Add to Calendar איומים במסגרת עבודה מרחוק
top of page
חיפוש
    • זמן קריאה 2 דקות

איומים מרכזיים בעת עבודה באמצעות פלטפורמות תמיכת משתמשים מרחוק

אז התקופה האחרונה מאלצת אותנו לעבוד יותר ויותר מהבית, מרחוק. יש לכך כמובן את היתרונות הברורים, אך גם את החסרונות וביניהם תקיפת משתמשים בעת שימוש בפלטפורמה של תמיכת משתמשים מרחוק. מדובר בסיכון גבוה מאוד ובכלי שעושים בו שימוש תדיר (ולכן כדאי להיעזר בשירות של ביקורת אבטחת מידע, עליו נרחיב בהמשך המאמר) פלטפורמות השתלטות מרחוק כגון Team Viewer, AnyDesk משמשות ארגונים רבים וכן משתמשים פרטיים לשם מתן/קבלה שירותי תמיכת IT. פלטפורמות אלו מספקות גישה למחשב אחר לשלוט במחשב שלכם. בזכות אפשרויות שיתוף מסך, קבצים, ושיחה - התוכנה הופכת את מתן השירות ליעיל יותר.


אז איך מגנים על עצמכם? הנה כמה עצות זהב עבורכם

  • בעת התקנת התוכנה במקרים רבים קיים פער ביכולות (אבטחתיות ואחרות) בין גרסאות שונות של הפלטפורמה (תלוי תשלום). מומלץ לבחור בגרסה המאפשרת יכולות אבטחה מיטביות.

  • הורדת התוכנה ממקורות מהימנים בלבד! (אתר החברה הרשמי, חנות רשמית להורדת אפליקציות) הדבר נכון הן לגורם המספק תמיכה והן לבעל משתמש הקצה (המקבל את התמיכה).

  • מומלץ לוודא כי הפלטפורמה מאפשרת תחקור של אירועי עבר, דוגמת שחזור פעולות אשר ביצע גורם התמיכה. יש לתת את הדעת לדרישות תקנות הגנת הפרטיות (אבטחה מידע) בנושא היסטוריית שמירת לוגים.

  • אין צורך של הורדת התוכנה עם תוספות לא חיוניות, אשר עשויות להגדיל את משטח התקיפה או ליצור התנגשות עם אמצעי האבטחה הקיימים בארגון.

  • אין להוריד תוכנה מבלי לקבל אישור מהחברה/ארגון תוך חוסר ידיעה מהי רמת האבטחה במוצרים אלו, ומבלי לדעת מה הסיכונים האפשריים.

  • ניתן להגדיר מדינות/אזורים אשר מורשים להתחבר לארגון.

  • יש להגביל את שעות ההתחברות לשליטה מרחוק לשעות הפעילות בלבד, בהתאם לשעות עבודת המתחבר (ישנה אפשרות להשוות בין שעות ההתחברות לדיווח שעות העבודה).

  • יש לשים לב למי נותנים את הגישה, ולתקשר עם הגורם שאליו פרטי ההתחברות מגיעים, בעת ההתחברות. זאת על מנת לוודא שאכן מדובר בתומך לגיטימי, שמאושר ע"י הארגון.

  • כדאי לדעת: גורם חיצוני עשוי לנצל הרשאות גישה ולהתחבר, וזאת ללא ידיעתו של גורם אשר קיבל את פרטי הגישה באופן לגיטימי המשתמש. לדוגמה, גורם  IT חיצוני המנצל אותם למטרות לא לגיטימיות לאחר שכבר סיים את תיקון התקלה במחשב.

  • יש לוודא שבסיום טיפול התקלה, בוצעה התנתקות מסודרת מהמחשב עליו בוצעה ההשתלטות.

  • יש להסתיר את המצלמה ולכבות את הרמקול במידה והשימוש בו הסתיים.

לסיכום, ניתן ליהנות מיתרונות העבודה מרחוק גם ללא סיכון מיותר. הקפידו על ההמלצות ועל פרטיותכם והימנעו מאיומים למיניהם. אנו באודיט בקרה וביקורת מתמתחים בתחום הגנת הפרטיות ואבטחת מידע לאירגונים מכל הסוגים ונשמח לעזור גם לכם לשמור על משאביכם.

לכל שאלה בנושא ניתן לפנות לעו"ד מיכאל גילינסקי, ראש מחלקת רגולציה באודיט בקרה וביקורת, יועץ מומחה לדרישות רגולציית הגנת הפרטיות ואבטחת מידע במייל: michaelg@audit-fa.co.il

קרדיט: מסמך זה (עמודים 9-12 במסמך זה) מבוססים על "תורת ההגנה לארגונים", מהדורה 1.0 שפורסם על ידי מערך הסייבר הלאומי ביום 18.4.2017. המסמך זמין באתר המערך: https://www.gov.il/he/departments/policies/cyber_security_methodology_for_organizations

אנו ממליצים להעביר את המסמך לעובדים שלכם ולכל מי שיכול להיכנס לרשתות שלכם כדי להגביר את המודעות שלהם לנושא.

מאחלים לכולנו חזרה מהירה לשגרה!


bottom of page