מה ההבדל בין אבטחת מידע של עסק קטן לבין תאגיד גדול?
התחום של אבטחת מידע וסייבר התפתח מאוד בעשור האחרון, וכיום יש פתרונות מגוונים שמתאימים לכל גודל של ארגון.
הבעיה היא שרבים מבעלי העסקים הקטנים חושבים שהם קטנים מדי כדי להיות יעד, בעוד תאגידים גדולים לפעמים משקיעים במקומות הלא נכונים. הבנת ההבדלים תעזור לכל ארגון להשקיע את המשאבים שלו בצורה חכמה.
פרופיל הסיכון שונה לחלוטין
עסק קטן ותאגיד גדול מתמודדים עם סוגים שונים של איומים. תאגיד גדול הוא יעד אטרקטיבי יותר לתוקפים מתוחכמים כי יש לו יותר מידע ויותר כסף לגנוב.
מתקפות על תאגידים גדולים דורשות לרוב השקעה משמעותית מצד התוקפים, אבל התמורה הפוטנציאלית גדולה.
עסקים קטנים, לעומת זאת, נפגעים בעיקר ממתקפות אוטומטיות שמחפשות נקודות תורפה נפוצות. התוקפים לא תמיד יודעים בכלל מי קורבן המתקפה. הם שולחים מיליוני ניסיונות ורואים מי נופל. עסק קטן עם הגנה חלשה יהיה קורבן קל.
ההבדל הזה משפיע על סוג ההגנה הנדרשת. תאגיד גדול צריך להתגונן גם מתוקפים ממוקדים ומתוחכמים. עסק קטן צריך בעיקר לוודא שהוא לא הפרי הנמוך ביותר על העץ.
תקציב ומשאבים
ההבדל הברור ביותר הוא בתקציב. תאגידים גדולים מקצים לאבטחת מידע מיליוני שקלים בשנה. יש להם צוותי אבטחה ייעודיים, מערכות מתקדמות ויועצים חיצוניים. עסק קטן לרוב לא יכול להרשות לעצמו אפילו חצי משרה של איש אבטחה.
אבל תקציב גדול יותר לא אומר בהכרח הגנה טובה יותר. ראינו הרבה מקרים שבהם תאגידים גדולים נפרצו למרות השקעות עצומות באבטחה. ומנגד, עסקים קטנים שעושים את הדברים הבסיסיים נכון יכולים להיות מוגנים ברמה סבירה מאוד.
המפתח הוא להתאים את ההשקעה לסיכונים האמיתיים. עסק קטן לא צריך מערכות של תאגיד ענק, אבל הוא גם לא יכול להתעלם מאבטחה לחלוטין.
מורכבות הסביבה הטכנולוגית
תאגיד גדול מפעיל בדרך כלל סביבה טכנולוגית מורכבת מאוד. יש מערכות ישנות שפועלות לצד מערכות חדשות, יש אינטגרציות מרובות בין מערכות שונות, ויש נגיעה לספקים וגורמים חיצוניים רבים. כל נקודת חיבור היא נקודת תורפה פוטנציאלית.
עסק קטן עובד בדרך כלל עם מספר קטן של מערכות. אולי אתר אינטרנט, מערכת ניהול לקוחות, דואר אלקטרוני ושירות אחסון בענן. הפשטות הזו היא יתרון מבחינת אבטחה כי יש פחות מקומות שצריך להגן עליהם.
מצד שני, עסקים קטנים לרוב משתמשים בשירותי ענן ציבוריים ובתוכנות מדף. זה אומר שהם תלויים באבטחה של ספקי השירות שלהם. חשוב לבחור ספקים אמינים ולהגדיר את ההגדרות נכון.
רגולציה ודרישות חוקיות
תאגידים גדולים, במיוחד בתחומים כמו פיננסים, בריאות או ביטחון, כפופים לרגולציה מחמירה בתחום אבטחת המידע. יש דרישות ספציפיות שחייבים לעמוד בהן, יש ביקורות תקופתיות ויש סנקציות כבדות על אי עמידה.
עסקים קטנים לרוב כפופים לפחות רגולציה ישירה. אבל זה לא אומר שאין להם חובות. חוק הגנת הפרטיות חל על כל עסק שמחזיק מידע אישי. תקנות הגנת הפרטיות דורשות נקיטת אמצעי אבטחה סבירים.
