אבטחת מידע היא כבר מזמן לא עניין ששמור לארגונים גדולים בלבד. עסקים קטנים מתמודדים גם הם עם סיכונים בתחום אבטחת המידע, ויש שורה של גורמים שצריך להתחשב בהם כדי להגן על העסק. במאמר הבא נעסוק במתקפות מרכזיות, אמצעי התגוננות נפוצים, ואילו השלכות חוקיות יכולות להיות עבורכם ועבור העסק שלכם.
ההיכרות עם תחום אבטחת המידע היא חשובה במיוחד. זאת מכיוון שעסקים קטנים הם יעד נוח מאוד לתקיפות, לאור רמת המודעות הנמוכה בדרך כלל לסיכונים בתחום הסייבר, והעובדה שלרוב היכולת שלהם להתגונן מפני איומים כאלו היא נמוכה יותר מאשר בקרב חברות גדולות. בנוסף, ישנו גם היבט חוקי משמעותי, שכן גם עסקים קטנים נדרשים לעמוד בדרישות הרגולציה ותקנות הגנת הפרטיות.
אבטחת מידע לעסקים קטנים – מה זה אומר?
על פי הערכות שונות, כ-50% מתקיפות הסייבר מתבצעות נגד חברות קטנות. ישנם גורמים רבים שהופכים חברות קטנות לטרף קל. בין היתר, בארגונים מסדר גודל כזה אין בדרך כלל מנהל או מנהלת אבטחת מידע, כאשר הטיפול נמצא לעתים קרובות תחת האחריות של גורם חיצוני שאינו נמצא בנבכי החברה. לכן, גם משך הטיפול באירוע עלול לקחת זמן רב יותר מאשר בארגונים גדולים, ובהתאם להוביל לנזקים משמעותיים לחברה.
בנוסף, במקרים רבים עסקים קטנים כלל אינם מודעים לסיכונים השונים ולכן הם גם אינם מתדרכים את העובדים בחברה. למשל, אחת המתקפות הנפוצות היא מתקפה שנקראת פישינג. בעצם מדובר במתקפה שבאמצעותה נשלח מייל לאחד העובדים בחברה במסווה של מייל תמים. עובדים שאינם ערים וערוכים לסיכון עלולים לפתוח את המייל ולסכן את הארגון כולו. לכן, שלב ראשון ביצירת רשת אבטחת מידע לארגון הוא בכלל לקחת אחריות על הנושא ולטפל בו.
מאיפה להתחיל? צעדים מרכזיים שאפשר לנקוט לשיפור אבטחת המידע בארגון והמוכנות בעסק.
קיימת תפיסה לפיה אבטחת מידע היא עסק יקר ושכדי לשפר את האבטחה של הארגון יש צורך בתקציב משמעותי. אבל בפועל, ברוב המקרים ההשקעה הנדרשת עבור עסקים קטנים לא חייבת להיות כה משמעותית. יש כמה צעדים שאתם יכולים לעשות ושישפרו משמעותית את אבטחת המידע אצלכם בעסק.
ברמת המנכ"ל, כדאי להבין את השאלות המרכזיות הנוגעות לקבלת החלטות ואסטרטגיה רלוונטית אם חס וחלילה העסק שלכם הותקף. כך למשל, האם להשבית את מערכות המחשוב? כיצד להתנהל מול הלקוחות והעובדים? ובאיזה אופן לדווח לרשויות על הפריצה לרשת. בנוסף, למרות שהמנכ"ל לא עוסק בנושא באופן יומיומי, עליו לוודא שכל מערכות העסק, הפנימיות והחיצוניות, יכללו גיבוי שעומד בדרישות המקצועיות בתחום אבטחת המידע.
מהצד של מחלקת ה-IT ומנהל ה-IT בחברה הדרישה המרכזית היא להיות מצד אחד בתקשורת עם הנהלת החברה כדי שיספקו את המשאבים הדרושים לגיבוי טכנולוגי הולם של התשתית, אך מצד שני להבהיר גם סוגיית האחריות והבקרה הנדרשת. לכן, מנהל IT טוב הוא כזה שיודע למשל לספק פתרונות טכנולוגיים מתאימים לצרכי החברה. מנגד, בניגוד אולי לתפיסה הרוווחת, מנהל IT איננו האחראי הבלעדי לגיבוי מערכות החברה. לכן, חשוב שהוא יבהיר זאת גם להנהלה, על מנת לוודא שהבקרה על תשתיות הארגון נמצאת אצל צד ג' בלתי תלוי.
