כשמשאירים את הסייבר מאחור: 4 טעויות אבטחה נפוצות של סטארט-אפים בצמיחה
עסקים קטנים רבים שוכחים לשנות את כלי ומדיניות הסייבר שלהם כשהם בשלב של צמיחה מהירה: משאירים את התוכנות הישנות, מוותרים על הכשרות ייעודיות, מרכזים את כל המידע במקום רגיש אחד ועוד. כך תשפרו את אבטחת העסק, גם בלי תקציב של חברה גדולה
הקמתם סטארט-אפ או עסק קטן, גייסתם הון התחלתי, עובדים ולקוחות; העניינים מתחילים להסתדר והשלב הבא הוא צמיחה מהירה. בין הרדיפה אחר הלקוח הבא או סבב הגיוס הבא, קל לשכוח משהו מאוד חשוב, שיכול להפיל את הביזנס: אבטחת מידע. מדובר בנושא רגיש מאוד בעסקים קטנים, שמסתפקים בתחילת הדרך במוצרי מדף, אך לפעמים מגלים באיחור שגדלו מהר בלי להתאים את כלי האבטחה שלהם.
- למה לא חתמה ישראל על אמנת הסייבר וחופש הביטוי באינטרנט?
- דיווח: ארה"ב מכינה "מכת סייבר כבדה" כתגובה להתערבות רוסית בבחירות
- מקלדות מקליטות, עכבר שהוחלף בלי ששמתם לב: כך פורצים האקרים לארגונים
לצד איומי ריגול עסקי, סחיטה מקוונת או גניבת מידע לקוחות, מערך אבטחה פגום יכול להביל גם לקנסות רגולטוריים; תקנות הגנת הפרטיות הישראליות והאירופיות דורשות התייחסות לנושא, בעיקר כשצומחים ומשיגים עוד לקוחות ומשתמשים. לפניכם שורת טעויות נפוצות שעושים עסקים קטנים, אשר שועטים קדימה ומשאירים את האבטחה מאחור.
1. נשארים עם התוכנות הישנות
כשהתחלתם את העסק, רכשתם מחשבים והתקנתם עליהם תוכנות אבטחת מידע רגילות: אנטי-וירוס, פיירוול ואולי אפילו התקנתם חבילת הגנה של אחת מהחברות הגדולות, קספרסקי, מקאפי, סימנטק או ESET. ואולם, כשאתם מגדילים את הפעילות אתם עוברים משימוש יחידני לעבודה ברשת ושם הפתרונות שאולי מתאימים למחשבים בודדים כבר לא מספיק חזקים.
האקרים יודעים כיום לעקוף את רוב התוכנות המסחריות הנפוצות, בין אם מדובר במתקפות כופר, חדירה למחשבים או מניעת שירות, אתם תצטרכו להרחיב את היריעה ולבחון התקנה של פתרונות שיודעים למנוע כניסה של גורם זדוני עוד לפני שהוא מגיע לתוך המחשבים. פתרונות אלה קיימים היום גם לרשתות של עסקים קטנים ובינוניים שנקראים UTM - ניהול איומים אחוד - ואפשר למצוא אותם בקלות בעלויות יחסית סבירות.
2. הכשרת עובדים חלקית
בשלבים הראשונים קל לייצר מודעות לנהלי אבטחת מידע בקרב צוות קטן: פשוט מזכירים לכולם לא לפתוח מיילים חשודים או להקליק על קישורים חשודים, משהו שמתכנתים מודעים לו. אבל כשגדלים מהר, גם העובדים נקלטים במהירות; פתאום ישנם אנשי מנהלה, מכירות, תפעול ועוד שאינם בהכרח מודעים לנהלי אבטחה.
עסקים רבים בשלב הזה מזניחים את ההכשרה של העובדים והוותיקים שוכחים שלא תמיד ניתן לסמוך על החדשים. פושעי הרשת נוהגים לנסות את מזלם פעמים רבות בתרגילי הנדסה חברתית: מספיק שמוצאים פרופיל של מישהו ששינה את מקום העבודה שלו בלינקדאין, נגיד איש מכירות, וכל מה שצריך זה לשכנע אותו לפתוח מייל או להקליק על קישור שנשלח אליו על ידי הצעת רכישה או שת"פ. מהרגע שהקישור נחשף לרשת הפנימית, העסק שלכם בסכנת סחיטה או ריגול עסקי. אל תהססו להתייעץ עם מומחי אבטחה ולבנות תוכנית הדרכה, שתכלול גם ביקורות תקופתיות.
3. ריכוז כל המידע במקום אחד
כשהעסק קטן, הנטייה היא לשמור את כל המידע במיקום בודד אליו כולם מתחברים כדי למשוך ממנו את מה שצריך. אבל ככל שהעסק גדל שיטת העבודה הזו הופכת למסוכנת מאוד. ככל שיש יותר עובדים עם גישה לרשת חלקם יקבלו גישה לאותם משאבים כמו המנכ"ל - התוצאה היא שיש להם מפתח למידע הכי רגיש שיש בעסק. תיקי לקוחות, נתונים פיננסיים, חשבונות בנק, מסמכי תאגיד וקניין רוחני לא צריכים להיות זמינים לכולם. משאבים שונים צריכים להיות מותאמים למשימה ולתפקיד של העובד. איש מכירות לא צריך לקבל גישה לנתונים פיננסיים והמזכירה לא צריכה גישה לקניין הרוחני.
הפרדה יכולה להתבצע עם תוכנות או אפילו הפרדה פיזית בין רשתות בעזרת חומרה כמו נתבים ומתגים. אם יש לכם מנהל רשת טוב, הוא יוכל בקלות לייצר הרשאות שונות ולהתאים את הרשת עם רשתות וירטואליות נפרדות או אפילו לייצר מספר תת-רשתות שאליהן יש גישה נפרדת. גם שילוב של שירותי ענן או שרתים וירטואליים עשוי לפתור את הבעיה בלי הוצאה כבדה מדי.
4. עבודה על מכשירים פרטיים
לפני מספר שנים החל טרנד ה-BYOD או Bring Your Own Device (הבא את המכשיר שלך לעבודה, בתרגום חופשי). הרעיון היה פשוט: תנו לכל עובד להשתמש בגאדג'טים שלו או בלפטופ מהבית וכך תחסכו בעלויות ציוד. מהר מאוד התברר שזה לא רעיון טוב מבחינת אבטחת מידע; האקרים פיצחו מכשירי עובדים וטיפסו דרכם לרשתות ארגוניות. חברות גדולות יכולות להרשות לעצמן מערכות מתקדמות לניהול ציי טלפונים ומחשבים, עליהן רכיבי אבטחה חזקים. אך הן יקרות ומצריכות צוות ייעודי - ולכן זה לא פיתרון טוב עבור עסק קטן.
מה עושים? קונים ומנפקים לעובדים מכשירים. זה יכול להיות סמארטפון, טאבלט או מחשב שעבר בדיקת התאמה בידי מנהל הרשת. כדי לאפשר שימוש במכשיר לצורכי העבודה, יש לוודא קיום רכיבים כאימות דו שלבי, תשתיות VPN, סורקים ביומטריים וכל דבר אחר שיקשה קצת על האקרים לפרוץ למכשיר, להתחזות לעובד ולטייל ברשתות הארגון. בנוסף, יש צורך בניהול הרשאות מרכזי, כך שניתן יהיה לנטרל את גישת המכשיר במקרה בו אבד או נגנב. חשוב להימנע ממכשירים שכוללים רכיבי פרסום, כמו טלפונים סיניים שנועדו לשוק המקומי אך משווקים מחוץ לו.