מתקפה על ארגון הומניטרי: הרקע והיקף האירוע
קבוצת התקיפה הנדלה פרסמה לאחרונה טענה לפיה פרצה לרשת המחשבים של הקרן לרווחת נפגעי השואה, עמותה הפועלת לשיפור איכות חייהם של ניצולי השואה ולאפשר להם לחיות בכבוד. לפי הפרסום, הקבוצה הצליחה לחלץ כ-800 ג'יגה-בייט של מידע מהרשת הפנימית של הארגון.
אירוע מסוג זה מדגיש עובדה מטרידה: ארגונים ללא מטרות רווח, עמותות ומוסדות סיוע אינם חסינים מפני מתקפות סייבר ממוקדות. נהפוך הוא, לעיתים קרובות הם נחשבים יעד אטרקטיבי בשל רמת ההגנה הנמוכה יחסית ועושר הנתונים האישיים הרגישים שהם מחזיקים.
מדוע ארגוני סיוע הם יעד לתוקפים?
ארגונים הומניטריים מחזיקים בדרך כלל במאגרי מידע עשירים הכוללים פרטים אישיים, רפואיים, פיננסיים ומשפחתיים של אוכלוסיות פגיעות. בשילוב עם תקציבי אבטחת מידע מוגבלים, מצב זה יוצר פער משמעותי בין ערך המידע לרמת ההגנה עליו.
- מידע אישי רגיש: שמות, כתובות, מצב בריאותי ונתונים פיננסיים של מוטבים.
- תשתית אבטחה מוגבלת: רוב העמותות אינן מעסיקות צוות אבטחת מידע ייעודי.
- מינוף תדמיתי: תקיפה של ארגון הומניטרי מייצרת לקבוצות תקיפה חשיפה תקשורתית רחבה.
הלקח העסקי: אבטחה אינה פריבילגיה של ארגונים גדולים
אירועים כמו זה מדגישים שאבטחת מידע אינה נחלתם הבלעדית של תאגידים גדולים. כל ארגון שמנהל מידע על אנשים, בין אם מדובר בלקוחות, מוטבים או עובדים, נושא באחריות משפטית ומוסרית להגן על אותו מידע.
ב-R.A.S Systems אנו רואים שוב ושוב כיצד ארגונים שהשקיעו בתשתית מידע מוסדרת ובמערכות ליבה מאובטחות מצליחים לצמצם משמעותית את שטח התקיפה שלהם. מערכת מידע מתוכננת נכון מגדירה הרשאות גישה, מפרידה בין מאגרי נתונים ומייצרת יכולת ניטור וזיהוי חריגות בזמן אמת. אלה אינם בגדר יתרונות אופציונליים, אלא שכבת הגנה בסיסית שכל ארגון חייב לאמץ.
צעדים מיידיים שכל ארגון יכול לנקוט
- מיפוי מאגרי המידע הקיימים וסיווג רמת הרגישות שלהם.
- הגדרת הרשאות גישה על בסיס עיקרון ה"צורך לדעת" בלבד.
- ביצוע גיבויים מוצפנים ומנותקים מהרשת הפנימית.
- הדרכת עובדים בזיהוי ניסיונות פישינג והנדסה חברתית.
- בדיקות חדירה תקופתיות לאיתור חולשות לפני שתוקפים מנצלים אותן.
כאשר מדובר בניצולי שואה, אנשים שחוו פגיעה קשה בכבודם ובפרטיותם, חשיפת המידע האישי שלהם מהווה פגיעה כפולה. האחריות לשמירה על אותו מידע אינה רק טכנית אלא גם ערכית עמוקה, וזכרה צריכה לעמוד לנגד עיני כל מנהל שמחליט להשקיע, או לא להשקיע, באבטחת המידע של הארגון שלו.