אבטחת מידע בארגון – כל מה שצריך לדעת
מהי אבטחת מידע?
מהי משמעות ההגנה על המידע?
- מידע יכול להתקיים בצורות רבות.
הוא יכול להיות כתוב על נייר, מאוחסן על מצעים אלקטרוניים, מועבר בדואר או באמצעים אלקטרוניים, להיות מוצג בסרט הקלטה או להיות מועבר בשיחה. - לא משנה איך המידע מוצג, מועבר, מופץ או מאוחסן חייבים להגן עליו כראוי.
הגדרות אבטחת מידע:
- חיסיון (Confidentiality): וידוא שהמידע נגיש רק למי שקיבל הרשאת גישה; התייחסות מיוחדת למידע רגיש במיוחד.
- כלילוּת (integrity): שמירת הדיוק והשלמות של המידע ושל שיטות העיבוד.
- זמינוּת (Availability): וידוא שלמשתמשים מורשים יש גישה למידע ולנכסים הקשורים בו, לפי הצורך. התייחסות מיוחדת בתהליכים רגישים.
- המשכיות עסקית (Business Continuity): קיימת תכנית התאוששות מתאימה ומתורגלת.
מהו מאגר מידע רגיש?
- נתונים על אישיותו של אדם, צנעת הפרט, למשל הרגליו המיניים, מצב בריאותי, מצב כלכלי, דעות ואמונות.
- יש לדווח ולרשם מאגרי המידע הממשלתי ולהגן על מאגר המידע בהתאם לדרישות החוק.
מהי נקודת התורפה העיקרית בתחום אבטחת מידע ?
הגורם האנושי בארגון:
תוכלו לקרוא את הכתבות כאן:
https://www.calcalist.co.il/internet/articles/0,7340,L-3741738,00.html
https://www.calcalist.co.il/internet/articles/0,7340,L-3754990,00.html
https://www.globes.co.il/news/article.aspx?did=1001273414
נקודות מפתח:
- אתם חשובים.
- החשיבות, והאחריות האישית שלכם.
- היו מודעים וערניים.
- כדי לעזור בכך יש כמה כללים פשוטים…
הגנו על המחשב: הנחיות בסיסיות לאבטחת מידע בעבודה:
- ס י ס מ א – בחירת סיסמא נכונה ומתאימה, ושמירה עליה במקום בטוח.
- כשעוזבים את שולחן העבודה יש לנעול את המחשב בעזרת לחיצה על מקשי – .WIN + L יש לוודא שקיימת נעילת מערכת אוטומטית לאחר כמה דקות ללא שימוש במחשב.
- יש לגרוס ניירת מסווגת שאין בה צורך.
- התקן רק תכנות חוקיות ומאושרות לשימוש.
- זהירות בשימוש בהתקנים ניידים (כוננים קשיחים ניידים, טלפונים סלולריים, DOK וכו').
- כבו את המחשב בסוף היום גם בבית על מנת לאפשר עדכוני תוכנה קריטיים.
כאשר מקבלים מייל או הודעה שאלו את עצמכם את השאלות הבאות:
- האם אתם מכירים את השולח?
- ניתן לזייף אימייל זדוני בקלות על מנת שיראה כאילו נשלח מכתובת מוכרת מתוך הארגון.
- האם אתם מצפים למייל או הודעה מהשולח?
- האם זה מתאים לסוג ההודעות שאתם מצפים לקבל מהשולח?
- קישור לא חייב להיות מה שכתוב.
- קובץ מצורף למייל כגון מצגת, תמונה או PDF עשוי להיות וירוס או תוכנת מעקב.
סוף מעשה במחשבה תחילה!
- עצרו וחישבו לפני מסירת מידע וביצוע פעולות:
Stop. Think. Act. Check.
- גם לאחר מעשה חשבו שוב ובמידה וקיים ספק התייעצו עם ממונה אבטחת מידע.
זכרו כשיש ספק אין ספק!
הגנו על מידע רגיש: איך מזהים הונאות רשת או Fake news?
כאשר מקבלים הודעה המכילה את אחד הסימנים הבאים:
- תוכן מדאיג/מפחיד ודחוף:
"חשבונך ינעל אם לא תפעל כעת, לחץ על הלינק להפעלת החשבון."
"אני תקוע בלונדון ואני זקוק לעזרתך הדחופה לחזור הביתה אנא שלח לי כל עזרה שתוכל…"
- הצעות שהן טובות מידי מכדי להיות אמיתיות:
"מזל טוב אתה הזוכה היחיד בפרס הגדול בלוטו, אנא שלח דמי טיפול לקבלת הכסף…"
"נמצא כי אתה היורש הבלעדי להון של הנסיך אנא שלח את פרטי חשבון הבנק שלך…."
