מאת עו"ד דן חי
התקופה הקשה שעוברת על כולנו מחייבת ערנות מיוחדת גם בתחום ההגנה על המידע ומערכות הארגון. הלחימה מלווה בהמשך מתקפות סייבר משמעותיות, בכל הערוצים כלפי גופים ישראליים מכל הסוגים. ניכר כי המצב בו שרויה המדינה מגביר את המוטיבציה בקרב גורמים עוינים לנסות לחדור למערכות של ארגונים שונים, חברות פרטיות, ציבוריות, ממשלתיות, עמותות וכן בכל ארגון פעיל אחר. מצב הדברים מצריך ביצוע של מספר בדיקות מצד הארגון, לרבות בדיקת מערכות ההגנה כמו גם בדיקת המוכנות והערנות של הארגון ועובדיו.
על רקע זה מצאנו לנכון להזכיר את עיקרי ההוראות הרלבנטיות למצב זה מהזווית המשפטית-רגולטורית, כדלקמן:
- הודעה לעובדים – מומלץ להוציא מייל לעובדים בארגון הודעת דוא"ל אשר תכלול את עיקרי הדברים הבאים:
- עריכת בדיקה שהסיסמה לכניסה למערכות ארוכה, מורכבת וקשיחה, במיוחד עת מתבצעת כניסה מרחוק. מומלץ לבצע בדיקה שהסיסמאות של העובדים הוחלפו לפחות בחצי השנה האחרונה, ולדרוש החלפת סיסמאות ישנות או חלשות המציבות סיכון אבטחתי מוגבר.
- אזהרה מפני הודעות פישינג, SMS והודעות וואטסאפ מגורמים לא מזוהים. יש להנחות את העובדים לדווח מיד לממונה אבטחת המידע בארגון על כל הודעה חשודה.
- התראה מפני פתיחת כל הודעה שהשולח שלה אינו מוכר ומקבל ההודעה אינו מצפה לה.
- התראה להימנע מללחוץ על לינקים והפניות, שהגיעו במיילים או בהודעות SMS / ווטסאפ, בוודאי אם מקור ההודעה אינו מוכר.
- להתריע מפני לחיצה על קישורים המפנים אל עמודים חיצוניים אשר נשלחים בקבוצות ווטסאפ/טלגרם וכיו"ב, היות שבקבוצות אלו עשויים לארוב גם גורמים עוינים אשר ינצלו זאת.
- לדרוש שלא להזדהות או לענות לשיחות לא מזוהות, לא ללחוץ על מספרים בתפריט קולי במקרה של שיחות שאינן מובנות / מוכרות או שמקורן אינו מוכר ומזוהה.
- לבחון האם הרשאות הגישה למערכות הארגון אינן רחבות מידי, והאם יש מקום לצמצמן בכלל או לכל הפחות בעת הזו.
- להורות על הימנעות משמירת מידע של הארגון על המחשב האישי, להימנע משימוש בכתובות דואר-אלקטרוני פרטיות לצורכי עבודה או להעברת מידע של הארגון, להימנע משימוש בתוכנות חיצוניות וכל פלטפורמה או אמצעים טכנולוגיים שלא קיבלו את אישור מערכות המידע של הארגון. בעניין זה יש לשים תשומת לב מיוחדת להקפיד על שימוש מופחת בתוכנות מסרים ורשתות חברתיות (פייסבוק, טלגרם, ווצאפ וכו') בשימוש במחשב הביתי בזמן העבודה, זאת בשל הימצאותם של גורמים עוינים ברשתות אלו, לרבות התחזות לגורמים אחרים.
- לדרוש מהעובדים לעדכן את טלאי האבטחה ומערכות ההפעלה של מכשיריהם המשמשים לגישה מרחוק למערכות הארגון. מומלץ ככל הניתן למנוע גישה (באופן אוטומטי) ממכשיר אשר אינו מספק רמת אבטחה מינימלית נדרשת או המכיל מערכות הגנה מספקות בעת חיבור למערכות הארגון מרחוק.
