הביטחון שלך מתחיל מגלישה מאובטחת
אבטחה היא לא בין הדברים הראשונים שעליהם חושבים בהקמת אתר. לרוב, יש למקימי האתר מטרות שונות בהקמתו, ובאופן טבעי מתמקדים בהן. איומי האבטחה לא בהכרח נשמעים כדבר דחוף או משמעותי, ופעמים רבות פשוט לא מודעים להיקפם. במקביל, הוצאה על אבטחה עשויה להיתפס כדבר שלא מייצר כסף ולכן לקבל עדיפות נמוכה בתקצוב. ובכל זאת - חשוב מאוד שהאתר שתקימו יהיה מאובטח היטב. כיצד עושים זאת? ומדוע זה חשוב?
מחשבים משמשים אותנו למגוון רחב ביותר של משימות. אחד השימושים העיקריים והחשובים ביותר הם השימוש ברשת האינטרנט, בין אם מדובר בצרכי עסקים וניהול העסק, ובין אם מדובר בצרכים פרטיים. עקב הסיכונים הגדולים שגלומים בשימוש ברשת זו, אבטחת מחשבים חייבת להתייחס להיבט זה בצורה יסודית. מה זה אומר בפועל? מה החשיבות המיוחדת שיש לכך בעסקים? וכיצד משיגים בפועל, את המטרה של גלישה בטוחה ויעילה?
מהי גלישה מאובטחת?
גלישה מאובטחת היא גלישה באמצעות הדפדפן שמתבצעת תחת בקרה ואמצעי הגנה מפני מתקפות שונות. חלק מאמצעי ההגנה בנויים מנהלים והרגלי שימוש נכון המוגדרים מראש, וחלק משלבים תוכנות הגנה שונות שמגנות על המחשב של המשתמש במקרים של פריצות או מתקפות.
מה צריך לעשות כדי לגלוש באופן מאובטח?
- נהלים טובים ומתורגלים – עוד לפני פתיחת דפדפן, חשוב להגדיר נהלי גלישה מאובטחת ושימוש בדפדפן. חשוב לגבש נהלים ברורים, כך שכולם ידעו מה מותר ואסור לעשות, למשל, לא להיכנס לאתר שבכתובת שלו אין HTTPS.
כך גם תדעו מתי חווים פרצות אבטחה או שחשופים לכאלה. כדאי שתהיה מדיניות גם ובמיוחד לגבי סוג האתרים שאליהם גולשים וכאלה שלא. יש מצבים שבהם אנשים פרטיים וגם עובדים בעסקים גולשים לעתים קרובות לאתרים חדשים. כתוצאה מכך, זה רק עניין של זמן עד שהם ייתקלו באתרים עם תכנים מסוכנים. חשוב לגבש נהלים גם למקרים שבהם יש פרצות אבטחה, כדי לדעת למי מדווחים ומה עושים במקרה של בעיה. נהלים שמוכנים מראש באופן מקצועי ומסודר וגם מתורגלים, מצמצמים טעויות מסוכנות במצבים חריגים. הם מסייעים לצמצם נזקים ומאפשרים להתאושש מהם בהקדם.
- חיבור בטוח – דבר נוסף שכדאי לקחת בחשבון כבר מעצם החיבור לרשת האינטרנט, הוא שהחיבור הוא מעין תשתית עם רמת אבטחה מסוימת משלה. ספק האינטרנט עשוי להציע שירותי עזר כגון סינון תכנים. ציוד התקשורת שלכם כמו נתבים עשויים להיות ברמות אבטחה שונות. רשת אלחוטית עשויה להיות רגישה במיוחד מבחינת אבטחה וכן הלאה. תשתית זו עשויה לכלול עזרי אבטחה כגון פיירוול או Virtual Private Network. אם היא לא מוגנת היטב מראש, התשתית עשויה לשמש לתקיפת המחשבים שלכם, גם בלי קשר לגלישה עצמה.
- דפדפן עמיד – כלי העבודה המרכזי עבור גלישה באינטרנט הוא הדפדפן. מדובר לכאורה בתוכנה שמבצעת פעולה פשוטה למדי. בפועל, דפדפנים מודרניים עשויים להיות מורכבים למדי, במיוחד אם הם כוללים תוספי דפדפן רבים. המורכבות מספקת פוטנציאל רב לתקיפה והאקינג. בכל מקרה, הדפדפנים המובילים כוללים הגדרות רבות אשר משפיעות על אבטחת הגלישה, כולל הגדרות ספציפית לנושא זה וגם לנושא הפרטיות שקשור אליו, למשל הגדרות בנושא ”עוגיות”. יש בין הדפדפנים השונים הבדלים מסוימים מבחינת אבטחה, וכן דפדפנים וגרסאות דפדפנים אשר מתמקדות במיוחד בכך.
