43% מהפריצות לארגונים מכוונות נגד ארגונים קטנים (Small Businesses) (על פי דו"ח של Verizon משנת 2019). פריצה כזו גורמת בממוצע לנזק של כ-200,000$. נזק בסכום כזה עלול להוביל לפגיעה הרסנית בעסק הקטן.

עם זאת, ל-60% מהעסקים הקטנים והבינוניים אין כלל תוכנית למניעת מתקפות סייבר, ו-66% מהם חושבים שמתקפת סייבר נגד העסק שלהם אינה סבירה (על פי סקר של חברת Keepersecurity). זאת בניגוד לעובדה, ש-67% מהעסקים הקטנים והבינוניים חוו מתקפת סייבר בשנה האחרונה.

מידע זה לקוח מארצות הברית, אך ניתן להניח שהנתונים אינם שונים באופן משמעותי בישראל.

תקופת הקורונה הביאה לעליה בכמות תקיפות הסייבר. החזרה לשיגרה היא זמן טוב לבדוק את נהלי אבטחת המידע בעסק, לשפרם, ולהגן על העסק מפני מתקפות סייבר. כך, תוכלו להקטין את הסיכויים לפגיעה עתידית.

חשוב להדגיש, כל עסק קטן הוא שונה – באופיו, בהתנהלותו, בכמות העובדים ובשירותים אותם הוא מספק. כדי לקבל הגנת סייבר מספקת, אנו ממליצים לפנות לחברה המתמחה במתן ייעוץ אבטחת מידע לעסקים, על מנת שיתנו מענה לצרכים הייחודיים של העסק שלכם.

המדריך שלהלן נועד להעלות נקודות כלליות, אליהן כדאי לשים לב ולחדד בהתאם לצרכים הספציפיים של העסק שלכם.

בהצלחה!

• מרבית הפריצות מתחילות ב-Phishing (על פי הדו"ח של Verizon משנת 2019). נתון זה מצביע על החשיבות הגדולה שיש למודעות העובדים לאבטחת מידע וסייבר.
• דאגו להדרכה של העובדים בנוגע לאבטחת מידע וסייבר. הסבירו להם שהם עשויים לשמש כצינור הכניסה לתוך העסק. ניתן לעשות זאת באמצעות העברת חומר מקצועי, אך עדיף לעשות זאת באמצעות הדרכה פרונטלית.
• כהתחלה, אנו ממליצים מאוד על קריאת מדריך ה-Phishing שלנו.
• בצעו סימולציות לבדיקת ערנות העובדים לאבטחת מידע. למשל, אפשר לשלוח מייל אנונימי לעובדי החברה, המבקש פרטי התחברות לתשתיות מחשוב של החברה או הכולל קישור או קובץ שמקורו לא ידוע. ישנן מספר חברות מסחריות המתמחות בהענקת שירותי סימולציה מסוג זה.

• ודאו שכל התוכנות המותקנות במחשבים ובשרתים של העסק, הינן עם רישיון חוקי ותקף. תוכנות ללא רישיון בתוקף לרוב אינן מתעדכנות באופן סדיר, ועשויות להוות פרצה פוטנציאלית לתוקף.
• יש להתקין על התחנות והשרתים בעסק מוצרי אבטחה כגון אנטי-וירוס, ו Firewall מקומי.
• יש להתקין ברשת העסק מוצרי אבטחה כגון: מוצרים להגנת המייל, מוצרים להגנת גלישה באינטרנט ו Firewall ארגוני שיתמוך גם בגישה מאובטחת מרחוק לעסק בעת הצורך. כל אלו בהתאם לצרכי העסק ומבנה הרשת שלו.
• ודאו שכל התוכנות בעסק, ובעיקר מערכות הפעלה מתעדכנות באופן אוטומטי. מומלץ לבדוק מפעם לפעם שהתוכנות אכן מעודכנות. למידע נוסף על חשיבות עדכון תוכנות, היכנסו למדריך שלנו בנושא.

