עסקים קטנים ובינוניים אינם חסינים ממתקפות סייבר

עסקים קטנים ובינוניים (SMBs) הם עמוד השדרה של כלכלת ישראל, ומהווים את רובו של המגזר העסקי במדינה. לפי דוח ה-OECD עבור הסוכנות לעסקים במשרד הכלכלה, עסקים אלו מהווים בישראל 99.8% מכלל העסקים, המייצרים 62.3% מהתוצר העסקי, ומעסיקים 68.7% מכוח העבודה במגזר העסקי.

למרות ההבדלים בין חברות גדולות לקטנות, אבטחת סייבר, משמעותית עבור אותן חברות SMB באותה מידה כמו לחברות רב-לאומיות גדולות. גם לחברות - SMB יש מידע רגיש של עובדים ושל לקוחות, מידע קנייני אודות מוצרים, ופעמים רבות הם חלק משרשרת אספקה גלובלית של חברות אחרות. לפיכך, כל עסק הוא מטרה, ללא קשר לגודלו, ולא ניתן להתעלם מהאבטחה של תשתית ה-IT שלו.

עסקים קטנים ובינוניים: נכסי מידע רבים, משאבים מוגבלים

ייתכן וחברות SMB מעריכות שלתוקפים אין עניין רב בהן, ולכן נושא של אבטחת הסייבר נמצא אצלן לעיתים, בעדיפות אחרונה. כיום כבר ידוע שחברות אלו, גם כן נמצאות תחת איומי סייבר שונים. לדוגמא - מרפאות פרטיות. גופים אלה מחזיקים מידע רפואי רגיש המחובר לרשת מכשירים רפואיים שנמצאים בסיכון. לרוע המזל, ראינו כבר בעולם מקרים בהם עסקים כאלה חוו את חשיבות האבטחה בדרך הקשה, במקרים של מתקפות כופר שמשבשות עסקים ומזיקות למוניטין שלו.

יתרה מזאת, לא מדובר רק במידע ובמערכות של אותה חברה הנמצאים בסיכון. חברות קטנות ובינוניות משמשות לעיתים כערוץ שימושי לתוקפים במתקפות בהיקף נרחב הכוללות פריצה למליוני תיקים ונכסי מידע. לדוגמא: מתקפות גדולות כמו: מתקפה בשנת 2015 על ענקית הקמעונאות האמריקאית Target, במסגרתה נגנב מידע מ-40 מליון חשבונות כרטיסי אשראי של לקוחות, והמתקפה על נציבות השירות הציבורי של ארה"ב (the U.S. Office of Personnel Management breach) שחשפה יותר מ-20 מליון תיקים של עובדים בשירות הציבורי; במתקפות אלו ההערכה היא שהתוקפים השתמשו בהרשאות מספקי צד-שלישי לאותם גופים. בשנה שעברה, באוסטרליה, נגנבו הפרטים האישיים של יותר מחצי מליון מתורמי הצלב האדום בעקבות פריצה. התוקפים משתמשים בחוליה החלשה בשרשרת האספקה כדי להגיע למטרה הגדולה; הם משתמשים בהרשאות שגנבו כדי לעלות בדרגת הפריבילגיות במערכת ה-IT ומשתמשים בחשבונות פריבילגיים (בעלי הרשאה גבוהה) כדי לפרוץ למערכות קריטיות.

אבטחת סייבר היא צורך עסקי וגם דרישה טכנולוגית חיונית. תוכנית אבטחה חזקה יכולה לא רק להגן על נכסי המידע של העסק, אלא גם לספק לו יתרון תחרותי.

כאמור, עסקים קטנים ובינוניים מתמודדים עם אותם אתגרי אבטחת סייבר כמו עסקים גדולים, אך לעומתם, יש לקטנים פחות משאבים לכך, וגם מעט מומחיות ונסיון פנים ארגוני, להתמודד עם אותם אתגרים. לכן חשוב שהם ישיגו את מירב ההחזר על השקעותיהם באבטחה, וזאת, באמצעות תעדוף של הדברים הנכונים בתוכניות האבטחה שלהם.

הצורך לדעת

מחשוב ענן מאפשר לכל עסק לאמץ את הטכנולוגיות המתקדמות ביותר, ובכלל זה חברות SMB יכולות להפיק תמורה מועילה לכספם במידה ויוציאו למיקור חוץ חלק נכבד מפונקציות ה-IT, כולל אבטחת מידע. אך בסופו של דבר, כל עסק עדיין אחראי לאבטחה של עצמו. מנהלי חברות צריכים להבין את עקרונות היסוד של אבטחת סייבר, לדעת מה ספקי השירות שלהם מספקים כחלק מהשירות ומה לבקש מהם. צרכי האבטחה משתנים על פי הנסיבות. כל חברה צריכה להבין את מרחב המתקפה שלה - אזורים רגישים בסביבת ה-IT שלה שעלולים להיפגע בפריצה למערכת - וההשפעה של כל מתקפה פוטנציאלית. על ידי הערכת ההשפעה, ניתן לתעדף את נקודות החולשה, כך שתוכנית האבטחה תתמקד באזורים הדורשים ניהול סיכונים.

המפתח להגנה על תשתית ה-IT הוא חשבונות פריבילגיים. חשבונות אלה, במידה ונפרצים, יכולים להפוך ביעילות את הפורץ לגורם-פנים (insider) בארגון, ולאפשר לתוקף זכויות ויכולת לנוע לרוחב הרשת הארגונית, לעלות בדרגת ההרשאות הפריבילגיות, לשנות הגדרות וקונפיגורציות, ולגשת למידע. כאשר מקצים משאבים מצומצמים לאבטחת סייבר, יש לזהות חשבונות פריבילגיים להעריך את רמת הסיכון ולתעדף.

סטנדרט אחד ויחיד לאבטחה

תשתית IT של עסק קטן ובינוני אולי אינה מורכבת כמו של חברה גדולה וגלובלית, אבל היתרונות של גישת ה"שכבות" לאבטחת סייבר מתאימה לכולם. בנוסף, ישנם מסמכים המתארים נהלים ושיטות עבודה בניהול אבטחת המידע, וכן דרכי מניעה למתקפות סייבר, שניתן ליישמם.