איומי סייבר אישיים כאמצעי לפגיעה בארגון

הכירו את המניפולציות הנפוצות לטובת איסוף מידע כאמצעי לפגיעה בארגון. אל תטעו לחשוב, שאיומי סייבר מכוונים בעיקר נגד בעלי תפקידים בכירים בארגון. בפועל, התקיפה תכוון להשגת נגישות למערכות המחשב או למידע, ולכן יעד לתקיפה יכול להיות כל עובד, שיש לו גישה למערכות המחשב והמידע בארגון או למידע עצמו, כלומר, כולם. המאבטח, העוזר, המזכירה, העובד הזוטר וכד'.

כיום לכל עובד יש מרחב סייבר אישי הכולל לרוב דואר אלקטרוני פרטי או ארגוני, סמארטפון ורשתות חברתיות, שהם כיום חלק בלתי נפרד משגרת העבודה ומהווים חלק חשוב בשמירת קשרים מקצועיים, אישיים וחברתיים. כל עובד עלול להיות מטרה לתקיפה ברמה האישית בעיקר לטובת איסוף מידע כאמצעי לפגיעה בארגון. הגורם האנושי, ארגוני פשיעה, גורמים בעלי אינטרס כלכלי, האקרים ומדינות זרות עלולים לחשוף מידע רגיש המצוי בארגון, להשבית או לשבש את פעילות הארגון ולהשחית מידע בעל השפעה חיונית עבור הארגון.

שיטות התקיפה די מוכרות אך הן משתכללות כל הזמן. הכירו את המניפולציות הנפוצות:

  • הנדסה חברתית-טכנולוגית – התוקף מצליח בקלות יחסית לשכנע את האדם לבצע פעולה כגון העברת פרטים אישיים ומידע וכך בקלות הוא עוקף את כל מנגנוני האבטחה של הארגון. הנתקף לא יכול לראות את התוקף פיזית והוא בקלות יכול להתחזות למישהו אחר. התוקף גורם לנתקף לחשוב, שהוא מתקשר עם גורם לגיטימי עליו הוא סומך, בעוד שבפועל הנתקף, ללא ידיעתו, למעשה, פועל למול צד ג' עויןכלומר, באמצעות "הנדסה חברתית- טכנולוגית"  וללא ידיעה מאפשר הנתקף לגורם עוין להיכנס לרשתות הארגון ולהוביל לנזקים משמעותיים.

 

  • דיוג – פישינג  (Phishing) – זו שיטת תקיפה ידועה ונפוצה, כאשר התוקף מנסה "לדוג" גורמים בכירים וזוטרים בארגון ע"י הטעיה, הפחדה או פיתוח ציפיות כדי לפתותם לבצע פעולה בעלת מניע זדוני.

המניפולציות הנפוצות ביותר הן :

  • מסמך הנראה לגיטימי, לכאורה, כגון חשבונית או קבלה(receipt, invoice) המתקבל ממקור לא מוכר.
  • הודעה על סיסמה פגת תוקף המציעה לנתקף להחליף לסיסמה חדשה, או דרישה לאימות פרטי החשבון.
  • הצעה שיווקית קוסמת, מוצר נחשק במחיר מפתיע או זכייה בפרס כספי. זכרו אין מתנות חינם.
  • הודעת אזהרת אבטחה  (Alert Security)המתריעה, לכאורה, על פריצת אבטחה, שמציעה לנתקף להחליף סיסמה.