• קבעו מדיניות סיסמאות והזדהות מחמירה לצורך כניסה למחשבי ושרתי העסק.
• מומלץ להשתמש באימות דו-שלבי (Two Step Verification/One Time Password) באופן סדיר, ולכל הפחות בעת כניסה לתשתית העסק מרחוק.
• ודאו שלכל משתמש ברשת יש שם משתמש משלו. הימנעו משימוש בשם משתמש אחד עבור כל עובדי העסק.
• ודאו שלכל משתמש ברשת העסק יש את ההרשאות הרלוונטיות עבורו בלבד.

• גבו את המחשבים והשרתים בעסק בהתאם לנוהל מסודר שיכלול את תדירות הגיבוי, מה הוא כולל והיכן הוא מאוחסן.
• אנו ממליצים על גיבוי בענן אצל חברות המתמחות בגיבוי לעסקים, בהתאם לצרכים הספציפיים של העסק שלכם.
• שימו לב – גיבוי טוב הינו קריטי עבור העסק שלכם! רק כך תוכלו להיות בטוחים במקרה של אובדן מידע משמעותי.

• ודאו שפרטי הלקוחות שלכם מאוחסנים באופן בטוח, ושהם מוצפנים.
• ודאו שאתר העסק ושכלל התקשורת אל ומהעסק הינה מוצפנת, ועומדת בתקנים הדרושים לכך.
• אנו ממליצים להצפין את הדיסק הקשיח לפחות במחשבים הניידים שיוצאים מחוץ לבית העסק, על מנת להגן על המידע בעת אובדן או גניבה של המחשב הנייד.

• התקנים ניידים הינם וקטור משמעותי בהתפשטות רושעות ברשתות ארגוניות.
• מומלץ לקבוע מדיניות שימוש בהתקנים ניידים בעסק, בהתאם לצרכים.
• מומלץ לקבוע מדיניות הנוגעות להקשחת עמדות עבודה ושרתים, במטרה להפחית למינימום את אפשרויות התקיפה כנגד המחשב/הרשת.

• הגנו על רשת ה-WiFi של העסק בהתאם להנחיות המופיעות במדריך שלנו להגנת הראוטר.
• אם בעסק שלכם יש גם רשת WiFi המיועדת ללקוחות – הפרידו את רשת ה-WiFi של העסק מזו של הלקוחות.
• ודאו שהתקשורת עם הראוטר מוצפנת בהצפנה חזקה, ודאגו להחליף את הסיסמא לראוטר.
• להרחבה- קראו עוד על אבטחת הראוטר במדריך שלנו בנושא.

• חשוב לבצע סקר סיכונים, הכולל גם מבדק חדירה, לכלל המערכות, האפליקציות והתוכנות שבשימוש העסק. חשוב מאוד שאת סקר הסיכונים יבצע מומחה אבטחת מידע.
• על פי תוצאות סקר הסיכונים יש לגבש את מדיניות אבטחת המידע של העסק, ולפעול לפיה.

• על אף כל האמור לעיל, גם עסק שמתנהל בצורה הטובה ביותר אינו חסין למתקפות סייבר.
• בהתאם לרמת הסיכון לעסק, מומלץ לשקול רכישת ביטוח סייבר אשר יגן עליכם כאשר תצטרכו זאת.

• בהתאם לאופי העסק, ובאם העסק מחזיק מאגרי מידע בהתאם להגדרת מאגר מידע בחוק הישראל – יש להחיל על המאגר את כללי החקיקה השונים המובאים בחוק הגנת הפרטיות ובפרט את הכללים שקבעה הרשות להגנת הפרטיות בתקנות הגנת הפרטיות אבטחת מידע התשע"ז – להרחבה, היכנסו למדריך של הרשות להגנת הפרטיות.

לעסקים קטנים לעיתים קשה לראות את החשיבות המיידית בשמירה קפדנית על כללי אבטחת מידע, אך היא חשובה לא פחות משמירה פיזית על העסק שלכם. בדיוק כפי שיש מנעול ואזעקה לעסק, כך חשוב גם לייצר מערכת איכותית של אבטחת מידע לעסק.

אנו ממליצים לראות במסמך זה כמסמך בסיסי המרכז את הנושאים העיקריים אליהם חשוב להתייחס בבניית חליפת אבטחת המידע לעסק שלכם. נדגיש שוב את החשיבות בהתייעצות עם מומחה אבטחת מידע שיעזור לכם לעשות זאת.

בהצלחה!