10 כללי בסיס שיסייעו להימנע מפריצה לנתוני החברה

hacking

התקפות סייבר הפכו בשנים האחרונות לנפוצות מאוד – והן מכוונות לכל בעל עסק המחובר לרשת האינטרנט, לא משנה מה גודלו. פריצה לתוך נתוני החברה והעסק דומה לכניסת גנב, אך מתוחכמת בהרבה ונזקיה לא מסתכמים רק בגניבה או כופר, אלא בפגיעה בתדמית כיוון שלקוחות מצפים שהמידע שלהם יהיה מאובטח.

אנו חיים בעידן דיגיטלי, שבו לא ניתן להימנע ממחשוב העסק. ובתוך מערכות המחשוב זורם מידע רב של לקוחות ושל העסק עצמו, עליו יש להגן באדיקות. אולם המידע עובר בדואר האלקטרוני, בחנויות מקוונות, באמצעות הווטסאפ – כל אלו הופכים את העסק ליעיל אך את המידע שלו לפגיע.

הפריצה שסיבכה את שירביט

בחודש דצמבר 2020 התרחשה פריצה לנתוני חברת שירביט, אחת מחברות הביטוח הגדולות בישראל. האקרים מקבוצת BlackShadow השיגו – ולאחר מכן גם הדליפו – פרטים אישיים של לקוחות החברה תוך איום למכור את המידע שברשותם לכל דורש אם חברת שירביט לא תשלם כופר בגובה כמה מיליוני שקלים באמצעות ביטקוין, כדי לא לפרסם את המידע שנגנב.

כדי להוכיח את הימצאות המידע בידיהם, הדליפו ההאקרים רישיונות נהיגה, תעודות נישואים וגם מספר כרטיס אשראי תקף. המצב כל כך הסתבך עד כי לקוחות חברת שירביט החליטו לתבוע אותה בתביעה ייצוגית עקב הפריצה.

הנזק העיקרי מההדלפה הוא פגיעה בפרטיות המבוטחים, כמו גם סכנה כי פרטיהם ישמשו להתחזות – כיוון שתמונה של תעודת הזהות עם תאריך ההנפקה יכולים לשמש נוכלים רבים (במקרים בהם יש חשש שתעודת הזהות הגיעה לידיים זרות יש להנפיק תעודה חדשה).

איך התאפשרה פריצה כל כך נרחבת? ובכן, ככל הנראה עקב אי הקפדה על כמה וכמה מאפיינים של אבטחת מידע מוצלחת בכל ארגון באשר הוא. בין היתר, מבחינה ראשונית נראה כי שירביט לא ביטלה הרשאות משתמש של עובדים שעזבו, לא ביצעה עדכונים למערכות המחשוב לאורך תקופה ארוכה מדי ולא הקפידה על אימות דו שלבי ועל אמצעי אבטחה אחרים, כאשר זוהי למעשה פרצה הקוראת לגנב!

אז איך נמנעים מאותו הגורל? ובכן, מתחילים בהקפדה על הכללים הבסיסיים – ונעזרים במומחים.

10 כללי בסיס להתגוננות מפני מתקפת סייבר

1 – מידור המידע הוא צעד ראשון לאבטחתו

מידור מוקפד מסייע לבודד גורמים אחראיים לזליגת מידע, הוא מגביר את יכולת אבטחת המידע ומצריך השקעה וחשיבה מראש. אך מידע ממודר הוא מידע שניתן לאבטח טוב יותר בהמשך הדרך.

2 – שנו סיסמאות בתדירות גבוהה

אחת השיטות לשמור על המידע במערכות האבטחה היא באמצעות שינוי הסיסמאות. הדבר לא רלוונטי רק לחברות ועסקים אלא גם לאנשים פרטיים – גם בדואר האלקטרוני האישי.

3 – היזהרו בהורדת סרגלי כלים חינמיים

ישנם סרגלים תמימים למראה שאוספים על הגולשים מידע, כך שאם אין לכם שום צורך בהם, גם אם הם חינם – אין להוריד אותם.

