באבטחת ממד הסייבר, ארגונים קטנים ובינוניים מקיימים לא מעט טעויות בנוגע לניהול נכון מול האיומים אשר צפויים לפגוע משמעותית במידע שבו הם מחזיקים. מחשוב ענן הוא מרכיב חיוני במרחב הדיגיטלי של ימינו.

כיום, יותר סביר שתשתיות IT, פלטפורמות ותוכנות יסופקו כשירות מאשר בצורה המסורתית, על גבי המחשבים עצמם. המודל הזה מושך עסקים קטנים-בינוניים יותר מכל מגזר לקוחות אחר.

מחשוב ענן מאפשר לארגונים אלו להיות ברמה דומה לזו של יריביהם הגדולים יותר, תומך בגמישות העסק ובגדילה מהירה, ומבלי לשבור חסכונות. הצעד הראשון לקראת התמודדות עם האתגרים האלה הוא הבנת הטעויות העיקריות שעסקים קטנים מבצעים עם שירותי הענן שלהם. 

 

עוד ב-

ברקע מתקפת הסייבר על משרד המשפטים: המהלך שחסך מאות אלפי שקלים

לכתבה המלאה

צמצום הנקודות המתות האלה יסייע לארגון שלכם לצעוד מרחק אדיר לקראת מיצוי מיטבי של השימוש במשאבי הענן, מבלי לחשוף את עצמו לסיכון פוטנציאלי אדיר לכספו או למוניטין שלו.

7 הטעויות העיקריות של עסקים קטנים - בינוניים באבטחת שירותי ענן לפי חברת אבטחת המידע ESET:

1. הזנחת שימוש באימות רב שלבי: סיסמאות סטטיות הן לא בטוחות מיסודן, ולא כל עסק מקפיד על מדיניות טובה מספיק להגדרת סיסמאות. ניתן לגנוב סיסמאות בדרכים שונות, כמו מתקפת פישינג, שיטות לפריצה בכוח (Brute-force) או באמצעות ניחוש פשוט.

לכן, עליכם להוסיף שכבת אימות נוספת בדמות אימות רב-שלבי, שתקשה על התוקפים לגשת לחשבונות של שירותי הענן שלכם, וכך תצמצם את הסיכון הנובע מכופרות, גניבת נתונים והשלכות אחרות. אפשרות אחרת כוללת מעבר לשיטות אימות אחרות, במידת האפשר, כמו אימות ללא סיסמה.

2. הסתמכות על ספק שירותי הענן: רבים ממנהלי ה-IT מאמינים שהמשמעות של השקעה בענן היא העברת האחריות לגורם חיצוני אמין. זה נכון רק באופן חלקי. בפועל, ישנו מודל אחריות משותפת לאבטחת הענן, המחולק בין ספק שירותי הענן ובין הלקוח. החלק לו אתם אמורים לדאוג תלוי בסוג שירות הענן (תוכנה, תשתית או פלטפורמה) ובספק השירות. אך גם כאשר מרבית האחריות מוטלת על ספק השירות (למשל, בתוכנות SaaS), כדאי להשקיע בכלי בקרה חיצוניים נוספים.

3. הזנחת גיבויים: כמו בעיקרון הקודם, אל תניחו שספק שירותי הענן (במקרה הזה, שירותי שיתוף קבצים ואחסון, למשל) שומר עליכם. תמיד כדאי להתכונן למקרה הגרוע מכל, שככל הנראה יהיה קריסת מערכות או מתקפת סייבר. לא רק הנתונים האבודים יזיקו לעסק שלכם, אלא גם זמן השבתה ופגיעה בפרודוקטיביות שיכולים לנבוע מתקרית סייבר.

4. הזנחת עדכוני אבטחה: אם לא תתקינו עדכוני אבטחה בזמן, אתם תחשפו את מערכות הענן שלכם לניצול פרצות אבטחה. זה יכול לגרום בתורו להדבקה בנוזקות, להדלפת נתונים ועוד. ניהול עדכוני אבטחה זו פרקטיקה אבטחתית בסיסית, שרלוונטית גם לשירותי ענן ממש כפי שהיא רלוונטית לאפליקציות המותקנות ישירות על המחשב.

5. הגדרה שגויה של הענן: ספקי שירותי ענן דוגלים בחדשנות. אך הכמות האדירה של אפשרויות ויכולות שהם משיקים בעקבות משובי לקוחות עשויה ליצור סביבת ענן מורכבת מאוד לעסקים קטנים-בינוניים רבים. כך הרבה יותר קשה לדעת אילו הגדרות הן הבטוחות ביותר. בין הטעויות הנפוצות – הגדרת אחסון הענן כך שכל גורם חיצוני יכול לגשת אליו, והשארת פורטים פתוחים.

6. הימנעות מניטור תעבורת הענן: כיום, נהוג להגיד שפריצה לסביבת הענן היא לא שאלה של ״אם״ אלא שאלה של ״מתי״. לכן, חשוב מאוד לזהות ולהגיב במהירות אם אתם מזהים את הסימנים המקדימים, כך שתוכלו להכיל מתקפה לפני שהיא מסוגלת להשפיע על הארגון. לכן, ניטור מתמשך הוא בגדר חובה.

7. הזנחת הצפנה של הנכסים החשובים של החברה: אף סביבה אינה חסינה ב-100% מפני פריצות. אם כך, מה יקרה אם גורם זדוני יצליח להגיע לנתונים הפנימיים הרגישים ביותר שלכם, או למידע אישי של עובדים או לקוחות? הצפנה של הנתונים האלה בזמן אחסון והעברה מבטיח שלא יהיה ניתן להשתמש בנתונים האלה, גם אם מישהו מצליח לשים את ידיו עליו.