בשבוע שעבר נחשף כי רשימות המשתתפים בלא פחות מאשר האירוע השנתי של RSA, אחד מכנסי אבטחת המידע הנחשבים בעולם, של אחת מחברות אבטחת המידע המובילות בעולם, חשופים בשל פרצה במערכת הרישום.
המידע הזה הגיע בדיוק בזמן כי למען האמת.. קצת נמאס ולא בטוח שכל ריבוי תיאורי המקרים לא מביאים תוצאת "זאב זאב" הפוכה.
נכון. זה ממש ממש ממש אבל ממש לא כייף כשמידע אישי שכולל כתובת דוא"ל וסיסמה ומס' ת.ז. ומי יודע מה עוד, מסתובב ברשת, חשוף לעיני כל. זה גם ממש מבאס שארגונים לא מתאמצים לשמור על המידע שלנו. בשבילנו. רן בר זיק, עשה ממש קריירה משנית מחשיפת עוד ועוד אתרי אינטרנט ושירותים מקוונים שמאפשרים לתוקפים בעלי כוונות זדוניות לגנוב (במקרה המסובך) או ממש לאסוף (במקרה הקל. הרווח) מידע אישי עלינו ושלנו. תנו לי לגלות לכם סוד גלוי. תמצאו כאלה בכל מקום. קחו למשל את האתר הזה שמאפשר לכם לגלות מה פוטנציאל דלף המידע בכל אתר אינטרנט. כן, גם באתר שבו אתם צורכים את החדשות שלכם וסבירות מדווח רבות על אירועי דלף מידע.
כאמור, זה לא כייף כשמידע אישי שלנו נגיש כל כך ברשת בגלל תחזוקה לקויה, רשלנות או פשוט חוסר הבנה בסיסי והרשויות מבינות את זה ומנסות לפעול. בחודש הקרוב יכנסו לתוקף חוקי הגנת מידע ופרטיות של האיחוד האירופי (GDPR) וגם תקנות מקומיות של הרשות להגנת הפרטיות במשרד המשפטים. 2 הגופים האלה עושים, כל אחד בדרכו, כאב ראש לא קטן למנהלי אבטחת מידע בכמעט כל ארגון עסקי והם בהחלט מנסים להחזיר לאורווה את הסוסים שכבר מזמן עברו קילומטרים רבים של דהירה פראית וחופשית במרחבים האינסופיים של הרשת. אבל, האם זהו באמת תפקידם?
אני רוצה להציע גישה קצת חתרנית. בואו ניקח אנחנו אחריות על המידע שלנו. כלומר, אם זה כל כך חשוב לנו.
תנו לי להציע תיאוריה. המידע שנחשף על משתתפי כנס RSA לא באמת דרמטי. לא חושבת שיש מישהו שחושב שאנשי RSA לא יודעים שצריך לוודא התקנה של יישומי הגנה על כל המערכות. אז למה דווקא שם? למה דווקא אצלם? בואו נודה על האמת, כי זה לא באמת כל כך חשוב. כי כתובת המייל של המשתתפים מופיעה בכל כך הרבה רשומות גם ככה שמזה משנה עוד רשימה אחת?
אנשי אבטחת המידע שהגיעו לכנס ומסרו כתובת דוא"ל ומספר טל' יודעים בד"כ כיצד להגן על עצמם. הם נוהגים להחליף סיסמאות (ועכשיו חברי מנהלי אבטחת המידע קוראים את זה ומגחכים. ת'כלס נכון. אבל זרמו איתי לרגע עם התיאוריה) ויש להם יותר מכתובת דוא"ל אחת שמשמשת לכל מיני מטרות לא מהותיות. אז היא חשופה. אז מה? יש ברשת מידע הרבה יותר מהותי מכתובת דוא"ל שאיתה נרשמים לכנס. שאנחנו מוסרים מבחירה.
