עוד בבלוג:

  • Admin

אבטחת מידע ועסקים קטנים

עודכן ב: ינו 31

כעסתם על דליפת פנקס הבוחרים מאפליקציית ״אלקטור״? קיבלתם הודעה חריגה מפייבוקס? בעקבות דליפת המידע שהייתה ב paybox בסוף חודש ינואר (השייכת לבנק דיסקונט) ובחודש מאי 2019 לקאנבה (canva) רציתי לעשות לכם קצת סדר בראש. סדר שיאפשר לכם להגן על המידע שלכם ועל המידע של הלקוחות שלכם (כמעט בחינם).


על פי המידע שנמסר מפייבוקס, עקב טעות בהגדרת אחד השרתים שלהם, נחשף בסיס נתונים לגישה חופשית מבחוץ. בסיס הנתונים הכיל פרטים אישיים כגון שם ותעודת זהות וכן את ארבעת הספרות האחרונות של כרטיס האשראי והיסטוריית העברות כסף באפליקציה. המידע דווח לחברה על ידי חוקר אבטחת מידע שהוריד דגימה חלקית של הנתונים לצורך בדיקה ודיווח לחברה. נכון להיום אין אינדיקציה לחדירה זדונית לנתונים או לשרתי החברה.


אירועים חמורים יותר ופחות מהתקלה בפייבוקס אינם נדירים. מדי יום ומדי שעה נפרצים שרתים, שרותים ואתרים רבים ברחבי העולם, כאן תוכלו לראות בזמן אמת (ובצורה ויזואלית) ניסיונות פריצה ברחבי העולם.(כאן אגב יש פרופיל טוויטר שצוחק על מפות שכאלה, למתקדמים).



חשיבות אבטחת מידע לעסקים קטנים

ובוא נראה עוד קצת מספרים על 2019:

חצי ממתקפות הסייבר מטרגטות עסקים קטנים- עסקים קטנים פחות מייחסים חשיבות (וכסף) לסיכונים אלה, אולי בגלל תחושת ה''לי זה לא יקרה'' או מחוסר ידיעה, אבל זה בהחלט הופך אותם למטרה קלה ונוחה יותר. עסקים קטנים מהווים 13 אחוז משוק אבטחת הסייבר, יחד עם זאת, מרבית העסקים האלה משקיעים פחות מ - 500 דולר באבטחת הנכסים הדיגיטליים שלהם.


התחזיות הן שעד 2021 הנזק מפריצות אבטחת מידע יעמוד על 6 טריליון דולר- שזה הרבה יותר מנזקים של כל אסונות הטבע בשנה ועולה אפילו על הסחר העולמי של כל הסמים הבלתי חוקיים הקיימים בעולם.

רק 10% מפשעי הסייבר בארה''ב מדווחים מדי שנה- זה קורה מהמון סיבות, כי קשה להוכיח לפעמים, כי אין תקווה לתפוס את האשמים או לזהות אותם וכי לפעמים הפורצים מחזיקים במידע רגיש או אינטימי שאנשים מפחדים שיחשף במידה ויפנו לרשויות.


כל 14 שניות עסק נפרץ ומקבל דרישת כופר עבור שחרור המידע שנפרץ.


והנה קצת נתונים על גניבת מידע של משתמשים בחברות הגדולות שכולנו כנראה מכירים:

אדובי, בשנת 2013 נגנבו פרטים על 152,445,165 משתמשים.

בקאנבה (canva), במאי 2019 נגנבו פרטים על 137,272,116 משתמשים.

לביטלי (Bitly), במאי 2014 נגנבו פרטים על 9,313,136 משתמשים.

מדרופבוקס נגנבו ב2012 פרטים על 68,648,009 משתמשים.

ללינקדאין נגנבו ב2012 פרטים על 164,611,595 משתמשים.


בניגוד לפייבוקס, לכל השירותים האלה נגנבו גם פרטים אישיים וגם סיסמאות הגישה של המשתמשים!

את המידע המלא ואיסוף מידע על עוד פריצות תוכלו למצוא ממש כאן.


את חלקכם אולי הנתונים האלה מלחיצים אבל חלקכם יגידו: נו אז גנבו את שם המשתמש והסיסמה שלי באדובי הם לא גנבו את המידע שיש לי שם (ואפשר לחשוב איזה מידע כבר יש לי שם…) אז נשנה סיסמה ונתקדם עם השגרה שלנו.

