חיבור עובדים מהבית? רק בזהירות!

על רקע משבר נגיף הקורונה

״כמות הכופרות זה משהו מטורף עכשיו…

ארגונים פותחים גישת VPN כאשר לעובדים רבים – הסיסמאות לא בטוחות מספיק! ״

זהו ציטוט מהבוקר משיחה עם מומחה בינלאומי להגנת סייבר. לדבריו, על רקע משבר נגיף הקורונה, ניכרת עלייה דרמטית בהיקף מתקפות כופרה (Ransomware), שמנצלות דווקא את המגמה לאפשר לעובדים רבים יותר לעבוד מהבית.

איך זה קשור?

בתוך האווירה הלחוצה שנוצרה, להרבה מהארגונים לא היה זמן להיערך כראוי, והמיקוד היה בביצוע פעולות בסיסיות בלבד: לוודא שלעובד/ת יש מחשב בבית, חיבור אינטרנט טוב מספיק, והבנה של איך להתחבר לעבודה מהבית.

מה הבעיה? מסתבר שלא מעט ארגונים איפשרו חיבור מהבית על בסיס סיסמה בלבד, בזמן שלמשתמשים רבים יש סיסמה באיכות ירודה, והרי ידוע שכל מתקפת סייבר מחפשת חוליה חלשה כדי להיכנס דרכה לארגון ולפעול בתוכו. 

כל ״כניסה״ לארגון (גם בעבודה מהבית) מתחילה באימות זהות המשתמש (שם משתמש + סיסמה, או אמצעי אימות אחר). שימוש באימות מבוסס סיסמה בלבד אינו נחשב לבטוח מספיק, ולפיכך יש להקפיד כי סיסמאות משתמשים הן באיכות מספקת! 

אז מה עושים מיידית?

לארגונים שמאפשרים אימות משתמש באמצעות סיסמה בלבד, אנו ממליצים לנקוט בשתי פעולות מיידיות:

  1. יש להפיק רשימה של משתמשים בעלי סיסמאות שאינן בטוחות לשימוש. קיימים לכך כלים רבים, חלקם אף ללא עלות (פנה כאן למידע נוסף)
  2. כחלק מהפעולות לחיבור עובד מהבית, יש לוודא תחילה, שינוי סיסמא של המשתמש לסיסמה איכותית*

*סיסמה איכותית: עומדת בחוקיות מבנה סיסמה (Password Policy), וגם אינה נכללת ברשימות סיסמאות שנחשפו באינטרנט (common passwords)

ואיך עושים את זה עוד יותר טוב?

ככלל, אין לאפשר גישה למשאבים ארגוניים רק על בסיס סיסמה. 

ההמלצה הרווחת היא ליישם שיטות הזדהות ״חזקות״ יותר, המשלבות אמצעים כמו קוד חד פעמי מתחלף ואף אמצעים ביומטרים. קיימות כיום לא מעט חלופות זולות מאד (חלקן בחינם) להשגת הזדהות חזקה.

בנוסף, ראוי לציין כי לא מעט יצרנים בתחום אבטחת המידע, מאפשרים שימוש ללא עלות במוצריהם, לפחות לתקופה הקרובה של משבר נגיף הקורונה. אנו ממליצים לבדוק זאת עם ספק שירותי אבטחת המידע שלכם.

בברכת בריאות טובה לכולם,

פרולינק ניהול זהויות