- הפעלה מוגנת – דפדפן לא פועל סתם כך בפני עצמו. יש שכבת תוכנה "מתחתיו", שהיא חשובה ביותר בהקשר האבטחה: מערכת ההפעלה. את מערכת ההפעלה חשוב במיוחד לאבטח, עם הגדרות מתקדמות ועם עדכון מתמיד. כמובן, חיוני לעבוד עם מערכת הפעלה עדכנית, ויש חשיבות גם לבחירת מערכת ההפעלה. אנשים פרטיים וגם אנשי עסקים משתמשים במערכות ההפעלה חלונות או MacOS, ובעסקים מתבצע שימוש די נרחב גם בלינוקס, שהיא מערכת הפעלה ברמת אבטחה גבוהה למדי, עם אפשרויות התאמה אישית מתקדמות מאוד.
- זיהוי סיכונים בזמן אמת – על המחשב יכולים וצריכים להיות מנגנוני עזר, לזיהוי סיכונים בגלישה באופן מיידי. אלה מתבטאים באופנים רבים, כולל תוכנות אבטחה, תוספי דפדפן וגם כיווני דפדפן. באמצעותם, תוכלו לקבל אינדיקציות ואף להיחסם לפני אינטראקציה עם קישורים מסוכנים, אתרים ללא HTTPS, תכני אתר מסוכנים ועוד.
- הגנות יעילות – אם וכאשר גולשים באינטרנט ועומדים בפני מתקפה של ממש, חשוב שיהיו אמצעי הגנה שיוכלו לבלום זאת. מדובר בתשתיות התוכנה הרגילות להגנת מחשבים, כגון תוכנות נגד נוזקה וחומת אש.
מה החשיבות לגלישה מאובטחת בעסק?
גלישה מאובטחת חשובה תמיד, אך עבור עסקים היא כמעט בעלת חשיבות קריטית. בעסק ממוצע, פעילות כזו עשויה להתרחש במקביל על ידי אנשים רבים ודי בעובד אחד ש"מסתבך" באתר מסוכן, כדי לפתוח פתח לפגיעה בעסק כולו. הסיכונים עבור ארגונים בהקשר זה, כוללים היבטים מיוחדים שאין לגבי משתמשי אינטרנט פרטיים, למשל הפרדה בין גלישה לאתרים פנים ארגוניים (ב"אינטרא נט") לבין גלישה באתרים חיצוניים. אם תתרחש פריצה לעסק בעקבות גלישה לא זהירה, הדבר עשוי להתבטא גם בהיבטים שנוגעים ללקוחות, כגון פרטיות, בהפרת חובות חוק ורגולציה, בפגיעה במוניטין העסק, ועוד. תקריות אבטחה חמורות עלולות לפגוע בהמשכיות העסקית ואף לגרום לנזקים כספיים ניכרים (למשל במקרה של סוחטה). על רקע כל זאת, מיושמות בעסקים שיטות מתקדמות יותר מאשר אצל אנשים פרטיים, לשם הגנה על הגלישה. אלה עשויות לכלול למשל:
- נהלים – יש לגבש נהלים ברורים ולשפר אותם באופן מתמיד בכל הנוגע לאבטחת המחשוב, כולל גלישה מאובטחת. בעסקים עשוי להיות למשל שימוש נרחב בהעברת קבצים בדואר אלקטרוני, ואולי גם שימוש בשירותי קיצור קישורים. שני אלה הם פתח לתקיפות מסוגים שונים וצריך לדעת כיצד וממה להיזהר לגביהם.
- אחראי אבטחה – מומלץ למנות עובד מומחה בנושא האבטחה או יועצים לנושא זה. אחראי האבטחה יוכל לרכז את הנושא, לטפל באופן שוטף בהבטחת מצב אבטחה אופטימאלי, להדריך ולהיות הכתובת לפניה במקרים חשודים כאלה ואחרים. במקרי אבטחה, הוא יוכל לחקור אותם ובעקבות זאת להסיק מסקנות, להפיק לקחים ולשפר את הנהלים.
- הדרכה ותרגול – נהלים לא שווים הרבה אם לא מכירים אותם ופועלים לפיהם. עסקים מסודרים מקיימים הדרכות שיטתיות לעובדים, כולל לגבי סיכונים בגלישה באינטרנט ומסבירים כיצד לנהוג במצבים שונים.
- בקרה – פיקוח על המתרחש ברשתות הארגון ובגלישת העובדים מאפשר זיהוי ותגובה מהירה של מצבי סיכון. הבקרה מתבטאת גם ברישום מידע רלוונטי שמפיקות מערכות שונות, כולל מערכות אבטחה, וניתוח שלו באופן יזום.