הבעיה היא שמרבית האנשים רשומים לעשרות אתרים ומשתמשים באותה סיסמה לכולם, אם פעם הסיסמאות נרשמו ונתלו על הקיר או ליד המחשב בעמדת עבודה, היום כשאנחנו עובדים מכל מקום, ממגוון מכשירים ומשתמשים בעשרות שירותים - למי יש כוח לנהל את הסיסמאות שלו על פתקים. בסוף אנחנו משתמשים באותן הסיסמאות בכל מקום. וכאן מתחילה הבעיה. כשנפרץ שירות כמו קאנבה, הפורצים פשוט מקבלים רשימה של 137 מיליון איש - שם משתמש, מייל וסיסמה (לפעמים מוצפנת או מגובבת אבל זה לא תמיד עוזר). עכשיו נשאר רק להצליב ולנסות את המייל והסיסמה האלה בשירותים אחרים - פייסבוק, פייפאל, גוגל…. והנה איך אתם בקלות מאבדים את המידע והכסף שלכם או של הלקוחות שלכם, בלי שאולי אפילו שמתם לב.


גם אם אתם לא ממחזרים סיסמאות בין שירותים, דבר נוסף שאפשר לעשות עם המידע שנגנב זה לשלוח מייל מזוייף של איפוס סיסמה או אימות פרטים (מתקפת פישינג או "דיוג"). ניתן להרכיב מייל כזה המשלב פרטים מהמידע שנגנב משירות א' וכך לגרום למייל להראות מאוד מאוד אמין. כך ניתן לנסות לקבל גישה לחשבון שלנו בשירות ב'.


עד כאן לא נעים ואולי גם קצת מביך, אבל כל הדבר הזה מחמיר עוד יותר כשאנחנו מחזיקים מידע עבור הלקוחות שלנו, כשאנחנו מנהלים להם אתרים, חשבונות פייסבוק, חשבונות ecommerce ועוד ועוד ועוד, פריצה אחת לחברה אחת גדולה יכולה להסב לנו הרבה נזק בעסק הפרטי שלנו ובסביבה הקרובה אלינו.





מה המשמעויות של זה?

לפעמים הנטייה שלנו היא לחשוב שלהאקרים אין בכלל סיבה לפרוץ אלינו - שאנחנו פשוט לא מספיק מעניינים. אבל הנתונים ואופי הפריצות מראים שזה פחות רלוונטי, כל מה שפריץ או נגיש - ייפרץ. אז קודם כל, צאו מגישת ה''לי זה לא יקרה'' ותחשבו איך אתם יכולים למנוע את המהלכים האלה ולשמור על המידע שלכם ושל הלקוחות שלכם.


הגנה מפרצות אבטחת מידע

מה אפשר לעשות כדי למנוע או למזער נזקים?

לא ממחזרים סיסמאות בין שירותים שונים

אולי העצה הכי חשובה, הסברתי כבר למה זה חשוב ועכשיו נדבר קצת על איך עושים את זה:

עדיף להשתמש במנהל סיסמאות שמאפשר לנו לייצר סיסמאות מסובכות לחשבונות שלנו ושומר לנו אותם במקום מרכזי כדי שאנחנו לא נצטרך לזכור אותן, מנהל הסיסמאות מוגן בדרך כלל בסיסמת מאסטר שזו הסיסמה היחידה שנצטרך לזכור.


מנהלי סיסמאות מגיעים בדרך כלל כתוסף לדפדפן, כדי שיוכלו להקליד את שם המשתמש והסיסמה לתוך האתר שאתם מנסים להתחבר אליו, או כאפליקציה לנייד. הסיסמאות שאתם שומרים בהם יסתנכרנו בין המכשירים שלכם ולא תצטרכו יותר להקליד או לזכור אותן.


שני מנהלי סיסמאות מומלצים הם https://1password.com/ ו https://www.lastpass.com/ אבל ישנם שירותים נוספים.


