צ'קליסט אבטחת סייבר מעשי לעסקים קטנים בישראל בלי מחלקת IT
הרבה עסקים קטנים בישראל מתנהלים בלי אף אחד שתפקידו IT. זה עובד עד שזה מפסיק. הנה צ'קליסט פשוט שאפשר לעבור עליו לבד, מסודר לפי כמה כל סעיף באמת משנה, כך שבעל עסק או מנהל משרד יראו איפה הם עומדים.
הרבה עסקים קטנים בישראל מתנהלים בלי אף אחד שתפקידו הוא IT. החשבונות יושבים ב-Microsoft 365, חומת אש נמצאת בארון התקשורת, מחשבים ניידים נקנים כשמישהו צריך, והאבטחה היא מה שמי שנגע במערכת אחרון הספיק להגדיר. זה עובד עד שזה מפסיק. מה שבא כאן הוא צ'קליסט פשוט שאפשר לעבור עליו לבד, מסודר לפי כמה כל סעיף באמת משנה, כך שבעל עסק או מנהל משרד יוכלו לראות איפה הם עומדים בלי רקע טכני. שום דבר מזה לא דרמטי. רוב הפרצות האמיתיות בעסק קטן הן שקטות, והתיקונים הזולים סוגרים את החורים הגדולים ביותר.
מתחילים מלדעת מה יש לכם
אי אפשר להגן על מה שמעולם לא רשמתם. הקדישו אחר צהריים אחד לכתוב את היסודות: אילו מחשבים ניידים וטלפונים נוגעים במידע של העסק, על אילו שירותי ענן אתם משלמים (Microsoft 365, הנהלת חשבונות, CRM, שיתוף קבצים), למי יש גישה לכל אחד, ואיפה הקבצים החשובים באמת נמצאים. רוב בעלי העסקים מופתעים מהרשימה הזו. חשבון ישן של מי שעזב לפני שנתיים, תיבת דואר משותפת שאף אחד לא ממש אחראי עליה, כונן ענן פרטי שמחזיק בשקט קבצי לקוחות. הרשימה לא זוהרת, אבל כל החלטה מאוחרת יותר תלויה בה, והפערים שהיא חושפת הם בדרך כלל הזולים ביותר לסגירה.
מפעילים אימות רב-שלבי בכל מקום
אם אתם עושים דבר אחד מהרשימה הזו, עשו את זה. אימות רב-שלבי (MFA) אומר שסיסמה לבדה לא מספיקה כדי להתחבר; צריך גם שלב שני, בדרך כלל אישור בטלפון. זו ההגנה היחידה היעילה ביותר מול ההתקפה הנפוצה מכולן, שבה מישהו משיג סיסמה ופשוט מתחבר במקומכם. הפעילו אותו קודם על Microsoft 365 או Google Workspace, אחר כך על מערכת הנהלת החשבונות, על הבנק ועל כל כלי שמחזיק מידע של לקוחות. השתמשו באפליקציית אימות ולא בקודי SMS היכן שאפשר, כי הודעות טקסט אפשר ליירט או להפנות לתוקף. הנחיות בינלאומיות לעסקים קטנים, כולל של CISA, מציבות את ה-MFA ממש בראש הרשימה, והדירוג הזה מוצדק.
מהדקים את Microsoft 365 או Google Workspace
דואר אלקטרוני ואחסון קבצים הם המקום שבו רוב העסקים הקטנים באמת חיים, והגדרות ברירת המחדל נוטות לנוחות על חשבון הבטיחות. כמה בדיקות משתלמות. ודאו שה-MFA נאכף לכולם ולא נשאר אופציונלי. שמרו על מספר קטן של חשבונות מנהל, נפרדים מהמייל היומי. בדקו מי יכול לשתף קבצים מחוץ לחברה, והחליפו שיתוף רחב של 'כל מי שיש לו את הקישור' במשהו הדוק יותר. הפעילו את יומן הביקורת, כך שאם משהו כן ישתבש תוכלו לראות מה קרה במקום לנחש. שום דבר מזה לא עולה תוספת בחבילה עסקית רגילה. זה עניין של מישהו שייכנס ויגדיר את זה בכוונה.
שומרים על תוכנה מעודכנת, אוטומטית
חלק גדול מהפריצות מנצל חולשה ידועה בתוכנה שכבר היה לה תיקון זמין, לפעמים במשך חודשים. Windows, macOS, דפדפנים ויישומים עסקיים כולם מוציאים עדכוני אבטחה, והדרך הבטוחה ביותר היא לתת להם להתקין אוטומטית במקום להישען על מישהו שיזכור. אותו דבר נכון למכשירים השקטים. חומת האש שלכם, הראוטר האלחוטי וכל דבר אחר עם חיבור לאינטרנט מריצים תוכנה שצריכה עדכון גם היא, ואלה בדיוק אלה שהכי נשכחים כי אף אחד לא רואה אותם ביום־יום.
