אבטחת מידע לעובדים בארגון

אבטחת מידע ברמת הפרט

אייל סלע הישראלי-W3C איגוד האינטרנט הישראלי ומשרד ה, מנהל פרויקטים

ללא תשלום או תנאים מגבילים למעט ייחוס לאיגוד , המצגת ניתנת לשימוש באופן חופשי

("CC BY 2.5)ישראל 2.5רישון ייחוס "כפי שמופיע ב, האינטרנט הישראלי /il/5.2creativecommons.org/licenses/by: מידע נוסף על רישיון השימוש

.תמונות וחומרים מממקורות חיצונייםל אינו תקף ל"הנ

3

מבוא1.

הגנו על המחשב2.

הגנו על מידע רגיש3.

היזהרו מחוץ לארגון4.

סיכום ומידע נוסף5.

4

איגוד האינטרנט הישראלי

שלוחת האיגוד הבינלאומי

עמותה ללא מטרת רווח

קידום האינטרנט והטמעתו בישראל כתשתית

חברתית ועסקית, חינוכית, מחקרית, טכנולוגית

5

נקודות מפתח

אתם חשובים•

שלךוהאחריות האישית , החשיבות•

היו מודעים וערניים•

...יש כמה כללים•

6

מהי הסיבה

העיקרית לדליפת ?מידע בארגונים

7

רשלנות עובדים.

Via Ponemon Institute LLC - http://j.mp/JyBQYg

8

קצת פילוסופיה

עלות לעומת תועלת= אבטחת מידע •

צריך היגיון בריא•

9

מבוא1.

הגנו על המחשב2.

הגנו על מידע רגיש3.

היזהרו מחוץ לארגון4.

סיכום ומידע נוסף5.

10

עדכנו תוכנות

מערכת ההפעלה•

תוכנות מותקנות •

הדפדפן –

אנטיוירוס–

אחרות–

...למשל

11

תוכנה זדונית באתר אמנסטי הבינלאומי

when bad things happen on good sites | Ars Technica - j.mp/KDkUz0

.דוגמא לאתר לגיטימי שהודבק•

הדבקת המשתמשים התבססה• על פרצת אבטחה

12

כמה דברים חשובים לדעת על תוכנות

בלתי מוגבל –פוטנציאל הגישה •

המנעו מהתקנת תוכנות שאינן נחוצות•

(.זה קשה עד בלתי אפשרי, אבל)חפשו סימני אמינות •

13

קישורים וקבצים

איך רואים קישור )קישור לא חייב להיות מה שכתוב •

(לפני לחיצה עליו

כולל שולח -אימייל אפשר לזייף ממש בקלות •

.קובץ עשוי להיות וירוס או תוכנת מעקב•

14

בנק ישראל זימן את מנהלי האבטחה בבנקים לדיון דחוף

TheMarker IT - it.themarker.com/tmit/article/18610

התולעת שהתגלתה בבנק “

מעידה על רמות תחכום

היא הוסתרה בקובץ . גבוהה

פאואר פוינט שנשלח עם … למספר עובדים

הפעלתה ניסתה הרוגלה

לבצע שליחה של מידע

לשרתים הממוקמים "באיראן

15

מסקנה

, מכיריםהתקינו תוכנות שאתם

ושמגיעות , להתקיןשבחרתם

ממקור אמין

המנעו מהתקנת תוכנות שאינן

נחוצות

16

נעלו את המערכת והמחשב

WIN + L -כשעוזבים את השולחן •

נעילת מערכת אוטומטית לאחר כמה דקות•

...(אם צריך)נעלו את המחשב בסוף היום •

17

?האם יש וירוס

...(אך לא מחייבים, סימנים מעידים)

מחשב איטי •

קורס•

התנהגויות יוצאות דופן אחרות•

18

הגנה על מכשירים ניידים

Cyber Threats to Mobile Phones – US-CERT - j.mp/KD40kb

כמו על הארנקשמרו עליהם •

האם הוא כדאי במקרה –הסיכון שבהעברת מידע •

?של אבדן או גניבה

•USB גם אם הוא שלכם –עשוי להדביק בוירוס

(.ונדבק ממחשב אחר)

19

הגנה על מכשירים ניידים

Cyber Threats to Mobile Phones – US-CERT - j.mp/KD40kb

נעילת מסך•

מרחוקאיתור או מחיקה אפשרות •

ומה , אתם מתקינים אפליקציותשימו לב אילו •

ההרשאות שלהן

20

מבוא1.

הגנו על המחשב2.

הגנו על מידע רגיש3.

היזהרו מחוץ לארגון4.

סיכום ומידע נוסף5.

21

!חישבו

|national Cybersecurity Awareness Campaign - http://j.mp/KpfulD

עצרו וחישבו לפני מסירת מידע וביצוע פעולות

Stop. Think. Connect

22

www.phishtank.com

הונאות פישינג פעילות 4,711: 2012מאי 17

פישינג והנדסה חברתית

23

24

דוגמא -פישינג

http://j.mp/JyFuBp

, לקוח נכבד

אנחנו מציגים תכנית , כדי להבטיח שאתה מוגן תמיד

חדשה

על אבטחה בשם בנק מאובטחת ותראה כמה יוזמות

זה יהיה לשים במקום לשפר את חוויית בנקאות

. האינטרנט שלך

הרישומים שלנו , המשך למדוד את האבטחה החדשים

מצביעים על חשבונך היה מסומן ויש תולדה שגיאה

. פנימית על המעבד שלנו

עליך לעדכן את החשבון שלך , מטעמי אבטחה

. לשחזר גישה מלאה בנקאות מקוונת שלך

. אנא לחץ כאן כדי להשלים לעדכן את החשבון שלך

הרשם כדי להתחיל

. תהליך האימות

בנקאות ישירה

בנק לאומי

25

אתרים למכירת פרטי אשראי גנובים: התוצאה

SOCA & FBI seize 36 Criminal Credit Card Stores - j.mp/K3mQOP

26

https

.הצפנה מהמחשב ועד האפליקציה

https://www.facebook.com

http://www.facebook.com

(HTTPS Anywhere https://www.eff.org/https-everywhere)

