משבר הקורונה: מערך הסייבר הפיץ המלצות לעבודה מהבית
בצל המשבר, ארגונים מתבססים יותר ויותר על עבודה מרחוק ● במערך הסייבר מסבירים איך לעשות זאת בצורה מאובטחת
על רקע משבר נגיף הקורונה, מערך הסייבר הלאומי הפיץ היום (ד') מסמך המלצות לארגונים ולציבור. המסמך כולל הנחיות מורחבות עבור גופים שונים, לרבות תשתיות מדינה קריטיות, להגנה על ממשקי עבודה מרחוק. זאת, כי "עבודה מרחוק מאפשרת לעובדים לקבל גישה למערכות הארגוניות, מה שעלול לחשוף את הארגון לפגיעות", נכתב במסמך.
רוב ההמלצות מכוונות לאנשי מערכות מידע ומנהלי אבטחת מידע והגנת הסייבר בארגונים, ובכלל זה – מסמך מיוחד הנוגע לשימוש ברשת וירטואלית פרטית (VPN).
המלצות להגנה על רשת הארגון
להלן כללים קצרים שאותם ניסח מערך הסייבר הלאומי לעבודה מאובטחת. מטרת ההמלצות, ציינו אנשי המערך, היא לצמצם במספר צעדים פשוטים ומהירים את סיכוני הסייבר כתוצאה מעבודה מהבית של עובדים:
רצוי כי הגישה מרחוק תתבצע מאמצעי קבוע אשר מוכר לאיש/אשת המחשוב של הארגון. יש לבחון הענקת הרשאות גישה מרחוק לתיקיות מחשוב. מומלץ להתיר גישה לתיקיות חיוניות בלבד.
מומלץ להפריד בין גישה למייל לגישה לשרת/תיקיות/נכסים רגישים. לאחר בחינה ארגונית, ואם המסקנה היא כי הדבר הכרחי, מומלץ לפתוח את הגישה לפרק הזמן הנדרש בלבד, באמצעות איש המחשוב הארגוני.
לשם הסרת הרשאות גישה של העובדים למערכות ארגוניות ולממשקים שאינם חיוניים, יש להגדיר הרשאות גישה עבור תוכנות הרלוונטיות לממשקי העבודה בלבד. לדוגמה: אם מנהלת הכספים נדרשת לעבוד מהבית, יש לאפשר גישה למערכת השכר לפרק הזמן הנדרש בלבד. אחת לתקופה, נדרש לבדוק האם ההרשאות אשר הוקנו עדיין רלוונטיות ואם לא, יש להסיר את ההרשאות שאינן נדרשות.
יש לערוך גיבויים לכל המכשירים ולמידע האגור בהם. במקרה של פריצה או השבתה של המכשיר, ניתן יהיה לשחזר את המידע. עדיף לבצע את הגיבוי להתקן חיצוני נייד וכן גיבוי בענן.
על ארגונים ליישם מדיניות של אכיפת הגדרת ססמאות מורכבות וקשות לניחוש, ולעשות זאת באמצעות מנגנון ניהול המשתמשים (כגון GPO במיקרוסופט). יש לאלץ את המשתמשים להחליף ססמה מדי תקופה מסוימת, ואם אפשר גם להגדיר סיסמה חד פעמית (OTP) כאמצעי זיהוי נוסף.
יש להגדיר כי חיבור המשתמשים (Session) יהיה לפרק זמן מוגבל (X דקות/שעות).
בחוקת הפיירוול הארגוני, או המקומי, יש לוודא טיוב חוקים אשר מאפשרים גישה מרחוק, כך שגישה זו תצומצם למינימום, וכן כי מתקבלים לוגים לתיעוד ההתחברות. בנוסף, מומלץ להגדיר מדינות ואזורים שמורשים להתחבר לארגון.
הנחיות למתקדמים
במחשב נייח/נייד, יש להגביל את הגישה לשורת פקודה (דוגמת PowerShell), כך שלא ניתן יהיה להריץ סקריפטים שמקורם לא ידוע, או שמקורם ממחשב אחר.
מומלץ לאפשר לעובדים התחברות דרך ממשק מאובטח, כגון Terminal Services.
יש לערוך הקלטה של ה-Session ולשמור אותה לפרק זמן קבוע – של שבועות או חודשים.
מודעות עובדים
בעת מתן אישור לעובד לעבודה מרחוק, חשוב לבצע הדרכת מודעות קצרה, שתכלול את הנקודות הבאות:
חשיבות נעילת המכשיר באמצעות ססמה חזקה, אמצעי ביומטרי, קוד או נעילת דפוס, וכן הגדרת נעילה אוטומטית לאחר אי שימוש במשך זמן קצוב. רצוי לבחור כהגדרת ברירת מחדל את המינימום האפשרי.