שמים הגנה אמיתית על כל מכשיר
אנטי וירוס מובנה הוא רצפה סבירה, אבל איומים מודרניים חומקים לעיתים קרובות מהשוואה פשוטה לרשימת קבצים מוכרים. הגנת תחנות, שנמכרת לרוב כ-EDR (זיהוי ותגובה בתחנות), עוקבת אחרי התנהגות חשודה במקום, וזה מה שתופס התקפות חדשות וכופר בזמן שהם עדיין רצים. למשרד קטן המטרה המעשית היא כלי הגנה אחיד אחד על כל מחשב נייד ושולחני, מעודכן, ורצוי שמישהו יוכל לראות את ההתראות שהוא מרים. מחשב נייד אחד לא מנוהל, שיושב מחוץ למה שיש לכל השאר, הוא לרוב כל מה שתוקף צריך.
עושים גיבויים שבאמת בדקתם
גיבוי טוב הוא ההבדל בין שבוע גרוע לעסק שנסגר. הכלל ששווה לזכור הוא שלושה עותקים של המידע, על שני סוגי אחסון, כשעותק אחד נשמר מנותק או מחוץ להישג יד. העותק האחרון הזה חשוב כי כופר מחפש ומצפין בכוונה גיבויים שעדיין מחוברים לרשת. וגיבוי שמעולם לא שחזרתם ממנו הוא רק תקווה. בחרו קובץ, שחזרו אותו, ודאו שהוא נפתח, ועשו את זה פעמיים בשנה. Microsoft 365 ו-Google Workspace אינם יוצאי דופן: הם שומרים על השירות פועל, אבל שחזור המידע שלכם אחרי מחיקה בטעות או אחרי התקפה הוא באחריותכם, וגיבוי ייעודי הוא מה שמכסה את זה.
שולטים בגישה מרחוק בכוונה
אם עובדים עובדים מהבית או מהדרך, האופן שבו הם מגיעים למערכות העסק משנה מאוד. הקיצור המסוכן הוא לחשוף מערכת פנימית, במיוחד שולחן עבודה מרוחק (RDP), ישירות לאינטרנט; סורקים אוטומטיים מוצאים אותה תוך שעות ומפציצים אותה מסביב לשעון. הדרך הבטוחה היא VPN מוגן ב-MFA, או גישת אפס אמון שמעניקה גישה ליישומים מסוימים במקום להעלות מישהו לכל הרשת. מה שלא תשתמשו בו, זה צריך להיות מערך מכוון שמישהו מתחזק, ולא פורט שנפתח פעם אחת בחיפזון ולא חזרו אליו.
מסדרים מי ניגש למה
שני סיכונים שקטים מצטברים עם הזמן. הראשון הוא עוזבים: עובד הולך, אבל המייל, הקבצים והכניסות המשותפות שלו נשארים פעילים חודשים. הפכו את הסרת החשבון לחלק מהיום שבו מישהו עוזב, בדיוק כמו שאוספים את המפתחות ואת המחשב הנייד. השני הוא עודף הרשאות: אנשים צוברים הרשאות שכבר לא צריכים ככל שהתפקיד משתנה. תנו לכל אדם גישה למה שהעבודה שלו באמת דורשת ובדקו את זה מדי פעם. אלה לא עולים דבר מלבד תשומת לב, והם מקטינים את הנזק שחשבון פרוץ בודד יכול לגרום.
מדריכים את האנשים, לא רק את המכונות
רוב האירועים מתחילים מאדם שלוחץ על משהו, אז שיחה קצרה וכנה עם הצוות שווה יותר מכל מוצר בודד. אנשים צריכים לדעת לזהות מייל חשוד, להבין למה לעולם לא לאשר בקשת MFA שהם עצמם לא יזמו, ולמי לספר ברגע שמשהו מרגיש לא בסדר. המטרה היא לא להפחיד אף אחד. היא להפוך דיווח על כמעט-תקלה לדבר רגיל ולא מביך, כי המחיר של אזעקת שווא מהירה הוא אפס לעומת המחיר של לחיצה שאף אחד לא הזכיר במשך שבוע.
כותבים מה עושים כשמשהו משתבש
גם הגנות טובות נכשלות לפעמים, והרגע הכי גרוע להתחיל לחשוב הוא באמצע אירוע. דף אחד מספיק: למי מתקשרים ראשון, איך משיגים את התמיכה הטכנית מחוץ לשעות העבודה, אילו מערכות הכי חשובות, ואיפה הגיבויים. לדעת מראש שמחשב נייד מסוים צריך להתנתק מהרשת אבל להישאר דלוק, למשל, יכול לשמר ראיות ולהגביל את ההתפשטות. התוכנית לא צריכה להיות מסובכת. היא צריכה להתקיים, ולהיות במקום שאפשר להגיע אליו בלי הרשת שבדיוק נפלה.
