ה"עבודה מהבית" כאן כדי להישאר. איך שומרים על אבטחת הארגון/העסק?
מאת:
גיא חורש, 16.7.20, 17:16
משבר נגיף הקורונה גורם להבנה, שחלפו הימים בהם עסקים, חברות וארגונים פעלו אך ורק במסגרת "4 הקירות" שבבעלותם. פתרונות המאפשרים הוליסטיות יענו בהצלחה על אתגרי הזהות הנוכחים והעתידיים עימם מתמודד הארגון/העסק. טיפים לארגון ולעסק למזעור סיכוני אבטחה.
נוף איומי האבטחה ברשת נמצא בשינוי מתמיד ובמיוחד בימים אלה בהם אלפי עובדים עברו לעבוד מהבית ולעשות שימוש בחיבור מרוחק. כל הנושא קיבל משנה תוקף בעקבות החלטת הממשלה להחיל ליישם עבודה מהבית של עובדי המדינה.
משבר נגיף הקורונה גורם להבנה, שחלפו הימים בהם עסקים, חברות וארגונים פעלו אך ורק במסגרת "4 הקירות" שבבעלותם כשהם מוגנים ע"י אבטחה היקפית (
Perimeter). ככל שהארגון/עסק עבר לענן, מודל האבטחה ההיקפית הפך להיות פחות ופחות רלוונטי.
עסקים, חברות וארגונים צריכים להניח, שהאקרים יוכלו לחדור את הרשת שלהם. השאלה אינה "אם" תוקף יעשה זאת, אלא "מתי". כל שנדרש לחדור ולהחרים רשת ארגונית הוא תיצור שגוי של אחד העובדים, ו/או שימוש בזהות חשופה/גנובה או
certificate, שאינו מעודכן בנקודת הכניסה לארגון/עסק.
מרגע שהאקר נכנס לרשת הארגונית קל לו יותר לקבל גישה לנתונים החשובים. לעיתים קרובות האקר, שחדר לרשת, יעקוב זמן מה אחר התנועה הרשתית בארגון/עסק. בדרך זו מתאפשר לו לבחון ולמפות היכן נמצאים הנתונים הרגישים בארגון/עסק.
כדי להגביל את הנזק הפוטנציאלי ממשתמשים סורחים ו/או האקרים, יש לגלות פעילות חשודה או תוכנות זדוניות באופן יזום. במקביל, ארגונים/עסקים צריכים להתמקד קודם כל בהגנה על נתוניהם, משום שכל רשת עלולה להיפרץ בזמן זה או אחר. חשוב להגן על הנתונים מפני מה שקורה לאחר החדירה.
יותר מתמיד, ארגונים/עסקים צריכים להיות מודעים לכך, שזהויות פגומות (אישורי משתמשים) מייצגות כלי התקפה מהמועדפים על האקרים. הקלות בה ניתן לאסוף סיסמאות סטטיות בשילוב עם כלים וטכניקות מאוד מתוחכמות לניצולן עלול להביא לתוצאות הרסניות עבר הארגון/העסק.
כדי למזער את הסיכונים הקשורים בגישה (משתמשים, אפליקציות וכו') חשוב לנקוט במתודה "מודיעינית" לקבלת החלטות:
מתחילים בבחינת ההקשר וההשפעה העסקית של גישה "סוררת" ליישום על העסק. הדבר יעזור לקבוע את העדיפות בהערכת הפרות גישה ליישום או הנתונים.
לכל יישום יש הערכה של סיכון נוכחי על בסיס מערך קריטריונים. לדוגמה: מספר חשבונות יתומים (
no owner) וזכויות יתר.
יש להנחות את העובדים להתחבר מרחוק באמצעות מחשב אחד, שמוכר לאיש/אשת המחשוב של הארגון
.
יש לבחון הענקת הרשאות גישה מרחוק לתיקיות מחשוב. מומלץ להתיר גישה לתיקיות חיוניות בלבד
.
יש להפריד בין גישה לדוא"ל לבין גישה לשרת/תיקיות/נכסים רגישים. לאחר בחינה ארגונית, ובמידה והמסקנה היא ,שהדבר הכרחי, מומלץ לפתוח את הגישה לפרק הזמן הנדרש בלבד באמצעות איש המחשוב הארגוני
.
יש להסיר הרשאות גישה של העובדים למערכות, שאינן חיוניות, ולאפשר גישה של עובד למערכות הרלוונטיות לעבודתו (לדוגמה: במידה ומנהלת הכספים נדרשת לעבוד מהבית, לאפשר גישה למערכת השכר לפרק הזמן הנדרש בלבד). אחת לתקופה, יש לבדוק אם ההרשאות שהוקנו עדיין רלוונטיות ואם לא, להסיר את ההרשאות, שאינן נדרשות
.
יש לבצע גיבויים לכל המכשירים ולמידע האגור בהם. במקרה של פריצה או השבתה של המכשיר, ניתן יהיה לשחזר את המידע. עדיף לבצע את הגיבוי להתקן חיצוני נייד וכן גיבוי בענן
.
יש להגדיר מדיניות אכיפת הגדרת סיסמאות מורכבות וקשות לניחוש באמצעות מנגנון ניהול המשתמשים ואילוץ המשתמש להחליף סיסמה באופן עיתי.
יש להגדיר כי חיבור המשתמשים
(Session) יהיה לפרק זמן מוגבל של דקות/שעות.
יש לוודא בחוקת ה
Fire-Wall- (הארגוני והמקומי) טיוב חוקים המאפשרים גישה מרחוק. כך, שגישה זו תצומצם למינימום וכן, שמתקבלים לוגים לתיעוד ההתחברות. בנוסף, מומלץ להגדיר מדינות ואזורים המורשים להתחבר לארגון
.
משום שמידע רגיש חי בכל מקום, שמירה על המידע ועל גישה אליו וממנו הוא אחד האתגרים הגדולים באבטחת מידע - בקבצים, דוא"ל, אתרי שיתוף פעולה מבוססי ענן כמו
SharePoint או
Office 365.
הנתונים החשובים ביותר של הארגון/עסק נחשפים לרוב ללא ידיעה, תוך שפעמים רבות נתונים רגישים קבורים בקבצים הפתוחים לכולם. ניתן לומר, שנתונים עם חשיפת יתר מהווים את אחד האתגרים הגדולים ביותר בתחום אבטחת המידע, וככול שנפח הנתונים בארגון/עסק גדל, כך עולים הסיכון שבחשיפתו והאתגר שבשמירה על הנתונים, שכן שגיאה בהרשאות כניסה/שליפה או בקרה על נתונים עלולה להפריע לפעילות העסקית.
משום שרק מעט מאוד ארגונים/עסקים יודעים באמת היכן כל הנתונים הרגישים שלהם קיימים, למי יש גישה אליהם ומה הם עושים איתם, זה יוצר סיכון לא מבוטל.
לבסוף, הפתרון המיושם צריך לכסות את כל מקרי הגישה (לעומק ולרוחב) עבור המשתמשים, לאפשר התחברות לכל היישומים, תוך ידיעה של אנשי ה-
IT למי יש גישה ולאן, וביטחון, שזהות המשתמשים מאומתת בזמן הגישה.
פתרון המאפשר את ההוליסטיות האמורה יענה בהצלחה על אתגרי הזהות הנוכחים והעתידיים עימם מתמודד הארגון/העסק.