14 טיפים שיעזרו לכם לשמור על המידע שלכם
אז איך מתמודדים עם אתגרי אבטחת המידע בסייבר?
הכנתי עבורכם סט כלים וטיפים שעשוי להתאים לכל אחד ואחת מאיתנו, אף ללא ידע טכני מעמיק:
1. שימו לב לשורת הכתובת בדפדפן – כאשר גולשים לאתר, וודאו שהוא עובד במצב .SECURE אם הוא לא במצב הזה, יש אפשרות שהמידע שתשלחו לאתר (סיסמאות, כרטיסי אישור או סתם מילות חיפוש) עשוי להיות זמין לגורמים נוספים / צד שלישי, ללא ידיעתכם. כל המידע המופיע באתר אינו חתום דיגיטלית, או במילים אחרות – לא מהימן. לא ניתן לסמוך על מה שאתם קוראים בו.
סטטוטים אפשריים אחרים
Not Secure לא בטוח לכתוב ולשלוח מידע לאתר, אבל לא בהכרח אומר שאסור להתעסק כלל עם האתר – פשוט שהאתר ברמת אבטחה נמוכה. אם זה סתם מידע כללי ולא חשוב לכם במיוחד – ניחא.
– HTTPSאדום (או עם סימן CROSS עליו) – המשמעות היא שהאתר מנסה להצפין ולאבטח את החיבור ביניכם, אבל יש בעיה. לעיתים זו בעיה טכנית ולא בהכרח משהו גדול מכך, אולם ייתכן ומדובר במתקפת "Man in the middle" וניסיון ל"שתות" את המידע שלכם ע"י גורם שנמצא בדרך ביניכם לבין האתר. בכל מקרה – אם מדובר במידע רגיש וחשוב, אין ספק שיש ספק (-:
2. קישורים מקוצרים לא בהכרח מובילים למה שנדמה לכם – מכירים את כל קישורי ה- TINURL, GL, BIT.LY וכיוצ"ב? לעיתים הם אכן משמשים לקצר את שם ה URL הארוך המקורי, ולייעל בנוחות את רישום הקישור, אולם הם עלולים לנתב אתכם לאתר אחר לגמרי ממה שנדמה לכם שאליו אתם עומדים להתחבר. כשתגלו זאת, ייתכן ויהיה כבר מאוחר מדי. הפתרון הוא לקחת כמה שניות מזמנכם היקר, ולבדוק את הקישור באתר דוגמת CHECKSHORTURL.COM – אתר זה ודומיו מראים לכם לאן תופנו במידה ותקליקו, מבלי להקליק או לנווט לאתר בפועל. למשל – לאן לדעתכם תופנו אם תקליקו על? BIT.LY/POSTIL מממ… סביר להניח שלאתר דואר ישראל. אולם – אם תבחנו זאת באתר, תראו שאתם מופנים לכתובת כלשהיא של שרת ביפן.
3. הכל שקוף ונגיש לכל – לעיתים גם בלי אמצעים טכנולוגיים– קל ונוח לשמור את הססמאות לאתרים שונים ישירות בדפדפן שלנו (סיסמא שנשמרת לכאורה כ *** או , ולא ניתן 'לראות'), אולם גם ללא ידע מתקדם ובלי קוד מיוחד ניתן לראות כל סיסמא ששמרתם מקומית בפרופיל המשתמש שלכם. אם אתם חולקים מחשב ציבורית עם אנשים נוספים שאינכם מעוניינים לתת להם גישה מלאה לאתרים שאתם גולשים בהם גם כן מאותו מחשב\פרופיל – מיחקו את הסיסמאות מאתרים שגלשתם בהם, ואל תייצרו סיסמאות חדשות לשמירה.
4. שאלו את עצמכם: "למה?" תמיד שאלו למה אתם מקבלים את מה שקיבלתם כרגע במייל או כהודעת סמס וכיוצ"ב. האם אני מצפה לחבילה מ FEDEX ? האם הזמנתי משהו לאחרונה, או מישהו אחר בבית הזמין, ואכן מצפה לזה? ואם כן – למה זה מגיע לכתובת שלי או לטלפון שלי?
5. הריצו בדיקות אבטחה בכל שירותי האונליין שלכם – לכל השירותים המובילים פייסבוק, גוגל וכו' – יש מקום בהגדרות המשתמש שמאפשרות להריץ Security Check, בדיקת אבטחת מידע כללית לחשבון – מאיפה התחברתם בהצלחה לאחרונה ומאילו מכשירים, בדיקת הגדרות אבטחת מידע ועוד.
