מתקפות הסייבר האחרונות מאיצות נהירת עסקים לתוכנות בענן

Cloud computing security concept

כמעט כל בית עסק וחברה נעזרים בתוכנה ממוחשבת (או במקרה הפחות טוב, במספר תוכנות…) לצורך הפקת חשבוניות, ניהול הכספים והחשבונות, ניהול מלאי, חיוב כרטיסי אשראי, שמירת מסמכים בארכיון דיגיטאלי, ועוד. בתוכנות מסוג זה, נצבר מידע יקר ערך על הלקוחות, הספקים, רשימות המוצרים, מחירי הרכישה והמכירה שלהם  וכדומה. מדובר בנתונים רגישים אשר אובדנם או נפילתם לידיים זרות עלול להסב נזקים אדירים לארגון ואף להעמיד את המשך קיומו בסכנה. לכן, במיוחד בימים אלו, כאשר מתרחשות ברשת מתקפות הולכות ומתגברות של ווירוסי כופרה, סוגיית אבטחת המידע הנאגר בתוכנות מסוג זה הופכת להיות נושא קריטי לארגון.

איומים חדשים וממשיים

וירוסי כופרה הם האתגר המדובר והבולט ביותר כיום בתחום אבטחת המידע ברשת. מדובר בוירוס החודר אל התיקיות והקבצים במחשבי ארגונים באמצעות פרצה ידועה במערכות ההפעלה מסוג Windows על גרסאותיהם השונות, משביתות את פעילותם ומצפינות את תכניהם כך שנמנעת הגישה לנתונים אלו ללא מפתח ההצפנה שנמצא בידי התוקפים הזדוניים. ארגון הנפגע מהתקפת ווירוס כופר כזה נדרש לשלם עשרות אלפי שקלים על מנת לקבל את מפתח ההצפנה שיאפשר גישה מחודשת למידע. לעיתים, חלק מהארגונים משלמים את דמי הסחיטה אך אינם זוכים לקבל את מפתח ההצפנה למרות ששילמו (!) והחומר הולך לאיבוד לעד.

לאיום ווירוס הכופרה, שהולך ומחמיר, מצטרפות נוזקות אחרות כגון סוסים טרויאנים, ווירוסים מדרגות מורכבות שונות (חלקם דלפו לרשת מארגוני הביון) שגם הם עלולים להביא לחשיפה של מידע רגיש או לאובדנו. אלה החדשות הרעות. החדשות הטובות הן שבכל הקשור לתוכנות ניהול עסק קיימים לסיכונים הללו פתרונות אפקטיביים, ואחד הבולטים שבהם הוא תוכנה המתנהלת בענן.

למה דווקא תוכנה בענן מאובטחת יותר?

בעידן הנוכחי איננו יכולים פשוט לנתק את מחשבי הארגון מגורם הסיכון המרכזי, כלומר מהרשת, ובשל כך יותר ויותר עסקים פונים אל חברות המתמחות בניהול ואבטחת מידע על מנת להתגונן ביעילות. ההמלצה העיקרית של מומחי אבטחת המידע היא לעבור לתוכנת ניהול עסקים שיושבת על ענן, וזאת ממספר סיבות. ראשית, כאשר מאחסנים מידע עסקי ומנהלים אותו ממחשבים המצויים בעסק ישנם סיכונים כגון חדירת נוזקות דרך אמצעי אחסון מידע כגון דיסק און קי או סמארטפונים של העובדים, וכמו כן קיים סיכון לפרצות אבטחה הנובעות משגיאות תכנות במערכת ההפעלה ובכל אחד מן התוכנות המותקנות בה שעלולות לאפשר חדירה לחומר האגור בהם. לכך מתווספים סיכונים הקשורים לשגיאות שימוש של עובדי ומנהלי הארגון, כגון פתיחת מיילים חשודים, או אפילו גניבה פיזית של התקני אחסון המכילים את החומר הרגיש.

רוב הסיכונים שתוארו למעלה כלל אינם קיימים כאשר המידע העסקי שוכן ומנוהל בענן, כי כאן מדובר ב- "שטח" יחסית קטן יותר משמעותית שיש להגן עליו פשוט מפני שיש בשרת הענן רק מערכת הפעלה אחת ותוכנה אחת לשמור עליה ומשתמשים אינם יכולים לחבר התקני אחסון וכדומה.

