הקורונה נכנסה לחיינו במרץ 2020 ועדיין השפעות הוירוס מהווים חלק מחיי היום יום של כולנו. בין השאר, היא גרמה להאצת תהליכים, ביניהם עבודה ממוחשבת בהיקף גדול יותר, עבודה מהבית, עבודה מרחוק, הקמת חנויות אלקטרוניות, הגדלת תחום המסחר הקמעונאי ועוד.
נוכח איום הקורונה, ארגונים נדרשים להסתמך יותר ויותר על עבודה מהבית וכך עלתה המודעות של תקנות הגנת הפרטיות (אבטחת מידע) ולתקנות GDPR, מכיוון שעסקים או ארגונים מחזיקים במאגרי מידע, ובחלקם הגדול מידע רגיש.
ביום 21 במרץ 2017 תקנות הגנת הפרטיות (אבטחת מידע) אושרו בוועדת חוקה, חוק ומשפט של הכנסת ונכנסו לתוקף במאי 2018. התקנות מטילות חובות משמעותיות על כל הבעלים, המנהלים והמחזיקים של מאגרי מידע בישראל, לאבטחת המידע שברשותם.
מה תקנות הגנת הפרטיות (אבטחת מידע) מחייבות
קודם כל, חשוב לדעת כי תקנות הגנת הפרטיות חלות על כלל המשק הישראלי ללא יוצאי דופן. זה כולל את כל מי שמנהל, מחזיק ו/או בבעלותו סוג של מאגר מידע מכל סוג, ארגונים, גופים ציבוריים, עמותות, חברות פרטיות, עסקים ויחידים. תקנות אלו חלות על מאגרי המידע העונים על הגדרת "מאגר מידע" לפי סעיף 7 לחוק הגנת הפרטיות ובכללם מאגרים שהמידע שבהם נאסף ממקורות פומביים. התקנות מחייבות כל בעל מאגר מידע להחיל נוהל אבטחת מידע המגדיר את מטרות המאגר, את סוג השימוש בו, את הסיכונים העיקריים לפגיעה בו ואת דרכי ההתמודדות עימם. סוג מאגר המידע נחלק ל4 קבוצות, ובהם רמת אבטחה הולכת וגוברת. החלוקה נעשית כך: מאגר המנוהל בידי יחיד, רמת אבטחה בסיסית, רמת אבטחה בינונית ורמת אבטחה גבוהה. רמת האבטחה נקבעת לפי ניתוח של סוג המידע שנשמר (האם מדובר במידע רגיש), כמות המשתמשים במערכת וכמות האנשים שיש עליהם מידע.
התקנות מחייבות את בעלי המאגר בהגנה פיזית וסביבתית, של תשתיות (שרתים, תחנות עבודה, ארונות תקשורת ועוד') המשמשות את המאגר, במקום מוגן המונע כניסה אליו ללא הרשאה. כמו כן, כאשר מדובר על מאגר מידע הנמצא ברמה הגבוהה, חלה על בעל המאגר חובה לבצע סקר לאיתור סיכוני אבטחת מידע (סקר סיכונים) אחת ל-18 חודשים לפחות ולבצע מבדקי חדירות למערכות המאגר אחת ל-18 חודשים לפחות.
קיימות עוד פעולות שעל הארגון לבצע, והן מפורטות במדריך המלא לתקנות הגנת הפרטיות (אבטחת מידע) שאותו פרסמה הרשות להגנת הפרטיות.
עבודה מהבית או מרחוק בימי קורונה
תנאי העבודה המשתנים שלא איפשרו עבודה פיזית במקום העבודה הכריחה ארגונים רבים לאמץ עבודה מרחוק, מהבית. עובדים ביצעו עבודתם באמצעות מחשבים מרוחקים "מלוכלכים" (לא מאובטחים וללא ניטור של צוות הIT) ודרך תוכנות צד שלישי כגון Zoom, Teams וכדומה נעשו הרמות כוסית בחג פסח, ישיבות צוות, "פגישות" עבודה, ייעוצים ועוד.