בנוסף, עסקים קטנים שעובדים עם לקוחות גדולים לעתים קרובות נדרשים לעמוד בסטנדרטים מסוימים של אבטחה כתנאי לעבודה. לקוח גדול עלול לדרוש מספק קטן להוכיח שיש לו הגנות מתאימות.
יכולות זיהוי ותגובה
תאגיד גדול יכול להרשות לעצמו מרכז בקרה שפועל סביב השעון ומנטר את המערכות בזמן אמת. יש צוות שיכול להגיב מיד כשמזוהה משהו חריג. יש פרוצדורות מוגדרות לכל סוג של אירוע.
עסק קטן לא יכול לתחזק מערך כזה. אבל זה לא אומר שהוא חייב להישאר עיוור. יש היום שירותי ניטור מנוהלים שמספקים יכולות דומות בעלות סבירה. ספק חיצוני מנטר את המערכות ומתריע כשמשהו לא תקין.
גם ללא ניטור מתקדם, עסק קטן יכול להגדיר התראות בסיסיות. ניסיונות כניסה כושלים, שינויים בהגדרות קריטיות או גישה ממקומות לא צפויים יכולים להיות מזוהים גם בכלים פשוטים.
הגורם האנושי
בתאגיד גדול יש הרבה אנשים, וכל אחד מהם הוא נקודת כניסה פוטנציאלית לתוקף. יש צורך בהדרכות שיטתיות, במדיניות ברורה ובאכיפה. קשה לשלוט על מה כל עובד עושה ולוודא שכולם פועלים לפי הכללים.
בעסק קטן יש פחות אנשים, אבל לעתים קרובות יש פחות תשומת לב לנושא. אין מי שמלמד את העובדים מה מותר ומה אסור, אין מדיניות כתובה ואין בקרה. הסיכון מעובד שטועה או שמתרשל הוא משמעותי.
היתרון של עסק קטן הוא שקל יותר להעביר מסרים ולוודא שכולם מבינים. שיחה קצרה עם כל הצוות יכולה להיות אפקטיבית יותר מקורס אונליין בתאגיד ענק.
מה עסק קטן חייב לעשות?
עסק קטן לא צריך להשקיע מיליונים באבטחה, אבל יש מינימום שחובה לעמוד בו. הדברים הבסיסיים האלה יגנו על העסק מרוב האיומים הנפוצים:
- עדכוני תוכנה שוטפים לכל המערכות והתוכנות
- סיסמאות חזקות ושונות לכל שירות, רצוי עם מנהל סיסמאות
- אימות דו שלבי בכל מקום שאפשר
- גיבויים קבועים של מידע חשוב, נפרדים מהמערכת הראשית
- הדרכה בסיסית לעובדים על זיהוי הונאות ופישינג
הדברים האלה לא עולים הרבה כסף אבל מצמצמים משמעותית את הסיכון. רוב המתקפות המוצלחות על עסקים קטנים היו נמנעות אם הקורבנות היו עושים את הבסיס.
מה תאגיד גדול צריך מעבר לבסיס?
תאגיד גדול צריך את כל מה שעסק קטן צריך, בתוספת שכבות הגנה נוספות. מערכות לזיהוי חדירות, הצפנה מקיפה של מידע רגיש, בקרת גישה מפורטת, ניטור רציף ותוכניות תגובה לאירועים.
בנוסף, תאגיד גדול צריך לנהל את שרשרת האספקה מבחינת אבטחה. ספקים וקבלני משנה שמחוברים למערכות הארגון הם נקודת תורפה משמעותית. יש לוודא שגם הם עומדים בסטנדרטים מתאימים.
גם נושא ההמשכיות העסקית קריטי יותר. תאגיד גדול צריך תוכניות מפורטות לכל תרחיש, כולל תרגולים תקופתיים. העלות של השבתה ממושכת יכולה להיות עצומה.
השימוש בשירותים חיצוניים
גם עסקים קטנים וגם תאגידים גדולים נעזרים בשירותי אבטחה חיצוניים, אבל מסיבות שונות. עסק קטן פונה החוצה כי אין לו את היכולת הפנימית. תאגיד גדול פונה החוצה כדי להשלים יכולות או לקבל נקודת מבט חיצונית.
לעסק קטן, שירות אבטחה מנוהל יכול לספק הגנה ברמה גבוהה בעלות נגישה. במקום להעסיק מומחה, העסק משלם דמי מנוי חודשיים ומקבל גישה לצוות מומחים ולכלים מתקדמים.
