הווירוסים חוזרים - מה עושים?
אם חשבנו שימי הווירוסים העליזים חלפו - טעינו. וירוסים אלימים מאי פעם חוזרים לזירה.
מנהלי מחשוב ומנהלי אבטחת מידע נוטים לחשוב כיום כי נושא הווירוסים שייך לעבר. יש הרי אנטי וירוס כמעט על כל מה שזז, עמדות הקצה, שרתי הדואר, שרתי הנתונים וכו'. לעתים הגדילו לעשות מנהלי אבטחת המידע ומימשו מוצרי אנטי וירוס שונים בכל סביבה כדי ליצור חומה מוגנת אף יותר המורכבת ממספר מנועים של מספר חברות. קיימת נטייה לחשוב כי הסיכוי שווירוס ימצא דרכו לתוך הארגון קטנה.
הכל טוב ויפה אבל אנטי וירוס יכול לעזור רק כאשר עדכוני מערכת ההפעלה (Patches) מותקנים כראוי, שכן אם לא, הווירוס יחזור שוב ושוב לאותו מקום מיד עם תום ה"ניקוי" ע"י האנטי ווירוס. פה כבר מתחילה בעיה חדשה של ניהול עדכוני תוכנה למערכות ההפעלה השונות בארגון. בעיה זו כבר אינה פתירה בפשטות שכן מנהלי מערכות מידע רבים חוששים מהתקנת עדכוני אבטחת מידע למערכת ההפעלה שכן אינם יודעים כיצד בדיוק ישפיע כל עדכון כזה על המערכות המותקנות, בעיקר כאשר מדובר בשרתים המחזיקים בסיסי נתונים או אפליקציות ייחודיות לארגון. במצב זה נמנעים רבים מלהתקין עדכוני אבטחת מידע על בסיס "אם זה לא מקולקל אין צורך לתקן".
חשיבה זו טובה עד לנקודה בה הווירוס החדש "מגיע לשכונה". כאשר מוצאים ארגון כזה אשר נמנע מלהתקין עדכוני אבטחת מידע על בסיס קבוע זו רק שאלה של זמן עד שהוא ייפגע, וכשהוא ייפגע בדרך כלל תהיה פגיעה משמעותית, רוחבית שפתרונה יארך זמן רב ויגזול משאבים, כמו גם יפגע ברמת השירות שהארגון מספק ללקוחותיו (פנימיים וחיצוניים כאחד).
מה עושים אם כן:
• מנהלים נכון את עדכוני מערכת ההפעלה. מומלץ על קביעת מדיניות סדורה מעוגנת בנוהל, של עדכון טלאי אבטחת מידע לכל אחת מסוגי מערכות ההפעלה בארגון. מומלץ על ביצוע פעילות ע"י כלים מתאימים וכאלה לא חסרים בשוק. מומלץ לקבוע מהו ההליך המתאים לבחינת העדכון טרם התקנתו ומהו פרק הזמן שלאחר פרסומו ברבים יותקן העדכון בארגון.
• ממנים גורם סיסטם מתאים לניהול והתקנת עדכוני אבטחת המידע אשר יהיה אחראי על ביצוע ועל דיווח קבוע של סטאטוס עדכוני מערכות ההפעלה ל - CIO או למנהל אבטחת המידע.
• מעדכנים את בסיס הנתונים של מערכות האנטי וירוס בארגון על בסיס קבוע, קרוב ככל האפשר להפצה של עדכון החברה ממנה נרכש המוצר.
• מוודאים כי מערכת האנטי וירוס בעמדות הקצה "מדברת" על מערכת האנטי ווירוס המרכזית (הידועה יותר כ - GPO). מצב בו תחנות הקצה אינן מתקשרות עם מנוע העדכון המרכזי הינו נפוץ מאוד ויש נטייה לזלזל בכך ("רק 5% לא מתקשרים עם ה - GPO". אולי רק 5% אבל בארגון של 1000 משתמשים מדובר ב - 50 תחנות לא מעודכנות אשר יכולות לגרום להפסקת עבודה של כל הארגון כולו).
• מכינים תוכנית מגירה לטיפול בווירוס עם זיהויו ברשת הארגונית. מגדירים את השלבים, את התהליכים, את האחראים, את ניתוח האירוע ואת הפעולות הנדרשות לביצוע בסדר הנכון.
רמת אבטחת המידע הנהוגה כיום הינה טובה ואיכותית ברבים מהארגונים, אולם גם ארגונים אלה חוטאים מידי פעם ב"לי זה לא יקרה". פגיעה ע"י וירוס בימינו היא מיותרת, שכן קיימים כל הכלים לטיפול מונע מבעוד מועד. אי הנעימות הנוצרת מפגיעת וירוס הינה רבה, במיוחד לאור העובדה שכולם רואים את הבעיה כלא קיימת, עד שהיא מוצאת ביטוי בארגון.
באם הותקפתם ע"י וירוס ולא הכנתם עצמכם מבעוד מועד תמיד תוכלו לפנות לחברה מומחית אשר תוכל לחלץ אתכם מהבעיה. יש לזכור כי "חילוץ" זה אורך בדרך כלל לא מעט זמן (4 - 10 ימים) ומצריך התארגנות מיידית, אינטנסיבית וגורפת בארגון.
אורן שני, מנכ"ל משותף SecAudit - כי הניסיון הוא ההבדל. SecAudit הינו משרד המתמחה בתחום הבקרה ואבטחת המידע. למשרד התמחויות מגוונות לרבות ביקורת פנימית, ביקורת מעילות והונאות, ביקורת מערכות מידע וסקרי סיכונים, אבטחת מידע ותחקור נתונים.
