פעם שאלתם את עצמכם מהם העקרונות העומדים מאחורי עסק מצליח? מה מבדיל עסק מצליח מעסק שנאבק על בסיס יומי או כזה שנועד לכישלון מההתחלה? כל בעל עסק / חברה כלכלית יודע מהי השורה התחתונה להצלחת העסק שלו.
הרווחיות והמוניטין (תדמית טובה ואמון הלקוחות בעסק זה כלכלי), לא בכדי ארגונים רבים משקיעים סכומי עתק בהתייעלות שתגדיל את שורת הרווח, ובשיווק ושירות לקוחות איכותיים במטרה לבנות מוניטין שיתרום לצמיחת העסק.
עם זאת בישראל של 2022 ישנם עדיין המון עסקים שאינם ערים לשינויים דרמטיים שמתרחשים סביבנו בעשור האחרון. מרחב האיומים המתפתח בזירת הסייבר, מרחב המשפיע על הרציפות התפקודית הארגונית, על שלמות תהליכי הייצור וסודיות המידע הארגוני. מתקפות סייבר עלולות לפגוע בארגונים ואף להביא להפסקת תהליכי ייצור.
לשינויים אלו צריך להתייחס ברצינות ולהיערך אליהם בהתאם, אחרת הם עלולים להסב נזק בדיוק בשני המקומות הכי רגישים עבור כל ארגון - נזק כלכלי ופגיעה במוניטין של הארגון.
על מנת שכל העמל הרב שהשקעת בחברתך לא ירד לטמיון ברגע אחד, כתבה זו נועדה לעורר את בעלי החברות והארגונים הרדומים שאינם מודעים לזירה החדשה שמחייבת התייחסות והגנה לכל ארגון, זירת הסייבר או בעברית פשוטה - אבטחת מידע!
בעולם בו מיליוני מיילים נשלחים ברשת מדי יום, יש מי שמנסה לנצל זאת לעשיית רווח קל ובאופן לא חוקי על ידי שימוש בהונאת פישינג (דיוג) – הונאה פשוטה אך מתוחכמת המשמשת לתקיפה מסוג כופר, גניבת סיסמאות ומידע, החדרת רוגלות, וירוסים ועוד.
היום יותר מתמיד חשוב שתכירו מקרוב למה עלולה להוביל מתקפת סייבר אחת מוצלחת.
אז מה עושים? כיצד מתגוננים? וכמה זה עולה? בעולם הישן נהגו לבטח כמעט כל דבר, וכן כיום יש גם ביטוחים מסוג "הגנה ממתקפות סייבר" בעולם החדש הבינו שזה לא מספיק וגם לא זול ופיתחו רובד הגנה נוסף בדמות תוכנות הגנה שונות שאף הן נותנות מענה חלקי, בעידן הנוכחי הבינו שהקדמה וההגנה המיטבית טמונה דווקא בשלוב יכולות ההון האנושי (העובדים בארגון שלך), רמת התחכום של התוקפים כבר לא מאפשרת לסמוך רק על המחשב ותוכנות מסוג Firewall.
לכן, גם אם רכשתם ביטוח והתקנתם את פתרונות האבטחה הטובים ביותר כדי להגן על הרשת שלכם, ומאגרי המידע הרגישים שבה מפני מתקפות סייבר, חשוב מאוד לדאוג ולוודא שגם המשתמשים עושים את חלקם. עליכם לדאוג ולוודא שהם אכן ערניים ומעודכנים בכל עת, וניתן לצפות זאת מהם רק לאחר אימון המדמה מתקפות מסוג פישינג ומתן הדרכה נכונה בתדירות גבוהה באופן שוטף ועל בסיס קבוע.