אם לא בא לכם להתקין תוכנות נוספות אפשר גם להשתמש במנהל הסיסמאות של הדפדפן. הרבה אנשים שומרים סיסמאות בכרום שלהם אבל לא כולם יודעים שאפשר לנהל את הסיסמאות (לראות אותן ולעדכן אותם) בצורה מרוכזת בכרום. ככה תוכלו לבדוק איפה לא עדכנתם הרבה זמן את הסיסמה שלכם ואיפה יש לכם סיסמאות שחוזרות על עצמן ושווה להחליף. העתיקו את הלינק הזה לכרום שלכם ותוכלו לגשת ישר למנהל הסיסמאות שלכם.

chrome://settings/passwords

ניתן גם להשתמש בחשבון הגוגל שלכם כדי לסנכרן את הסיסמאות בין המכשירים השונים אם תחברו את הדפדפן לחשבון גוגל שלכם.


מעדכנים סיסמאות

בתום קריאת הפוסט הזה תגשו לעדכן ולשנות את הססמאות הקבועות שלכם בכל מקום. גם במקרים נקודתיים - כשאנחנו מקבלים עדכון ששרות מסויים נפרץ (לדוגמא קאנבה), חשוב לא רק לשנות שם את הסיסמא שלנו אלא ללכת לכל מקום בו אנחנו משתמשים באותה סיסמה בדיוק ולשנות אותה, כדי למנוע הצלבת סיסמאות ופריצה לחשבונות נוספים שלנו.


מפעילים אימות דו שלבי על חשבונות חשובים (כמו פייסבוק וגוגל)

אימות דו שלבי זה אומר כשמתחברים לחשבון שלכם- מעבר להכניס שם משתמש וסיסמה, אתם מקבלים גם אסמס או מייל עם עדכון על ניסיון התחברות למערכת וקוד חד פעמי שצריך להזין כדי להתחבר לחשבון.


במערכות שונות תוכלו לשחק עם ההגדרות של האימות הכפול - האם בכל התחברות, התחברות ממחשב חדש, כל X זמן (למשל פעם בחודש) וכו. חלקן גם תומכות בהזדהות באמצעות מפתח אבטחה, מכשיר פיזי או אפליקציה לטלפון שמייצרים קוד חד פעמי חדש כל דקה אותו נדרש להקליד בנוסף לשם המשתמש והסיסמה הרגילים.


אם משתמשים באפשרויות האלה חשוב להגדיר גם גיבוי כדי שלא נאבד גישה לחשבון (תוכלו לקרוא על כך עוד כאן)


לא להיכנס לחשבונות שלנו ממחשבים ציבוריים או ממחשבים של אנשים אחרים

קודם כל ברור שאם נשכח להתנתק בסיום העבודה, משתמשים אחרים במחשב יוכלו לגשת לחשבון שלנו. אבל גם אם אנחנו סומכים על המשתמשים האחרים במחשב, אנחנו לא יודעים מה רמת האבטחה שלו ואם הוא מודבק בקוד זדוני שיכול לגנוב את הסיסמאות שלנו כשאנחנו מקלידים אותן.


אם אין ברירה וחייבים להתחבר ממחשב שלא שייך לנו, כדאי להשתמש במצב ״גלישה בסתר״ (ctrl+shift+n בדפדפן chrome). במצב גלישה בסתר המידע נשמר בדפדפן רק באופן זמני כל עוד הוא פועל. זה אומר שברגע שנסגור את החלון של ״גלישה בסתר״ המידע שלנו ימחק וכל החשבונות שהתחברנו אליהם במחשב הזה ינותקו. חשוב לשים לב שסוגרים את כל הטאבים כדי שהמידע ימחק.


הקפידו לעדכן את מערכת ההפעלה ואת התוכנות השונות שאתם משתמשים בהם בדגש על הדפדפן

אני יודעת שזה מעצבן ואף פעם אין כוח להפעיל מחדש את המחשב אבל חלק מהעדכונים האלה מכילים תיקוני אבטחה שמטרתם למנוע מפורצים לחדור למחשב שלכם.


לא לוחצים על לינקים חשודים

הרבה פעמים כשאתם מקבלים מיילים, הודעות או התראות ברשתות חברתיות על איפוס סיסמה, אימות נתונים וכו- בדקו טוב טוב מה מקור המייל ואל תלחצו על אף מייל שלא אתם ביקשתם או יזמתם. בטח לא להכניס סיסמאות, פרטי חשבון בנק, אשראי וכו.


בדיקת חשבונות

הדרך הכי טובה להגן על הפייפאל והכרטיס אשראי שלכם זה פשוט לבדוק ולעקוב אחרי החשבונות וההוצאות שלכם, בדקו כל דבר שאתם לא מכירים או לא בטוחים שרכשתם.