כיצד עסקים קטנים ללא משאבים ומומחיות טכנולוגית יכולים להתגונן מפני איומי סייבר
הפעלת עסק והבאתו לצמיחה היא עבודה קשה גם בזמנים טובים, אך עיתות משבר מביאות איתן אתגרים נוספים. ככל שאנחנו מסתמכים יותר ויותר על טכנולוגיה בעוד ועוד תחומים של חיינו, כך אנו מבינים שמשברים ומקרי חירום גלובליים – ואף אזוריים – ישפיעו בסופו של דבר על המרחב הדיגיטלי.
לפני שנתיים, חייהם של אנשים רבים נעצרו או התערערו, כמעט ללא התראה מוקדמת. מגפת הקורונה חשפה את השבירות הקולקטיבית שלנו, והמירוץ לעבודה מהבית הביא למבחן את עמידותם של עסקים רבים, מה שכמובן הביא ליצירתה של קרקע נוחה לפשעי סייבר.
המגפה טרם הסתלקה מחיינו, ומומחי אבטחת סייבר מזהירים מפני סכנה גלובלית נוספת – הסיכון של קריסה משמעותית במרחב הסייבר בשל המלחמה באוקראינה, שעשויה לגרום להפרעה בפעילות של ארגונים ברחבי העולם, ובמקרים מסוימים לגרום ל״משבר דומינו״.
הסיכון הזה הוא אקוטי כשמדובר בסוכנויות ממשלה ובארגונים בינלאומיים, אך עשוי לפגוע גם בשחקנים הפגיעים ביותר – עסקים קטנים-בינוניים (SMB). בהיעדר המשאבים שיש לעסקים הגדולים, חברות קטנות עשויות להתקשות במיוחד להגן על עצמן מול פושעי סייבר או להתאושש ממתקפה מוצלחת.
דג קטן בים גדול?
בזמן שהתקשורת מתמקדת בעיקר במתקפות גדולות, אפשר לסלוח לבעלי עסקים קטנים על כך שהם חושבים שהם מוגנים. למעשה, המצב שונה לחלוטין. בימים אלה, אין אף חברה שהיא קטנה מדי מכדי לחמוק מעיניהם של עברייני הסייבר או מהנזק ההיקפי של תקיפות שמכוונות למטרות אחרות. במקרים רבים מדי, חברות מוצאות את עצמן כקורבן למתקפות שמופעלות בהיקף גדול וללא הבחנה כדי להביא איתן שלל גדול.
עסקים קטנים-בינוניים ידועים כפשרה המושלמת לפשעי סייבר – יש להם יותר נכסים וכסף מצרכנים, אך הגנות הסייבר שלהן פחות מתוחכמות מאלו של ארגונים גדולים. בלי קשר לגודלם ומידת המוכנות שלהם, עסקים צריכים להעריך את יכולות התגובה שלהם לתקריות באופן שוטף, ואף יותר בזמנים של סיכונים מוגברים.
עניין של הישרדות
אם החברה שלכם מבצעת הערכה של סיכוני האבטחה שלה רק עכשיו, יהיה נכון להעריך שמצב האבטחה כרגע הוא קרוב למשבר.
עם זאת, ישנם כמה צעדים פשוטים שתוכלו לבצע באופן מיידי כדי להגן על הנתונים והעובדים שלכם:
1. בדקו מה הנכסים שברשותכם כדי להעריך את הסיכון: אם אינכם יודעים מה יש לכם, לא תוכלו להגן על מה שיש לכם.
החזיקו רשימה של כל המכשירים האלקטרוניים שברשותכם: מחשבים נייחים, מחשבים ניידים, טלפונים ניידים, נתבים
ומדפסות. ברשימה הזאת כדאי לכלול גם את השירותים הדיגיטליים שלכם, התוכנות שאתם משתמשים בהן, חשבונות הבנק
שברשותכם ושירותי ענן כמו Google Docs ו-iCloud. הרשימה הזאת תעזור לכם להבין מה יכול להשתבש וכיצד.
2. הגדירו מדיניות אבטחה: בטיחות ומנהיגות טובה הולכות יד ביד. וודאו שאתם מתקשרים לעובדים שלכם את חשיבות
האבטחה, מדוע רק אנשי צוות מורשים יכולים להיכנס למשרד, או מדוע אסור להם להשתמש במחשבים או מכשירים אישיים
אחרים כדי לגשת לנתונים הקשורים לעסק. אם הם עובדים מרחוק, הסבירו להם מדוע עליהם להיזהר כשהם מתחברים
לרשתות אלחוטיות ציבוריות.