יתרה מכך, ניהול המידע בענן משמעו שהוא מרוכז במקום אחד, דבר המאפשר להציב הגנה ברמה גבוהה יותר, החל בחומת אש ייעודית, מתקדמת ומותאמת לתוכנה, דרך ניטור ובקרה של המתרחש בתוכנה עצמה שמלווה ביכולת לחסום מידית ניסיונות לגשת למידע לא מורשה באופן חריג וחשוד ועד לנוהלי פרטיות ואבטחת מידע קפדניים. לרוב העסקים הקטנים והבינוניים אין את הידע ואת כוח האדם הנדרש לבצע משימות אבטחה אלה, אך חברה אחראית המספקת תוכנת ניהול עסק, שאבטחת המידע נמצא אצלה במקום גבוה בסדרי העדיפויות, בהחלט מסוגלת לתת מענה הולם לאתגרים אלה.

בחירת תוכנת ניהול מזווית האבטחה

בעת יצירת קשר עם ספקית שירות התוכנה יש לוודא שההגנה על המידע העסקי בנויה ממספר נדבכים המצטרפים לכדי חומה בצורה:

  • בראש ובראשונה, חברה רצינית תציע תוכנה שנבנתה על גבי מסגרת פיתוח (Framework) סדורה המבטיחה תכנות ופיתוח תכנה בהתאם לכללי אבטחת מידע, מה שמפחית דרמטית סיכון ליצירת פרצות אבטחה בקוד התוכנה בשוגג תוך תהליך הפיתוח.
  • לבדוק האם האתר של התוכנה והתוכנה עצמה עובדים בפרוטוקול https:// המאובטח ומוצפן באמצעות אישור אבטחה מוכר ולא בפרוטוקול http:// החשוף לכל. פשוט להיכנס לתכנה ולראות מה רואים בשורת הכתובת של הדפדפן. מופיע https? טוב! לא מופיע? לא טוב!!!
  • לברר האם קיימים נהלי אבטחה ושמירת פרטיות קפדניים, שמחייבים את כלל העובדים, לרבות רענונים שוטפים וסנקציות אישיות במקרה של הפרה.
  • הגנה פיסית על אמצעי האחסון של המידע: לברר האם התוכנה מופעלת משרתים המאוחסנים בחוות שרתים עם נהלי ביטחון ברורים, בקרת כניסה מדוקדקת, שמירה אנושית בכל עת, מערכות אזעקה וצילום, וכדומה.
  • לברר האם בקרת הכניסה לתוכנה מנוהלת בתקן מתקדם ומאובטח, דוגמת Auth20, כאשר הסיסמאות וכתובות המייל מאוחסנים על שרת חיצוני והתקשורת מולו מתבצעת באמצעות הצפנה דיגיטאלית לצורך בדיקת הזדהות המשתמש.
  • האם מוגדרת מדיניות הגנת סיסמה מורחבת שחוסמת ניסיונות שגויים לנחש את סיסמת משתמש?
  • לברר האם קיימת חומת אש רב שכבתית, ברמת התעבורה וברמת היישום (WAF), המאתרת מבעוד מועד ניסיונות חדירה.
  • לברר האם קיימת מערכת רישום אירועים בתוכנה המאפשרת לנטר ולעקוב אחר התנהגויות חשודות של משתמשי התוכנה?
  • לברר האם קיים ניטור אנושי/ממוחשב של האירועים בתוכנה המוזכרים בסעיף הקודם?
  • האם קיימת אפשרות לחסום פעילויות אלה באופן מידי ואוטומטי כאשר מערכת הניטור מהסעיף הקודם מזהה פעילות חשודה באופן קיצוני?

בשורה התחתונה, בגלל הסיכונים הגוברים והולכים לאחרונה, אסור לוותר על תוכנת ניהול עסק שפועלת בענן ומספקת מערך הגנה מיטבי. בדקו אם התוכנה שלכם עומדת בדרישות שנמנו למעלה ובצעו את השינויים הנדרשים במידת הצורך.

הכתבה בחסות חברת  לינט – תוכנה לניהול עסק  https://www.linet.org.il/

 

תגובות

להשאיר תגובה