מה בעצם רוצה להגיד כאן? זה משחק חתול ועכבר שאין לו סוף. ארגון עסקי, גם אם מאוד מאוד יתאמץ וגם אם באמת מאוד חשוב לו לשמור על המידע שלך, סבירות שלא יוכל להבטיח 100% הגנה.
הגיע הזמן שגם אנחנו ניקח אחריות ונדע להחליף סיסמאות אחת לתקופה, למרות הטרחה. הגיע הזמן שנדע למסור כתובת דוא"ל אחת באתרים מסוגים מסוימים וכתובת דוא"ל אחרת בהתאם לצרכים אחרים, חשובים יותר.
• השתמשו באתרים שמציעות החברות שאישרו את עצם קיומה של הפרצה והדליפה לוודא מה דלף. אולי מדובר בסיסמה מיושנת ולא רלוונטית שלכם?
• גשו לאתר https://haveibeenpwned.com/ ובדקו את כתובות הדוא"ל שבהן אתם משתמשים. אולי תופתעו. אפילו לטובה.
• גיליתם שאכן המידע שלכם דלף? תחליפו סיסמה. קודם כל באתר או ביישום שבו מדובר אחר כך, אל תתעצלו. תחליפו סיסמה גם בישומים נוספים.
• אל תשתמשו באותה הסיסמה לכל הישומים שמשרתים אתכם.
• ולא. אל תמחזרו סיסמאות!
• תגדילו את המעקב אחר ישומים שמערבים הוראות תשלום. אולי בחודשיים שלושה שאחרי הדיווח על דלף המידע הכל יראה לגיטימי אבל חצי שנה לאחר מכן אפשרות שפתאום יופיעו חיובים שלא אישרתם. מעקב צמוד וקרוב ככל האפשר לזמן אמת יעזור לכם להתמודד עם דרישת הביטול.
* הכותבת יועצת מומחית ל- Cyber Resilience
בשבוע שעבר נחשף כי רשימות המשתתפים בלא פחות מאשר האירוע השנתי של RSA, אחד מכנסי אבטחת המידע הנחשבים בעולם, של אחת מחברות אבטחת המידע המובילות בעולם, חשופים בשל פרצה במערכת הרישום.
המידע הזה הגיע בדיוק בזמן כי למען האמת.. קצת נמאס ולא בטוח שכל ריבוי תיאורי המקרים לא מביאים תוצאת "זאב זאב" הפוכה.
נכון. זה ממש ממש ממש אבל ממש לא כייף כשמידע אישי שכולל כתובת דוא"ל וסיסמה ומס' ת.ז. ומי יודע מה עוד, מסתובב ברשת, חשוף לעיני כל. זה גם ממש מבאס שארגונים לא מתאמצים לשמור על המידע שלנו. בשבילנו. רן בר זיק, עשה ממש קריירה משנית מחשיפת עוד ועוד אתרי אינטרנט ושירותים מקוונים שמאפשרים לתוקפים בעלי כוונות זדוניות לגנוב (במקרה המסובך) או ממש לאסוף (במקרה הקל. הרווח) מידע אישי עלינו ושלנו. תנו לי לגלות לכם סוד גלוי. תמצאו כאלה בכל מקום. קחו למשל את האתר הזה שמאפשר לכם לגלות מה פוטנציאל דלף המידע בכל אתר אינטרנט. כן, גם באתר שבו אתם צורכים את החדשות שלכם וסבירות מדווח רבות על אירועי דלף מידע.