- בקשה למידע רגיש:
"אנא שלח מספר ת"ז ומספר כרטיס אשראי להפעלת השרות…"
- שגיאות כתיב או תחביר בעקבות תרגום שפה זרה דרך Google translate:
"שלח כסף עכשיו הרבה מתנות מקבל…"
אתר מומלץ לבדיקה אם מייל שקבלתם הוא אמיתי הוא "לא רלוונטי" , מאגר של שמועות אינטרנט ומכתבי שרשרת בעברית שמסתובבים בין תאי הדואר האלקטרוני: https://irrelevant.org.il/
לדוגמא:
לקוח נכבד,
כדי להבטיח שאתה מוגן תמיד, אנחנו מציגים תכנית חדשה על אבטחה בשם בנק מאובטחת.
מטעמי אבטחה, עליך לעדכן את החשבון שלך לשחזר גישה מלאה בנקאות מקוונת שלך.
אנא לחץ כאן כדי להשלים לעדכן את החשבון שלך.
הרשם כדי להתחיל תהליך האימות.
בנקאות ישירה, בנק לאומי
לכתבה המלאה: https://www.themarker.com/markets/1.490938
התוצאה: אתרים למכירת פרטי אשראי גנובים!
גם בשיחות טלפון או צ'ט:
במקרה ומתקשר לא מזוהה או לא צפוי יוצר קשר ומבקש מידע רגיש הכולל פרטים אישים, פיננסים או כל מידע שנראה לא רלוונטי לשיחה.
לפני מסירת פרטים מזהים ומידע רגיש (ובכלל) בטלפון או באינטרנט בדקו את הדברים הבאים:
- מי הוא ואת מי הוא מייצג?
- למה הוא צריך את הפרטים?
- האם הוא צריך אותם?
זכרו, גם אם האדם בצד השני מזדהה, אין אפשרות אמיתית לוודא במהלך השיחה את זהותו האמיתית ואת אמיתות דבריו!
איך מוודאים האם המידע הנדרש לגיטימי?
- במידה והפניה היא מארגון מוכר ניתן לחזור אליו בשיחה או הודעה חוזרת על מנת לאמת שהפניה היא מהארגון.
- במידה והפניה מארגון לא מוכר ניתן לחפש באינטרנט את אתר החברה או לבדוק פרטים המלצות או מידע לפני מתן מידע רגיש.
כללים לסיסמא חזקה ומאובטחת:
- לפחות 8 תווים
- אותיות גדולות, קטנות, מספרים, סמלים ותווים אחרים (למשל – !, @, #, $, % )
- לא דברים ברורים… (תאריכים, ת.ז, שמות, רצף מספרים)
- רצוי לא מילים שמופיעות במילון ולא להכיל את שם המשתמש בתוך הסיסמא.
- ניתן לבנות סיסמאות ארוכות ממשפטים שקל לזכור
- יש להחליף סיסמא מדי פעם כתלות ברגישות המידע שהסיסמא מגינה עליו.
- סיסמא שונה בין אתרים.
- לא לשמור על גבי המחשב או בסביבתו.
- לא לשתף עם אף אחד!
היזהרו מחוץ לארגון: הרשת מחוץ לארגון:
בטיחות אתרים:
- שימו לב כאשר גולשים ברשת מומלץ לגלוש באתרים מאובטחים בעלי קידומת HTTPS וסמל המנעול.
- באתרים בהם יש צורך להכניס פרטים אישים או מספר כרטיס אשראי מומלץ לוודא שלאתר קיימת הצפנת SSL.
בעת כניסה לאתרים שאינם מאובטחים הדורשים, פרטים אישיים או מספרי כרטיסי אשראי.
מומלץ מאוד לא להזין מידע אישי או מספר כרטיס אשראי באתר לא מאובטח. משמעות הדבר היא שכל מי שמנטר את האתר יכול להעתיק ולהשתמש לרעה במידע. במידת האפשר עדיף ליצור קשר באמצעי אחר על מנת להעביר פרטים או לבצע רכישה.
אינטרנט אלחוטי – Wi-Fi:
ברשת Wi-Fi לא מאובטחת ולא מוצפנת קיימת סכנת חשיפה גדולה במיוחד!
- מומלץ להתחבר אך ורק לרשתות מוכרות ומאובטחות בבית או במקום העבודה.
- מומלץ מאוד לא להתחבר לרשתות לא מוכרות או רשתות פתוחות כגון: בתי קפה, שדות תעופה, בתי מלון או רשתות WIFI עירונית חופשית.
- גלישה ברשתות פתוחות חושפות את המשתמש לפריצה.
- עדיף במידת הצורך להשתמש בטלפון כמודם לחיבור למחשב.
