אם יש דבר טוב שיצא מנגיף הקורונה, הוא שכולנו הבנו כי קיים מודל נוסף של צורת עבודה – מודל ״העבודה מרחוק״. מאז מרץ 2020 הנגיף הוביל לשיבושים במגזר העסקי וחוסר וודאות שהכריח את מרבית הארגונים להעביר את העובדים לעבודה מהבית, גם לאחר שחלפה תקופת הסגרים, מרבית הארגונים סיגלו לעצמם מודל היברידי המשלב עבודה מהבית מסיבות שונות.
במודל זה יש צורך לחיבור מרוחק בין העובדים מהבית לבין המידע הארגוני לצורך התנהלות הארגון וההמשכיות העסקית ללא הפרעות. שירותי הענן תפסו תאוצה בתקופה זאת שכן הוכיחו עצמם כיעילים, אך בין אם המידע העסקי שמור בענן ובין אם שרת מקומי, יש צורך בחיבור מרוחק אליו לעובדים מרחוק; ועל כן נדרשת ערנות יתר בכדי לשמור על אבטחת המידע.
בעת עבודה מהבית, עמדת המחשב שלנו חשוף יותר מאשר בסביבת המשרד ופחות נתון להגנה ארגונית ולכן תוקפים יכולים לנצל חולשה זו שההגנה בביתו של העובד היא החוליה החלשה בשרשרת האבטחה בארגון ולכן נולד הצורך להגביר את ערנות העובדים והארגון.
תופעת הפישינג (Phishing) מאז מרץ 2020 עלתה פי 7, זוהי עלייה משמעותית בניסיונות חדירה לארגונים הצפויה להתגבר כל עוד הארגון לא יסגל דרכי התמודדות ראויות עם הסיכונים הכרוכים בעבודה מהבית.
אבן היסוד להתנהלות נכונה היא הסמכה לתקן ניהול אבטחת מידע עבור ארגונים שמחזיקים במידע חשוב להם או לבעלי עניין נוספים (כמו לקוחות, ספקים וכד׳) ומבקשים לשמור על מוניטין חיובי ולהתנהל בצורה ישרה ומקצועית, אבל חשוב להבין שבמסגרת התנהלות לפי תקן אבטחת מידע, אך גם מעבר לכך – על הארגון לדאוג כי ישנם אמצעי ההגנה המתאימים לצרכי הארגון, ישנם אמצעי הניטור והבקרה היודעים להרים דגל ברגע הנכון ולחסום מי שצריך בשלב מוקדם ככל הניתן, להדריך את העובדים/משתמשים ולוודא כי הם יודעים ועירנים לפעילותם והתנהלותם במסגרת עבודה מרחוק, אך לא רק! חשוב להבין שאין סוף לאבטחת מידע ותמיד ישנן פרצות נוספות שנגלה, אך לפחות – בשלב ראשוני ועל מנת שניתן יהיה להעלות את רמת האבטחה באופן משמעותי, ריכזנו עבורכם כללים שלכאורה נשמעים בסיסיים ושפוטים, אך מבדיקה שלנו – ארגונים רבים שפרצו אליהם – נכוו מסיבות אלו ממש, ועל כן אלו כללים שיסייעו להגביר כארגון את רמת אבטחת המידע בעבודה מרחוק:
- לדאוג לנעילת מסך אוט׳. ממש כך! פשוט ככל שזה נשמע, חשוב לוודא שקיימת הגדרה (לא רק לכיבוי מסך) לנעול את המחשב לאחר פרק זמן שלא נעשה בו שימוש. רצוי להגדיר פרק זמן סביר – לא קצר מדי, אך גם לא ארוך מדי. ולמרחיקי לכת... להשתדל שלא להשאיר את המחשב במסך גלוי ללא השגחה ולדאוג להעביר אותו למצב ׳נעול׳ כהולכים ממנו לפרק הזמן שלא נעשה בו שימוש.