4 – אל תשתמשו תוכנות אבטחת מידע בסיסיות או "חינמיות"

השקיעו בתוכנות איכותיות ובתשלום. אם תחסכו כסף על תוכנות חינמיות לאבטחת מידע, כמו חומת אש בסיסית ואנטי ווירוס בחינם – אתם עלולים למצוא את עצמכם חווים עגמת נפש.

5 – ניהול מחשוב הענן על ידי אנשי מקצוע מנוסים

ישנם היום המון כלים לניהול עצמאי של מחשוב ענן, מה שמוביל לכך שארגונים מסוימים מעדיפים להתמודד עם המשימה בכוחות עצמם, ויש אפילו פרילנסרים או עסקים קטנים שיציעו לכם שירות הנשען על הכלים הפשוטים הללו, שבדרך כלל אינם מתאימים לצרכים הארגוניים שלכם – וברגע האמת אינם מספקים את המענה הנחוץ. כדי להימנע מכך, אנו ממליצים להיעזר בחברת אבטחת מידע ידועה, מוכרת ובעלת שם לניהול וגיבוי שירותי אחסון המידע ומסדי הנתונים שלכם.

6 – דואר חשוד? לא לפתוח!

לעיתים יש דואר שהכותרת שלו מושכת אותנו לפתוח אותו, אך אם מדובר על מקור שאינכם מזהים – אין לפתוח את הדואר. תתאפקו, תנשמו עמוק ותשמחו שכנראה חסכתם לכם פריצה למחשב.

7 – הגבירו מודעות בקרב העובדים

מומלץ לעדכן את נהלי אבטחת המידע בקרב עובדי החברה והעסק באופן תדיר. ניתן להעביר הדרכות וסדנאות בנושא ולהפוך את העובדים לחלק בלתי נפרד ממערך אבטחת המידע.

8 – לחשוב טוב לפני שמעלים מידע לרשת

כולם מעלם כל הזמן מידע לרשת ולגבות אותו בשרתים חיצוניים, לעיתים התנהלות זו גורמת להקלת ראש בנושאי פרטיות – יש לבדוק את הגדרות הפרטיות בכל שירות ולוודא מי חשוף למידע ומי לא.

9 – שקלו להשקיע בקורס ניהול סיכונים

אם הנכם עסק קטן או גדול, כדאי לכם לשקול להשקיע בקורס ניהול סיכונים. תוך מספר שבועות של למידה, ביכולתכם לקבל כלים רבים שיסייעו להתנהלות נכונה של העסק או החברה.

10 – ולבסוף, בצעו הערכה לסיכונים למידע שלכם באופן רצוף!

למדו מהמקרה של שירביט. כשעובד עוזב, כאשר המערכות שלכם לא עודכנו זה זמן מה, כאשר אין לכם ידיעה ברורה שהמידע שלכם אכן מאובטח – כל אלו ועוד הן נקודות שמדליקות נורה אדומה. העריכו כל הזמן את הסיכונים מולם אתם עומדים, הערכה נכונה תסייע להתמודד עם כל איום פוטנציאלי מראש, עוד לפני שהוא הופך למציאות. ואם יש ספק – היעזרו במומחי אבטחת המידע של AACC מערכות.

תוכן עניינים

יצירת קשר מהיר : :

יצירת קשר מהיר : :

