top image

5 טיפים לפרטיות לעסקים קטנים ובינוניים

מגזין סייבר, הגנת הפרטיות, עיתון להב לשכת ארגוני העסקים הקטנים והבינוניים בישראל

5 טיפים בנושא סייבר לעסקים קטנים ובינוניים (כתבה במגזין להב)

עסקים קטנים, כך נראה, מהווים יעד מועדף לתקיפות סייבר. מחד, נוכח ההתמודדות עם פעילות העסק השוטפת, הם אינם יכולים להרשות לעצמם הגנות סייבר ברמה הגבוהה ביותר, ולעיתים הם אף אינם מבוטחים. מאידך, היקף המידע והנתונים שעסקים אלה מחזיקים, על לקוחות ועל ספקים, רגישות המידע של הלקוחות, הדרישה לפרטיות, והרגוולציה – רק הולכים וגדלים. התפיסה בקרב בעלי עסקים קטנים היא ש”לי זה לא יקרה”, או שהעסק אינו מספיק גדול כדי להוות מטרה. אלא שהנתונים מוכיחים אחרת. כמחצית ממתקפות הסייבר מבוצעות נגד עסקים קטנים.

למרבה הצער, בעלי עסקים קטנים לא יכולים להרשות לעצמם להתרשל בהגנה בתחום הסייבר. תקיפה מוצלחת, מעבר לנזק למוניטין ולנזק הכספי, עלולה להיות קטסטרופלית לגורלו של העסק, של העובדים ושל הבעלים. העובדה היא שרבים מהעסקים שנפגעו לא מצליחים להשתקם באופן מלא, או שהשיקום אורך זמן רב וכרוך בהפסדים כספיים ניכרים. ברור שלא ניתן לצפות מעסקים קטנים להשקיע את אותם משאבי כוח אדם, כסף וזמן באחזקה של מערכות מחשוב ברמה של ארגונים גדולים. מבלי לגרוע מהאמור לעיל, כדאי לעסקים קטנים לאמץ תכנית אבטחת מידע המתאימה להם, באופן שייצור את רמת האבטחה הגבוהה ביותר ביחס להשקעה. באמצעות תעדוף הסיכונים בתוכניות האבטחה שלהם.

 

שכיחות תקיפות סייבר כנגד עסקים קטנים ובינוניים

דו”ח של משרד הכלכלה והתעשיה (הסוכנות לעסקים קטנים) שנערך בשנת 2023, מצא כי 5% מהעסקים סבלו ממתקפת סייבר בשנה האחרונה. מתוך העסקים שנפגעו, 20% דיווחו כי נפגעו בצורה קשה ונגרמו נזקים משמעותיים (כאשר עלות אירוע סייבר לעסק קטן או בינוני מוערכת בכ-800 אלף ₪ בממוצע). במילים אחרות, כ-33,000 עסקים עברו תקיפה בשנה האחרונה. שיעור התקיפה הגבוה ביותר היה בעסקים קטנים (11%) ובתעשייה (10%). העסקים שנחשפו בשכיחות הגבוהה ביותר למתקפת סייבר היו עסקים עם 5-19 מועסקים. עוד מצא הסקר, כי 52% מהעסקים אינם משתמשים בכל אמצעי התגוננות בפני תקיפות סייבר. מנגד, 23% מהעסקים משתמשים ב-3 אמצעי הגנה או יותר, כאשר הנפוצים הם גיבויים ותוכנות הגנה.

 

הקטנת הסיכונים

  • מודעות, מודעות, ושוב – מודעות. הגורמים העיקריים המאפשרים מתקפות סייבר, קשורים לחוסר מודעות של המנהלים ושל העובדים בעסק. הודעות פישינג (דיוג – ניסיון לגניבת מידע רגיש דרך התחזות), דוא”ל ספאם, טעויות אנוש, שימוש בהתקנים ניידים חיצוניים, או סיסמאות חלשות – כל אלה הם נתיבי הכניסה הפשוטים של התוקפים. דאגו להדרכה של העובדים בנוגע לאבטחת מידע וסייבר, קבעו נהלים והוראות לביצוע, אכפו אותם ותרגלו אותם. בנוסף, להתעדכן מדי תקופה בפרסומי הרשות להגנת הפרטיות.
  • קביעת סיסמאות והרשאות. קבעו מדיניות סיסמאות והזדהות מחמירה לצורך כניסה למחשבי העסק (ובפרט בעת כניסה מרחוק). מומלץ מאד להשתמש באימות דו-שלבי (Two Step Verification). המלצה משמעותיות אף יותר היא שימוש בשם משתמש ובסיסמאות אישיות, לכל אחד מהעובדים. ודאו שלכל עובד יש את ההרשאות הרלוונטיות עבורו בלבד, ועדכנו זאת באופן עיתי.
  • שימוש בתוכנות חוקיות ועדכניות. תוכנות חינמיות, תוכנות ישנות או תוכנות ללא רישיון בתוקף, אינן מתעדכנות באופן סדיר. הן מהווה פרצה פוטנציאלית לתוקף. בנוסף, יש להתקין תוכנות הגנה על כל המחשבים, על תיבות הדוא”ל ועל אמצעי הגלישה לרשת. שימוש באנטי-וירוס וב- firewall, חוסם את מרבית הניסיונות לתקוף את העסק מרחוק.
  • ביצוע גיבויים עיתיים. אין תחליף לגיבויים טובים. רצוי אף מספר גיבויים, מסוגים שונים. זוהי “תעודת האחריות”, שבמקרה של אובדן או השחתת מידע, תוכלו לשמור על רציפות הפעילות של העסק. מומלץ לגבות את המחשבים והשרתים בעסק, באופן מסודר. מומלץ לבצע גיבויים יומיים, אוטומטיים, המאוכסנים בשרת מרוחק. חברות שונות מציעות “גיבוי בענן”, שלא תמיד מתאים לצרכי העסק, ועלול שלא לעבוד בעת הצורך.
  • חישבו על הלקוחות שלכם. שמרו על מידע ועל פרטיות הלקוחות, המופקדים בידכם. בדקו אילו נתונים נדרשים לעסק, ועל אילו נתונים ניתן לוותר. ודאו שפרטי הלקוחות שלכם מאוחסנים באופן בטוח, מוצפנים, וניתנים לגישה רק לעובדים המורשים.

