הפשע המקוון נגד העסק הקטן

הפשע המקוון נגד העסק הקטן

סטפן קוב
06.08.12

דווקא מערכות המחשבים של עסקים קטנים מהוות את היעד המועדף לפושעי הסייבר. לפי חברת וריזון, 72% מכלל המתקפות המקוונות על עסקים פרטיים ב 2011 התמקדו בעסקים עם לא יותר מ- 100 עובדים.

post 23

איור: רותי זסלבסקי

 

רבים מבעלי העסקים הקטנים כלל לא מודעים לעובדה שהעסק שלהם הוא מטרה לפושעי הסייבר. דוגמא עדכנית לכך הוא פרשת גניבת המסמכים שנוצרו באמצעות תוכנת האוטוקאד המשמשת בעיקר   מהנדסים ומעצבים בהכנת תכניות ושרטוטים. בפרשה הזו נפגעו בעיקר עסקים קטנים של ארכיטקטים ומהנדסים בחברות קטנות.

גם משרדים קטנים של עורכי דין שהתמזל מזלם לייצג מקרים גדולים הופכים למטרה להתקפות מקוונות מצד גורמים עבריינים. השערה זו מחוזקת על ידי טרנט טיימה, סוכן מיוחד של הסוכנות הפדרלית המתמקדת בפשיעה המקוונת שאומר: "בשלושת השנים האחרונות קיימת עלייה מתמדת במספר ההתקפות המקוונות על משרדי עורכי דין". סטיוארט בייקר, לשעבר עוזר מזכיר המחלקה לביטחון פנים בארה"ב, מחזק את דבריו ואומר: "יש לנו את כל הסיבות להאמין שממשלות זרות פורצות לרשתות המחשבים של משרדי עורכי דין בארה"ב.

השורה התחתונה היא – העסק הקטן נמצא על הכוונת של פושעי הסייבר, בין היתר עקב העובדה שאמצעי האבטחה שעומדים לרשותם הם מעטים ודלים בהשוואה לחברות הענק בעלות תקציבי עתק. אבל אפילו אם אתם מנהלים עסק קטן והתקציב שלכם לאבטחת מידע לא עולה על כמה מאות דולרים, אתם עדיין יכולים להגן על העסק שלכם מפני 90% מההתקפות.

על מה אתם בעצם מנסים להגן?

מחשבים ושרתים הם בסה"כ חומרה. היום, בהשקעה כספית לא גדולה במיוחד (לעומת שנים עברו) ניתן לצייד בית עסק במחשבים חדשים ללא יותר מדי בעיות. לכן אחד הדברים החשובים ביותר שעליך להבין הוא שלא על החומרה אתה מנסה להגן. נכון, אם המחשב "הלך" זה מבאס מאוד, אבל מה שבאמת "הלך" זה לא המחשב, אלא הנתונים והמידע הנמצאים עליו. ואם אין גיבוי של המידע, אובדן המחשב תהיה הבעיה  האחרונה שלכם.

עם זאת, להרבה מבעלי העסקים הקטנים אין ממש תמונה ברורה של מהם הנכסים הדיגיטאליים שלהם או איפה הם מאוכסנים. לכן הצעד הראשון שעליכם לעשות הוא מעין ניתוח נתונים כדי להבין איזה מידע יש לכם והיכן. הרשימה הבאה תיתן לכם מושג מאיפה להתחיל:

א. מידע שהחברה מקבלת (לדוגמא: הזמנות עבודה, נתונים על לקוחות ועוד).

ב. מידע שמופק או מיוצר בתוך החברה (כמו למשל עיצוב מוצרים, תוצאות מחקרים פנימיים וכו').

ג. מידע שהחברה שולחת החוצה (כמו למשל נתונים כספיים לרואה החשבון של החברה, מסמכים לעורך דין או דו"חות הנשלחים ללקוחות).

