גם עסקים קטנים צריכים אבטחה גדולה – במחשוב ובסליקה

כמו עולם העסקים, גם עולם פשיעת הסייבר עובר שינויים ככל שעולם האינטרנט הולך ומשתכלל. טכניקות הפריצה הולכות ומתקדמות כדי להתמודד עם מערכות הגנה חזקות יותר, והעבריינים מפתחים מודלים עסקיים מגוונים לצד ההתמחויות. בכלל, קיימת כלכלה שלמה של איומי סייבר הרוחשת במחשכי האינטרנט. לדוגמא, ישנם אלה המתמחים בכתיבת קוד זדוני, אשר מוכרים את הקוד שלהם למפעילי הקוד (אלה מתמחים בהזרקתו למערכות), וישנם אחרים שקונים את המידע שחולץ מהקורבנות ויודעים איך להפוך אותו לכסף. לדוגמא, כאשר האקר מצליח לפרוץ למאגר מידע של חברת אינטרנט, הוא יוציא את בסיס נתוני הלקוחות וימכור אותו למרבה במחיר. הקונה יחקור את בסיס הנתונים וינסה להיכנס לחשבונות שמופיעים בו, או שהוא ינסה לבצע הונאה ממוקדת לגבי אדם ספציפי.

בעבר גורמי האיום התמקדו דווקא בארגונים הגדולים, כי הם אלה שהחזיקו את בסיסי הנתונים הגדולים ושם היה הכסף הגדול. אך עם התחזקות מערכות ההגנה בארגונים הגדולים, העבריינים גילו כי עסקים קטנים הם הנקודה החלשה בשרשרת מכיוון שאין להם מספיק משאבים להגן על עצמם. במקביל, לעיתים קרובות הם מחזיקים מידע רגיש שיכול להוביל לפריצה לארגון גדול (או שקל לסחוט אותם כדי לעשות כסף קל).
כמה דוגמאות:

1. חברות פיתוח: אם האקר יפרוץ לחברה קטנה מפתחת תוכנה עבור ארגונים גדולים, הוא יוכל לשתול קוד משלו באותה התוכנה. כך למעשה, הוא מקבל גישה לכל ארגון גדול שרכש את אותה התוכנה. זאת מתקפה שקיבלה את הכינוי "שרשרת אספקה".
2. קבלנים: לעיתים קרובות קבלנים עובדים באופן הדוק עם חברות גדולות ואף מקבלים גישה למערכות שלהם. נניח והאקר פרץ למחשב של מנכ"ל חברת שירותי מחשוב אשר נכנס באופן קבוע למערכות של לקוחותיו, אז הוא יכול לשים יד על סיסמאות או לנצל את זמן החיבור כדי "לדלג" למערכות הארגון הגדול. הוא גם יכול לעשות משהו פשוט יותר: לשלוח הודעות דואר אלקטרוני בשם המנכ"ל ולבקש גישה או לשלוח חשבונית מזויפת.
3. תוכנות כופר. תוכנות כופר הפכו לתופעה נפוצה. ברגע שקוד זדוני שכזה חודר למחשב הארגון הוא מצפין את כל המידע. הדרך היחידה לשחרר את המידע המוצפן היא באמצעות קבלת מפתח ההצפנה ששמור אצל התוקף. זה מצדו, ידרוש סכום ניכר כדי להחזיר את המחשב לפעילות. התוקפים יודעים שמאדם פרטי הם יכולים לדרוש כמה מאות ולפעמים אלפי שקלים, אבל מעסק שתלוי במידע במחשב כדי להמשיך לעבוד, אפשר גם לדרוש עשרות אלפי שקלים.
   

מה עושים כדי לחזק אבטחת מידע בעסקים קטנים?

