- אנשים ומחשבים – פורטל חדשות היי-טק, מיחשוב, טלקום, טכנולוגיות - https://www.pc.co.il -

עובדים מהבית? ההאקרים מחפשים אתכם!

בזמן שישראלים רבים נאלצים לעבוד מהבית בצל משבר הקורונה ולאור ההנחיות האחרונות של משרד הבריאות, עולים הסיכונים להתנהלות עסקית בלתי מאובטחת מבחינת אבטחת המידע והסייבר בארגון. מהם הסיכונים ואיך מתגברים עליהם? מה צריך לקחת בחשבון כשמתחברים לרשת העסקית מרחוק? ואיך ניתן לשמור על המידע הרגיש ביותר של הארגון? במאמר זה אעמוד על כמה פעולות בסיסיות שעל ארגונים לנקוט על מנת לשמר את ההמשכיות העסקית שלהם ולהימנע מאיומי הסייבר הגלומים בחיבור מרחוק לרשת הארגונית.

כמעט בכל חברה שמספקת מחשבים ניידים לעובדים מותקנת מערכת התחברות מרחוק למשאבי הארגון. מערכת זו מחברת את העובד ואת המחשב האישי שלו לתיקיות פנימיות ברשת הארגון, מערכות פנים ארגוניות ועוד. בזמן שעננת הקורונה מרחפת מעל ישראל, ארגונים רבים מתמודדים עם השאלה: איך אפשר לתת לעובדים שלנו סביבת עבודה שתדמה את הרשת המשרדית שלהם גם כשהם עובדים מהבית? הפתרון שרוב הארגונים משתמשים בו הוא חיבור מרחוק, שבשמו המקצועי נקרא VPN או SSL VPN. הפתרון הזה בהחלט מאפשר לארגונים רבים לספק לעובדיהם פלטפורמת עבודה מרחוק כאילו הם נמצאים פיזית במשרד ועובדים ברשת הארגונית, אך לצד הפתרון הנוח הזה צריך לקחת בחשבון את השינויים המזעריים אבל המהותיים שכרוכים בחיבור מרחוק.

איך שלא נסובב את זה, השימוש ב-VPN במחשב הנייד חושף את הארגון כלפי חוץ. לכן, הדבר הראשון שיש להקפיד לעשות, או יותר נכון לא לעשות, הוא לא לפתוח את חיבור ה-VPN אם אין צורך הכרחי בו לטובת העבודה. ה-VPN חושף לאינטרנט הביתי של העובד שרת שדרכו האקר שהתביית על הארגון יכול למצוא פרצה ולחדור לרשת הארגונית. זה אמנם לא תרחיש כזה פשוט, אבל האקר בעל אינטרסים יכול להשקיע מאמץ רב בכדי לעשות זאת. לכן, כל עוד ניתן לעבוד על המחשב בבית מבלי להתחבר לרשת הארגונית מרחוק, זה מה שכדאי לעשות. ואם כבר מפעילים אותה מהמחשב, יש לוודא שהמחשב סטרילי ככל האפשר מאפליקציות ותוכנות שלא מכירים, שהיישומים שפתוחים על המחשב הם הכרחיים לפעולות הנוכחיות שמבצעים ושלספק התקשורת הביתי יש את כל מנגנוני אבטחת המידע הרצויים – דבר שכדאי לוודא גם בפן האישי.

מבחינת הארגון עצמו, חשוב לוודא, בשגרה ובעיקר בעת החירום הזאת, שקיימים כלי הגנה על אמצעי התווך שמחבר בין העובדים שעובדים מהבית לבין הרשת הארגונית, ושהם מתוחזקים כל הזמן על ידי אנשי מקצועי מיומנים. כחלק מהתחזוקה, יש לוודא שה-VPN עובר לאורך כל הדרך את כל העדכונים הנדרשים למערכת. רק לפני חצי שנה, במסגרת הפעילות שלנו בצוות התקיפה (Penetration Tests), היינו עדים לפרצת אבטחה חמורה מאוד בחיבור VPN של חברת ענק. עם גילוי חולשה זו התרענו על כך מיד לארגונים שאתם אנחנו עובדים ושמחזיקים בגרסת ה-VPN הרלוונטית – דבר שחייב אותנו לערוך עבורם שדרוגים למערכת, על מנת להתגבר על החולשה שהתגלתה.

צילום: BigStock

צילום: BigStock

דבר נוסף שחשוב לשים עליו דגש הוא למי קיימת הרשאה ל-VPN ומהם סוגי ההרשאה שכל עובד מקבל. חשוב להגביל את ההרשאות ואת הגישה לשירות לכל עובד בהתאם למסגרת העבודה שלו בלבד. למשל, עובד במחלקת הכספים לא יקבל הרשאה לתיקיות של המחלקה המשפטית. מעבר לעובדה שאין סיבה לספק הרשאות מיותרות בתוך הארגון, על ידי כך ניתן לצמצם את הגישה של האקרים חיצוניים לשרתי הארגון דרך שירות האינטרנט הביתי של העובדים.

הגבלה נוספת צריכה לחול על התוכנות שבהן עושה הארגון שימוש. למשל, לעובד שעובד באופן קבוע עם מערכת ה-ERP של הארגון לא תינתן גישה למערכת ה-CRM אם אין לו צורך בה.

אנחנו חיים בעידן שבו הטכנולוגיה יכולה לאפשר עבודה מהבית, ובימי משבר אלה יש לכך חשיבות רבה למשק ולכלכלה. יחד עם זאת, לצד האיומים הוויראליים שפוקדים אותנו אחת לתקופה, הטכנולוגיה מייצרת עבורנו כל העת איומים וירטואליים חדשים. סביר שהתפשטות נגיף הקורונה מהווה עבור לא מעט האקרים תקופה מרגשת, שבה הם יכולים, וככל הנראה מצליחים, לאתר פרצות לרשתות ארגוניות באמצעות חיבורים ביתיים של העובדים שעובדים מרחוק. זה יכול להוביל לנזקים קלים אך גם לפגיעות משמעויות, שעלולות ליצור נזק כספי, דליפת מידע חיוני ואף פגיעות נפשיות ופיזיות, במקרים חריגים. היו זהירים, הימנעו מפעילות שאינה הכרחית על גבי רשת ה-VPN ושימרו על עצמכם, על הארגון שלכם ועל הכלכלה שלנו, בתקווה שהסדר הבריאותי והשגרה ישובו אלינו בהקדם.

הכותב הנו ראש צוות תקיפה ב-2BSecure, חברת אבטחת המידע מבית מטריקס.