תאגיד גדול עשוי להשתמש בשירותים חיצוניים לבדיקות חדירות, לביקורות אבטחה או לניטור מתקדם. גם אם יש צוות פנימי חזק, יש ערך בעיניים חדשות שבודקות את המערכות.
ההשפעה של פריצה
כשתאגיד גדול נפרץ, זה מגיע לכותרות. יש נזק תדמיתי עצום, יש השלכות רגולטוריות ויש עלויות אדירות של התאוששות. אבל לתאגיד גדול יש בדרך כלל את המשאבים לשרוד את האירוע.
עסק קטן שנפרץ עלול לא להתאושש. אם המידע נמחק ואין גיבוי, אם הלקוחות מאבדים אמון, אם העסק מושבת לתקופה ממושכת, זה יכול להיות סוף הדרך. הסיכון היחסי גבוה יותר דווקא לעסק הקטן.
לכן, למרות שהתקציב קטן יותר, עסק קטן צריך להתייחס לאבטחת מידע ברצינות רבה. זה לא מותרות אלא תנאי הכרחי לקיום.
התפתחות האיומים
איומי הסייבר משתנים כל הזמן. מה שעבד אתמול לא בהכרח יעבוד מחר. תוקפים מפתחים שיטות חדשות, מגלים נקודות תורפה חדשות ומנצלים טכנולוגיות חדשות.
תאגיד גדול יכול להקדיש משאבים למעקב אחרי מגמות, להשתתף בפורומים מקצועיים ולעדכן את ההגנות בהתאם. יש צוות שזה התפקיד שלו.
עסק קטן צריך לסמוך על ספקי השירות שלו שיתעדכנו. חשוב לבחור ספקים שמשקיעים באבטחה ומעדכנים את המערכות שלהם. גם כדאי לעקוב אחרי החדשות בתחום ולהיות מודעים לאיומים חדשים.
בניית תרבות של אבטחה
בסופו של דבר, אבטחת מידע היא לא רק עניין טכני. זה עניין של תרבות ארגונית. האם אנשים חושבים על אבטחה בהחלטות היומיומיות? האם יש לגיטימציה לדווח על בעיות? האם ההנהלה מראה דוגמה אישית?
בתאגיד גדול, בניית תרבות כזו דורשת מאמץ משמעותי. צריך להגיע לאלפי אנשים, לשנות התנהגויות מושרשות ולהתמודד עם התנגדויות.
בעסק קטן, בעל העסק קובע את הטון. אם הוא מתייחס לאבטחה ברצינות, גם העובדים יתייחסו. אם הוא מזלזל, אף אחד אחר לא יתייחס ברצינות.
ההבדלים בין אבטחת מידע של עסק קטן לתאגיד גדול הם משמעותיים, אבל העיקרון הבסיסי זהה. כל ארגון צריך להגן על המידע שלו ברמה שמתאימה לסיכונים ולמשאבים שלו.
עסק קטן צריך להתמקד בבסיס: עדכונים, סיסמאות, גיבויים והדרכה. זה לא עולה הרבה אבל נותן הגנה טובה מרוב האיומים. תאגיד גדול צריך מערך מקיף יותר, אבל לא להתעלם מהבסיס.
הדבר החשוב ביותר הוא לא לחשוב שזה לא יקרה לנו. איומי סייבר הם מציאות שכל עסק מתמודד איתה, בין אם הוא מודע לכך ובין אם לא. מי שייערך מראש יהיה במצב טוב יותר כשהאיום יתממש.
הצטרפו אל קבוצת הווצאפ וקבלו עדכונים שוטפים: להצטרפות הקליקו כאן
ניתן לדווח על חדשות אל העורך האחראי דני בלר בטלפון 052-2394026 או במייל office@br7news.co.il
על פי ''שימוש הוגן'' המעוגן בסעיף 19 לחוק זכויות יוצרים, התשס"ח-2007. מערכת ‘’חדשות באר שבע והנגב 24/7" מכבדת זכויות יוצרים ועושה כל מאמץ לאתר את בעלי הזכויות בצילומים המועברים אלינו, לעיתים תוך כדי התרחשות חדשותית. אם זיהיתם בכתבות או הידיעות צילום שיש לכם זכויות בו, אתם רשאים לפנות למערכת ולבקש לחדול מהשימוש באמצעות כתובת המייל: office@br7news.co.il