- הגדרת סיסמה, רצוי חזקה ומורכבת (המונח ׳מורכבת׳ מהווה שילוב של סימנים מיוחדים, אותיות קטנות וגדולות וספרות) שאינה מכילה רצפים מוכרים, תאריכים סמליים או סדרה עוקבת של מספרים. הקפידו על החלפת הסיסמה כל פרק זמן בכל התוכנות ואל תמחזרו אותן.
- אימות דו-שלבי (Two Step Verification). מרבית התוכנות הכוללות מידע מאפשרות אימות דו-שלבי הכולל קוד הפעלה כשלב שני באמצעות אפליקציה, דוא״ל, מסרון או שיחה. השתדלו להפעיל אימות זה עבור התוכנות בהן הנכם משתמשים – תוך התייחסות לחשיבות סוגי התוכנות בהן הנכם משתמשים, כך שלדוגמא ניתן להגדיר מכשירים מוכרים ללא צורך באימות חוזר לעומת מכשירים חדשים הנדרשים כן לאימות דו-שלבי (לפחות בפעם הראשונה) – כמובן לפי שיקול דעת, בכדי שמצד אחד תהיו מוגנים, אך מצד שני לא להכביד יותר ממידת הצורך הנדרשת.
- חיבור לרשתות WIFI קבועות הינו הכרחי במסגרת עבודה מרחוק. אך ניתן לשלב אמצעי הגנה שפחות נוהגים להשתמש בו – חיבור VPN. תשקלו זאת.
מעבר לכך, הימנעו מחיבור לרשתות ציבוריות/מזדמנות (קל יותר לחדור אליכם למחשב כאשר אתם נמצאים באותה רשת/סביבה עם הפורץ) והתחברו רק לאתרים מאובטחים (כתובת HTTPS).
- להימנע מלפתוח מיילים (ודאי קבצים) מנמענים שזהותם מחשידה וכן להתריע בפני הממונה על אבטחת המידע בארגונכם בעת קבלת דיוור מסוג זה. באם יש חשש כלשהו לפריצה דווחו באופן מיידי לממונה.
חשוב להתייחס במסגרת כך ולהדריך את העובדים על סוגי הדיוורים הצפויים להתקבל וכיצד ניתן לזהות (או לפחות לחשוד) את אלו. המלצה שלנו היא לסמוך על הפשטות... כאשר דוא״ל נראה חשוד, לעיתים אף משולחים מוכרים לנו אך הוא לא מסוגנן באופן שאנו רגילים ומכירים – כנראה שזהו דוא״ל פישינג.
- עדכון ושדרוג של תוכנות. בראשותם תוכנת האנטי-וירוס, אך לא רק. חשוב והכרחי כי שדרוגי תוכנות כוללות גם סיוע בהגנה ותיקון פרצות אבטחה ועדכונים אלו עשויים למנוע את הפריצה הבאה. היו ערניים והקפידו לעדכן תוכנות אלו בעת הצורך. כמובן עדיף להגדיר עדכונים אוט׳ שלא תצטרכו לדאוג לזכור לבצע זאת בעצמכם.
כמובן מעבר לששת כללים אלו, נמליץ לכל ארגון לבצע פעילויות נוספות, ולא רק בשימוש העובדים, אלא גם בסביבות נוספות כמו אתר האינטרנט של החברה – למשל לשקול לנטר תוכנות בעלות גישה לדומיין החברה, לוודא שאין אזהרות על תוכנות אלו בשימוש תוקפים ובמקרה שכן מומלץ לבוחנה היטב. כבר ראינו ששיטת הפעולה של תוקפים התבססה על השתלת תוכנת גישה מרחוק, שלכאורה לגיטימית, במערכות הארגון המותקף, ואז דרכה חדרו לרשת הארגונית.
אך על מנת לוודא שהנכם מגנים על עצמכם ולא חלילה נופלים ״בקטנות״ רצוי לוודא שאצלכם בארגון יישמתם לפחות את הכללים החשובים הללו. המלצתנו כמובן היא להתייחס לאורך כל הדרך לטיפול באבטחת מידע בארגון.