מדיניות פרטיות כללי אנו מחויבים לשמירה על פרטיות המשתמשים באתר האינטרנט שלנו (להלן: "האתר"). מסמך זה מפרט את מדיניות הפרטיות שלנו, ומתאר את האופן שבו אנו אוספים, משתמשים, שומרים ומגנים על המידע האישי של המשתמשים, בהתאם להוראות חוק הגנת הפרטיות, התשמ"א-1981 (להלן: "החוק"), וכן תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 (להלן: "התקנות"). הסכמה השימוש באתר מהווה הסכמה מפורשת מצדך למדיניות פרטיות זו ולתנאי השימוש באתר. בעת פנייתך אלינו לקבלת מידע, כנדרש על פי סעיף 11 לחוק, אנו מודיעים לך כי אינך מחויב על פי חוק למסור את המידע, ומסירתו תלויה ברצונך ובהסכמתך. עם זאת, אי מסירת פרטים מסוימים עלולה למנוע מאיתנו לספק לך שירותים מסוימים. איסוף מידע אנו אוספים שני סוגי מידע: מידע שנמסר על ידך באופן יזום: מידע הנמסר על ידך במודע, כגון שם מלא, כתובת דואר אלקטרוני, מספר טלפון וכל פרט מזהה אחר, בעת יצירת קשר, הרשמה לשירותים או מילוי טפסים באתר. מידע הנאסף באופן אוטומטי: מידע טכני הנאסף באופן אוטומטי בעת הגלישה באתר, כגון כתובת IP, סוג הדפדפן, מערכת ההפעלה, וכן מידע הנאסף באמצעות קבצי "עוגיות" (Cookies) ומזהים דיגיטליים אחרים. מטרות איסוף ושימוש במידע השימוש במידע ייעשה אך ורק למטרות שלשמן הוא נאסף, ובהתאם להוראות החוק. מטרות אלו כוללות: תפעול וניהול האתר ומתן שירותים למשתמשים. שיפור חווית המשתמש והתאמה אישית של תכנים. יצירת קשר עם המשתמשים למטרות שירות לקוחות או למשלוח חומרים שיווקיים ופרסומיים (בכפוף לקבלת הסכמתך המפורשת ומתן אפשרות להסרה מרשימת התפוצה). ניתוח סטטיסטי של השימוש באתר. עמידה בדרישות כל דין, צו שיפוטי או הוראה של רשות מוסמכת. מאגר מידע המידע הנאסף יישמר במאגר המידע שלנו, אשר רשום או יירשם בהתאם לדרישות החוק. האחריות על ניהול ואבטחת המידע במאגר חלה עלינו, כנדרש על פי סעיף 17 לחוק. אי רישום מאגר מידע המצריך רישום מהווה עוולה אזרחית, כפי שנקבע בפסיקה (ת"צ (מחוזי ת"א) 57410-04-18 אביסטריס נ' אחים הלפרין - אופטיקה (2000)בע"מ). מסירת מידע לצדדים שלישיים אנו לא נמכור, נשכיר או נעביר את המידע האישי שלך לצדדים שלישיים, למעט במקרים הבאים: לצורך מתן השירותים, באמצעות ספקי משנה (כגון שירותי אחסון ענן, סליקה או דיוור), אשר מחויבים לשמור על סודיות המידע ולאבטחתו בהתאם לדין. אם נקבל את הסכמתך המפורשת למסירת המידע. במקרה של מחלוקת משפטית בינך לבינינו שתחייב חשיפת פרטיך. אם תבצע באתר פעולות שבניגוד לדין. במסגרת העברת פעילותנו העסקית (במלואה או בחלקה) לצד שלישי, ובלבד שאותו צד שלישי יקבל על עצמו את הוראות מדיניות פרטיות זו. אבטחת מידע אנו נוקטים באמצעים טכניים וארגוניים מתאימים לאבטחת המידע המצוי ברשותנו, בהתאם לרמת האבטחה הנדרשת על פי התקנות. אנו מיישמים נהלי אבטחה, לרבות ניהול הרשאות גישה, הצפנה ובקרות שוטפות, במטרה להגן על המידע מפני גישה, שימוש, שינוי או חשיפה בלתי מורשים. במקרה של אירוע אבטחה חמור, נפעל בהתאם להוראות הדין וניידע את