מערך הסייבר הלאומי: דרכי הגנה לארגונים/עסקים לעבודה מהבית עקב הקורונה
מאת:
מערכת Telecom News, 11.3.20, 17:38
עבודה מרחוק מאפשרת לעובדים לקבל גישה למערכות הארגוניות מה שעלול לחשוף את הארגון לפגיעות. ריכוז עשרות המלצות להגנה עבור בעלי העסקים והעובדים. מה נדרש לעשות כדי להגן על הארגון/העסק?
התפשטות נגיף הקורונה בארץ ובעולם מעודדת ואף מחייבת ארגונים רבים לשנות את שיטת העבודה ולאפשר לעובדיהם לעבוד מהבית. עבודה מרחוק מאפשרת לעובדים לקבל גישה למערכות הארגוניות מה שעלול לחשוף את הארגון לפגיעות.
מערך הסייבר הלאומי ריכז המלצות להגנה עבור בעלי העסקים והעובדים המאפשרים עבודה מרחוק. מטרת ההמלצות היא לצמצם במספר צעדים פשוטים ומהירים את סיכוני הסייבר כתוצאה מעבודה מהבית של עובדים.
המלצות להגנה על רשת הארגון/העסק:
מה העובדים ומה הארגון/העסק נדרשים לעשות כדי להגן על הארגון/העסק?
רצוי, שהגישה מרחוק תתבצע מאמצעי קבוע המוכר לאיש/אשת המחשוב של הארגון
.
יש לבחון הענקת הרשאות גישה מרחוק לתיקיות מחשוב. מומלץ להתיר גישה לתיקיות חיוניות בלבד
.
מומלץ להפריד גישה לדוא"ל לבין גישה לשרת/תיקיות/נכסים רגישים. לאחר בחינה ארגונית ובמידה והמסקנה היא, שהדבר הכרחי,
מומלץ לפתוח את הגישה לפרק הזמן הנדרש בלבד באמצעות איש המחשוב הארגוני
.
הסרת הרשאות גישה של העובדים למערכות ארגוניות/ממשקים שאינם חיוניים הגדירו הרשאות גישה עבור תוכנות הרלוונטיות לממשקי העבודה בלבד (לדוגמה: במידה ומנהלת הכספים נדרשת לעבוד מהבית, אפשרו גישה למערכת השכר לפרק הזמן הנדרש בלבד). אחת לתקופה, בדקו האם ההרשאות שהוקנו עדיין רלוונטיות ואם לא, הסירו את ההרשאות, שאינן נדרשות
.
ביצוע גיבויים
לכל המכשירים ולמידע האגור בהם. במקרה של פריצה או השבתה של המכשיר, ניתן יהיה לשחזר את המידע. עדיף לבצע את הגיבוי להתקן חיצוני נייד וכן גיבוי בענן
.
הגדרת מדיניות אכיפת הגדרת סיסמאות מורכבות וקשות לניחוש באמצעות מנגנון ניהול המשתמשים כגון
GPO במיקרוסופט ואילוץ המשתמש להחליף סיסמה באופן עיתי, במידת האפשר גם הגדרת
OTP- one time password כאמצעי זיהוי נוסף
.
יש להגדיר, שחיבור המשתמשים
(Session) יהיה לפרק זמן מוגבל
X) דקות/שעות).
יש לוודא בחוקת הפיירוול הארגוני והמקומי טיוב חוקים המאפשרים גישה מרחוק. כך, שגישה זו תצומצם למינימום וכן, שמתקבלים לוגים לתיעוד ההתחברות. בנוסף, מומלץ להגדיר מדינות ואזורים המורשים להתחבר לארגון. טיוב החוקה ב
FW- המקומי מבוסס מערכת ההפעלה של מיקרוסופט-
כאן.
לארגונים להם יש בנוסף
Fire-Wall ארגוני של יצרן אחר, יש לפנות ליצרן לטובת הנחיות לטיוב החוקה
.
למתקדמים:
במחשב נייח/נייד יש להגביל את הגישה לשורת פקודה דוגמת
.PowerShell כך, שלא יהיה ניתן להריץ סקריפטים ,שמקורם לא ידוע, או שמקורם ממחשב אחר
.
