מדוע עסקים קטנים-בינוניים צריכים לתת תשומת לב לסיסמאות?
על פי דו"ח חקירת דליפת הנתונים של חברת Verizon משנת 2017, 81% מדליפות המידע מתרחשות בגלל סיסמאות חלשות או סיסמאות שנגנבו. מכיוון שיותר מ-5 מיליארד סיסמאות כבר דלפו לרשת, הגנה על בסיס סיסמה בלבד הפכה ללא-אפקטיבית.
ואם אתם חושבים שהארגון שלכם לא מעניין פושעי סייבר, כדאי שתחשבו שוב. עסקים קטנים-בינוניים הם המטרה המושלמת לפושעי סייבר, מכיוון שמצד אחד הנתונים והנכסים שברשותם הם חשובים יותר מאלו שבידיהם של לקוחות פרטיים, אך מצד שני הם פחות מוגנים מחברות גדולות שתקציב אבטחת הסייבר שלהם גבוה יותר.
קרא עוד
הבעיה הזו גדלה אפילו יותר בשל המספר ההולך וגדל של עסקים שמשלבים מכשירים "חכמים" בתשתית ה-IT שלהם. אמנם האינטרנט של הדברים (IoT) עוזר להם לבצע פעולות עסקיות שונות במהירות ובקלות, אך ברוב המקרים המכשירים האלה הם פגיעים מאוד וסיסמאותיהם הן סיסמאות ברירת-מחדל שזמינות לכולם, מה שיוצר איום שהשלכותיו עשויות להיות עצומות.
הבעיה הזו גדלה אפילו יותר בשל המספר ההולך וגדל של עסקים שמשלבים מכשירים "חכמים" בתשתית ה-IT שלהם. אמנם האינטרנט של הדברים (IoT) עוזר להם לבצע פעולות עסקיות שונות במהירות ובקלות, אך ברוב המקרים המכשירים האלה הם פגיעים מאוד וסיסמאותיהם הן סיסמאות ברירת-מחדל שזמינות לכולם, מה שיוצר איום שהשלכותיו עשויות להיות עצומות.
בנוסף, התקנות הכלליות החדשות של האיחוד האירופי להגנה על נתונים (GDPR)גדירות שארגונים מכל הגדלים נדרשים לוודא שנתוניהם מוגנים באמצעות הטמעת "אמצעים טכניים וארגוניים מתאימים". כלומר, אם מתרחשת דליפת נתונים, אך בארגון מוגדרות רק סיסמאות סטטיות ופשוטות, סביר להניח שיוטל עליכם קנס גבוה יותר.
בכל רחבי העולם, חוקי ותקנות הפרטיות הופכים למחמירים יותר. דרישות הדיווח הלאומיות (NDB)על הפרת נתונים של חוק הפרטיות האוסטרלי שנחקק לאחרונה, יחד עם תקנות פרטיות שונות של חלק ממדינות ארה"ב, שכוללת דרישות מחמירות לדיווח על דליפת נתונים, מעלות את הסטנדרטים עבור כל מי שמחזיק בנתונים בנוגע לתושבים המוגנים תחת החוקים האלה.
כיצד תוקפים גונבים סיסמאות?
1. טכניקות פשוטות מהעולם האמיתי כמו הצצה מעבר לכתף, שבהן התוקפים מתצפתים על קורבנות פוטנציאליים בזמן שהם מזינים את סיסמאותיהם
2. תוקפים גם מנסים לבצע מניפולציות על "נקודות תורפה אנושיות" של קורבנותיהם באמצעות הנדסה חברתית. טופס מקוון או הודעת דוא"ל שנוצרו באופן מקצועי (מתקפת דיוג) ונראים כאילו הגיעו מגורם מהימן יכולים לגרום גם למשתמשים הכי מתקדמים למסור את סיסמאותיהם.
3. פושעי סייבר שכבר יש להם דריסת רגל ברשת הארגון יכולים להשתמש בנוזקות כדי לחפש מסמכים שמכילים סיסמאות או לתעד הקשת סיסמאות ולשלוח את הנתונים האלה לשרת השליטה והבקרה שלהם. אותם פושעים יכולים גם לחלץ קבצי סיסמאות מוצפנים ולנסות לפענח אותם מחוץ לרשת.
4. בין טכניקות המתקפה המתקדמות יותר ניתן למצוא את טכניקת יירוט תעבורת הרשת של מכשירי העובדים שעובדים מרחוק או במקום ציבורי.
5. אחת מהדרכים הפופולריות ביותר לפריצת סיסמאות היא פריצה בכוח. סקריפטים אוטומטיים מנסים מיליוני שילובי סיסמאות בפרק זמן קצר, עד שהנכונה נמצאת. לכן הארכת הסיסמאות הפכה לחיונית כל כך עם השנים. ככל שהסיסמה מסובכת יותר, כך פושעי הסייבר זקוקים ליותר זמן כדי לנחש אותה.
כיצד ליצור מדיניות סיסמאות טובה?
כדי להבטיח שבעסק שלכם ישנה מדיניות סיסמאות אפקטיבית, מומלץ לעקוב אחר הצעדים הבאים:
- יש להכשיר את העובדים בנוגע ליצירת סיסמאות חזקות »
- מחלקות ה-IT נדרשות להטמיע חוקים בזמן הגדרת ואכיפת מדיניות הסיסמאות של החברה »
- מומלץ לכל הארגונים להטמיע אמצעי אבטחה נוספים כדי להגביר את אבטחת הסיסמה בכל רחבי הארגון.
מה עוד הארגון שלכם יכול לעשות כדי להגן על הסיסמאות שלו?
כדי להגן על הסיסמאות בארגון שלכם בצורה טובה יותר, כדאי להשתמש באימות דו-שלבי (2FA). שיטה זו מאמתת את זהותו של מחזיק החשבון עם סיסמה חד-פעמית - משהו שנמצא ברשות המשתמש יחד עם שם המשתמש והסיסמה – משהו שהמשתמש יודע – מה שמגן על הגישה למערכות החברה, גם במקרים בהם נתוני הגישה מודלפים או נגנבים.
מכיוון שהודעות SMS ומכשירים ניידים הופכים גם הם למטרות למתקפות נוזקות, פתרונות אימות דו-שלבי מודרניים נמנעים משימוש באימות באמצעות הודעת SMS, ובמקום זאת משתמשים בהתראות המכשיר, מכיוון שהן בטוחות יותר וידידותיות יותר. כדי להגביר עוד יותר את מידת האבטחה של תהליך האימות, ארגונים יכולים להשתמש בביומטריה – משהו שמאפיין את המשתמש – באמצעות הטמעת אימות רב-שלבי (MFA).
האימות הדו-שלבי העוצמתי של ESET מגן על סיסמאות
ESET Secure
Authentication
אימות בלחיצה אחת שמבוסס על טלפון נייד מסייע בהגנה על הנתונים שלכם באופן פשוט ובעמידה בדרישות החוק. הוא כולל התראת "פוש" ידידותית למשתמש למערכות Android ו-iOS, כולל ניהול פשוט, וניתן להטמעה בתוך 10 דקות. נסו עכשיו וגלו כיצד זה פועל.