עלייה באירועי הסייבר בזמן קורונה
לצד הנזקים האדירים על הכלכלה, גורמים רבים ניצלו את הקורונה לטובת התקפות סייבר ותוך פחות מחודש הייתה עלייה של 30% במתקפות סייבר. בשלושה שבועות הוקמו 20,000 דומיינים (Domain - מושג דומה להקמת חברה וירטואלית) חדשים, מתוכם 3,400 חשודים כזדוניים הקשורים למתקפות סייבר. ניתן לאפיין מתקפות הקשורות בנגיף קורונה כמתקפות הכוללות שימוש באתרים המכילים את המונחים Corona או Covid ב- Domain שלהם, שליחת מיילים הכוללים קבצים זדוניים, המכילים את המונח Corona בשם הקובץ ושליחת קבצים זדוניים בתוך גוף המייל, תוך כדי שימוש בתכנים הקשורים בנגיף בכותרת המייל. בתחילת משבר Covid-19 הוקמו אתרים מתחזים המציגים מפות מעקב אחר התפשטות נגיף הקורונה. לאחר מכן בשלב מאוחר יותר, הדומיינים עסקו בחבילות התמיכה הממשלתיות לעסקים וכיום נוצרים דומיינים חדשים העוסקים בהסרת המגבלות במקומות שונים בעולם וכן כאלה הקשורים ב'גל שני של התפרצות הקורונה', אך בהחלט ניתן לומר כי לאורך כל התקופה ניתן למצוא אתרים העוסקים בחיסון נגד קורונה וערכות בדיקה להימצאות הנגיף. חלק מהמתקפות הן של האקרים שהתחזו לארגון הבריאות העולמי או לאו"ם, ובהן בקשה לתמיכה במאבק הגלובאלי בקורונה, וכן כאלו הקשורות לתוכנות צד שלישי של שיתוף קבצים, וידאו קונפרנס, צ'ט ופגישות וידאו עיסקיות כמו Teams של מיקרוסופט, Meets של גוגל, Slack או Zoom.
ומה קורה בתוכנות או במחשבים המרוחקים?
מאז שהחלה מגפת הקורונה עובדים רבים בישראל ובעולם מתחילים להכיר מקרוב מושגים מעולם אבטחת המידע והסייבר: Malwares (נוזקה), Phishing (הונאות דיוג) ותוכנות זדוניות הם רק חלק ממנת חלקם של עסקים שאימצו את גישת העבודה מרחוק. ומדוע? התשובה היא פשוטה: עובדי החברה אשר משתמשים במחשב מרוחק עושים זאת דרך מכשיריהם האישיים וחלקם אינם מאובטחים אלא "מלוכלכים", כמו למשל Wi-Fi ביתי לקבלת גישה מרחוק לרשת הארגונית, או שימוש באינטרנט הציבורי. עובדים רבים עלולים להיכשל בשמירה על נהלי אבטחה חיוניים כמו שימוש ב- VPN לגישה מרוחקת או הצפנת נתונים המועברים בין שרתי החברה ליחידת הקצה של העובד.
גידול בהונאות אינטרנט
ניסיונות התחזות לדומיינים של בנקים בישראל, התחזות לגופים רשמיים, או חברות מוכרות, התחזות לשירותי VPN לגיטימיים – כל אלה הם רק חלק מהונאות האינטרנט שמספרן גדל מאז פרוץ הקורונה בישראל. הנה מבנה של דפוס הונאה שכיח: בתחילה, נעשה שימוש בכתובת מייל המכילה קישור לאתרים של חברות מוכרות של תרופות /ציוד רפואי/מוסדות בריאות מוכרים. עוד דרך להונאה הוא בניסיון ליצור קשר טלפוני עם אוכלוסיית הגיל השלישי ע"י דובר המתחזה לרופא כספים עבור "בן משפחה" שנדבק בקורונה או התקשרות לקורבן והתחזות טלפונית לנציג מוסד, בטענה שייתכן ונחשף לקורונה ולכן נדרש למסור פרטים אישיים ורגישים.
בידקו את עצמכם – האם אתם חשופים לבעיות אבטחת מידע
הנה כמה שאלות שכדאי לכם לשאול את עצמכם בכדי לדעת מהי רמת הפגיעה האפשרית באבטחת המידע הקיים ברשותכם: כמה מנהלי מערכת ומורשי גישה יש לכם? כדאי לוודא שיש לכם חשבונות נפרדים למנהל המערכת השונים, עם הרשאות מדויקות ובקרה, כדי לא להיות תלויים באדם אחד במידה ואחד ממנהלי המערכת לא זמין, וגם למקרה שהתגלתה נקודת כשל – תוכלו להתחקות אחריה במדויק.
גישה מרחוק? כדאי לבדוק את הגדרת החוקים המופעלים בחומת האש של הארגון (RDP, SSL-VPN, הגדרת לוגים ועוד)
האם הפעלתם לוחות בקרה או דוחות? ייתכן והמצב של עבודה מרחוק משפיעה על העומס של השרתים, וכך מאיטה את קצב העבודה. לכן, דו"חות יכולים לעזור במידה והפעלתם אותם משום שהם מאפשרים לנטר את ביצועי המערכת ולנהל את המשאבים ללא הכבדה על המערכות האחרות.