 

  • דיוג ממוקד (Phishing Spear) – מתמקד ומותאם אישית למספר קטן מאוד ונבחר של אנשים. לאחר שהתוקף אוסף מידע ואף לעיתים מצליח לחדור למערכות הארגון. לכן, פניה מניפולטיבית לנתקף מסוג דיוג ממוקד תהיה לרוב מאוד מציאותית וקשה לזיהוי. לעתים קרובות היא תגיע מכתובת, שתראה כמו כתובת של גורם מוכר או קולגה. היא עלולה להשתמש באותה שפה או בסלנג, שהקולגות משתמשים בהם, בלוגו של הארגון או אפילו בזיוף החתימה הרשמית של מנהל בכיר בארגון. הודעת דיוג ממוקד עלולה אפילו להיראות כמענה לתכתובת אמיתית, שניהל המקבל עם שולח ההודעה. פניות אלו, לעתים קרובות, יוצרות תחושה עצומה של דחיפות, שדורשת עירנות ונקיטת פעולה מיידית.

 

  • שיחת טלפון – (Phishing Voice) – הנתקף מקבל שיחת טלפון מאדם הטוען, שהוא מתמיכת המחשוב של הארגון, ספק שירותי האינטרנט או אולי מהתמיכה הטכנית של ספק שירותי הסלולר. המטלפן מסביר, שזוהתה פעולה חשודה במחשב או בסמארטפון של הנתקף, ושהוא מעוניין לסייע לו לאבטח את המחשב. התוקף משתמש במגוון של מונחים טכניים כדי לבלבל את הנתקף ובכך מצליח לשכנע אותו, למשל, לתת לו את פרטי שם המשתמש והסיסמא שלו, או להתקין לו מרחוק תוכנת נוזקה.

 
לכל תקיפה יש נזק פוטנציאלי משמעותי, בעיקר פגיעה במוניטין ובתדמית באמצעות השחתה והשבתה של שירותים. רוב התקיפות לתוך הארגון מתבצעות דרך כלי העבודה החשובים, המחשב הנייח והנייד, שמאוחסן בהם מידע רב ורגיש. הגנה על אמצעים אלה ועל המידע שבתוכם צריכה להיות בעלת חשיבות עליונה בכל ארגון.
 
לכן, חשוב תמיד להתקין באמצעות ספקי התוכנה הרשמיים והמוכרים את עדכני התוכנה, שהם מוציאים לשוק, כולל עדכוני אבטחה, שנועדו לתקן כשל במערכות או פרצות אבטחה. מטרת עדכון התוכנות היא למנוע את פרצות האבטחה המתגלות ובכך להקשות על תוקפים לתקוף.
 
חשוב גם לוודא התקנת תוכנות Anti-Virus וחומת אש ממקור מוסמך תוך הגדרת קבלת עדכונים אוטומטיים ולבצע גיבוי אוטומטי יומי של כלל המידע אל מדיה חיצונית או בענן.
 
כ"כ, כדאי להימנע מחיבור להתקני USB או STORAGE כדי להקטין את אפשרויות ההדבקה.
 
כדאי גם להגביל גישה פיזית או לוגית בין משתמשים לבין שרתים בחברה ומומלץ לבחון פתיחת קישורים המגיעים באמצעות האימייל המציעים הצעות "מפתות", מבצעים, איפוסי סיסמא וכו', ולבצע נעילת גישה למשתמשים או התקנים לא מורשים ולא מוכרים כדי למנוע התקפה מכוונת ברשת.
 
בנוסף, יש להפעילShadow Copy  ו- Restore Point במחשבים כדי לבצע שחזור במידת הצורך ולא לאפשר למשתמשים לעבוד במצב ADMIN.
 
עבור עובדים מרחוק ומהבית יש לוודא, שמשתמשים באמצעי VPN מוסדר המשתמש במנגנוני הזדהות.
 
חשוב מאוד לבצע תקופתית נסיונות שחזור קבצים קריטיים לארגון כדי לדמות התקפה.

מנהל IT בארגון הוא למעשה כמו קשר"ג (קצין קשר גדודי) והוא משמש כקצין מטה לכל דבר. תפקידו המרכזי של מנהל ה-IT בארגון הוא להבין את כלל המחלקות, הצרכים, היעדים והאתגרים העומדים בפני החברה, לבצע חשיבה מעמיקה ומהירה ולבצע אינטגרציה בין כולם.

