אבטחת מידע היא אחריות משותפת - צעדים שצרכנים יכולים לנקוט כדי לשמור על המידע שלהם
כיום, כמעט כולם משתמשים באפליקציות ובממשקי API. רובנו מתקשרים באופן קבוע עם אתרי אינטרנט ו/או אפליקציות, בין אם הם פיננסיים, קמעונאיים, ביטוחיים, תיירותיים, קולינרים או כל סוג אחר.
מה שאולי לא נבין כשאנחנו עוסקים בענייני היום-יום שלנו, הוא עד כמה תוקפים מעוניינים להרוויח על חשבוננו. שחקנים זדוניים תמיד מחפשים הזדמנויות להפוך את האינטראקציות שלנו עם האפליקציות וממשקי ה-API שאנו סומכים עליהם לעסקה רווחית. לכן, אין זה מפתיע שאחד הנושאים המרכזיים של חודש המודעות לאבטחת סייבר השנה הוא "הכרת ולוחמה בפשיעה סייבר".
במקומות רבים ברחבי העולם, עסקים נושאים בנטל האחריות והחבות לבעיות אבטחה והונאה. עם זאת, אנחנו כצרכנים איננו חסינים מפני נזק והפסדים. מעבר לכך, כל בעיית אבטחה והונאה שאנו חווים באופן אישי יכולה להפוך את חיינו על פיהם ולהביא אותנו להשקעת זמן וכסף ניכרים כדי לתקן את הנזק.
בעוד שאנו צריכים תמיד לצפות מהעסקים שאנו עושים איתם עסקאות לאבטח ולשמור על חשבונותינו ונתונינו, עלינו גם לקחת חלק פעיל במאמץ זה. אבטחת ושמירת חשבונותינו ונתונינו הוא מאמץ משותף של צרכנים ועסקים כאחד.
בעוד שלעסקים יש את מערך האחריות שלהם, הנה חמישה צעדים שצרכנים יכולים לנקוט כדי להיות שותפים פעילים בשמירה ואבטחת הנתונים שלהם:
היזהרו. כאשר לעסקים יש אמצעי אבטחה, הלקוחות הופכים לעתים קרובות למטרה של תוקפים ונוכלים, זאת מכיוון שכבני אדם, רגשות יכולים לעתים קרובות לעמעם את שיקול דעתנו. תוקפים פונים לאמפתיה שלנו כדי לבלבל אותנו ולגרום לנו לספק להם גישה ובקרה על חשבונותינו, נתונינו ואפילו נכסינו הפיננסיים. טכניקות הנדסה חברתית אלה (Social Engineering) כה יעילות שהן מהוות אחד הערוצים העיקריים לתקיפה המשמשים נגד עסקים. במילים אחרות, לעתים קרובות קל יותר להיכנס למערכות העסקים על ידי פגיעה בלקוח מאשר על ידי פגיעה בעסק עצמו. מסיבה זו, עלינו כצרכנים להיות ערניים במיוחד מפני מתקפות הנדסה חברתית.
השתמשו באימות רב-גורמי (MFA). אחת הדרכים שבהן אנו יכולים להתמודד עם מתקפות הנדסה חברתית היא על ידי הפעלת אימות רב-גורמי (MFA). כאן אנו משתמשים בשם המשתמש, הסיסמה שלנו ובגורם נוסף, המגיע דרך מחולל מפתחות, הודעת טקסט, דוא"ל או אחרת. שימוש ב-MFA פירושו שאם תוקפים יצליחו לגנוב את שמות המשתמש והסיסמאות שלנו, עדיין תהיה שכבת הגנה נוספת שהם יצטרכו לעבור דרכה. כמובן, MFA אינו הופך את החשבונות והנתונים שלנו לעמידים בפני פגיעה, אך הוא מפחית את הסיכון באופן משמעותי.
אימות נוסף. כאשר אנו חושבים שאולי נתקלנו במתקפת הנדסה חברתית, חשוב להפעיל אימות נוסף לפני המשך. לדוגמה, אם חבר או בן משפחה שולח הודעת טקסט, דוא"ל או צ'אט במדיה חברתית ומבקש כסף, מידע אישי, עזרה בגישה לחשבון או דומה, עדיף לאמת עם אותו חבר או בן משפחה ישירות שאכן הוא שלח את הבקשה. שיחה כדי לשאול אותו אם שלח את ההודעה הזו יכולה להיות דרך יעילה לעשות זאת, ויש גם שיטות אחרות. הדבר החשוב הוא שתוקפים מיומנים מאוד בפניה הנראית לגיטימית, למרות שכוונותיהם רחוקות מלהיות כאלה.
הישאר מעודכן. לצערנו יש שפע של תרמיות . כדי להיות צרכנים ערניים, עלינו לקרוא את חדשות הטכנולוגיה כדי להישאר מעודכנים בפיתוחים האחרונים בעולם הפשיעה הסייבר. לא כולם צריכים להפוך למומחים כמובן, אבל בדיוק כמו שאנו מודעים לאיומים שונים שאנו מתמודדים איתם כצרכנים בעולם האנלוגי, עלינו להיות מודעים גם לאיומים שונים שאנו מתמודדים איתם כצרכנים בעולמות הדיגיטליים.
עבור לפלטפורמה אחרת. נושא אחד שלא מקבל מספיק תשומת לב, לדעתי, הוא נושא המעבר לפלטפורמות פחות אינטנסיביות ופחות חזקות. לרובנו מספיקה הפונקציונליות שמספק טאבלט או טלפון נייד (למשל, סטרימינג מדיה, דפדפני אינטרנט, דוא"ל וכו'). עם זאת, רובנו מבצעים את רוב הפעולות הפיננסיות והרכישות הרגישות ביותר שלנו באמצעות חומרה חזקה שתוקפים מעדיפים להשתלט עליה. מערכות רבות, בעלות משקל קל יותר. מטורגטות פחות על ידי תוקפים. בנוסף, הטבלטים או הטלפונים הניידים קלים יותר לשימוש ולקביעת תצורה.
לסיכום, למרות שרוב העסקים עושים כמיטב יכולתם לאבטח ולשמור על חשבונותינו ונתונינו, תוקפים נחושים לנצל את האלמנט האנושי כדי למצוא דרכים לעקוף את הגנות אלה. כצרכנים עלינו להיות שותפים פעילים בביטחון שלנו. רק באמצעות שיתוף פעולה זה בין עסקים לצרכנים נוכל להגביר את היעילות של המלחמה בפשיעת סייבר.
ג'וש גולדפרב הוא מנהל אבטחת מידע ב-F5