נט2יו - איכות ברשת משנת 2004
  עובדים מהבית? ההאקרים מחפשים אתכם!
22/3/2020 7:56

דוריה גלעם, ראש צוות תקיפה ב-2BSeucre. צילום: יח"צhttps://www.pc.co.il/wp-content/uploads/2019/11/דוריה-גלעם.-קרדיט-יחצ-300x210.jpg 300w" sizes="(max-width: 600px) 100vw, 600px" />


בזמן שישראלים רבים נאלצים לעבוד מהבית בצל משבר הקורונה ולאור ההנחיות האחרונות של משרד הבריאות, עולים הסיכונים להתנהלות עסקית בלתי מאובטחת מבחינת אבטחת המידע והסייבר בארגון. מהם הסיכונים ואיך מתגברים עליהם? מה צריך לקחת בחשבון כשמתחברים לרשת העסקית מרחוק? ואיך ניתן לשמור על המידע הרגיש ביותר של הארגון? במאמר זה אעמוד על כמה פעולות בסיסיות שעל ארגונים לנקוט על מנת לשמר את ההמשכיות העסקית שלהם ולהימנע מאיומי הסייבר הגלומים בחיבור מרחוק לרשת הארגונית.


כמעט בכל חברה שמספקת מחשבים ניידים לעובדים מותקנת מערכת התחברות מרחוק למשאבי הארגון. מערכת זו מחברת את העובד ואת המחשב האישי שלו לתיקיות פנימיות ברשת הארגון, מערכות פנים ארגוניות ועוד. בזמן שעננת הקורונה מרחפת מעל ישראל, ארגונים רבים מתמודדים עם השאלה: איך אפשר לתת לעובדים שלנו סביבת עבודה שתדמה את הרשת המשרדית שלהם גם כשהם עובדים מהבית? הפתרון שרוב הארגונים משתמשים בו הוא חיבור מרחוק, שבשמו המקצועי נקרא VPN או SSL VPN. הפתרון הזה בהחלט מאפשר לארגונים רבים לספק לעובדיהם פלטפורמת עבודה מרחוק כאילו הם נמצאים פיזית במשרד ועובדים ברשת הארגונית, אך לצד הפתרון הנוח הזה צריך לקחת בחשבון את השינויים המזעריים אבל המהותיים שכרוכים בחיבור מרחוק.


איך שלא נסובב את זה, השימוש ב-VPN במחשב הנייד חושף את הארגון כלפי חוץ. לכן, הדבר הראשון שיש להקפיד לעשות, או יותר נכון לא לעשות, הוא לא לפתוח את חיבור ה-VPN אם אין צורך הכרחי בו לטובת העבודה. ה-VPN חושף לאינטרנט הביתי של העובד שרת שדרכו האקר שהתביית על הארגון יכול למצוא פרצה ולחדור לרשת הארגונית. זה אמנם לא תרחיש כזה פשוט, אבל האקר בעל אינטרסים יכול להשקיע מאמץ רב בכדי לעשות זאת. לכן, כל עוד ניתן לעבוד על המחשב בבית מבלי להתחבר לרשת הארגונית מרחוק, זה מה שכדאי לעשות. ואם כבר מפעילים אותה מהמחשב, יש לוודא שהמחשב סטרילי ככל האפשר מאפליקציות ותוכנות שלא מכירים, שהיישומים שפתוחים על המחשב הם הכרחיים לפעולות הנוכחיות שמבצעים ושלספק התקשורת הביתי יש את כל מנגנוני אבטחת המידע הרצויים - דבר שכדאי לוודא גם בפן האישי.


מבחינת הארגון עצמו, חשוב לוודא, בשגרה ובעיקר בעת החירום הזאת, שקיימים כלי הגנה על אמצעי התווך שמחבר בין העובדים שעובדים מהבית לבין הרשת הארגונית, ושהם מתוחזקים כל הזמן על ידי אנשי מקצועי מיומנים. כחלק מהתחזוקה, יש לוודא שה-VPN עובר לאורך כל הדרך את כל העדכונים הנדרשים למערכת. רק לפני חצי שנה, במסגרת הפעילות שלנו בצוות התקיפה (Penetration Tests), היינו עדים לפרצת אבטחה חמורה מאוד בחיבור VPN של חברת ענק. עם גילוי חולשה זו התרענו על כך מיד לארגונים שאתם אנחנו עובדים ושמחזיקים בגרסת ה-VPN הרלוונטית - דבר שחייב אותנו לערוך עבורם שדרוגים למערכת, על מנת להתגבר על החולשה שהתגלתה.


[caption id="attachment_304062" align="alignnone" width="600"]צילום: BigStock צילום: BigStock[/caption]


דבר נוסף שחשוב לשים עליו דגש הוא למי קיימת הרשאה ל-VPN ומהם סוגי ההרשאה שכל עובד מקבל. חשוב להגביל את ההרשאות ואת הגישה לשירות לכל עובד בהתאם למסגרת העבודה שלו בלבד. למשל, עובד במחלקת הכספים לא יקבל הרשאה לתיקיות של המחלקה המשפטית. מעבר לעובדה שאין סיבה לספק הרשאות מיותרות בתוך הארגון, על ידי כך ניתן לצמצם את הגישה של האקרים חיצוניים לשרתי הארגון דרך שירות האינטרנט הביתי של העובדים.