אבטחת מידע – למה זה חשוב?
התפיסה לפיה עסקים קטנים לא צריכים אבטחת מידע, היא בין הגורמים המשמעותיים שחושפים אותם לאיומים ברשת. האקרים יודעים היטב כי יש מגוון רחב של עסקים קטנים שאינם מאובטחים כמו שצריך ומנצלים זאת כדי לתקוף אותם. הנזק במקרה של תקיפה חורג לעתים קרובות הרבה מעבר לימים בהם מערכות החברה מושבתות.
נזק אחד משמעותי הוא הפגיעה במוניטין. לצד נטישת לקוחות, לקוחות נוספים עלולים לחשוש מלעשות עסקים עם החברה ובכך להוביל להפסדים כלכליים משמעותיים, הן בטווח הקצר והן בטווח הארוך.
כמו כן, היעדר מודעות לצורך באבטחת מידע עלול להוביל לתגובה שאינה מקצועית מספיק. תגובה כזו עלולה לגרום לכך שפרצות האבטחה בארגון אינן מטופלות כראוי, מה שיוביל לתקיפות נוספות, למרות שהנהלת החברה וגורמים נוספים עשויים לחשוב שהחברה כבר מוגנת.
מלבד ההיבטים הכלכליים וסוגיות הקשורות באבטחת מידע עצמה, ישנם גם היבטים חוקיים חשובים שיש להתייחס אליהם. בישראל קיימת חובה חוקית לעמוד בדיקות של תקנות הגנת הפרטיות, וחברה שלא עומדת בדרישות אלה, עלולה לחשוף את עצמה לקנסות מטעם רשות הגנת הפרטיות, בנוסף על תביעות פוטנציאליות של לקוחות במקרים בהם תקיפה הובילה לדליפת מידע אישי אל מחוץ לחברה.
איך מתמודדים וכיצד לשפר את אבטחת המידע בארגון?
כאמור, הצעד הראשון הוא להתחיל מלמעלה. על המנכ"ל להגדיר את הכיוון האסטרטגי של החברה במקרה של פריצה למאגרי המידע. להבין איך להגיב ללקוחות, לעובדים, ולרשויות. האם לשלם כופר או לא למשל? בנוסף, מנהל ה – IT צריך לדאוג למערכות הארגון באופן שגרתי, כפי שמפורט למעלה. באופן טבעי, מנכ"ל החברה לא יכול להיות מעורב בכל צעד הקשור לנושא, אבל חשוב לשמור על קשר עין מסויים עם האחראים על אבטחת מידע בעסק.
מלבד ההחלטות האסטרטגיות והטיפול השוטף ישנו גם היבט חוקי משמעותי. תלמדו את ההוראות של חוק הגנת הפרטיות ושל תקנות הגנת הפרטיות. לפי התקנות, על החברה לגבש נהלי אבטחת מידע כדי לשמור על המידע שיש ברשותכם. בנוסף, כדאי מאוד להתייעץ עם יועצים להגנת פרטיות ואבטחת מידע, שיסייעו לכם לגבש את אסטרטגיית אבטחת המידע של העסק.
בנוסף, באחריות מחלקת ה-IT להתקין תוכנות להגנה על כל המחשבים, תיבות הדואר האלקטרוני והדפדפנים לגלישה ברשת. כדי להגביר את האבטחה, רצוי לקבוע מדיניות סיסמאות והזדהות מחמירה, כולל שימוש באימות דו-שלבי לשם התחברות למחשבים והשרתים של העסק. אל תשכחו גם לוודא שרשת ה-WIFI של העסק מופרדת מזו של האורחים, כאמצעי אבטחה נוסף על המידע שיש ברשותכם.
לסיכום, כבר הוכח שעסקים קטנים חשופים במיוחד לסיכונים של אבטחת מידע. אין ספק שכל הארגון צריך להיות מחויב לאבטחה ולשמירה על המידע שיש ברשותו. עם זאת, קיימת אחריות נוספת על המנכ"ל ומנהל ה – IT. כדאי מאוד להיערך מראש, לתכנן את התגובה הארגונית, ולהכיר את דרישות החוק כדי לצמצם עד כמה שאפשר את הסכנה למידע ולחשיפה שלכם כארגון.