מאת: דוריה גלעם, ראש צוות תקיפה ב- Matrix 2bsecure
למה חשוב לשים דגש על מיגון מפני מתקפות הנדסה חברתית, ומה הקשר בין אבטחת מידע להרחבת מעגל הלקוחות – 4 טיפים שיעזרו לארגון שלך לא ליפול קורבן למתקפה הבאה
זה לא סוד, שהקורונה עשתה טוב להאקרים. רק כדי לסבר את האוזן, על פי נתוני ה-FBI
בחודשים הראשונים של פרוץ הקורונה, חל זינוק של 400% בהיקף התקיפות בארה"ב, ונתוני התקיפות המשיכו להיות גבוהים לכל אורך 2020. באופן דומה, על פי דוח אינטרפול חל זינוק דרמטי בתקיפות ברחבי העולם. לכן חשוב היום, אולי יותר מאי פעם, לוודא שהארגון שלכם מוגן 360 מעלות, ואין אף פרצה דרכה תוקף עלול להסתנן. ארבעה טיפים על נקודות תורפה, שנוטים לפספס, ועם קצת תשומת לב, תוכלו לחסוך לארגון שלכם נזק עתידי ועל הדרך גם לרכוש יתרון עסקי.
1) הנדסה חברתית - 22% מכלל המתקפות שהצליחו בשנת 2020, היו מתקפות פישינג או הנדסה חברתית – שימו דגש על חינוך למודעות ארגונית
לפני כשנה, נפרצו חשבונות הטוויטר של כמה מהאישים הידועים ביותר בעולם: נשיאי ארה"ב בעבר ובהווה: ג'ו ביידן וברק אובמה, וענקי הטכנולוגיה: אילון מאסק, ביל גייטס וג'ף בזוס. הישג להאקרים שזכה לכותרות בעיתונות. במסגרת התקיפה, הפורצים ניצלו חולשות אנושיות, והפעילו מה שנקרא בטרמינולוגיה המקצועית "הנדסה חברתית" (=סוגי מתקפה המנצלים "באגים אנושיים", כמו פיתוי המשתמש להוריד או להקליק על משהו) על עובדי טוויטר.
המתקפה על טוויטר זכתה לכותרות בשל האישים המעורבים, אבל רבות כמוה מתרחשות אשר עוברות מתחת לרדאר. למעשה, כמעט רבע מהתקיפות שהצליחו בשנת 2020, היו מתקפות של פישינג או הנדסה חברתית. ולכן, אחד הדברים החשובים ביותר שאתם יכולים לעשות על מנת למגן את הארגון, הוא מניעה באמצעות חינוך העובדים, וזה לא פשוט כמו שזה נשמע. רוב הארגונים מסתפקים בשליחת מייל מדי פעם עם איסור להקליק על קישורים חשודים, אבל על מנת למגן באמת את הארגון מפני מתקפות של הנדסה חברתית, צריך ליצור באופן שיטתי מודעות ארגונית לאבטחת מידע, ולבצע הדרכות סדירות, קמפיינים של פישינג יזומים ועוד. זה חשוב במיוחד בתקופה בה אנחנו עובדים יותר מהבית, וכל עובד/ת הופך להיות ה- CISO של עצמו.
2) בדקו את נקודות הממשק עם הלקוחות –
בדרך כלל ארגונים נרתעים מחינוך לקוחות ובאופן כללי פחות מודעים לאופן בו הלקוחות שלהם חושפים אותם, ויוצרים פרצות באבטחת המידע של הארגון. במיוחד חשוב לתת על כך את הדעת במקרים בהם יש לארגון מערכות המשמשות את לקוחות הארגון וההתחברות אליהן היא בעזרת שם משתמש וסיסמה בדף אינטרנט. במערכות מהסוג הזה חשוב מאוד להקפיד על מדיניות סיסמאות חזקה. באופן דומה, כאשר אנו נותנים ללקוחות גישה לסביבת שרתים של הארגון, אם לא הגבלנו את הגישה לסביבה, או אפילו הפרדנו בין הסביבות לחלוטין, הפריצה הבאה לארגון עלולה להגיע משם. כמובן, זה לא תמיד פשוט להסביר את כל זה ללקוחות, ואנחנו לא רוצים להכביד עליהם עם מדיניות נוקשה מדי. לפעמים הפתרון הוא להזמין חברה חיצונית שתבצע בדיקות על המערכת ותמליץ, כי עם המלצות של חברת אבטחה צד שלישי קשה יותר להתווכח.
3) ספקים – טיפ דו כיווני: כשאתם בוחרים ספקים, ודאו שהספקים שלכם עומדים בתקנים מחמירים של אבטחת מידע. מהצד השני, ודאו שהארגון עומד בתקנים מחמירים של אבטחת מידע – כך תהיו מוגנים וגם אטרקטיביים יותר ללקוחותיכם
נקודת החשיפה של הארגון יכולה להיות גם דרך הספקים שהוא בוחר. לכן, כשאתם בוחרים עם איזה ספקים לעבוד, חשוב לוודא שהם עומדים בתקני אבטחת מידע מחמירים. למשל, אם מדובר בארגונים שאוספים מידע על לקוחות, חשוב לבדוק שמאגרי המידע רשומים. באופן כללי, מומלץ לבצע סקר חצרות ספקים, ולוודא כי אנחנו לא חושפים את הארגון שלנו במקומות שאין לנו שליטה עליהם. מהכיוון השני, כדאי לערוך בדיקה תקופתית, ולהקפיד על כך שהארגון שלנו עומד בתקנים חמורים של אבטחת מידע. כך אנו מנסים למנוע את המתקפה הבאה, ובנוסף, כאשר לקוחותינו באים לבדוק אותנו כספקים, אנו עומדים בתקנים המחמירים, והדבר יכול לתת לנו יתרון יחסי על מתחרינו. במיוחד כאשר על לקוחותינו נמנים ארגונים גדולים בתחומי הפיננסים, הביטוח והבריאות, או כשאנו פונים לשווקים בארה"ב ובאירופה. כך למשל, ארגון שפונה למגזר הבריאות, ועובד לפי תקן HIPA – הוא בעל יתרון יחסי אל מול המתחרים.
4) ודאו כי החשיפה של נכסי הארגון החוצה מתבצעת עם בקרה ועם סינון לכל ארגון יש תשתית חיצונית ופנימית שמשמשת את העובדים והלקוחות. חשוב מאוד לוודא, כי החשיפה של נכסי הארגון החוצה מתבצעת עם בקרה ועם סינון. הרשת הפנימית היא כמובן רגישה יותר, ולכן חשוב להשתמש באמצעי הגנה פנים ארגוניים על מנת למנוע מגורמים זדונים שמגיעים פיזית למשרד לפגוע בנכסי הארגון. אפשר כמובן לגלות את החולשות של התשתית על ידי ביצוע מבדקי חדירה תשתיתיים, וכך למנוע את הפרצה הבאה בארגון.
כמו שכולנו יודעים, חיסון מונע עדיף על טיפול לאחר שכבר נדבקנו. זאת הסיבה שמיקדתי את הטיפים בכיצד אפשר למנוע את איומי המתקפות מבעוד מועד. אנחנו כבר הרבה אחרי השוק הראשוני של התפרצות הקורונה, אבל הנורמליות החדשה של חיים בצד הקורונה, מצריכה מאתנו להמשיך להשתנות ולסגל את צורת האבטחה שלנו לצורת החיים החדשה.