פונקציית איש ה-IT מהווה נדבך משמעותי, כיוון שבין היתר, הוא מקדם תהליכים ומהלכים אשר יובילו את החברה להתייעלות ואפקטיביות ארגונית ולהשגת שורת רווח. ללא הימצאות איש IT מקצועי וטכנולוגי בארגון, ייתכן שההנהלה לא תהיה מודעת לטכנולוגיות המתקדמות שיש בשוק ועלולה למצוא את עצמה הרחק מאחור. ניהול IT הוא לא רק טיפול במחשבי החברה, אלא הבנה עמוקה של צורכי החברה, יישום האסטרטגיה, התמודדות והצבת פתרונות שיובילו את העסק קדימה.

תפקיד מנהל ה-IT החדש טומן בחובו אתגרים רבים. האתגרים המרכזים מתמקדים באבטחת מידע, סייבר וטרנספורמציה דיגיטלית. אלו האתגרים אשר מלווים היום את הארגונים וימישכו ללוות גם בשנים הבאות.

אחד האתגרים המשמעותיים של מנהל IT הוא אל מול ההנהלה, כיוון שהוא נדרש להוכיח בכל עת את החזר ההשקעה בפרויקטים שלרוב נסתרים מהעין. בנוסף, מנהל ה-IT צריך לבחון על בסיס קבוע את ניהול הצרכים של החברה אל מול כדאיות, עלות מול תועלת, וזה מתקיים תוך כדי תנועה והצורך לעמוד ביעדים העסקיים. הוא צריך להסביר את כדאיות ההשקעה בדיגיטל ולתרגם אותה לכסף תוך רתימה של ההנהלה ושל כלל היחידות בארגון תוך כדי התמודדות עם התרבות הארגונית, ולכך נדרשת פתיחות וגמישות לצד הכשרה והעצמה של עובדים ומנהלים.

הדיגיטל מאפשר להוריד את עלויות התפעול בצורה משמעותית אך קודם לכן נדרשות השקעות בכדי לייצר תשתית נכונה טכנולוגית ותהליכית. מנהל ה-IT צריך לדרג פרויקטים לפי ערך והשפעה עסקית ולהחליט כל שנה היכן להתמקד. האסטרטגיה הדיגיטלית הינה נגזרת ישירה של האסטרטגיה העסקית, למעשה יש רק אסטרטגיה עסקית אחת ותוכנית יישום שלה גם בדיגיטל.

אתגר שהולך וגדל

מנהל ה-IT אינו יכול לקפוא על השמרים, הוא צריך להישאר עם האצבע על הדופק ולעמוד בקצב המהיר של ההתפתחויות הטכנולוגיות, תוך שמירה מתמדת על הנכסים של הארגון והגנה על המידע בארגון, כמו גם על שמירה על זמינות המידע ושלמותו. כל שינוי טכנולוגי יוצר איומים חדשים ודורש שורה ארוכה של התאמות. זהו אתגר שלא ייפסק, אלא הולך וגדל.

לסיכום, ניתן לומר, כי מחלקות ה-IT הן שיובילו את ארגון העידן החדש. הנהלות בארגונים כבר רואים את יתרונות התפקיד ומבינים את חשיבותו. מעמדו של איש ה-IT השתפר בשנה האחרונה וימשיך להשתפר. בשנים האחרונות מעמדו של איש ה-IT נפגע כתוצאה מכניסת תפקידים חדשים לשוק כמו DEVOPS, מפתחים, אנשי סייבר ועוד. כיום המגמה כבר משתנה, ומשבר הקורונה חיזק את ההבנה בקרב ארגונים, שחייבים לחזור למקורות ולייעל את כלל מערכות ה-IT כי הם הליבה של כל עסק. עבור מנהלי ה-IT זהו תור הזהב, והמשבר הנוכחי יצר עבורם הזדמנות לבלוט, להוביל, לחזק את הקשר עם ההנהלה ולייעל את הפעילות בארגון.