בימים האחרונים נחשפנו למקרה סייבר מטריד ויוצא דופן ברשת המזון “שפע ברכת השם”. התוקפים לא ביקשו כופר, לא הצפינו קבצים ולא גנבו כרטיסי אשראי. הם פשוט השתמשו בגישה מרחוק כדי להפעיל את מצב ההפשרה במקררים התעשייתיים. התוצאה: סחורה בשווי אדיר הושמדה, ונזק תפעולי ותדמיתי כבד נגרם לרשת.
אם אתם רואי חשבון, עורכי דין, פסיכולוגים או מנהלי קליניקות, אתם בטח שואלים את עצמכם: “מה הקשר בין מקררים לבין המשרד שלי?”.
התשובה פשוטה ומפחידה: הקשר הוא הגישה מרחוק. האירוע הזה הוא לא אירוע “IT” רגיל, הוא אירוע תפעולי ובטיחותי ממדרגה ראשונה, והוא מוכיח שוב שסייבר זה כבר מזמן לא רק “במחשב”, אלא גם במקרר, במזגן, וברשת המשרדית שלכם. האקטיביסטים של היום לא צריכים את הכסף שלכם; הם רק צריכים “לסובב כפתור” כדי לגרום לכם לנזק אדיר ואובדן אמון הלקוחות.
הסכנה האמיתית לעסק שלכם: לא רק “פדיחה”, אלא אחריות פלילית ועיצומים כספיים אישיים
הלקח מאירוע המקררים הוא שהאקרים מחפשים את הפרצות הכי קלות והכי מפתיעות. עבור בעל מקצוע חופשי, הפרצה הזו היא בדרך כלל המחשב הנייד, הרשת הביתית ממנה הוא עובד, או שרת הקבצים הלא-מוגן במשרד.
אם אתם שומרים מידע רגיש על הלקוחות שלכם – תעודות זהות, נתונים פיננסיים, מסמכים משפטיים או סיכומי טיפול רפואי – חוקי המשחק השתנו דרמטית. תיקון 13 לחוק הגנת הפרטיות (שנכנס לתוקף ומעניק סמכויות אכיפה חסרות תקדים לרשות להגנת הפרטיות) ותקנה 13 לתקנות אבטחת מידע (שמדברת על חובת הדיווח) הם “שיניים” חדשות וחדות שהחוק קיבל.
הנה מה שזה אומר הלכה למעשה, בעידן שאחרי התיקון:
- קנסות ענק אישיים ללא משפט (תיקון 13): הרשות להגנת הפרטיות כבר לא צריכה לגרור אתכם לבית המשפט. היא רשאית להטיל עליכם – כבעלי העסק, אישית – עיצומים כספיים של מאות אלפי שקלים אם יתגלה שלא יישמתם אמצעי אבטחה סבירים כדי להגן על המידע של הלקוחות שלכם. בעיני החוק, האחריות על שמירת הסודיות חלה גם על המחשב הנייד שלכם ועל הרשת במשרד.
- חובת דיווח מיידית (תקנה 13): אתם מחויבים לדווח לרשות להגנת הפרטיות על כל אירוע אבטחה חמור באופן מיידי. אי דיווח הוא עבירה פלילית. דמיינו שפרצו לכם למחשב, גנבו את כל תיקי הטיפול של הלקוחות, ואתם נאלצים לא רק להתמודד עם הפריצה, אלא גם לדווח על כך לרשויות, מה שיוביל לחקירה נגדכם.
אל תהיו המטרה הקלה: איך מתגוננים בעידן הגישה מרחוק ותיקון 13?
מקרה המקררים קרה כי בסיס ההגנה היה חסר: בקרי הקירור היו חשופים לרשת הציבורית ללא הפרדת רשתות, ללא VPN ובלי לוגים. בעלי עסקים, תתעוררו! 📢 אם יש לכם מערכות בקרה בעסק – מזגנים, מצלמות, או שרתי קבצים – לכו לבדוק עכשיו מי יכול לגשת אליהן מרחוק.
עבור בעל מקצוע חופשי, הצעדים הבאים הם המינימום הנדרש כדי להימנע מ”אירוע תפעולי” משלכם, וחשוב מכך, כדי לעמוד בדרישות החוק החדשות:
- מעבר ל-EDR (ניטור רציף): במקום לחכות שהאקר יצפין לכם את המידע, התקינו מערכת EDR מתקדמת שיודעת לזהות התנהגות חריגה (Threat Hunting) ולעצור את התוקף באותו רגע.
- ביטול גישה ישירה (Zero Trust): אל תאפשרו גישה מרחוק למשאבי המשרד ללא אימות חזק וחיבור מאובטח (VPN). אימוץ ארכיטקטורת Zero Trust מוודא שהגישה ניתנת רק למי שצריך ולמכשיר שצריך.
- הצפנת כוננים: ודאו שהדיסק הקשיח שלכם (בנייד ובמשרד) מוצפן לחלוטין (BitLocker / FileVault).
- גיבוי מנותק: החזיקו לפחות גיבוי אחד שהוא Offline לחלוטין, שלא מחובר לרשת, כדי שתוכלו להתאושש ממתקפת כופר.
אל תשחקו רולטה רוסית עם הרישיון המקצועי שלכם ועם הפרטיות של האנשים שסומכים עליכם. קחו אחריות על המידע.
כתיבת תגובה
יש להתחבר למערכת כדי לכתוב תגובה.