מומלץ לאפשר לעובדים התחברות דרך ממשק מאובטח כגון
.Terminal Services
הקלטת ה
session- ושמירת ההקלטה לפרק זמן קבוע (חודשים/שבועות)
.
מודעות עובדים:
בעת מתן אישור לעובד לעבודה מרחוק, חשוב לבצע הדרכת מודעות קצרה, שתכלול את הנקודות הבאות
:
חשיבות נעילת המכשיר באמצעות סיסמה חזקה, אמצעי ביומטרי, קוד, או נעילת דפוס וכן הגדרת נעילה אוטומטית לאחר אי-שימוש במשך זמן קצוב (רצוי לבחור כהגדרת מחדל את המינימום האפשרי)
.
הפעלת אימות דו שלבי
(2FA) בכל מכשיר וכל חשבון המאפשר זאת
.
ניהול 2 תיבות דוא"ל נפרדות - אחת לעבודה ואחת לפעילות פרטית, יצירת סיסמה שונה עבור כל חשבון וכן וידוא הפעלת אימות דו-שלבי
.
הימנעות ככל האפשר מלהתחבר לרשת
WiFi מזדמנת (של השכנים לדוגמה), שאינה מאובטחת ולהעדיף להתחבר באמצעות
VPN או רשת סלולרית. במידה וניתן להתחבר רק מרשת ה-
WiFi הביתית יש לוודא, שהרשת פרטית ושמוגדרת סיסמת כניסה מורכבת, שאינה ברירת המחדל של היצרן ושלא בוצע בה שימוש בחשבון אחר שברשותו
.
לרוב הנתב הביתי בעל אבטחה לקויה וקל לפרוץ אותו ולכן חשוב לבצע מספר צעדים פשוטים כדי לאבטחו.
הרחבה.- כאן
מומלץ, כאמור, שיוגדר, שעדכוני תוכנה יבוצעו אוטומטית. אולם, אם לא בוצעה הגדרה זו אז טרם מסירת המחשב לעובדים, יש להדריך אותם כיצד לבצע עדכוני תוכנה וכן אודות תדירות העדכון הנדרשת
.
יש לחדד ערנות מפני ניסיונות דיוג (פישינג על כל סוגיו) המתקבלים בערוצי התקשורת השונים (פרטי וארגוני) וכן חובת עדכון העובדים את ה-
IT או הנהלה בכל חשד לניסיון שכזה
.
המלצות הגנה עבור העובדים - ציוד מחשוב ומידע:
מומלץ לוודא, שעל אמצעי המחשוב בבית - מחשב נייח/נייד/טאבלט/סמארטפון
:
כלל המכשירים ברשות העובדים, הארגוניים והאישיים
- נעולים בסיסמה
,PIN נעילת דפוס, ביומטרי, כרטיס חכם וכד'.
מותקנת תוכנת אנטי וירוס
(Anti-Virus) מעודכנת
. התוכנה מבצעת סריקה בניסיון לאתר וירוסים ואיומי מחשב שונים
.
מותקנת במכשיר תוכנת חומת אש
(Fire-Wall) מעודכנת
.
במחשבי נייח/נייד בהם מותקנת מערכת
Microsoft חשוב לוודא, ש-
Windows Defende אכן מופעל (ע"י התחלה
-> הגדרות
-> אבטחה).
מותקן
VPN (רשת וירטואלית פרטית) להתחברות מאובטחת ופרטית בין העובדים למשאבי הארגון וכן הפעלת אימות דו שלבי/רב גורמי
(2FA /MFA) בשימוש בדרך זו - בעדיפות לאימות זיהוי, שאינו מבוסס מסרון
.(SMS)
הגדרת ביצוע עדכוני תוכנה אוטומטית לכלל התוכנות במכשיר (מומלץ להגדיר עדכונים לשעות הלילה), כולל דפדפנים. בנוסף, חשוב לבצע עדכון יזום במכשירים החכמים למערכת ההפעלה מיד עם פרסומם. במידה ותוכנה מסוימת אינה מאפשרת עדכונים אוטומטיים, מומלץ לשים תזכורת לבחון באופן חודשי את עדכניות התוכנה מול אתר האינטרנט של היצרן, ולבצע עדכון ידני בעת הצורך
.