לקריאת המאמר: https://www.geektime.co.il/firesheep-lets-you-steal-sessions/
במידה ומתחברים לרשת ציבורית פתוחה ולא מאובטחת:
הימנעו ככל הניתן מהפעולות הבאות:
- העברת מידע רגיש (כלכלי, אישי וכו').
- התקנות של תכנות חדשות.
- שימוש בתכנות או אפליקציות המכילות מידע רגיש כגון מידע רפואי, כלכלי אישי.
רשתות חברתיות:
- שימו לב איזה מידע אתם מפרסמים, היו מודעים לכך שאחרים נחשפים אליו.
- שימו לב שגם ברשתות שבהן המידע "מוגבל" לחברים, קיימת אפשרות חשיפת מידע רגיש למתחרים או גורמים שעלולים לעשות במידע שימוש לרעה.
- ברשתות מקצועיות בעלי אוריינטציה עסקית, הימנעו משיחה על נושאים רגישים שיכולים לגרום לפגיעה במוניטין החברה או עובדיה או בעלי רגישות עסקית– תמיד הניחו שהמידע חשוף.
- שימו לב שקיימת אפשרות לקשר אותכם למקום העבודה דרך הרשתות החברתיות ולנסות לדלות מידע רגיש דרך הרשתות החברתיות או לפגוע במקום העבודה.
אתרים ותוספים להגברת הגנה:
אנטי וירוס איכותי חינמי:
https://www.avast.com/he-il/index#pc
חסימת Cookies ע"י שימוש בתוסף כרום:
ניתן לבדוק אם המייל ופרטים שלכם נגנבו באתר הבא:
אתר ישראלי לבדיקת מכתבי שרשרת או Fake news :
(Internet of Things (IoT) / Internet of Everything (IoE
- חיבור של הטלפון חכם, בית חכם, מוצרי חשמל חכמים, מצלמות אבטחה, רכבים לאינטרנט.
- חיבור של התקנים לבישים או רפואיים כמו שעונים חכמים, נעלים חכמות, משקפי VR, קוצבי לב, מזרקי אינסולין וכו'.
- יש להיות מודעים לאפשרות של איסוף מידע אישי ורפואי מתוך הפריטים המקושרים בבית. ללא הגנה מספקת ניתן לעקוב ולנטר דפוסי התנהגות – מעקב אחרי סדר יום, שימוש במוצרים מסוימים, הנעה לרכישה או ביצוע פעולות מסוימות.
לדוגמא, חברות ביטוח ידעו מה המצב הבריאותי, איזה אוכל יש לנו במקרר, דפוסי נהיגה, פעילות גופנית וכו'. - ללא הגנה מספקת ניתן לגרום נזקים ע"י השתלטות על ההתקנים המחוברים מרחוק לנעול, לשבש ואף להרוס אותם לגמרי.
זליגת מידע דרך שרותי ענן:
- יש להקפיד להשתמש בשרותי ענן מאובטחים בלבד.
- שימוש של שליחת מידע דרך אתרי Screenshot מאוד לא מומלץ. קיימת אפשרות של מעקב חיצוני אחרי המידע שנשלח וכן הפצה של מידע רגיש פנימי או חיצוני.
- בעת שליחת קוד או מסמכים רגישים יש להצפין אותם ולוודא שאין חשיפה של מידע רגיש לגורמים לא מוסמכים.
- יש להקפיד לא להשתמש בערוצים "עקיפים" כגון GMAIL או JUMBO MAIL לשליחת מידע של לקוחות או מידע רגיש.
אתרים ותוספים להגברת הגנה:
אנטי וירוס איכותי חינמי:
https://www.avast.com/he-il/index#pc
חסימת Cookies ע"י שימוש בתוסף כרום:
מעקב על גנבת סיסמאות ע"י שימוש בתוסף כרום:
ניתן לבדוק אם המייל ופרטים שלכם נגנבו באתר הבא:
אתר ישראלי לבדיקת מכתבי שרשרת או Fake news :
אתר לבדיקת קבצים חשודים:
https://www.virustotal.com/gui/home/upload
דפדפן לגלישה מאובטחת:
פרטיות וחוק הפרטיות הישראלי:
במאי 2018 התעדכן חוק הפרטיות הישראלי שחוקק ב-1981 ונועד לשמור על הפרטיות האישית שלנו ועל הפרטיות בעבודה.
החוק אוסר:
- בילוש או התחקות אחרי אדם, העלולים להטרידו, או הטרדה אחרת. צילום אדם שהוא ברשות היחיד.
- פרסום תצלומו של אדם ברבים בנסיבות שבהן עלול הפרסום להשפילו או לבזותו.
- העתקת תוכן של מכתב שלא נועד לפרסום.
- שימוש בידיעה על ענינו הפרטיים של אדם או מסירתה לאחר שלא למטרה שלמה נמסרה.