בהקשר לכך, כדאי להכיר את תקני אבטחת המידע העיקריים שמסייעים להוביל ולנהל את הגנת הארגון על הפעילות שלו והמידע שבו. דרכי הפעולה שמציעים תקני אבטחת המידע מתייחסות לגורם האנושי, למערכות המחשוב השונות, לנתונים והבקרה בארגון ובעזרתם תוכלו לנהל את מערך ההגנה על המידע ולמזער את הסיכונים של פגיעה או דליפת מידע החוצה כתוצאה מאיומי סייבר פנים וחוץ ארגוניים.
תקני אבטחת מידע שעליכם להכיר:
- תקן ISO 27001 - תקן אבטחת מידע בינלאומי אשר נחשב לאבי תקני אבטחת המידע ומגדיר עקרונות פשוטים ותכליתיים לביסוס, ניהול ותחזוקה של מערכת אבטחת מידע בארגון.
התקן מוטמע בארגונים במטרה לסייע בתהליך איטום פרצות וגניבה של מידע מהארגון וזליגתו החוצה. ביסוס מערכת ניהול אבטחת מידע בארגון מאפשרת לכל ארגון – ללא תלות בגודל או תחום עיסוקו, להתאים את הכלים לשמירה על המידע בארגון לצרכים שלו.
- תקן 27799 ISO - תקן אבטחת מידע רפואי אשר מתמקד בשמירה על בטחון המידע ומיועד בעיקר למוסדות רפואיים וארגוני בריאות. תקן בינלאומי זה רלוונטי לכל נותני השירותים בתחום הרפואה אשר נחשפים למידע רפואי. בשנים האחרונות תקן ISO 27799 הפך לדרישת סף בקרב נותני השירות בתחום הרפואה אשר רוצים לשמור על יושרה מקצועית ולהגן על המידע של מטופליהם ועובדיהם.
- תקנות GDPR הגנת המידע והפרטיות (General Data Protection Regulation) -
מטרת תקנות אלו להגן על המידע והפרטיות של תושבי האיחוד האירופי. ארגונים הממוקמים באיחוד האירופי או ארגונים הנמצאים מחוץ לאירופה אך מחזיקים במידע על תושבי אירופה נדרשים לעמוד בדרישות של תקנות אלו.
תקנות GDPR מגינות על סוגי מידע פרטיים ביניהם: שם, כתובת, תעודת זהות, מידע רפואי וגנטי, מידע ביומטרי ועוד.
- תקן 27701 ISO - תקן לניהול פרטיות המידע האישי המסייע לארגון להקים, להטמיע וליישם מערכות לניהול פרטיות המידע (Privacy Information Management System = PIMS) ולנהל תהליכים מסודרים העוסקים בטיפול במידע האישי. בכך להבטיח עמידה בדרישות הגנה על הפרטיות.
- תקן 27017 ISO ו-27018 ISO - תקני אבטחת שירותי ענן.
תקן ISO 27017 הינו תקן לאבטחת סביבת הענן הכולל הנחיות כיצד לאבטח שירותי ענן בהיבטים: מידע מאוחסן בענן, מידע מעובד בענן ומידע שעובר בענן.
תקן ISO 27018 הינו תקן לאבטחה והגנה על מידע המאפשר זיהוי אישי (PII – Personally Identifiable Information) בשירותי ענן.
מידע לזיהוי אישי (PII) מוגדר כפריטי מידע המאפשרים זיהוי אדם ו/או מעקב אחריו. לדוגמה: שם פרטי, שם משפחה, מצב פיננסי וכו'. רגישות מידע זה הינה גבוהה שכן הוא עלול להיות מנוצל לרעה על ידי גורמים עוינים ולסייע להם במעקב אחר אנשים או בגניבת זהויות.
האתגרים בעולם אבטחת המידע רבים ומתגברים בעת עבודה מהבית,
על כן חשוב להיערך ולשמור על ארגונכם מכל הכיוונים.