הרשות להגנת הפרטיות כנדרש. קבצי "עוגיות" (Cookies) האתר משתמש בקבצי "עוגיות" לצורך תפעולו השוטף והתקין, איסוף נתונים סטטיסטיים, אימות פרטים, התאמת האתר להעדפותיך האישיות ולצורכי אבטחת מידע. באפשרותך להימנע מקבלת "עוגיות" על ידי שינוי ההגדרות בדפדפן שלך, אך הדבר עלול לפגוע בחוויית השימוש באתר ובזמינותם של שירותים מסוימים. זכויות המשתמש על פי החוק, הנך זכאי לזכויות הבאות: זכות העיון: הנך זכאי לעיין במידע שעליך המוחזק במאגר המידע שלנו, בהתאם לסעיף 13 לחוק. זכות לתיקון המידע: אם מצאת כי המידע אינו נכון, שלם, ברור או מעודכן, הנך רשאי לפנות אלינו בבקשה לתקן את המידע או למוחקו, בהתאם לסעיף 14 לחוק. זכות למחיקת מידע: הנך רשאי לבקש את מחיקת המידע, בכפוף לכך שהמידע אינו דרוש לנו עוד לשם המטרות שלשמן נאסף או לצורך עמידה בדרישות חוקיות. שמירת המידע אנו נשמור את המידע האישי שלך למשך הזמן הדרוש להגשמת המטרות המפורטות במדיניות זו, או לתקופה ארוכה יותר ככל שנדרש על פי דין. מידע שאינו נחוץ עוד יימחק או יהפוך לאנונימי. שינויים במדיניות הפרטיות אנו שומרים לעצמנו את הזכות לעדכן או לשנות את מדיניות הפרטיות מעת לעת, על פי שיקול דעתנו הבלעדי. הגרסה העדכנית ביותר תפורסם באתר ותיכנס לתוקף ממועד פרסומה. המשך שימושך באתר לאחר עדכון המדיניות יהווה הסכמה לשינויים. יצירת קשר לכל שאלה בנוגע למדיניות פרטיות זו, או לצורך מימוש זכויותיך, ניתן לפנות אלינו באמצעות [יש להוסיף כאן כתובת דוא"ל או פרטי קשר].מדיניות פרטיות כללי אנו מחויבים לשמירה על פרטיות המשתמשים באתר האינטרנט שלנו (להלן: "האתר"). מסמך זה מפרט את מדיניות הפרטיות שלנו, ומתאר את האופן שבו אנו אוספים, משתמשים, שומרים ומגנים על המידע האישי של המשתמשים, בהתאם להוראות חוק הגנת הפרטיות, התשמ"א-1981 (להלן: "החוק"), וכן תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 (להלן: "התקנות"). הסכמה השימוש באתר מהווה הסכמה מפורשת מצדך למדיניות פרטיות זו ולתנאי השימוש באתר. בעת פנייתך אלינו לקבלת מידע, כנדרש על פי סעיף 11 לחוק, אנו מודיעים לך כי אינך מחויב על פי חוק למסור את המידע, ומסירתו תלויה ברצונך ובהסכמתך. עם זאת, אי מסירת פרטים מסוימים עלולה למנוע מאיתנו לספק לך שירותים מסוימים. איסוף מידע אנו אוספים שני סוגי מידע: מידע שנמסר על ידך באופן יזום: מידע הנמסר על ידך במודע, כגון שם מלא, כתובת דואר אלקטרוני, מספר טלפון וכל פרט מזהה אחר, בעת יצירת קשר, הרשמה לשירותים או מילוי טפסים באתר. מידע הנאסף באופן אוטומטי: מידע טכני הנאסף באופן אוטומטי בעת הגלישה באתר, כגון כתובת IP, סוג הדפדפן, מערכת ההפעלה, וכן מידע הנאסף באמצעות קבצי "עוגיות" (Cookies) ומזהים דיגיטליים אחרים. מטרות איסוף ושימוש במידע השימוש במידע ייעשה אך ורק למטרות שלשמן הוא נאסף, ובהתאם להוראות החוק. מטרות אלו כוללות: תפעול וניהול האתר ומתן שירותים למשתמשים. שיפור חווית המשתמש והתאמה אישית של תכנים. יצירת קשר עם המשתמשים למטרות שירות לקוחות או למשלוח