- פרסום של עניין הנוגע לצנעת חייו האישיים של אדם, לרבות עברו המיני, או למצב בריאותו, או להתנהגותו ברשות היחיד.
עדכון חוק הפרטיות ומאגרי מידע:
בעדכון הנוכחי חוק הפרטיות מייצר הגבלות איסוף, שמירה ושימוש במידע אישי:
- קיים איסור לאסוף ולהשתמש במידע ללא הסכמתו המפורשת של נשוא המידע.
- קיים איסור לשלוח מיילים או הודעות שיווקיות ללא הסכמה מפורשת.
- על הפרט לאשר בצורה אקטיבית את הסכמתו למסור מידע ואו להירשם לקבלת מידע.
- קיימות חובות על הארגונים או אנשים האוספים מידע ושומרים אותו במאגרי מידע. לרשום אותו אצל רשם המאגרים הממשלתי במשרד המשפטים.
- על כל ארגון או פרט המחזיק מאגר מידע קיימת חובה לשמור ולהגן על המידע בצורה נאותה המוגדרת בחוק.
- קיימת חובת דיווח במקרה של פריצה למאגר מידע וחשיפת מידע אישי.
לכל המאמרים על תקנות הגנת הפרטיות
דגשים לעמידה בחוק הפרטיות:
זכרו כי אתם עוסקים במידע רגיש שיש להקפיד על שמירתו והפצתו.
- יש להקפיד למנוע חשיפה של מידע רגיש בעת שמירתו הדיגיטלית והפיזית – המידע נגיש אך ורק לגורמים המורשים!
- יש להקפיד למנוע חשיפה של מידע רגיש בעת העברתו – הקפדה מיוחדת בעת שליחת פקסים/מיילים/מסירת מידע בטלפון וכו'.
- יש להקפיד לגרוס מסמכים המכילים מידע רגיש שאין בהם צורך.
- שימו לב בעת שיחה לא לחשוף מידע פרטי ורגיש וגורם לא מוסמך.
- אחת לתקופה יש לעבור על הרשומות למחוק/לגרוס מידע ישן שאין בו צורך.
- במידה וקיים חשש לדליפת מידע, דווחו מידית לממונה על אבטחת המידע!
- ככל שהדיווח קרוב יותר למועד האירוע ניתן לטפל בו בקלות ויעילות גדולות יותר.
זכויות נושאי המידע:
אחד הדברים שהחקיקה כוללת, הינה זכויות שונות שקיימות ל"נושאי המידע" – האנשים שהמידע מתייחס אליהם.
בחוק מקנה לכל אדם זכות לבקש עיון במידע השמור אודותיו ובמקרים מסוימים לבקש לתקן אותו אם הוא סבור שהוא שגוי ואף למחוק אותו כליל.
החברה הטמיעה נוהל מתאים לטיפול בפניות כאלה על מנת להבטיח שהזכויות יוענקו לנושאי המידע בפי שהחוק מחייב.
זכויות אלו מוענקות גם לכם, העובדים, ביחס למידע שהחברה מחזיקה עליכם. אמנם החברה אינה חייבת תמיד להעניק עיון בכל פרט מידע, לתקן או למחוק, אבל כל עובד המעוניין בכך יכול לפנות למנהל האישי שלו או למחלקת משאבי אנוש שיטפלו בבקשתו בדיוק כמו בבקשה של כל אדם אחר לפי הזכויות שמעניק החוק.
סיכום:
- חישבו לפני שאם לוחצים או מוסרים מידע.
- ברשת ציבורית – הימנעו מהעברת מידע, התקנת תוכנה וביצוע פעולות רגישות.
- התקינו תכנות חוקיות שאתם מכירים, שבחרתם להתקין, שמגיעות ממקור אמין.
- הימנעו מהתקנת תכנות שאינן נחוצות או שמירה של תכנות ישנות שאינן בשימוש.
- היזהרו מחיבורי חומרה או מדיה נתיקה לא מוכרת למערכות רגישות.
- שימו לב למידע רגיש בטלפון הנייד.
- דעו את זכויותיכם וחובותיכם לפרטיות המידע.
המדריך המלא לקבלת תקן ISO 27001 בארגון
הסמכה לתקן ISO 27001 בליווי חברת Nextep – כל מה שצריך לדעת על התהליך עד לקבלת תעודת הסמכה
לכל המאמרים על ISO 27001
נכתב על ידי עדי מיידלר, מנהל תחום אבטחת מידע בחברת נקסטפ.
יובהר כי השימוש במידע המפורסם באתר, לרבות כל כתבה ו/או סקירה ו/או תיאור מקצועי, הינו באחריות המשתמש בלבד ובשום מקרה אינו מהווה תחליף לייעוץ מקצועי הנדרש לגופו של עניין.