הונאות פישינג (בעברית: דיוג, Phishing) היא אולי אחת מסוגי ההונאות הכי מוצלחות ומתוחכמות כיום, התוקפים קוצרים הצלחות והתופעה הולכת ומתעצמת. מדובר בשיטה ערמומית, הכוללת זיופים איכותיים, מידע כוזב שנתפס כאמין ומשכנע, פיתויים מסיחי דעת, שימוש בשיטות פסיכולוגיות, NLP (הנדסת תודעה) וכד', והכל על מנת להביא להפעלת העובד שלך מרחוק לעשות את הטעות הקריטית וללחוץ קליק אחד קטן שעלול בהמשך להסב נזק אחד גדול. ההונאות המתוחכמות עשויות להטעות גם משתמשים שאינם תמימים, ולהפיל בפח גם בעלי תפקידים בכירים שלרב מצויים בריבוי משימות ועומס עבודה גדול שבשגרה (multitasking).
הונאת פישינג מתבצעת באמצעות התחזות לגורם הרשמי שמולו קיימים פרטי הכניסה או פרטי התשלום שלכם, או כל גורם אחר לגיטימי. השיטה זכתה לשם זה בעקבות אופן הפעולה שלה – התוקף מנסה "לדוג" מכם פרטים רגישים על ידי התחזות לגורם לגיטימי רשמי. הודעה שכזו עשויה להיראות אמינה מאוד, היא עשויה להכיל את הלוגו וחתימת הגורם הלגיטימי, ועשויה להגיע מכתובת מייל או מספר טלפון שדומים מאוד למייל או מספר הטלפון של הגורם האמיתי. בנוסף יתכן ויעשה שימוש בשמכם הפרטי או המלא, ויצוינו פרטים אמיתיים, שמות, כתובות, אנשים ומספרי טלפון נכונים כדי להגביר את האמינות.
סיפור אמיתי (קצר...)
תוכנת אנטי-פישינג בהשוואה לביטוח סייבר
כשזה מגיע לפגיעה זדונית בתוכנת כופר, זה יכול להיות ממש לא נעים. כאשר העיר בולטימור בארה"ב נפגעה במתקפת סייבר מסוג כופר בשנת 2019, לא הייתה לה תוכנת אנטי-פישינג המגנה על חשבונות האימייל שלה וגם לא ביטוח המכסה הוצאות בגין נזק הנגרם ממתקפות סייבר. מכיוון שהעיר סירבה לשלם את הכופר (76,000 דולר), היא הוציאה עד היום יותר מ-18 מיליון דולר בשחזור מערכות המידע שנפגעו במתקפה.
כן, זו לא טעות קראתם נכון, נזק של 18 מיליון דולר - אלו הסכומים!
כעת, במקרה של מעט מדי-מאוחר מדי, החליטה העירייה לרכוש באיחור ביטוח סייבר נגד מתקפות כאלה בעתיד. וכמה עולה הביטוח? שם הדברים נעשים מעניינים. העלות לכיסוי ביטוח סייבר של 20 מיליון דולר, לכאורה כדי לכסות 18 מיליון דולר בעלויות שחוו במתקפה זו, היא 835,000$ דולר בשנה. אבל זו לא העלות היחידה. הכיסוי הזה מגיע עם השתתפות עצמית של כמיליון דולר באם מדובר בנזק כלכלי בסדרי גודל אלו.
כך שאם עיריית בולטימור תיפגע שוב, יהיה עליהם לשאת בהוצאות ההשתתפות העצמית של כמיליון דולר נוספים.
כעת, בואו נשווה את עלות ביטוח הסייבר לעלות תוכנת אנטי-פישינג שמטרתה, ללמד ולתרגל את העובדים כיצד להימנע מנפילה ברשת של הונאת פישינג (דיוג). תוכנה מהסוג שיכול לגרום לעובדי הארגון למנוע מהארגון פגיעה מתוכנת כופר או כל איום סייבר מסוג פישינג מלכתחילה.
