5 דברים שכל חברה צריכה לעשות כדי לא ליפול קורבן למתקפת סייבר
נשיא מיקרוסופט, בראד סמית' התייחס במהלך ועידת החברה לנושא הסייבר. הרגישות לנושא עלתה מדרגה מאז פריצת הענק לחברת המידע הפיננסי אקוויפקס
״מה שקרה לאקוויפקס יכול לקרות לכל אחד מאיתנו בכל יום. אחריות עצומה מוטלת על כתפינו, ומה שעומד בדרכנו זה הטבע האנושי״, כך אמר נשיא מיקרוסופט בראד סמית׳ בוועידת מיקרוסופט Ignite באורלנדו, פלורידה שנערכה במהלך השבוע שעבר.
- הערכה: מערכות אקוויפקס נפרצו בידי האקרים סיניים
- גוגל תמגן את ג'ימייל ושאר שירותיה מפני פריצות ממניעים פוליטיים
- סכנה לארגונים: פרצה בדפדפן מיקרוסופט מאפשרת גניבת מידע
סמית׳ התייחס לפריצה לשרתי חברת דירוג האשראי האמריקאית לפני כשבועיים וחצי, שבמהלכה נגנבו פרטיהם האישיים של 143 מיליון אמריקאים ושהובילה להתפטרות המנכ״ל. הוא הסביר שרובן המכריע של מתקפות הסייבר מתחילות במייל פישינג, וכי ״כמעט בכל חברה בעולם יש לפחות עובד אחד שפשוט יקליק על כל דבר. אנחנו חייבים להגן על אנשים מעצמם״ הוסיף ומנה חמישה צעדים שכל חברה צריכה לבצע כדי למקסם את ההגנה על המידע והמערכות שלה.
1. להפעיל אימות דו-שלבי. המשמעות היא שכדי להגן מפני גניבות זהות, כל עובד שמקליד את הססמה האישית שלו כדי להתחבר למערכות החברה, מקבל מסרון או מייל עם קוד שעליו להזין לפני שיוכל להיכנס. מדובר בצעד שמסרבל מעט את העבודה היומיומית, אבל לדברי סמית׳ הוא הכרחי. הוא גם ממליץ לבדוק היטב אילו עובדים מוחרגים מהצורך באימות דו-שלבי, ומגלה כי במקרים רבים אנשי המחשוב בארגון דואגים להחריג את עצמם סתם כי אין להם כוח, ואין לכך הצדקה ממשית.
2. לעדכן את המערכות בתדירות גבוהה. סמית׳ מבקש לעודד חברות לבדוק כמה מחשבים אצלן עדיין עובדים על ווינדוס 7 ומטה. ״אי אפשר להביס איום עכשווי בעזרת כלים מהעבר״, הוא אומר, ״חלק מהעובדים בחברה שלכם אולי בקושי זוכרים שהיה דבר כזה אייפוד, אבל משתמשים בווינדוס XP".
3. לבחון את האופן שבו מנוהלת הגישה למערכות החברה. חשוב לדעת תמיד לאילו עובדים יש גישה לאילו מערכות, ולא לאפשר היתרים מיותרים. כמו כן, כדאי לנתח אילו נתונים שקיימים ברשת שלכם הם בעלי הפוטנציאל הגבוה ביותר למשוך פורצים, ולהגביל ככל האפשר את הגישה אליהם.
4. לבנות רשימה לבנה של אפליקציות שעברו סריקת בטיחות באמצעות כלים אמינים, ולהשתמש במידת האפשר רק בהן. לבדוק היטב כל אפליקציה חדשה שמכניסים לשימוש.
5. לנטר את בריאות המכשירים שעובדים מביאים מהבית ומחברים לרשת הארגונית. ארגון שלא עוקב אחרי מי שמתחבר לרשת שלו מבחוץ ומאפשר לעובדים חיבור חופשי של מכשירים והתקנים - גוזר על עצמו פגיעות יתר.
עוד קרא סמית׳ למגזר הציבורי, העסקי והלקוחות לשלב ידיים במאמץ למגר את המתקפות, וחזר ואמר שזהו לא קרב שאפשר לנצח בו לבד. ״צריך לחשוב על כל האקוסיסטם, לאתר את החוליות החלשות ולטפל בהן״, אמר, ״כל חברה ואדם צריכים לשאול את עצמם איך הם יכולים להשתמש בכלים שיש להם כדי להתגונן מפני המתקפה הבאה או אפילו למנוע אותה. חגורת בטיחות עוד לא הצילה אף אדם שלא חגר אותה״.
הכותבת היתה אורחת מיקרוסופט