חומרים שיווקיים ופרסומיים (בכפוף לקבלת הסכמתך המפורשת ומתן אפשרות להסרה מרשימת התפוצה). ניתוח סטטיסטי של השימוש באתר. עמידה בדרישות כל דין, צו שיפוטי או הוראה של רשות מוסמכת. מאגר מידע המידע הנאסף יישמר במאגר המידע שלנו, אשר רשום או יירשם בהתאם לדרישות החוק. האחריות על ניהול ואבטחת המידע במאגר חלה עלינו, כנדרש על פי סעיף 17 לחוק. אי רישום מאגר מידע המצריך רישום מהווה עוולה אזרחית, כפי שנקבע בפסיקה (ת"צ (מחוזי ת"א) 57410-04-18 אביסטריס נ' אחים הלפרין - אופטיקה (2000)בע"מ). מסירת מידע לצדדים שלישיים אנו לא נמכור, נשכיר או נעביר את המידע האישי שלך לצדדים שלישיים, למעט במקרים הבאים: לצורך מתן השירותים, באמצעות ספקי משנה (כגון שירותי אחסון ענן, סליקה או דיוור), אשר מחויבים לשמור על סודיות המידע ולאבטחתו בהתאם לדין. אם נקבל את הסכמתך המפורשת למסירת המידע. במקרה של מחלוקת משפטית בינך לבינינו שתחייב חשיפת פרטיך. אם תבצע באתר פעולות שבניגוד לדין. במסגרת העברת פעילותנו העסקית (במלואה או בחלקה) לצד שלישי, ובלבד שאותו צד שלישי יקבל על עצמו את הוראות מדיניות פרטיות זו. אבטחת מידע אנו נוקטים באמצעים טכניים וארגוניים מתאימים לאבטחת המידע המצוי ברשותנו, בהתאם לרמת האבטחה הנדרשת על פי התקנות. אנו מיישמים נהלי אבטחה, לרבות ניהול הרשאות גישה, הצפנה ובקרות שוטפות, במטרה להגן על המידע מפני גישה, שימוש, שינוי או חשיפה בלתי מורשים. במקרה של אירוע אבטחה חמור, נפעל בהתאם להוראות הדין וניידע את הרשות להגנת הפרטיות כנדרש. קבצי "עוגיות" (Cookies) האתר משתמש בקבצי "עוגיות" לצורך תפעולו השוטף והתקין, איסוף נתונים סטטיסטיים, אימות פרטים, התאמת האתר להעדפותיך האישיות ולצורכי אבטחת מידע. באפשרותך להימנע מקבלת "עוגיות" על ידי שינוי ההגדרות בדפדפן שלך, אך הדבר עלול לפגוע בחוויית השימוש באתר ובזמינותם של שירותים מסוימים. זכויות המשתמש על פי החוק, הנך זכאי לזכויות הבאות: זכות העיון: הנך זכאי לעיין במידע שעליך המוחזק במאגר המידע שלנו, בהתאם לסעיף 13 לחוק. זכות לתיקון המידע: אם מצאת כי המידע אינו נכון, שלם, ברור או מעודכן, הנך רשאי לפנות אלינו בבקשה לתקן את המידע או למוחקו, בהתאם לסעיף 14 לחוק. זכות למחיקת מידע: הנך רשאי לבקש את מחיקת המידע, בכפוף לכך שהמידע אינו דרוש לנו עוד לשם המטרות שלשמן נאסף או לצורך עמידה בדרישות חוקיות. שמירת המידע אנו נשמור את המידע האישי שלך למשך הזמן הדרוש להגשמת המטרות המפורטות במדיניות זו, או לתקופה ארוכה יותר ככל שנדרש על פי דין. מידע שאינו נחוץ עוד יימחק או יהפוך לאנונימי. שינויים במדיניות הפרטיות אנו שומרים לעצמנו את הזכות לעדכן או לשנות את מדיניות הפרטיות מעת לעת, על פי שיקול דעתנו הבלעדי. הגרסה העדכנית ביותר תפורסם באתר ותיכנס לתוקף ממועד פרסומה. המשך שימושך באתר לאחר עדכון המדיניות יהווה הסכמה לשינויים. יצירת קשר לכל שאלה בנוגע למדיניות פרטיות זו, או לצורך מימוש זכויותיך, ניתן לפנות אלינו באמצעות [יש להוסיף כאן כתובת דוא"ל או פרטי קשר].