1. גיבוי לפני הכל. כאשר כל המידע בארגון מגובה בצורה מסודרת, הדבר מפחית את הסיכון לפגיעה באופן משמעותי. לדוגמא, אם תוכנת כופר פוגעת בארגון, באמצעות גיבוי איכותי אפשר בקלות לחזור למצב לפני הפגיעה, והסיכון למעשה מוסר. כמובן שגיבוי מגן על הארגון גם מפני כל קריסה של מערכת.
2. אנטי וירוס להגנה על נקודות הקצה. האנטי וירוס קיים כבר מספיק שנים, ועדיין הוא לא פועל בכל מחשב, ולא תמיד הוא מעודכן. חיוני לוודא כל מחשב מצויד באנטי וירוס מהשורה הראשונה (באנטי וירוסים הטובים יש מספר שכבות הגנה שמבטיחות הגנה גם מאיומים מתקדמים), ושהוא מעודכן בוירוסים האחרונים.
3. עדכון תוכנות. אחת מהשיטות הנפוצות ביותר כדי לחדור לארגונים קטנים מתבססת על כך שיש תוכנות בארגון שלא עודכנו, והן מכילות פרצות (קוד שתוקף יכול לנצל). מיקרוסופט לדוגמא מפרסמת עדכון פעם בחודש, המכיל גם סגירה של פרצות שנמצאו. ישנם כיום כלים אוטומטיים שמבצעים את העדכון, כדי שמנהלים בעסק לא יצטרכו לשרוף על כך זמן יקר.
4. הצפנה. הצפנה היא קו ההגנה האחרון בארגון, אבל היא גם אחד ממנגנוני ההגנה החזקים ביותר. כמעט בלתי אפשרי כיום לפרוץ הצפנה. אם חברה מחזיקה מידע רגיש כגון IP, נתוני לקוחות, נתונים רפואיים או כל מסמך אחר שדליפה שלא תגרום נזק לחברה או לארגון, כדאי לדאוג להצפנה שלו, ולאפשר גישה רק באמצעות סיסמא.
5. הגנה בתנועה – רבות מדליפות הנתונים מתבצעות במהלך פעילות מחוץ למשרד המוגן. לדוגמא, חיבור לרשת Wi-Fi שאינה מאובטחת מאפשר כמעט לכל מי שמחובר לאותה הרשת ליירט את המידע שיוצא מהמחשב. התופעה נפוצה במיוחד במלונות בחו"ל ובשדות תעופה, אבל הסכנה קיימת גם בבית הקפה השכונתי. לכן, חשוב להתחבר לרשת או באמצעות חיבור סלולרי או רק באמצעות חיבור מאובטח – VPN .
6. סליקה עם תקן PCI DSS – נתוני אשראי הם מטרה חמה עבור האקרים. המשמעות עבורם היא רווח כמעט מיידי, בלי הרבה עבודה. לכן חברות האשראי קבעו את תקן PCI DSS שמגדיר את כל ההגנות הנדרשות על פרטי כרטיסי אשראי. לעסק קטן כמעט בלתי אפשר לעמוד בכל הדרישות האלה, ולכן הוא משתמש בשירות סליקת אשראי העומד בתקן. באמצעות פתרון שכזה, נתוני האשראי מועברים ישירות, ובאופן מאובטח לחברת הסליקה. חשוב לעסקים בכל הגדלים, להימנע תמיד משמירה על מספרי אשראי במחשבים שלהם. אם רוצים לבצע חיוב חוזר של כרטיס אשראי ניתן להשתמש בשירות טוקן שמספקת חברת הסליקה.

לסיכום, חשוב לפני הכל להבין את הסיכונים, ולהבהיר אותם גם לצוות שלכם. לאחר מכן, יש להבין את רמת הסיכון ואת הנקודות הרגישות ביותר בחברה ולהגן על עצמם. והכי חשוב, להימנע מהאסטרטגיה שנקראת "יהיה בסדר", מכיוון שהתוקפים אורבים לכל עסק שאינו מוגן – המוטיבציה שלהם להצליח היא כמו של כל בעל עסק רגיל – זה העסק שלהם.