3. הגדירו אמצעי בקרה: כדי לוודא שהמדיניות שהוגדרה אכן מיושמת, חשוב להציב כלי בקרת IT. הצעד הראשון הוא הגדרת
שם משתמש וסיסמה או ביטוי אבטחה ייחודיים לגישה למחשב והרשת הפנימית של העסק לכל עובד ועובד. הגדירו פרוטוקול
שלפיו העובדים אמורים לפעול אם הם נתקלים בכל מקרה של בעיית או תקרית אבטחה. בנוסף, כדאי לכם להשתמש בתוכנת
אבטחה שמגינה על העובדים מפני נוזקות. לסיום, שקלו שימוש בהצפנה כדי למנוע גישה למידע וקריאה שלו ע״י תוקף, יחד
עם אימות דו-שלבי שיספק שכבת הגנה נוספת יחד עם הסיסמאות.
4. בחנו את מדיניות האבטחה שלכם: לאחר שביצעתם את הצעדים הקודמים, החברה שלכם תוכל ליהנות מיתרונותיה של
מידת האבטחה אליה הצלחתם להגיע. עם זאת, עליכם לוודא שכל הצעדים יושמו בהצלחה ושהם מאפשרים תגובה חלקה
במקרה של מתקפה. זכרו שעליכם לוודא שהעובדים משתמשים בסיסמאות ייחודיות וחזקות.
5. חנכו: הגברת מודעותם של העובדים לאבטחת סייבר היא מאמץ ארוך-טווח. גם עובדים שמודעים לנושא עשויים ליפול קורבן
להודעת דיוג פשוטה. אסטרטגיית אבטחה אפקטיבית מתבססת על המנהיגות שלכם ועל כך שתדאגו לחנך וליידע את
העובדים שלכם. הסבירו על דרכי התקיפה השונות של פושעי הסייבר, יש סיבה לכך שהם ממשיכים לפעול באותם קישורים
וקבצים נגועים במיילים, זה פשוט עובד. בצעו הדרכות קבועות, זו שכבת הגנה משמעותית וחיונית לכל ארגון.
6. המשיכו לבדוק: לאחר שעברתם את כל הצעדים הקודמים, עדיין לא תוכלו לנוח על זרי הדפנה. עליכם להעריך מחדש את
התהליכים שלכם לפחות פעם בשנה, ולעיתים תכופות יותר בעתות משבר. וודאו שהעובדים שלכם ממשיכים לעמוד בקווים
המנחים שקבעתם, שכל התוכנות שלכם מעודכנות ומוגנות מפני פרצות ידועות, ושהחשבונות של עובדים שעזבו את החברה
נמחקים או נחסמים.
המפתח לעמידות
דוח ״העלות של דליפת מידע״ לשנת 2021 של IBM חשף עלייה של 10% בעלות הממוצעת של תקרית מידע לעומת השנה הקודמת לו, שמיתרגמת לעלות כוללת של 4.24 מיליון דולר – סכום שמגלם בתוכו עלויות משפטיות, רגולטוריות וטכניות שנדרשו כדי לטפל בנזקי המתקפות הזדוניות בקרב 537 החברות שנכללו בדוח. הסכום הזה הוא גבוה בהרבה מההשקעה שאותן חברות יכלו להשקיע כדי להימנע מהמצבים האלה.
מעקב אחר הצעדים הפשוטים האלה יביא את האבטחה שלכם לשלב הבא, אך בכל זאת עליכם לצפות למתקפה הבאה. כשמתקפה כזאת תקרה, וודאו שאתם יודעים למי להתקשר כדי לקבל עזרה – איומים יכולים להופיע בכל מיני צורות שונות. זכרו שהמידע של הלקוחות חשוב לכם בדיוק כמו שהוא חשוב לתוקפים. הם יוכלו להשתמש בו למטרות זדוניות, לשתף אותו ברשת כדי לפגוע במוניטין של החברה שלכם, או לגנוב אותו כדי לגרום לכם לשלם להם כופר. בנוסף, הם יכולים פשוט למחוק אותו לחלוטין ללא מניע ברור ולפגוע קשות בעסק שלכם.
אנחנו נמצאים בזמנים קשים. בעלי עסקים צריכים להוסיף שיקולים נוספים שלא היו חלק מרשימת צרכי האבטחה רק לפני רגע. אך אין צורך להיבהל – אם תוודאו שהסיסמאות שלכם הן חזקות ושהעובדים שלכם מבינים את הצורך בציות לנהלי האבטחה, אתם כבר תהיו בנקודת התחלה טובה.