חברת הביטוח שירביט נמצאת תחת מתקפת סייבר חמורה וחריגה, כך הגדיר את האירוע מערך הסייבר הישראלי, שדיווח לאחרונה על "אירוע דלף מידע בחברת שירביט". במהלך התקפת סייבר על אתר החברה האקרים פרצו למאגרי המידע (האישי והרגיש) של חברת שירביט ודלו משם פרטים. ההאקרים מבטיחים: "נמכור את המידע של שירביט לכל מי שירצה, היו סבלניים". בחברות ביטוח נכנסו לכוננות ספיגה בעקבות האירוע. חלקן הידקו נהלים והטילו מגבלות על התחברות מרחוק בשעות הלילה והסופ”ש כדי להקטין פוטנציאל חשיפה.
מה אפשר לעשות? הנה מספר שירותים שמשרדנו מספק הנותנים פיתרון כולל לתחום אבטחת המידע והגנת הפרטיות (GDPR).
ביקורת אבטחת מידע
ביקורת אבטחת מידע ממפה ובודקת בצורה יסודית ומעמיקה את כל מה שקשור באבטחת המידע באירגון, החל מבדיקת מיקום המידע הרגיש, ועד להוראות החוק. תוצר הביקורת הוא דו"ח מפורט שכולל מספר סעיפים המתייחסים להיבטים השונים של הגנת הפרטיות. מומלץ לבצע ביקורת אבטחת מידע בשלבים שונים של העסק: הקמת חברה, כאשר מתרחש אירוע אבטחת מידע וכפעולה שבשגרה. הנה סעיפי דו"ח ביקורת אבטחת מידע: א. מיפוי כלל האיומים והסיכונים הקיימים או העתידיים לארגון, בין אם מדובר בדליפת מידע, גניבת מידע, פגיעה ושיבוש של נתונים/תהליכים בעלי ערך לחברה וכד'.
ב. הוראות חוק:
1) כתיבת נהלי אבטחה, פיקוח ובקרה בהתאם לרגולציה המחייבת
2) טיפול בהיבט של הסכמי סודיות, ספקים אסטרטגים והמידע המועבר אליהם
3) בדיקת הנושאים הנדרשים בהתאם לתקנות הגנת הפרטיות(אבטחת מידע) תשע"ז 2017.
ג. המלצות של פתרון אבטחת מידע פיזית בהיבטים הבאים:
1) אבטחת מידע פיזית למניעת ריגול עסקי ו/או מסחרי
2) ניטור ובקרת פעילות בסביבת עבודה (משרדים, חללים פתוחים וכדומה)
3) קלט/פלט של נייר, אחסון/טיפול במידע, גריסה
ד. טיפול בנושא של אבטחת מידע לוגית:
1) מערכות אבטחה: אנטי וירוס, חומת אש, מערכות dlp, מערכות ניטור לרבות עדכונים שוטפים של מערך הסייבר הלאומי בנושא איומים, עדכוני תוכנה.
2) מיפוי קשרי הגומלין עם האינטרנט ומהם צרכי התקשורת ההכרחיים והמינימליים הנדרשים
3) התייחסות לנושאי יתירות/גיבוי/התאוששות מאסון/התאוששות מווירוס.
4) הצפנה, אישור חיבור מרחוק, הרשאות משתמשים.
שירותי ממונה אבטחת מידע במיקור חוץ - למשרדנו ניסיון רב בשירות של ממונה אבטחת מידע (הגנת הפרטיות) במיקור חוץ. השירות נותן מענה מקיף לנושא של כתיבת נהלי אבטחת מידע, כתיבת תוכנית בקרות לפי הנחיות GDPR ותקנות הגנת הפרטיות וביצוע בקרות שוטפת על יישום ההנחיות הנדרשות.
סקר סיכונים בתחום אבטחת מידע – סקר סיכוני בתחום אבטחת המידע בודק את כל רמות האבטחה במסגרת התהליכים והמערכות הקיימות בארגון. הבדיקה מתייחסת לאבטחה פיזית של המידע המוחזק בארגון וכלה באבטחה של תשתיות הארגון כגון מערכות הפעלה, רשתות, ניהול משתמשים ומתן הרשאות, בסיסי הנתונים (Data base), פעולות גיבוי ידניים ואוטומטיים ועוד. סקר הסיכונים בודק בצורה מקיפה ועמוקה את רמת אבטחת המידע מבחינת תהליכי עבודה עיסקיים וניהוליים ועוזר למצוא נקודות כשל קיימות ועתידיות.
מבדקי חדירה (בדיקת חדירות) – ההגדרה של בדיקת חדירות היא מתקפה מתוכננת מראש ומבוקרת על מערכת ממוחשבת שנעשית על ידי בודק (מתחום אבטחת המידע והגנת הסייבר) במטרה למצוא נקודות חולשה באבטחת המידע, מהו פוטנציאל הגישה לחולשות אלו ומה ניתן להפיק מהגישה אליהן ואל המידע שהן מאחסנות. מבדקי החדירה מתחלקים ל2 סוגים: מבדקי חדירה פנימיים ומבדקי חדירה חיצוניים. מבדקי חדירה פנימיים בודקים מהו פוטנציאל הנזק של אורח או פורץ מזדמן המתחבר אל הרשת הארגונית (אינטרה-נט) ללא הרשאות וללא ידע מקדים על מבנה הרשת הפנימית, או, לחלופין, עובד שסרח ומנצל את הרשאותיו לרעה במטרה לפגוע בארגון. מבדקי חדירה חיצוניים מדמים חדירה מהאינטרנט אל תוך הרשת הארגונית בתצורת Black-Box ללא כל ידע מוקדם על מבנה הרשת, כך שהמצב יידמה ניסיונות פריצה המבוצעים ע"י האקרים מקצועיים ובעלי ניסיון.
כתיבת נהלי אבטחת מידע – נהלי אבטחת מידע הם כלי יעיל וחשוב לכל גודל וסוג של אירגון. נוהל "מיישר קו" בין כל דרגות ותפקידי העובדים בארגון ומעביר הנחיות בצורה ברורה, מעמיקה, מפורטת, כך שמצבי "כיבוי שריפות", כמעט ולא קורים, וכך גם נמנעות פעולות שיכולות לגרום נזק לאבטחת המידע בצורה עקיפה או ישירה. נוהל אבטחת מידע הינו כלי עבודה בסיסי וחיוני לכל אירגון, במצב שיגרה וחירום, והוא מונע "פירצות" העלולות לגרום לנזקים כבדים למידע הנמצא באירגון ולשימוש בו. ניתן לחלק את נוהל העבודה בתחום אבטחת המידע ודיני הפרטיות על פי רמות חשיבות וסיווג (מוגבל-שמור- סודי-סודי ביותר) על פי רמת הסיווג של העובדים. אודיט בקרה וביקורת מעמידה לשירותכם את הידע, המקצועיות והניסיון הרב שצברה בכדי לסייע גם לאירגון שלכם לעמוד בחוקי אבטחת המידע ובכדי לשמור על המידע בארגונכם. נשמח להתאים לכם את פיתרון אבטחת המידע בשבילכם.
Comments