כשאנחנו מדברים על אבטחת מידע, התמונה הראשונה שקופצת לראש של רוב בעלי העסקים היא של האקר מתוחכם במדינה רחוקה, שמנסה לפרוץ לשרתי החברה באישון לילה. אבל המציאות, במיוחד בעסקים קטנים ובינוניים, היא שונה לחלוטין. האיום הגדול ביותר, ולעתים קרובות גם הנפוץ ביותר, לא מגיע מבחוץ – אלא מתוך העסק עצמו.
רוצים להגן על העסק מבפנים ומבחוץ בלי כאבי ראש? אנחנו מקימים נהלי הרשאות, ניטור והתראות, ומלווים אתכם עם SLA ברור בזמן אמת.
לתיאום שיחת ייעוץנקודת התורפה של עסקים קטנים ובינוניים
דווקא עסקים קטנים ובינוניים הם אלו שלרוב מסוכנים לעצמם. בניגוד לתאגידי ענק, בעסקים אלו שוררת לעתים קרובות אווירה של "משפחה", מה שמוביל לחוסר בנהלי אבטחה בסיסיים. הרשאות גישה פתוחות לכולם, סיסמאות שעוברות מאחד לשני, והיעדר פיקוח על מידע רגיש, הופכים את העסק לחשוף במיוחד – בין אם לטעויות אנוש הרסניות ובין אם לזליגת מידע מכוונת על ידי עובד ממורמר או כזה שעובר למתחרים.
כאן בדיוק נכנסת לתמונה חברת אבטחת מידע מקצועית. התפקיד שלה הוא לא רק לחסום איומים חיצוניים, אלא לייצר סביבת עבודה בטוחה ומבוקרת מבפנים.
פסיכולוגיה של אבטחה: אפקט ההרתעה וה"משטרה המקומית"
אחד היתרונות הגדולים ביותר של הכנסת שירותי אבטחה לעסק הוא הפסיכולוגיה האנושית. ברגע שעובדים יודעים שיש חברת אבטחה שמעורבת בניהול הרשת, שמנטרת גישות וששומרת על המידע – ההתנהגות שלהם משתנה.
זהו אפקט הרתעה קלאסי. הנוכחות של גוף מקצועי שומרת על העובדים "מיושרים". עבור בעל העסק, חברת האבטחה מתפקדת כמעין משטרה קטנה ומקומית בארגון. היא לא נועדה להפחיד, אלא להציב גבולות ברורים, למנוע פיתויים, ולשדר מסר חד משמעי: המידע של העסק הוא נכס ששומרים עליו בקפדנות.
מומחה אבטחה יודע לסגור את הפרצות
לעובד מן המניין, ולרוב גם לבעל העסק עצמו, אין את הראייה המרחבית הנדרשת כדי לזהות פרצות. מומחה אבטחה יודע בדיוק היכן נמצאות נקודות התורפה שמזמינות צרות:
- ניהול הרשאות (Zero Trust): וידוא שכל עובד נחשף רק למידע שדרוש לו לביצוע עבודתו, ולא מעבר לכך.
- חסימת העתקת נתונים: מניעת יכולת להוריד מאגרי לקוחות או קבצים פיננסיים לדיסק און קי או לענן פרטי.
- ניטור פעולות חריגות: זיהוי מחיקת קבצים מסיבית או ניסיונות גישה לתיקיות הנהלה.
המשמעות האמיתית של "אחריות" באבטחת מידע
חשוב לעשות סדר במושג "אחריות" כששוכרים חברת אבטחה. המטרה היא לא לספק תעודת ביטוח או הבטחה לפיצוי כספי במקרה של נזק (בשביל זה יש חברות ביטוח). האחריות שאנחנו מספקים היא אחריות תפעולית ומקצועית מלאה ברגע האמת.
כשיש אירוע אבטחה – בין אם עובד מחק בטעות חומר קריטי ובין אם יש חשד לזליגת מידע – בעל העסק לעולם לא נשאר לבד.
- זמן תגובה מובטח (SLA): אתה יודע שיש צוות שקופץ לטפל באירוע בתוך מסגרת זמן ברורה וידועה מראש.
- ידע וניסיון בניהול משברים: יש מי שיודע להכיל את האירוע, לעצור את הנזק, לבודד את הרשת ולשחזר את הפעילות העסקית במהירות האפשרית.
השורה התחתונה: שירותי אבטחת מידע הם לא מותרות השמורים לתאגידים טכנולוגיים, אלא צורך הישרדותי של כל עסק קטן ובינוני. הם סוגרים את הפרצות הטכניות, מספקים הרתעה פסיכולוגית מול העובדים, ומבטיחים שביום פקודה – בעל העסק לא יצטרך להתמודד עם המשבר לבדו.
מקרה בוחן מהשטח: כשהגנב מסתתר בתוך החשבוניות של פייסבוק
כדי להבין עד כמה האיום הפנימי מוחשי וכמה קשה לזהות אותו, הנה מקרה אמיתי שנתקלתי בו. לא מדובר בתוכנת כופר מתוחכמת, אלא בעובד פנימי שניצל חולשה ניהולית בתוך מערכת הפרסום של מטא (Facebook).
אותו עובד נכנס ל-Business Profile של החברה, ופשוט פתח תחתיו חשבון מודעות (Ad Account) חדש ונוסף. את ההרשאות לחשבון הזה הוא הגדיר כך שרק לו תהיה גישה אליו. מכיוון שכרטיס האשראי של החברה כבר היה מקושר לפרופיל העסקי הכללי כדי לממן את הפעילות הלגיטימית, העובד פשוט משך משם תקציבים לתוך החשבון ה"סודי" שלו.
הסכנה האמיתית בהונאה הזו הייתה ההסוואה שלה:
מבחינת בעל העסק והנהלת החשבונות, הכל נראה שגרתי לחלוטין. בסוף החודש החברה קיבלה חשבוניות רשמיות ולגיטימיות מפייסבוק. ההוצאות נראו בדיוק כמו הוצאות שיווק רגילות, וקשה עד בלתי אפשרי במבט מלמעלה (או אפילו בבדיקה חודשית של רואה החשבון) להפריד ולדעת איזה כספים יצאו לקמפיין של החברה, ואיזה כספים מימנו את החשבון של העובד. הכסף פשוט דלף החוצה בתוך צינור שנחשב "בטוח".
כאן נכנסת לתמונה ה"משטרה המקומית" של העסק:
לו הייתה מעורבת שם חברת אבטחה או גורם מקצועי שמנהל את ה-IT וההרשאות בעסק, האירוע הזה היה נמנע או נעצר ביום הראשון:
חסימת הרשאות (Zero Trust): העובד לא היה מקבל הרשאת "Admin" שאפשרה לו ליצור חשבונות חדשים או לשייך אמצעי תשלום, אלא רק הרשאת "Employee" להפעלת הקמפיינים הקיימים.
התראות מערכת: כל יצירה של נכס חדש או שינוי משמעותי בהרשאות בחשבונות העסקיים הייתה מקפיצה התראה אצל צוות הבקרה.
הרתעה פסיכולוגית: אם העובד היה יודע שיש גורם מקצועי שמנטר את הלוגים (יומני הפעילות) של המערכת, הוא כנראה לא היה מעז לנסות את זה מלכתחילה.
0 comments