כאמור, זה לא כייף כשמידע אישי שלנו נגיש כל כך ברשת בגלל תחזוקה לקויה, רשלנות או פשוט חוסר הבנה בסיסי והרשויות מבינות את זה ומנסות לפעול. בחודש הקרוב יכנסו לתוקף חוקי הגנת מידע ופרטיות של האיחוד האירופי (GDPR) וגם תקנות מקומיות של הרשות להגנת הפרטיות במשרד המשפטים. 2 הגופים האלה עושים, כל אחד בדרכו, כאב ראש לא קטן למנהלי אבטחת מידע בכמעט כל ארגון עסקי והם בהחלט מנסים להחזיר לאורווה את הסוסים שכבר מזמן עברו קילומטרים רבים של דהירה פראית וחופשית במרחבים האינסופיים של הרשת. אבל, האם זהו באמת תפקידם?
אני רוצה להציע גישה קצת חתרנית. בואו ניקח אנחנו אחריות על המידע שלנו. כלומר, אם זה כל כך חשוב לנו.
תנו לי להציע תיאוריה. המידע שנחשף על משתתפי כנס RSA לא באמת דרמטי. לא חושבת שיש מישהו שחושב שאנשי RSA לא יודעים שצריך לוודא התקנה של יישומי הגנה על כל המערכות. אז למה דווקא שם? למה דווקא אצלם? בואו נודה על האמת, כי זה לא באמת כל כך חשוב. כי כתובת המייל של המשתתפים מופיעה בכל כך הרבה רשומות גם ככה שמזה משנה עוד רשימה אחת?
אנשי אבטחת המידע שהגיעו לכנס ומסרו כתובת דוא"ל ומספר טל' יודעים בד"כ כיצד להגן על עצמם. הם נוהגים להחליף סיסמאות (ועכשיו חברי מנהלי אבטחת המידע קוראים את זה ומגחכים. ת'כלס נכון. אבל זרמו איתי לרגע עם התיאוריה) ויש להם יותר מכתובת דוא"ל אחת שמשמשת לכל מיני מטרות לא מהותיות. אז היא חשופה. אז מה? יש ברשת מידע הרבה יותר מהותי מכתובת דוא"ל שאיתה נרשמים לכנס. שאנחנו מוסרים מבחירה.
מה בעצם רוצה להגיד כאן? זה משחק חתול ועכבר שאין לו סוף. ארגון עסקי, גם אם מאוד מאוד יתאמץ וגם אם באמת מאוד חשוב לו לשמור על המידע שלך, סבירות שלא יוכל להבטיח 100% הגנה.
הגיע הזמן שגם אנחנו ניקח אחריות ונדע להחליף סיסמאות אחת לתקופה, למרות הטרחה. הגיע הזמן שנדע למסור כתובת דוא"ל אחת באתרים מסוגים מסוימים וכתובת דוא"ל אחרת בהתאם לצרכים אחרים, חשובים יותר.
• השתמשו באתרים שמציעות החברות שאישרו את עצם קיומה של הפרצה והדליפה לוודא מה דלף. אולי מדובר בסיסמה מיושנת ולא רלוונטית שלכם?
• גשו לאתר https://haveibeenpwned.com/ ובדקו את כתובות הדוא"ל שבהן אתם משתמשים. אולי תופתעו. אפילו לטובה.
• גיליתם שאכן המידע שלכם דלף? תחליפו סיסמה. קודם כל באתר או ביישום שבו מדובר אחר כך, אל תתעצלו. תחליפו סיסמה גם בישומים נוספים.
• אל תשתמשו באותה הסיסמה לכל הישומים שמשרתים אתכם.
• ולא. אל תמחזרו סיסמאות!
• תגדילו את המעקב אחר ישומים שמערבים הוראות תשלום. אולי בחודשיים שלושה שאחרי הדיווח על דלף המידע הכל יראה לגיטימי אבל חצי שנה לאחר מכן אפשרות שפתאום יופיעו חיובים שלא אישרתם. מעקב צמוד וקרוב ככל האפשר לזמן אמת יעזור לכם להתמודד עם דרישת הביטול.
* הכותבת יועצת מומחית ל- Cyber Resilience
הודעתך לא התקבלה - נסה שוב מאוחר יותר
Oops! Something went wrong while submitting the form