אחרי שביצעת את ניתוח הנתונים הזה, עליך לבצע גם מעין "ניתוח רשת" ולבדוק איזה ציוד מחובר לרשת המחשבים שלך, ואילו מהרכיבים מחוברים לאינטרנט או לקו הטלפון (לדוגמא, האם אנשי מכירות הנמצאים בשטח מתחברים לרשת המשרדית מרחוק כדי לקבל מידע על לקוחות? או האם מכונת הצילום שלכם "מתקשרת" למפעיל חיצוני?). המטרת הצעד הזה היא קבלת תמונה ברורה על איפה נשמר המידע הרגיש של העסק ולמי יש גישה אליו, ולאחר שזה נעשה ניתן לקבוע כמה חוקים.

מדיניות וחוקים

אתה לא צריך שהעסק שלך יגיע ל- 200 עובדים כדי להנהיג מדיניות אבטחת מידע. למעשה מדיניות אבטחת מידע כתובה וברורה היא הכרחית בכל עסק בימים אלה בין הוא קטן או גדול ולפעמים היא אפילו נדרשת על פי חוק (כמו למשל אם העסק שלך מתעסק במידע רפואי של לקוחות או מידע אחר בעלי אופי רגיש). לכתיבה והטמעה של מדיניות אבטחה יש יתרון נוסף, כיוון שבהרבה מקרים החברות הקטנות מספקות סחורות או שירותים לחברת הגדולות יותר, החברות הגדולות ידרשו את שמדיניות כזו תיושם בחברה כתנאי לעבודה משותפת. במילים אחרות, ייתכן שהחברה שלך תועדף על פני חברות מתחרות כיוון שהחברה שלך פועלת על פי מדיניות אבטחת מידע והמתחרות לא.

אכיפת החוקים

חוקים ומדיניות לא שווים כלום אם לא אוכפים אותם. במבט ראשון המילים "אכיפה" ו"חוקים" אולי נותנות לנו קונוטציות שליליות אבל זה לא הופך אותן לפחות הכרחיות. אולי התחום עלול להראות "משעמם" או "כבד" אבל ניתן להציג אותו גם באופן ידידותי למשתמש. צעד זה כולל את הצגת מדיניות החברה לעובדים, לוודא שהיא מובנת להם ושהם פועלים על פיה. זה לא יוצא דופן שחברה גדולה תבקש ראיה כלשהי לכך שלצוות העובדים יש מודעות טובה למדיניות האבטחה לפני שהיא שוכרת את שרותיה של חברה קטנה יותר. 

איפה מתחילים?

התחל בסיסמאות חזקות. זה אולי נשמע בנאלי לחלוטין, אבל אם היית שואל אותי 'מה אני יכול לעשות עכשיו כדי להעלות את רמת האבטחה של העסק שלי באופן מידי', זה היה הדבר הראשון שהייתי אומר. החלף את הסיסמאות בכל נקודות הקצה שבעסק לסיסמאות חזקות. הגמול מכך הוא אדיר. אבל אל תספק בהחלפת הסיסמא של המחשב שלך בלבד, למד את צוות העובדים שלך ממה מורכבת סיסמא חזקה וגרום להם להשתמש בסיסמא חזקה בכל המערכות שעליהן הם עובדים, זה כולל את המחשב האישי שלהם, את הסמארטפונים והטאבלטים ואפילו את המחשב הפרטי שלהם בבית אם הם משתמשים בו לצרכי עבודה. ראוטרים וציוד של "נקודות מכירה" (POS) מגיעים לרוב עם סיסמא ראשונית שהיא לא חזקה ועליך לשנות גם אותה. 60% מהפריצות לרשתות המחשבים של חברות למטרת גניבת מידע בשנת 2011 היו נמנעות בעזרת יישום פשוט של אמצעי האבטחה הזה, הנחשב לבסיסי (והזול) ביותר בתחום אבטחת המידע.

לסיכום

חברת וריזון טוענת שיותר מ- 90% מפרצות האבטחה של 2011 היו נמנעות אם רק אמצעי האבטחה המסווגים כ"בסיסיים" היו בשימוש. אם אתה בעל עסק קטן קרוב לוודאי שאין לך את אותם האמצעים שיש לחברות הגדולות, אבל זה לא אומר שאתה צריך להיות חשוף לחלוטין. הקפדה על האמור לעיל תוכל להציל את העסק שלך 

ניתן גם לשתף חבר >
  • הדפס
  • דוא"ל