המלצות הגנה לארגונים ועסקים לעבודה מהבית בעקבות התפשטות נגיף הקורונה

המלצות להגנה על רשת הארגון

מה העובדים ומה הארגון נדרשים לעשות על מנת להגן על הארגון?

• רצוי כי הגישה מרחוק תתבצע מאמצעי קבוע אשר מוכר לאיש/אשת המחשוב של הארגון.

• יש לבחון הענקת הרשאות גישה מרחוק לתיקיות מחשוב. מומלץ להתיר גישה לתיקיות חיוניות בלבד.

• מומלץ להפריד גישה לדוא"ל לבין גישה לשרת/תיקיות/נכסים רגישים. לאחר בחינה ארגונית ובמידה והמסקנה היא כי הדבר הכרחי, מומלץ לפתוח את הגישה לפרק הזמן הנדרש בלבד באמצעות איש המחשוב הארגוני.

• הסרת הרשאות גישה של העובדים למערכות ארגוניות/ממשקים שאינם חיוניים – הגדירו הרשאות גישה עבור תוכנות הרלוונטיות לממשקי העבודה בלבד (לדוגמה: במידה ומנהלת הכספים נדרשת לעבוד מהבית, אפשרו גישה למערכת השכר לפרק הזמן הנדרש בלבד). אחת לתקופה, בדקו האם ההרשאות אשר הוקנו עדיין רלוונטיות ואם לא, הסירו את ההרשאות שאינן נדרשות.

• ביצוע גיבויים לכל המכשירים ולמידע האגור בהם. במקרה של פריצה או השבתה של המכשיר, ניתן יהיה לשחזר את המידע. עדיף לבצע את הגיבוי להתקן חיצוני נייד וכן גיבוי בענן.

• הגדרת מדיניות אכיפת הגדרת סיסמאות מורכבות וקשות לניחוש באמצעות מנגנון ניהול המשתמשים (כגון GPO במיקרוסופט), ואילוץ המשתמש להחליף סיסמה באופן עיתי, במידת האפשר גם הגדרת OTP- one time password כאמצעי זיהוי נוסף.

• יש להגדיר כי חיבור המשתמשים (Session) יהיה לפרק זמן מוגבל (X דקות/שעות).

• יש לוודא בחוקת ה-Fire-Wall (הארגוני והמקומי) טיוב חוקים אשר מאפשרים גישה מרחוק, כך שגישה זו תצומצם למינימום וכן כי מתקבלים לוגים לתיעוד ההתחברות. בנוסף, מומלץ להגדיר מדינות ואזורים אשר מורשים להתחבר לארגון. לטיוב החוקה ב-FW המקומי מבוסס מערכת ההפעלה של Microsoft, היכנסו. 

• לארגונים להם יש בנוסף Fire-Wall ארגוני של יצרן אחר, יש לפנות ליצרן לטובת הנחיות לטיוב החוקה.

למתקדמים:

• במחשב נייח/נייד, יש להגביל את הגישה לשורת פקודה (דוגמת PowerShell) כך שלא יהיה ניתן להריץ סקריפטים שמקורם לא ידוע, או שמקורם ממחשב אחר.
• מומלץ לאפשר לעובדים התחברות דרך ממשק מאובטח (כגון Terminal Services).
• הקלטת ה-session ושמירת ההקלטה לפרק זמן קבוע (חודשים/שבועות).

מודעות עובדים

בעת מתן אישור לעובד לעבודה מרחוק, חשוב לבצע הדרכת מודעות קצרה, שתכלול את הנקודות הבאות:

• חשיבות נעילת המכשיר באמצעות סיסמה חזקה, אמצעי ביומטרי, קוד, או נעילת דפוס וכן הגדרת נעילה אוטומטית לאחר אי-שימוש במשך זמן קצוב (רצוי לבחור כהגדרת מחדל את המינימום האפשרי).
• הפעלת אימות דו שלבי (2FA)בכל מכשיר וכל חשבון המאפשר זאת.
• ניהול שתי תיבות דוא"ל נפרדות – אחת לעבודה ואחת לפעילות פרטית, יצירת סיסמה שונה עבור כל חשבון וכן וידוא הפעלת אימות דו-שלבי.
• הימנעות ככל האפשר מלהתחבר לרשת Wi-Fi מזדמנת (של השכנים לדוגמה) שאינה מאובטחת ולהעדיף להתחבר באמצעות VPN או רשת סלולרית. במידה וניתן להתחבר רק מרשת ה- Wi-Fi הביתית יש לוודא כי הרשת פרטית וכי מוגדרת סיסמת כניסה מורכבת שאינה ברירת המחדל של היצרן ואשר לא בוצע בה שימוש בחשבון אחר שברשותו.
• לרוב, הנתב הביתי בעל אבטחה לקויה וקל לפרוץ אותו ולכן חשוב לבצע מספר צעדים פשוטים כדי לאבטחו. להרחבה. 
• מומלץ כאמור כי יוגדר שעדכוני תוכנה יבוצעו אוטומטית, אולם אם לא בוצעה הגדרה זו אז טרם מסירת המחשב לעובדים, יש להדריך אותם כיצד לבצע עדכוני תוכנה וכן אודות תדירות העדכון הנדרשת.
• יש לחדד ערנות מפני ניסיונות דיוג (פישינג על כל סוגיו) המתקבלים בערוצי התקשורת השונים (פרטי וארגוני) וכן חובת עדכון העובדים את ה-IT או הנהלה בכל חשד לניסיון שכזה.
   

המלצות הגנה עבור העובדים – ציוד מחשוב ומידע

מומלץ לוודא כי על אמצעי המחשוב בבית -מחשב נייח/נייד/טאבלט/סמארטפון:

• כלל המכשירים ברשות העובדים, הארגוניים והאישיים – נעולים בסיסמה – PIN, נעילת דפוס, ביומטרי, כרטיס חכם וכדומה. 
• מותקנת תוכנת אנטי וירוס (Anti-Virus) מעודכנת. התוכנה מבצעת סריקה בניסיון לאתר וירוסים ואיומי מחשב שונים.
• מותקנת במכשיר תוכנת חומת אש (Fire-Wall) מעודכנת.
• במחשבי נייח/נייד בהן מותקנת מערכת Microsoft חשוב לוודא כי Windows Defender אכן מופעל (על ידי התחלה -> הגדרות -> אבטחה)
• מותקן VPN (רשת וירטואלית פרטית) להתחברות מאובטחת ופרטית בין העובדים למשאבי הארגון וכן הפעלת אימות דו שלבי/רב גורמי (2FA /MFA) בשימוש בדרך זו – בעדיפות לאימות זיהוי שאינו מבוסס מסרון (SMS).
• הגדרת ביצוע עדכוני תוכנה אוטומטית לכלל התוכנות במכשיר (מומלץ להגדיר עדכונים לשעות הלילה), כולל דפדפנים. בנוסף, חשוב לבצע עדכון יזום במכשירים החכמים למערכת ההפעלה מיד עם פרסומם. במידה ותוכנה מסוימת אינה מאפשרת עדכונים אוטומטיים, מומלץ לשים תזכורת לבחון באופן חודשי את עדכניות התוכנה מול אתר האינטרנט של היצרן, ולבצע עדכון ידני בעת הצורך.