טיפים להתגוננות מאירועי סייבר
אז אם כבר עברתם לעבוד מהבית דרך המחשב המרוחק, והעסק אותו אתם מנהלים/בו אתם עובדים כבר עשה את קפיצת הדרך הדיגיטלית, הנה כמה טיפים שכדאי ליישם בכדי לשמור על פרטיות העובדים ואבטחת המידע.
עבודה לפי נהלי אבטחת מידע
עבודה מהבית מזמנת בעיות אבטחת מידע, משום שהרשת הביתית לא מנוהלת ומנוטרת ע"י אנשי הIT כמו במשרד. לכן, הכינו נהלי אבטחת מידע לעבודה מהבית כבר מראש ועבדו לפיהם. הקשיחו את המחשבים מראש, הגדירו מדיניות סיסמאות, ניתוק המערכת באופן אוטומטי, התקנת אנטי וירוס של חברה מוכרת הכולל רכיב של אנטי כופרה, וודאו כי מערכת ההפעלה תומכת בעדכוני אבטחה שוטפים, הגדירו מי מהעובדים יכול להשתמש באיזו תוכנה, ומה הנוהל כאשר מדובר בעבודה משותפת באחת מתוכנות צד שלישי של וידאו צ'ט כמו וואטסאפ, Teams, Zoom ועוד.
ספאם, פישינג, הנדסה חברתית ותוכנות זדוניות
גם בעבודה מהבית אל תלחצו על קישורים או קבצים חשודים ממקורות, שאינכם מכירים, ושמגיעים אליכם דרך המייל או בערוצי התקשורת השונים. גם פרטים רגישים כמו מספר כרטיס אשראי, מספר תעודת זהות, וכדומה הזינו רק באתרים מוכרים בעלי חיבור מאובטח (HTTPS) ולא ברשתות חברתיות.
רשת WIFI
גם אם אתם עובדים בבית קפה סמוך לבית או מנסים לגלוש מהאינטרנט של השכנים, אל תתחברו לכל רשת WIFI הזמינה לכם, ובטח לא לרשת שאינה מוגנת בסיסמא. כמו כן – הבטיחו את עצמכם וצרו סיסמא חזקה וקשה לניחוש ברשת האינטרנט הביתית שלכם.
סיסמאות
כדאי לוודא שיש לכם סיסמת כניסה למחשב האישי וכן סיסמאות לכל אחד מהשירותים בהם אתם משתמשים במסגרת העבודה. הבטיחו שכל סיסמא שונה מהשנייה והן מאובטחות במקום שרק לכם יש גישה אליו. כמו כן, קיימת אופציה של הפעלת אימות דו-שלבי דרך הנייד/מייל/סמס.
אנטי וירוס
כדאי לוודא שיש לכם תוכנת אנטי וירוס פעילה ואיכותית המותאמת לעבודתכם.
לא לשכוח עדכוני אבטחה
יש לוודא כי במחשבכם הופעל עידכון האבטחה האחרון ביותר, פעולה שיכולה לסייע במניעת פגיעה של גורם עוין במחשב שלכם.
חיבור מרוחק
עובדים מרחוק באמצעות SSL-VPN (מחשב מרוחק)? וודאו כי המערכת מתנתקת באופן אוטומטי לאחר פרק זמן של אי פעילות.
מה אפשר לעשות? הנה כמה שירותים שימושיים
הנה מספר שירותים שמשרדנו מספק הנותנים פיתרון כולל לתחום אבטחת המידע והגנת הפרטיות (GDPR).
ייעוץ אבטחת מידע – לא בטוחים מהיכן להתחיל? מחפשים ייעוץ אבטחת מידע לארגון שלכם? ביחד נוכל להבין מה מצב אבטחת המידע והגנת הפרטיות כיום, נסרוק את הרגולציות השונות החלות על העסק שלכם, נבחן מה ניתן לשפר ומהן נקודות התורפה בנושאי אבטחת מידע והגנת הפרטיות ונזהה את מאגרי המידע הקיימים, נסווגם ונבצע ניתוח סיכונים למאגרים שזוהו. בסופו של התהליך נציע את הפיתרונות המתאימים ונצייד אתכם בידע חיוני לעסק.
סקר סיכונים אבטחת מידע – סקר סיכוני בתחום אבטחת המידע בודק את כל רמות האבטחה במסגרת התהליכים והמערכות הקיימות בארגון. הבדיקה מתייחסת לאבטחה פיזית של המידע המוחזק בארגון וכלה באבטחה של תשתיות הארגון כגון מערכות הפעלה, רשתות, ניהול משתמשים ומתן הרשאות, בסיסי הנתונים (Data base), פעולות גיבוי ידניים ואוטומטיים ועוד. סקר הסיכונים בודק בצורה מקיפה ועמוקה את רמת אבטחת המידע מבחינת תהליכי עבודה עיסקיים וניהוליים ועוזר למצוא נקודות כשל קיימות ועתידיות.