הגבלה נוספת צריכה לחול על התוכנות שבהן עושה הארגון שימוש. למשל, לעובד שעובד באופן קבוע עם מערכת ה-ERP של הארגון לא תינתן גישה למערכת ה-CRM אם אין לו צורך בה.


אנחנו חיים בעידן שבו הטכנולוגיה יכולה לאפשר עבודה מהבית, ובימי משבר אלה יש לכך חשיבות רבה למשק ולכלכלה. יחד עם זאת, לצד האיומים הוויראליים שפוקדים אותנו אחת לתקופה, הטכנולוגיה מייצרת עבורנו כל העת איומים וירטואליים חדשים. סביר שהתפשטות נגיף הקורונה מהווה עבור לא מעט האקרים תקופה מרגשת, שבה הם יכולים, וככל הנראה מצליחים, לאתר פרצות לרשתות ארגוניות באמצעות חיבורים ביתיים של העובדים שעובדים מרחוק. זה יכול להוביל לנזקים קלים אך גם לפגיעות משמעויות, שעלולות ליצור נזק כספי, דליפת מידע חיוני ואף פגיעות נפשיות ופיזיות, במקרים חריגים. היו זהירים, הימנעו מפעילות שאינה הכרחית על גבי רשת ה-VPN ושימרו על עצמכם, על הארגון שלכם ועל הכלכלה שלנו, בתקווה שהסדר הבריאותי והשגרה ישובו אלינו בהקדם.


הכותב הנו ראש צוות תקיפה ב-2BSecure, חברת אבטחת המידע מבית מטריקס.


הפוסט עובדים מהבית? ההאקרים מחפשים אתכם! הופיע ראשון באנשים ומחשבים - פורטל חדשות היי-טק, מיחשוב, טלקום, טכנולוגיות







האחריות על התגובות למאמרים השונים חלה על שולחיהן. הנהלת האתר אינה אחראית על תוכנן.
שליחת תגובה
חוקי שליחת תגובות*
תגובות חברי האתר מאושרות אוטומטית
כותרת*
_CM_USER*
_CM_EMAIL*
_CM_URL*
הודעה*
קוד אבטחה*

 הערה: התכנים המוצגים בעמוד זה ...

התכנים המופיעים במדור זה מועברים אוטומטית מבלוגים ואתרי מידע ברשת, כל הזכויות על התכנים: כולל טקסטים, תמונות, סרטים וכל מדיה נוספת, הנם של יוצרי החומר המקורי בלבד. אתר נט2יו אינו טוען לבעלות או לזכויות יוצרים על התכנים, אלא רק מצביע עליהם בצורה נוחה ומרוכזת, וכן מקשר אל האתר המקורי, עם המאמרים המלאים. אם למרות האמור לעיל, נתקלת בחשש להפרת זכויות יוצרים, או שתוכן מסויים באתר אינו לרוחך, אנא דווח לנו באמצעות טופס יצירת הקשר ונורידו בהקדם האפשרי מהאתר.
×

הצהרת נגישות

אתר זה מונגש לאנשים עם מוגבלויות על פי Web Content Accessibility Guidelines 2 ברמה AA.
האתר נמצא תמידית בתהליכי הנגשה: אנו עושים כל שביכולתנו שהאתר יהיה נגיש לאנשים עם מוגבלות.
אם בכל זאת נתקלתם בבעיית נגישות אנא שלחו לנו הערתכם במייל (אל תשכחו בבקשה לציין את כתובת האתר).

אודות ההנגשה באתר:

  • אמצעי הניווט וההתמצאות באתר פשוטים ונוחים לשימוש.
  • תכני האתר כתובים בשפה פשוטה וברורה ומאורגנים היטב באמצעות כותרות ורשימות.
  • מבנה קבוע ואחיד לנושאים, תתי הנושאים והדפים באתר.
  • האתר מותאם לצפייה בסוגי הדפדפנים השונים (כמו כרום, פיירפוקס ואופרה)
  • האתר מותאם לסביבות עבודה ברזולוציות שונות.
  • לאובייקטים הגרפיים באתר יש חלופה טקסטואלית (alt).
  • האתר מאפשר שינוי גודל הגופן על ידי שימוש במקש CTRL וגלגלת העכבר וכן בלחיצה על הכפתור המתאים בערכת ההנגשה הנגללת בצד האתר ונפתחת בלחיצה על הסמלון של כסא הגלגלים.
  • הקישורים באתר ברורים ומכילים הסבר להיכן הם מקשרים.
    לחיצה על הכפתור המתאים בערכת ההנגשה שבצד האתר, מסמנת את כל קישורי האתר בקו תחתון.
  • אנימציות ותכנים מהבהבים: הכפתור המתאים לכך בערכת ההנגשה שבצד האתר , מאפשר להסתיר בלחיצה אחת את כל התכנים באתר הכוללים היבהובים או תכנים המכילים תנועה מהירה (אנימציות, טקסט נע).
  • למתקשי ראיה: מתקשי הראיה שבנינו יכולים להעזר בשני כפתורים הנמצאים בערכת ההנגשה בצדו הימני של האתר, האחד מסב את האתר כולו לגוונים של שחור ולבן, השני מעביר את האתר כולו למצב של ניגודיות גבוהה.