27

...כמה קל לזייף אתר

הדגמה

28

נגד פעילים סורים –מזוייף YouTubeאתר

eff.org - j.mp/K3eFC6

29

?איך מזהים הונאה

:אחד או יותר מהסימנים הבאים יעלה חשד

מפחיד ודחוף/תוכן מדאיג–

שגיאות כתיב או תחביר–

...הצעות שהן טובות מידי מכדי להיות אמיתיות–

בקשה למידע רגיש–

30

...למשל

"חשבונך ייסגר אם לא תפעל כעת"•

"אנא שלח את פרטי חשבון הבנק, בכדי לזכות בפרס"•

"אני לא מאמין שפרסמת את התמונה הזו, וואו"•

31

גם בטלפון

Social Engineering שם חדש למנהג ישן - j.mp/KDd5t7

בטלפון ( ובכלל)מסירת פרטים מזהים ומידע רגיש •

?האם הוא צריך אותם? למה? למי•

32

?איך מוודאים

אך לא פרטי )עם השולח קשר בערוץ אחר יוצרים •

...(קשר שהופיעו בהודעה

מקלידים / אתר החברה באינטרנט מחפשים את •

כתובת האתר אם יודעים אותה

33

מסקנה

או לוחצים חישבו לפני שאם מידעמוסרים

34

ססמאות

!לא לשתף•

בין אתריםשונה ססמה •

(בלי הצפנה)לא לשמור על המחשב •

35

ססמה חזקה

תווים 8לפחות –

סמלים ותווים אחרים, מספרים, קטנות, אותיות גדולות– (% ,$ ,# ,@ ,! -למשל )

(רצף מספרים, שמות, ז.ת, תאריכים... )לא דברים ברורים–

לא מילים שמופיעות במילון–

36

מבוא1.

הגנו על המחשב2.

הגנו על מידע רגיש3.

היזהרו מחוץ לארגון4.

סיכום ומידע נוסף5.

37

אינטרנט אלחוטי

Tips for Using Public Wi-Fi Networks | OnGuard Online - j.mp/K3So7l

!חשוף במיוחד –כשאינו מוצפן •

WPA-התחברו ל•

, שימו לב לשם)הכירו את מי שאתם מתחברים אליו •

(.וודאו אותו

•HTTPS

38

firesheep -דוגמא

39

מסקנה

הימנעו -ברשת ציבורית

התקנת תוכנה , מהעברת מידע פעולות רגישותוביצוע

40

מכשיר אבד או נגנב

להודיע מיד למחלקת המחשוב•

להחליף ססמאות•

מחיקת מידע מרחוק –אם אפשר •

41

רשתות חברתיות

שימו לב איזה מידע אתם מוסרים•

...היו מודעים לכך שאחרים מודעים לו•

תמיד –המנעו משיחה על נושאי עבודה שאינם ראויים •

הניחו שהמידע חשוף

42

דליפת מידע –דוגמא

אירועים אחרונים של מידע שנחשף כתוצאה מפריצה •

(וכדומה' ההאקר הסעודי')לאתרים

43

מבוא1.

הגנו על המחשב2.

הגנו על מידע רגיש3.

היזהרו מחוץ לארגון4.

סיכום ומידע נוסף5.

44

סיכום

חישבו לפני שאם לוחצים או מוסרים מידע•

התקנת , המנעו מהעברת מידע -ברשת ציבורית •

תוכנה וביצוע פעולות רגישות

, שבחרתם להתקין, התקינו תוכנות שאתם מכירים•

ושמגיעות ממקור אמין

המנעו מהתקנת תוכנות שאינן נחוצות•

45

קראו עוד

- gov.il כיצד להגן על הפרטיות ברשת ובסלולר•

Outlook- זיהוי דואר אלקטרוני מזויף ומזימות דיוג •Office.com

ויקיספר –אבטחת מידע •

•onguardonline.gov

•IT Security Training Handbook | Sophos

•Everything About Passwords and Internet Security

46

מקורות ושותפים

:שותפים בהכנת המצגת•

Defcon 9723קבוצת , שירית פלמון, איציק קוטלר–

מקורות•• "Internet Safety at Work" here:http://www.uschamber.com/issues/technology/internet-

security-essentials-business

• הרשות הממלכתית לאבטחת מידע

• http://www.cpni.gov.uk/Security-Planning/Staff-training-and-communications/workplace-security/

• Protect Your Employees | Stay Safe Online

• Cyber Security Guidance

• 2011 Cost of Data Breach Study

• Negligent Employees Cause Most Data Breaches; Mobile Is Key Factor

• FBI — Protect Your Computer

47

אייל סלע

eyal@isoc.org.il

@isociltech @eyalsela

!השתמשו במצגת

ללא תשלום או תנאים מגבילים למעט ייחוס לאיגוד , המצגת ניתנת לשימוש באופן חופשי

("CC BY 2.5)ישראל 2.5רישון ייחוס "כפי שמופיע ב, האינטרנט הישראלי /il/5.2creativecommons.org/licenses/by: מידע נוסף על רישיון השימוש

.תמונות וחומרים מממקורות חיצונייםל אינו תקף ל"הנ

j.mp/infosecb