מבדקי חדירה (בדיקת חדירות) – ההגדרה של בדיקת חדירות היא מתקפה מתוכננת מראש ומבוקרת על מערכת ממוחשבת שנעשית על ידי בודק (מתחום אבטחת המידע והגנת הסייבר) במטרה למצוא נקודות חולשה באבטחת המידע, מהו פוטנציאל הגישה לחולשות אלו ומה ניתן להפיק מהגישה אליהן ואל המידע שהן מאחסנות. מבדקי החדירה מתחלקים ל2 סוגים: מבדקי חדירה פנימיים ומבדקי חדירה חיצוניים. מבדק חדירה פנימי בודק מהו פוטנציאל הנזק של אורח או פורץ מזדמן המתחבר אל הרשת הארגונית (אינטרה-נט) ללא הרשאות וללא ידע מקדים על מבנה הרשת הפנימית, או, לחלופין, עובד שסרח ומנצל את הרשאותיו לרעה במטרה לפגוע בארגון. מבדקי חדירה חיצוניים מדמים חדירה מהאינטרנט אל תוך הרשת הארגונית בתצורת Black-Box ללא כל ידע מוקדם על מבנה הרשת, כך שהמצב יידמה ניסיונות פריצה המבוצעים ע"י האקרים מקצועיים ובעלי ניסיון.
כתיבת נהלי אבטחת מידע – נהלי אבטחת מידע הם כלי יעל וחשוב בזמני שיגרה אך אף יותר בזמני חירום. נוהל מתפקד ככלי עבודה שימושי התורם למחויבות ההנהלה ועובדי הארגון ומסייע במימוש תרבות ארגונית, בהוצאה לפועל של תוכניות עבודה שנתיות, פרויקטים ועוד. נוהל "מיישר קו" בין כל דרגות העובדים בארגון ומעביר הנחיות בצורה ברורה, מעמיקה, מפורטת, כך שמצבי "כיבוי שריפות", כמעט ולא קורים, וכך גם נמנעות פעולות שיכולות לגרום נזק לאבטחת המידע בצורה עקיפה או ישירה. בעזרת נהלים סדר הפעולות הנדרש במצבי עבודה מובן, וכך גם פעולות "עשה ואל תעשה". נוהל אבטחת מידע הינו כלי עבודה שימושי שיש בו צורך מובהק במחויבות הנהלת ועובדי הארגון, למימוש תרבות הארגון, תוכניות עבודה שנתיות, פרויקטים, ניהול ייצור ועוד. בעזרת נהלים מתאימים ניתן לפקח על פעילות העובדים בשגרה וגם במצבי חירום. ניתן לחלק את נוהל העבודה בתחום אבטחת המידע ודיני הפרטיות על פי רמות חשיבות וסיווג (מוגבל-שמור- סודי-סודי ביותר) על פי רמת הסיווג של העובדים.
הגדרת תיעוד נדרש לטובת הוכחת העמידה בדרישות התקנות – לא פעם ולא פעמיים תיעוד של אישורים, מסמכים, שינויים שבוצעו ברמת העובדה או ברמת הארגון נדרשים בכדי להציגם לרשויות. במקרה של קבלת קנס או בירור מול הרשות להגנת הפרטיות או גוף אחר, תיעוד של המוצגים הנכונים יכול לסייע מאוד ואף להפחית או לבטל קנסות שניתנו על רקע הפרת תקנות הגנת הפרטיות, אבטחת מידע. לכן המומחים של אודיט עומדים לשירותכם בהגדרת תיעוד הנדרש והחיוני לטובת העסק. נוכל לעזור ולכוון מה חשוב ומה פחות, מה כדאי לשמור, איך לשמור, איפה ועוד...
שירותי ממונה אבטחת מידע במיקור חוץ - למשרדנו ניסיון רב בשירות של ממונה אבטחת מידע במיקור חוץ. השירות נותן מענה מקיף לנושא של כתיבת נהלי אבטחת מידע, כתיבת תוכנית בקרות לפי הנחיות GDPR ותקנות הגנת הפרטיות וביצוע בקרות שוטפת על יישום ההנחיות הנדרשות.
לסיכום
אנו נמצאים כאן בכדי לסייע ללקוחות לנווט בימים הסוערים האלה. אל תהססו לפנות לצוות שלנו בכל שאלה או התייעצות. נשמח לסייע לעסק שלכם!