לפי האתר של העיר בולטימור (נכון ל 2019), עובדים ברשותה 13,683 עובדים, אנו מניחים שלכל אחד יש כתובת דוא"ל משלו. מה המחיר כדי להגן על כל כך הרבה חשבונות אימייל? ניקח לדוגמה את עלות החברה הישראלית Fencecycle שמציע פתרון (אנטי-פישינג) מתוחכם וזמין מיידית בדיוק לאיומי סייבר מסוג זה. מנוי שנתי רגיל יעלה כ 3.75 ש"ח לחשבון של כל עובד לחודש (פחות מדולר ו20 סנט). ובעסקת חליפה אישית המחיר ירד אפילו אל מתחת לדולר 1) כשעושים את החשבון, זה יוצא שבעלות של חמישית מסכום הביטוח ו 1% מסכום הנזק הכלכלי, יכלה עיריית בולטימור להכשיר את עובדיה כיצד להתגונן מהודעות פישינג (דיוג), אשר 93% מהן מכילות תוכנות כופר. תנו לזה לשקוע! אם זה לא מספיק, מדובר גם בהוצאה מוכרת לצרכי מס כך שבפועל תשלמו הרבה פחות בעבור התוכנה שתהווה קו הגנה משמעותי נוסף שעשוי לחסוך לארגון שלכם נזק כלכלי ותדמיתי עצום בהווה ובעתיד.
זהו בדיוק ההבדל בין רכישת ביטוח סייבר לרכישת תוכנה שתכשיר את עובדי הארגון שלך כ"גלאי פישינג" אנושיים. התקנת תוכנת אנטי-פישינג יכולה למנוע מהעסק שלך להיפגע מלכתחילה. השקעה בהכשרת עובדים שלומדים לזהות ולנטרל מראש מתקפת דיוג (פישינג) , תאפשר בסופו של דבר גם להוזיל משמעותית את הצורך בביטוח סייבר יקר.
על פי תורת ההגנה שפורסמה מטעם מערך הסייבר הלאומי של ישראל, בכל הקשור לאבטחת מידע קיימים מספר מעגלי אבטחה, ההמלצה היא לשלב הגנה פרואקטיבית יחד עם הגנה רב-מימדית. תורת ההגנה מגדירה מענה הגנתי נדרש לארגונים.
הגנה פרואקטיבית-משמע בקרות ההגנה שהוגדרו מתוך הבנה, כי על הארגון להשקיע מאמצים בנוסף על ההגנה הפאסיבית המסורתית. הדבר בא לידי ביטוי באמצעות הגדרת בקרות הגנה עבור שלבי המניעה, הזיהוי, התגובה והחזרה לשגרה.
הגנה רב-מימדית-הגנה בשלושה מימדים עיקריים: אנשים (ההון האנושי המועסק בארגון), טכנולוגיה ותהליכים.
אחת הטכנולוגיות להגנה פרואקטיבית מפני הונאות דיוג (פישינג) פותחה על ידי חברת Fencecycle. חברת תוכנה ישראלית שפיתחה טכנולוגיה מתקדמת וקלה לשימוש, התוכנה משמשת ככלי עזר משמעותי המסייע למנהלי אבטחת המידע בארגונים לבצע ניטור של התנהלות העובדים, תיעוד , לימוד ובצוע סקרי הערכה ובקרות אבטחה עבור כל עובד.
היתרון הנוסף מצוי בפשטות שניתן להתחיל להשתמש בשרות Fencecycle, תוך 5 דקות, מיד לאחר הליך רישום והתחברות קצרים וכל זאת לאחר התנסות ראשונית חינם, ובעלות נמוכה ומשתלמת מאוד בעת הרכישה בארבעה מסלולים שונים לבחירת הלקוח. שימוש שוטף ב Fencecycle יכול למנוע מהארגון שלכם להיות הבולטימור הבא.
הימנעו מפגיעות סייבר בארגון באמצעות הגברת מודעות העובדים בפני התקפות פישינג.