יש להפעיל אימות דו-שלבי (2FA) בכל מכשיר ובכל חשבון המאפשר זאת.
יש לנהל שתי תיבות מייל נפרדות – אחת לעבודה ואחת לפעילות פרטית, עם יצירת ססמה שונה עבור כל חשבון, וכן לוודא הפעלת אימות דו שלבי.
נדרש להימנע, ככל האפשר, מלהתחבר לרשת Wi-Fi מזדמנת (של השכנים, לדוגמה) שאינה מאובטחת, ולהעדיף להתחבר באמצעות VPN או רשת סלולרית. אם ניתן להתחבר רק מרשת ה- Wi-Fi הביתית, יש לוודא כי הרשת פרטית וכי מוגדרת ססמת כניסה מורכבת שאינה ברירת המחדל של היצרן ושלא בוצע בה שימוש בחשבון אחר.
לרוב, הנתב הביתי בעל אבטחה לקויה וקל לפרוץ אותו ולכן חשוב לבצע מספר צעדים פשוטים כדי לאבטחו. להרחבה לחצו כאן.
מומלץ להגדיר שעדכוני תוכנה יבוצעו אוטומטית, אולם אם לא בוצעה הגדרה זו אז – טרם מסירת המחשב לעובדים, יש להדריך אותם כיצד לבצע עדכוני תוכנה וכן אודות תדירות העדכון הנדרשת.
על ארגונים לחדד את הערנות של העובדים מפני ניסיונות פישינג על כל סוגיו המתקבלים בערוצי התקשורת השונים – פרטי וארגוני, וכן על כך שהם חייבים לעדכן את ה-IT או ההנהלה בכל חשד לניסיון שכזה. מערך הסייבר הלאומי זיהה 5,463 אתרים המשתמשים בשם הדומיין Coronavirus והם חשודים כאתרים זדוניים. לקריאת התרעה שיצאה בנושא לחצו כאן.
הגנה עבור העובדים – ציוד מחשוב ומידע
מומלץ לוודא כי כל אמצעי המחשוב בבית – מחשב נייח, נייד, טאבלט וטלפון חכם – הנמצאים ברשות העובדים, הארגוניים והאישיים, נעולים בססמה (PIN), נעילת דפוס, ביומטרי, כרטיס חכם וכדומה.
יש לוודא שעל כלל רכיבי המחשוב מותקנים תוכנת אנטי וירוס מעודכנת ופיירוול מעודכן. במחשבים שבהם מותקנת מערכת מיקרוסופט, חשוב לוודא כי Windows Defender מופעל.
עוד יש לוודא כי מותקנת VPN, רשת וירטואלית פרטית, להתחברות מאובטחת ופרטית בין העובדים למשאבי הארגון, וכן שהופעל אימות דו שלבי או רב גורמי, כאשר יש עדיפות לאימות זיהוי שאינו מבוסס על הודעת SMS.
על ארגונים להגדיר ביצוע עדכוני תוכנה אוטומטיים לכלל התוכנות במכשיר, כולל דפדפנים. מומלץ להגדיר את העדכונים לשעות הלילה. בנוסף, חשוב לבצע עדכון יזום במכשירים החכמים למערכת ההפעלה מיד עם פרסומם. אם תוכנה מסוימת אינה מאפשרת עדכונים אוטומטיים, מומלץ לשים תזכורת לבחון באופן חודשי את עדכניות התוכנה מול אתר האינטרנט של היצרן, ולבצע עדכון ידני בעת הצורך.
אנשי המערך סיימו בהמלצה שלפיה יש לדווח לגורמים המוסמכים בארגון על כל אירוע חריג וחשוד שהעובדים או המנהלים זיהו במהלך החיבור לרשת הארגונית.
שחר ברכה, ממלא מקום ראש רשות התקשוב הממשלתי, פרסם היום (ד') הנחיה המפרטת כיצד על אגפי הטכנולוגיות במשרדי הממשלה להיערך לעבודה מהבית וערך וידיאו קונפרנס עם המנמ"רים הממשלתיים, שבה נבחנה ההיערכות של המשרדים בתחום. לדברי ברכה, "בעת הזו, תפקידם של מנהלי אגפי הטכנולוגיות הדיגיטליות והמידע לאפשר לממשלה לנצל את כלל הפתרונות הטכנולוגיים והדיגיטליים העומדים לרשותה, על מנת להביא להמשכיות עסקית ולצמצם למינימום את הפגיעה האפשרית בשירותים הניתנים לציבור". הוא ציין כי הרשות מספקת למנמ"רים הממשלתיים פתרונות כיצד לשמור על המשכיות עסקית גם בעידן המשברי הנוכחי.
תגובות
(0)