 

כללי ברזל לעסקים קטנים ובינוניים

מערך הסייבר הלאומי, ממליץ על מספר “כללי ברזל”.

קיום נהלי עבודה והרשאות עובדים

קבעו נוהל אבטחת מידע מחייב, ו-ודאו שכל העובדים בחברה מכירים אותו. הגבילו גישה למערכות מחשוב ומידע לעובדים על פי צרכי העבודה (ולא הרשאות כלליות). אל תאפשרו התקנת תוכנות ללא רשות ושימוש בהתקני  Disk on Key פרטיים/לא מוכרים. בנוסף, חשובה מאוד מודעות העובדים לא לפתוח קבצים או ללחוץ על קישורים לא מוכרים בדוא”ל, ב- SMS וב- WhatsApp.

סיסמאות ואימות

הגדירו חובת שימוש בסיסמאות ייחודיות, מורכבות. החלפת סיסמאות מדי שלושה חודשים. ככל שניתן יישום אימות דו-שלבי (זיהוי נוסף לסיסמה כגון קוד זמני המגיע ב SMS או בדוא”ל) בכל האפליקציות שבשימוש. הגדירו נעילה מהמערכת לאחר מספר ניסיונות כושלים להזנת הסיסמה.

שימוש בתוכנות ברישוי ועדכוני תוכנה

שימוש בתוכנות ברישוי מבטיח תהליך מסודר של עדכוני אבטחה שהוא קריטי למניעת מתקפות. על פי המחקרים, 90% מהמתקפות שזיהה מערך הסייבר הלאומי בשנה שעברה עשו שימוש בחולשת אבטחה של תוכנה שלא עודכנה. יש לבצע בדיקת עדכונים באופן תדיר למערכות ההפעלה ולכלל התוכנות שבשימוש הארגון.

חומת אש (Firewall) לחיבור האינטרנט של העסק

חומת אש (Firewall) היא המערכת אשר מונעות מגורמים חיצוניים לגשת לנתונים ברשת פרטית. ודאו שחומת האש בנתב שהתקין ספק האינטרנט שלכם מופעלת ומוגדרת על פי המלצות היצרן. כמו כן, יש לוודא שבמערכת ההפעלה שבמחשבים האישיים מופעלת תוכנת חומת האש.

הגנה על המחשבים והמכשירים הניידים

יש להגן על המחשבים והמכשירים הניידים באמצעות סיסמת כניסה, ולוודא שהגדרות אבטחת המידע מוגדרות למקסימום לפי הנחיות היצרן של מערכות ההפעלה. כמו כן, יש לוודא כי תוכנות אנטי-וירוס של יצרן מוביל מותקנת ומוגדרת כראוי.

גבו את הנתונים החשובים

עסקים קטנים חשופים לסיכון של אובדן מידע או השחתת של המידע. בעבר, גיבוי המידע היה מבוצע פיזית במשרדי הלקוח, על גבי שרת. בעשור האחרון, מבוצע מעבר לפלטפורמות מבוססות ענן, בשל יעילות עלות, גמישות ומדרגיות לפי דרישה. גיבוי בענן, אם הוא מסודר ומבוצע כהלכה, יכול להפוך למרכיב חיוני בהגנה על המידע. תהליך גיבוי מוסדר מאפשר יכולת התאוששות מהירה מתקיפות סייבר. גבו באופן קבוע נתונים קריטיים בכל המחשבים, אם אפשר – אוטומטית.

 

אבטחו את רשתות ה-Wi-Fi שלכם

ודאו שרשת ה-  Wi-Fi מאובטחת, מוצפנת ומוסתרת. אין לתלות את שם הרשת האלחוטית והססמא, במשרדים. בכל מקרה, יש להגן באמצעות סיסמה חזקה משלכם על הגישה לנתב.

 

הגנת סייבר היא לא רק הגנה על המידע: היא הגנה על המוניטין של העסק, על פרטיות הלקוחות והמידע שניתן לכם, על הנזקים הפוטנציאליים ועל היכולת של העסק להמשיך לתפקד. לצערנו, השאלה איננה האם תתרחש פריצת סייבר לעסק, אלא מתי היא תתרחש. מעבר לצעדים שצוינו לעיל, חשוב להתייעץ עם אנשי מקצוע בתחום המחשוב, בליווי מומחה בתחום אבטחת המידע והגנת הפרטיות. לאחר שהוא יסקור את העסק ואת הסיכונים, הוא יקבע ויגבש, יחד איתכם, את מדיניות אבטחת המידע, וייתכן שאף ירשום את מאגר המידע, בהתאם להוראות הדין. קראו כאן מאמר שפרסם משרד וולר ושות’, במגזין הסייבר והפרטיות-03.23 להב (קישור ישיר – כאן).

שתפו עם חברים
צרו איתנו קשר

מאמרים נוספים