אז הסיכוי שתוכנות רצות יפרצו את הסיסמאות קטן. לא מומלץ גם להגדיר בתור סיסמה תאריכי לידה, שמות של הילדים, מספרי תעודת זהות וכדומה וכל מידע שניתן לקשרו למשתמש או לנחש באמצעות קומבינציות סבירות (ידוע כשיטת Dictionary Attack). את הסיסמאות צריך להחליף בתדירות גבוהה יחסית ולא להחליפן לסיסמאות שדומות למה שהוגדר בעבר. ארגונים צריכים להטמיע מדיניות סיסמאות כאמור במערכותיהם, Hard Coded, כדי למנוע פריצה חמורה זו, ומרבית המערכות כיום ערוכות לכך היטב;

• ביטחון פיזי: כדי למנוע פריצה ידנית, מומלץ להתוות מדיניות לגבי אנשים שאינם עובדים בארגון ונכנסים למשרדים כגון: ספקים חיצוניים, טכנאים ואנשי מחשבים, שבמסגרתה יוגדר כי הם נכנסים לארגון בליווי צמוד ולאחר הזדהות ותיעוד של הגעתם ועזיבתם כולל דרך לזיהויים. אלו יכולים להשתיל באופן ידני משהו במחשבים או להעתיק מידע ותוכן באמצעות דיסק נשלף. לעיתים אף גורם תמים שמופיע לכאורה באקראי כמו "מתרים" או אדם שאיבד את דרכו מתגלה כהאקר או כשלוח של מתחרים זדוניים, לא אחת היו אף מקרים של מועמדים פיקטיביים לתפקיד שהתגלו כ-"שתולים" או כאלו שהושתלו בחברות כוח אדם המספקות שירותים חיצוניים כמו שירותי ניקיון משרד (או אז המשרד גם "מנוקה" מהמידע הרגיש שבו);

• מחלקת IT: חשוב להגדיר ברמה הארגונית כי אחד מתפקידיה של מחלקה זו יהיה לעסוק באופן קבוע בנושא אבטחת מידע, בקרה וניטור. להשתמש בעידכונים שוטפים שמציעה מערכת ההפעלה, שימוש בתוכנות לאיתור וירוסים, שימוש בתוכנות ניקוי שונות, רכיבי חומת אש בכדי לחסום התקשרויות בלתי רצויות וחדירת האקרים ומניעת זליגת נתונים מחוץ לארגון. הסטנדרט המקובל היום הוא להעסיק איש IT ביחס של 1:8 לכל עובד בארגון. מחלקת IT טובה יכולה למנוע פריצות באבטחת מידע ולמזער איומים באמצעות הגדרת נהלי עבודה והטמעת מדיניות ברורה ומתן הרשאות מוגבלות בהתאם לצורך ולתפקיד. תפקיד המחלקה גם ליישם את הנהלים במערכות כדי למנוע מאנשים לעשות שגיאות. יש להקפיד כי אנשי המחלקה הם בעלי ידע מתאים, כישורים מתאימים ועוברים הכשרות בתחום אבטחת המידע וכן מעסיקים יועצים חיצוניים (מומחים) להשלמת פערים שלא מצופה ממחלקת ה-IT לתת להם מענה, כמו-גם מענה לתקריות ואירועי חרום או אירועים חריגים בכלל בתחום אבטחת המידע.