- בלימה מראש – ניתן להגדיר חסימת גישה לאתרים מסוימים או הרשאת גישה רק לאתרים ספציפיים. גישות אלה, ידועות כגישות של "רשימה שחורה" ו"רשימה לבנה" וניתן גם לשלב בין שתיהן.
- תוכנות ושירותי עזר שונים – מוצעים במגוון רחב עבור עסקים, ברמות תחכום ועלויות שבדרך כלל רואים בעיקר או רק בעסקים. למשל כלי עזר לנושא Security information and event management (SIEM).
חמישה טיפים לגלישה מאובטחת
אבטחה יסודית של הגלישה ברשת האינטרנט חייבת לקחת בחשבון נקודות רבות למדי. היא גם חלק ממכלול רחב של ניהול האבטחה בעסק או טיפול בנושא זה באופן פרטי. אלה חמישה טיפים, שמדגימים צעדים מעשיים כאלה לאבטחת הגלישה:
- כיוון דפדפנים – כל דפדפן שבו משתמשים צריך להיות מותאם ומוגדר היטב, כולל בהקשרי האבטחה. לעתים קרובות, גם לגבי אנשים פרטיים, נעשה שימוש ביותר מדפדפן אחד. זהו פתח למצב שבו דברים נופלים בין הכיסאות, למשל אם משתמשים בעיקר בדפדפן מסוג אחד, אבל פעם בחודש נאלצים להשתמש בדפדפן אחר, בגלל ענייני תאימות לאתר מסוים. במקרה כזה, הדפדפן שפחות בשימוש עלול להיות מעט מוזנח מבחינת תשומת הלב שהוא מקבל. זו עשויה להיות כמובן נקודת תורפה.
- עדכונים – עדכון כל המערכות שקשורות בגלישה חשוב ביותר ומומלץ בכל מקרה, ולא רק מסיבות של אבטחה. החל מעדכון קושחה של נתבים, דרך עדכון מערכות הפעלה ועד עדכון דפדפנים ועוד. עדכונים כאלה מספקים תיקונים מהירים של פרצות אבטחה חדשות שמתגלות, לפני שתוקפים מספיקים לנצל אותן לרעה. הדבר חשוב ביותר בדיוק מאחר שפרצות כאלה הן ערוץ תקיפה בולט ומוכר.
- תוספי דפדפן – האפשרות להתקין תוספי דפדפן שונים, היא דבר מקובל בכל הדפדפנים הבולטים. היא מספקת ערוץ נוח מאוד להרחבת יכולות הדפדפן ולהתאמתו האישית לדרישותיכם, וכך גם לגבי אבטחת הגלישה. יש לא מעט תוספים שמתמקדים ביכולת אבטחה ספציפית. לכן, מומלץ לבצע בחירה חכמה של אוסף תוספים כזה והקפדה על עדכונם השיטתי, בהתאם למערכות האבטחה האחרות שיש לכם, מאחר שרצוי להימנע מכפילויות ו"התנגשויות" בפעילות.
- לא רק אתרים – גלישה ברשת האינטרנט מתבטאת לא רק באתרים, אלא גם ברשתות חברתיות ובשימוש בדואר אלקטרוני, מסרים מידיים או וועידות וידאו. אם משתמשים למשל בווטסאפ או Zoom, תוכנות אלה בעצמן עלולות לפתוח פתח לתקיפה. לכן חשוב להיות מודעים למערכות האלה שבהן משתמשים דרך האינטרנט, להתעמק בכיוונים שלהן כולל מהיבט האבטחה ולהקפיד על עדכונן המסודר.
- התאוששות מאסון – עבור מקרי חירום שונים, תוכלו להסתייע בשירות DRP (תכנית התאוששות מאסון – Disaster Recovery Plan). שירות כזה מספק מנגנונים נוחים לגיבוי בענן ולשחזור בסיוע אוטומציה. על שירות כזה משלמים בהתאם להיקף המשאבים שצורכים, והוא שימושי לא רק בהקשר גלישה וסכנותיה, אלא בכלל. בעסקים חשוב לקחת בחשבון את האפשרות להשתמש בשירותים מסוג זה. זאת, לצד שירותים כגון אחסון בענן, אבטחת מידע בענן ולבעלי אתרים, שירות עזר להבטחת אתר מאובטח, שיכולים לסייע בהשגת המטרה הזו.
לסיכום
גלישה חכמה ברשת האינטרנט תיקח תמיד בחשבון את היבט האבטחה. אם תטפלו בכך באופן מחושב ומראש, תזכו בראש שקט שיאפשר לכם להשתמש באינטרנט באופן שוטף, מבלי לדאוג יותר מדי, וכמובן ללא תקריות אבטחה חמורות. אם תתרחש תקרית כזו, צעדי האבטחה השונים עשויים לצמצם את הנזק מראש, לחשוף את הסיכון בהקדם ולהקל על ההתאוששות.