6. סבלנות – לספור עד 10 (לפחות) אנחנו חיים בדור שמעודד אותנו "לסמן V ולהמשיך", לא להתעכב מדי, להקליק\לענות\לפתוח ולסיים עם זה. אם נספור עד 10 ונקרא טוב מה שקיבלנו הרגע, אולי נגלה אי-דיוקים ותכנים אחרים שיעלו ספק במוחנו לגבי הפעולה הדיגיטלית שאנו עומדים לבצע – וזה יכול לשפר משמעותית את הסיכוי למנוע את התוכנה הזדונית הבאה שעלולה לרוץ על המכשירים שלך
7. אימות זהות באמצעות גורם משני – מומלץ מאוד בנוסף על שם משתמש וסיסמא לאכוף גורם אימות נוסף (להפעיל Multi Factor Authentication , או Two factor verification). לדוגמא: קוד אימות משני שנשלח כ SMS לטלפון הנייד, יישום Varifier על הטלפון וכיוצ"ב, או אימות ביומטרי (משהו שמזהה אותנו ביולוגית), במידת האפשר. קיימים מכשירים\אביזרי USB שיכולים לאמת את הזהות כגורם מחזק, מעבר לסיסמא שקל יחסית לשכוח \ לנחש \ להשיג במאמצי פישינג והנדסה חברתית. גוגל למשל מכיל אופציות לא מעטות לאימות זהות באמצעות גורם משני
8. עשו סדר ביישומי הסלולר והרשאותיהם– הסירו כל יישום שאתם לא צריכים. בצעו DISABLE לכל יישום במכשיר הנייד שלא ניתן להסיר אבל אינכם משתמשים בו או יכולים לוותר עליו כליל. שימו לב להרשאות המקיפות של יישומים לפני שאתם מתקינים אותם, ובחרו ביישומים שלא דורשים כלל הרשאות מיוחדות, או מעט מהן:
"סרסו" את ההרשאות מרחיקות הלכת של פייסבוק בנייד, או עדיף, הסירו לחלוטין את פייסבוק מהמכשיר הנייד (התחברו לפייסבוק רק מהלפטופ\מחשב נייח – תשפרו ביצועים בטלפון הנייד, וגם תקבלו בחזרה שעות יקרות מהיממה שלכם (-: )
9. הקפידו שלא להוריד או לפתוח קבצים לא מוכרים או ממקור לא צפוי – הם עלולים להכיל קוד זדוני שיבצע פעולות לא מורשות על המכשיר
10. הימנעו מ WIFI ציבורי ככל שניתן – ניתן להאזין לחיבורים הקיימים ואף להתחזות לנתב אלחוטי, כך שכל התעבורה תעבור דרך גורם שלישי לא ידוע. אם כבר מתחברים – אזי רצוי דרך חיבור VPN או שירותי TOR (לאנונימיים הרציניים יותר שבינינו).
11. אל תשתמשו בכונן USB שמצאתם 'סתם כך – הם כר פורה למגוון מתקפות אפשריות – לא שווה את הסיכון עבור עוד נפח אחסון לא יקר במיוחד.
12.הגנו מפני גניבה\אובדן מידע: – הצפינו LAPTOPS ודיסקים ניידים– אופציה פשוטה אחת היא BitLocker, הנמצא במערכת ההפעלה וינדוס, ויכול להצפין דיסק שלם, בין אם של הלפטופ או של דיסק און קי \ כונן נייד.
13. אם חשוב לכם מייל פרטי ומוצפן, נסו את ProtonMail –– גוגל יכולה לקרוא את המיילים שלכם כמובן, וכך כל מי שאתם שולחים אליו מיילים למערכות אחרות (יאהו! וכו'). אבל פרוטון-מייל (שנוצר ומתוחזק ע"י החבר'ה מ – CERN בשווייץ) מצפין את המייל במפתחות שרק אתם מכירים, כך שגם החברה המארחת לא רואה את התוכן של תיבת הדואר שלכם. בין שני משתמשי PROTONMAIL ההודעות חסויות לחלוטין. במידה ואתם שולחים הודעה למשתמש ג'ימייל ו\או כל שירות אחר, ההודעה מאבדת את ההצפנה.
14. למקפידים: הצפינו באמצעות חומרה מסמכים רגישים בכונן הנייד – קיימים מספר סוגי התקני USB המצפינים את המידע ברמת הקושחה של ההתקן.
בסיכומו של יום, סייבר מנצחים בנקודות, לא בנוקאאוט.
קשה להגן על הכל ולטפל בכל האתגרים באותה מידת השקעה ומשאבים, הן ברמה האישית והן ברמה הארגונית. כמו בכל גישה מערכתית – מפו את הסיכונים בצורה מידתית והגיונית. החליטו מה קריטי עבורכם לביצוע מיידי, מה יעזור לכם אם תממשו בעתיד הקרוב, ומה לא דחוף או לא אקוטי עבור הצרכים שלכם.
זכרו שייתכן ומשתמשי מחשב "מעניינים" (נושאי משרה בכירה, בעלי גישה למידע מסווג וכו') עשויים להצטרך פתרונות קצת אחרים מאשר "אזרחים מן השורה"
בהצלחה!
יוסי.
השאר תגובה