איפה זה משאיר עסק בלי IT פנימי
כשעוברים על הצ'קליסט הזה בכנות, הוא מספר משהו שימושי. רוב העסקים הקטנים חזקים בחלק מהסעיפים ויש להם פערים שקטים באחרים, והפערים הם לעיתים רחוקות היקרים והדרמטיים. הם חומת אש לא מעודכנת, גיבוי שאף אחד לא בדק, חשבון של עובד לשעבר שעדיין פעיל. NetFortress עובדת עם עסקים בישראל שאין להם מחלקת IT פנימית, לוקחת את הסעיפים האלה מהשולחן שלכם ושומרת עליהם מתוחזקים תמורת עלות חודשית צפויה ולא הוצאה שמונעת ממשבר. אם אתם רוצים קריאה ברורה של איפה העסק באמת עומד, בקשו מאיתנו בדיקה ותקבלו רשימה לפי סדר עדיפויות בשפה פשוטה.
שאלות נפוצות
מאיפה עסק קטן בלי מחלקת IT צריך להתחיל?
משני דברים: רשימה פשוטה של המכשירים, שירותי הענן ומי ניגש לכל אחד, ואימות רב-שלבי מופעל בכל מקום. הרשימה מראה לכם על מה אתם באמת מגנים ובדרך כלל חושפת חשבונות נשכחים, וה-MFA חוסם את ההתקפה הנפוצה מכולן, שבה מישהו משתמש מחדש או גונב סיסמה ופשוט מתחבר. אף אחד מהשניים לא עולה כסף, ויחד הם מסירים את החלק הגדול ביותר של הסיכון היומיומי.
האם האבטחה המובנית ב-Microsoft 365 או ב-Google Workspace מספיקה?
הפלטפורמה עצמה מאובטחת, אבל הגדרות ברירת המחדל מעדיפות נוחות ושחזור המידע שלכם הוא באחריותכם. אכפו MFA לכולם, שמרו על מספר קטן של חשבונות מנהל נפרדים מהמייל היומי, הדקו את השיתוף החיצוני של קבצים והפעילו את יומן הביקורת. הוסיפו גם גיבוי ייעודי, כי הספק שומר על השירות פועל אבל לא מבטל בשבילכם מחיקה בטעות או התקפת כופר.
כל כמה זמן צריך לבדוק את הגיבויים?
פעמיים בשנה הוא מינימום סביר לעסק קטן. בדיקה אומרת לשחזר באמת קובץ אמיתי ולוודא שהוא נפתח, לא רק לבדוק שמשימת הגיבוי רצה. שמרו לפחות עותק אחד מנותק או מחוץ להישג יד של הרשת, כי כופר מחפש ומצפין במכוון גיבויים שעדיין מחוברים.
האם אנחנו באמת צריכים הגנת תחנות מעבר לאנטי וירוס מובנה?
לרוב העסקים הקטנים, כן. אנטי וירוס מובנה הוא רצפה סבירה, אבל הוא בעיקר תופס איומים מוכרים. הגנת תחנות (EDR) עוקבת אחרי התנהגות חשודה, וזה מה שעוצר התקפות חדשות וכופר בזמן שהם עדיין רצים. המטרה המעשית היא כלי אחיד ומעודכן אחד על כל מחשב נייד ושולחני, ורצוי שמישהו יוכל לראות את ההתראות שהוא מרים.
אפשר להתמודד עם כל זה לבד, או שצריך ספק?
הרבה מהשלבים אתם יכולים לעשות לבד: MFA, עדכונים, גיבויים והסרת חשבונות ישנים דורשים תשומת לב יותר ממומחיות. הסעיפים שבדרך כלל נשמטים הם אלה שאף אחד לא אחראי עליהם, כמו עדכון חומת האש, צפייה בהתראות בלילה ובדיקת שחזור. כאן ספק מנוהל עוזר, לוקח את העבודה החוזרת מהשולחן שלכם תמורת עלות צפויה ולא משאיר אותה עד שמשהו נשבר.
מאמרים קשורים
למה כופרה פוגעת בעסקים קטנים – ומה מתקנים קודם
למה מתקפות כופר פוגעות דווקא בעסקים קטנים, איפה התוקפים בדרך כלל נכנסים, ומה כדאי לסגור קודם כדי לצמצם נזק והשבתה.
קרא את המאמרSPF, DKIM ו-DMARC: לעצור תוקפים שמתחזים למייל העסקי שלכם
שלוש רשומות DNS קובעות אם זר יכול לשלוח מייל שנראה בדיוק כאילו הגיע מהחברה שלכם. לרוב העסקים הקטנים הן מוגדרות חלקית או בכלל לא. הנה מה ש-SPF, DKIM ו-DMARC עושים, בשפה פשוטה, ואיך מטמיעים אותן בלי לשבור את הדואר.
קרא את המאמרניטור אבטחה לעסקים: מה זיהוי איומים מסביב לשעון באמת נותן
אפשר להחזיק חומת אש טובה, הגנת קצה רצינית ו-MFA על כל חשבון, ועדיין לפספס פורץ במשך שבועות. הניטור הוא החלק ששם לב להתראות ופועל לפיהן. הנה מה זה אומר בפועל ואיפה זיהוי מנוהל משתלב לעסק קטן.
קרא את המאמררוצים לאבטח את העסק בלי להקים צוות IT פנימי?
קבעו ייעוץ חינם וקבלו תמונת מצב ראשונית ומעשית על סביבת ה-IT ואבטחת Microsoft 365 שלכם.