לפי חברת וריזון, 72% מתוך 588 המתקפות המקוונות על עסקים פרטיים בשנה שעברה התמקדו בעסקים עם פחות מ 100 עובדים. גם ה- Wall Street Journal הפנה את תשומת ליבם של קוראיו לדרך שבה פושעי הסייבר "מרחרחים" אחר נקודות התורפה של העסקים שלהם.
רבים מבעלי העסקים הקטנים לא מודעים לעובדה שהם מהווים מטרה להתקפות מקוונות. קחו לדוגמא את המקרה שנחשף לאחרונה על ידי ESET בפרו, שבו תולעת מחשבים גנבה בחשאי מסמכים שנוצרו באמצעות תוכנת ה- AutoCAD המשמשת מהנדסים ומעצבים בהכנת תכניות ושרטוטים. מרבית הנפגעים היו עסקים קטנים של ארכיטקטים ומהנדסים בחברות קטנות.
ישנה גם עליה במספר העדויות לכך שמשרדי עורכי דין קטנים שעובדים על תיקים גדולים הופכים למטרה להתקפות מקוונות מצד גורמים שהאינטרסים שלהם קשורים למקרה. טרנט טיימה, סוכן מיוחד של ה FBI לנושא הפשיעה המקוונת אומר: "בשלוש השנים האחרונות ראינו עלייה מתמדת בהתקפות על משרדי עורכי דין". סטיוארט בייקר, לשעבר עוזר מזכיר המחלקה לביטחון פנים בארה"ב, מחזק את ההשערה ואומר: "קיימות כל הסיבות להאמין שממשלות זרות פורצות לרשתות המחשבים של משרדי עורכי דין אמריקאים"
הנקודה היא – עסקים קטנים נמצאים על הכוונת של פושעי הסייבר, דווקא בגלל שהם יודעים שאמצעי האבטחה העומדים לרשותם הם דלים לעומת חברות הענק. אבל עם יישום של כמה טיפים פשוטים אתם יכולים להגן על החברה שלכם מפני 90% מההתקפות.
1. דעו על מה אתם מגנים: להרבה מהעסקים הקטנים אין תמונה ברורה של הנכסים הדיגיטאליים שלהם או היכן הם מאוכסנים. ערכו סקירה על הדברים הבאים:
א. מידע שנכנס לחברה (לדוגמא: הזמנות עבודה, נתונים על לקוחות וכו').
ב. מידע שהחברה מייצרת ושומרת (כמו למשל תוצאות מחקרים או עיצוב של מוצרים).
ג. מידע שמיועד לצאת החוצה מהחברה (כמו למשל דו"חות ששולחים ללקוחות או לרואה החשבון של החברה).
בנוסף לניתוח הנתונים הזה, עליכם לבצע גם "ניתוח רשת" כדי לוודא שאתם יודעים איזה ציוד מחובר לרשת שלכם, ואילו רכיבים מחוברים לאינטרנט ו/או לקו הטלפון (לדוגמא, האם צוות המכירות מתחבר לרשת המשרדית מרחוק כדי לקבל מידע על לקוחות או האם מכונת הצילום שלכם "מתקשרת" למפעיל חיצוני). כאשר מתקבלת אצלכם תמונה ברורה על איפה נמצא המידע הרגיש ולמי יש גישה אליו, ניתן לקבוע כמה חוקים.
2. קבע חוקים: מדיניות אבטחת מידע כתובה היא הכרחית בכל עסק קטן בימים אלה ולעיתים היא אפילו נדרשת על פי חוק (לדוגמא, אם העסק שלכם קשור למידע רפואי). להטמעה של מדיניות אבטחת מידע יכול להיות יתרון נוסף, כיוון שבהרבה מקרים החברות הגדולות יותר דורשות אותן מהספקים שלהן – החברות הקטנות. במילים אחרות, ייתכן שתזכה במכרז ותועדף על פני המתחרים שלך בזכות העובדה שלחברה שלך יש מדיניות אבטחת מידע ולהם אין.
3. אכוף את החוקים: ה"מלכוד" במדיניות היא שאתה צריך לאכוף אותה. דבר זה כולל הצגת המדיניות לעובדים ולדאוג שהם פועלים על פיה. זה לא יוצא דופן שחברה גדולה תתעקש לקבל ראיה כלשהי שלצוות העובדים יש מודעות סבירה למדיניות האבטחה לפני שהיא שוכרת את שרותיה של חברה קטנה יותר.
4. התחילו עם סיסמא חזקה יותר: זה אולי נשמע כמו טיפ מיושן, אבל הגמול ממנו הוא גדול. למדו את העובדים שלכם ממה מורכבת סיסמא חזקה. תגרמו להם להשתמש בסיסמא חזקה על כל המערכות שעליהן הם עובדים, כולל סמארטפונים וטאבלטים. שנו את סיסמת ברירת המחדל של ראוטרים וציוד של "נקודות מכירה" (POS). היה ניתן למנוע יותר מ- 60% מהפריצות למחשבים של חברות למטרת גניבת מידע בשנת 2011 בעזרת יישום פשוט של אמצעי האבטחה הזה, הנחשב לבסיסי (והזול) ביותר בתחום אבטחת המידע.
לסיכום
לפי המחקר של חברת וריזון, יותר מ 90% מפרצות האבטחה של 2011 היו נמנעות אם רק אמצעי האבטחה המסווגים כ"בסיסיים" היו בשימוש. אם אתה בעל עסק קטן קרוב לוודאי שאין לך את אותם האמצעים שיש לחברות הגדולות, אבל זה לא אומר שאתה צריך להיות חשוף לחלוטין. הקפדה על האמור לעיל תוכל להציל את העסק שלך.
גלעד הראל הוא דובר חברת קומסקיור, נציגת ESET בישראל, מזה 3 שנים. חברת ESET הינה מפתחת ספקית בינלאומית של תוכנת האבטחה NOD32 וחבילת האבטחה ESET Smart Security לארגונים בגדלים שונים וצרכנים פרטיים. החברה מיוצגת ברחבי העולם כולו ביותר מ-100 מדינות וסניפיה המרכזיים ממוקמים היום באנגליה, ארגנטינה, סלובקיה וכמובן ארצות הברית. בישראל, מיוצגת ESET באופן בלעדי על ידי חברת קומסקיור, המפעילה בארץ מרכז פתרונות ותמיכה טכניים בשפה העברית.