- עדכון מערכות הפעלה – מומלץ לוודא כי כלל מערכות ההפעלה והתוכנות שבשימוש העובדים בארגון, כמו גם תוכנות ההגנה (אנטי-וירוס, Firewall וכיו"ב) עדכניות, ובפרט לוודא התקנת עדכוני ייצרן וטלאי (patches) אבטחה אחרונים. כמו כן, יש למנוע שימוש בתוכנות שמקורן אינו מוכר או שאינן מאושרות לשימוש בידי הארגון או מערך אבטחת המידע שלו.
- הרשאות גישה – לבחון שוב את הרשאות הגישה למערכות הארגון ולבדוק האם אין מקום לצמצם אותן עבור עובדים קיימים, למחוק הרשאות של עובדים שעזבו, ולהשהות הרשאות של עובדים שהוצאו למילואים או שאינם זמינים מכל סיבה אחרת בימים אלו.
- עבודה מרחוק –יש להקפיד על גישה מאובטחת במקרה של עבודה מרחוק, ובפרט להקפיד על דרכים לזיהוי בטוח של המשתמש, בין היתר באמצעות אימות דו-שלבי.
- שיחות מקוונות – בעת ניהול שיחות מקוונות (כמו פגישות Zoom), יש להקפיד על שימוש בתוכנות מאובטחות ומאושרות לשימוש מראש, ולהקפיד על כלי זיהוי מספקים בעת כניסה לשיחות. על מנהלי השיחות לוודא כי כל הנוכחים בהן מוכרים ומאושרים.
- ספקי מיקור חוץ – בעת התקשרות עם ספקים חיצוניים אשר תהיה להם גישה למידע האישי או למערכות הארגון – אין להתפתות ל"קיצורי דרך" – יש להקפיד על התקשרות מסודרת שתבטיח את הדרוש גם מנקודת המבט של אבטחת המידע, ובכלל זה לערוך את הבדיקות הנדרשות ולהחתים את הספקים על נספח מיקור חוץ מתאים, ולוודא כי החיבור של הספק אל מערכות הארגון מאובטח וכי העברת מידע תהיה מוצפנת.
- גיוס עובדים – בעת גיוס עובדים חדשים, יש להקפיד על מיון ובחירת עובדים מהימנים שניתן וצריך לאפשר להם חיבור למערכות החברה ולהקפיד על העברת הדרכה מתאימה לפני החיבור למערכות. זאת גם במידה וקיים לחץ בשל המצב לגייסם.
- החתמת עובדים – ככל שלא נעשה, יש לוודא החתמתם של עובדים על סעיפי סודיות, אבטחת מידע ושימוש במשאבי המחשוב של החברה על-פי נהליה, לרבות הוראות שימוש בתיבות מייל ארגוניות ונהלי גלישה בטוחה ממחשבים המחוברים גם למערכות הארגון.
- התקנים ניידים – בתקופת חרום יש להקפיד הקפדה יתרה על שימוש נכון ומאובטח בהתקנים ניידים, לא להתפתות לקיצורי דרך ולהגמשת ההוראות בנושא.
- מערכות גיבוי – מומלץ לבחון שוב את הליך גיבוי מערכות המידע של הארגון ולוודא כי הוא מתבצע בצורה המיטבית המבטיחה את האפשרות להעלות את המערכות מחדש ולשחזר את המידע במקרה של תקיפה.
- נהלי התאוששות מאירוע והמשכיות עסקית – מומלץ לבחון את הנהלים וההתקשרויות הקשורות אליהם ולבדוק את מוכנות כל הגורמים המסייעים לאור האירועים בתקופה זו.
- מנגנון דיווח – ככלל, יש לייצר ערנות ומנגנון דיווח ישיר של עובד לגורם הרלבנטי בארגון כאשר הוא נתקל במקרים חשודים. יש לוודא כי לעובדים קיימת כתובת זמינה למענה בהקשר זה.
- חידוד נהלים – יש לוודא חידוד נהלים קיימים באשר לעבודה מרחוק, דיווח על אירועי אבטחת מידע, אופן הקצאת הרשאות גישה והשימוש בהן וכיו"ב.
אנו לרשותכם לכל דבר ועניין,
דן חי ושות', עורכי דין
