המצגת מציגה פרקטיקות לשיפור אבטחת המידע של עובדים בארגונים. היא מבוססת על המלצות של ארגונים ברחבי העולם, כולל מרכזי CERT ופרוייקטים ייעודיים לשיפור אבטחת המידע במדינות שונות. המצגת מיועדת לעובדים עצמם (ולא לצוות ה-IT), ומציגה נושאים כגון אבטחת מידע אישי, מודעות לפישינג ושיטות פריצה, ססמאות, מסירת ואיבוד מידע, ועוד.

1. ‫אבטחת מידע ברמת הפרט‬
‫אייל סלע‬
‫מנהל פרויקטים, איגוד האינטרנט הישראלי ומשרד ה-‪ W3C‬הישראלי‬
‫המצגת ניתנת לשימוש באופן חופשי, ללא תשלום או תנאים מגבילים למעט ייחוס לאיגוד‬
‫האינטרנט הישראלי, כפי שמופיע ב"רישון ייחוס 5.2 ישראל (5.2 ‪")CC BY‬‬
‫מידע נוסף על רישיון השימוש: ‪creativecommons.org/licenses/by/2.5/il‬‬
‫הנ"ל אינו תקף לתמונות וחומרים מממקורות חיצוניים.‬

2. ‫1. מבוא‬
‫2. הגנו על המחשב‬
‫3. הגנו על מידע רגיש‬
‫4. היזהרו מחוץ לארגון‬
‫5. סיכום ומידע נוסף‬
‫3‬

3. ‫איגוד האינטרנט הישראלי‬
‫שלוחת האיגוד הבינלאומי‬
‫עמותה ללא מטרת רווח‬
‫קידום האינטרנט והטמעתו בישראל כתשתית‬
‫טכנולוגית, מחקרית, חינוכית, חברתית ועסקית‬
‫4‬

4. ‫נקודות מפתח‬
‫אתם חשובים‬ ‫•‬
‫החשיבות, והאחריות האישית שלך‬ ‫•‬
‫היו מודעים וערניים‬ ‫•‬
‫יש כמה כללים...‬ ‫•‬
‫5‬

5. ‫מהי הסיבה‬
‫העיקרית לדליפת‬
‫מידע בארגונים?‬
‫6‬

6. .‫רשלנות עובדים‬
7 Via Ponemon Institute LLC - http://j.mp/JyBQYg

7. ‫קצת פילוסופיה‬
‫• אבטחת מידע = עלות לעומת תועלת‬
‫• צריך היגיון בריא‬
‫8‬

8. ‫1. מבוא‬
‫2. הגנו על המחשב‬
‫3. הגנו על מידע רגיש‬
‫4. היזהרו מחוץ לארגון‬
‫5. סיכום ומידע נוסף‬
‫9‬

9. ‫עדכנו תוכנות‬
‫• מערכת ההפעלה‬
‫• תוכנות מותקנות‬
‫– הדפדפן‬
‫– אנטיוירוס‬
‫– אחרות‬
‫למשל...‬
‫01‬

10. ‫תוכנה זדונית באתר אמנסטי הבינלאומי‬
‫• דוגמא לאתר לגיטימי שהודבק.‬
‫• הדבקת המשתמשים התבססה‬
‫על פרצת אבטחה‬
‫0‪when bad things happen on good sites | Ars Technica - j.mp/KDkUz‬‬
‫11‬

11. ‫כמה דברים חשובים לדעת על תוכנות‬
‫• פוטנציאל הגישה – בלתי מוגבל‬
‫• המנעו מהתקנת תוכנות שאינן נחוצות‬
‫• חפשו סימני אמינות (אבל, זה קשה עד בלתי אפשרי).‬
‫21‬

12. ‫קישורים וקבצים‬
‫• קישור לא חייב להיות מה שכתוב (איך רואים קישור‬
‫לפני לחיצה עליו)‬
‫• אימייל אפשר לזייף ממש בקלות - כולל שולח‬
‫• קובץ עשוי להיות וירוס או תוכנת מעקב.‬
‫31‬

13. ‫בנק ישראל זימן את מנהלי האבטחה בבנקים‬
‫לדיון דחוף‬
‫“התולעת שהתגלתה בבנק‬
‫מעידה על רמות תחכום‬
‫גבוהה. היא הוסתרה בקובץ‬
‫פאואר פוינט שנשלח‬
‫למספר עובדים… עם‬
‫הפעלתה ניסתה הרוגלה‬
‫לבצע שליחה של מידע‬
‫לשרתים הממוקמים‬
‫באיראן"‬
‫01681/‪TheMarker IT - it.themarker.com/tmit/article‬‬
‫41‬

14. ‫מסקנה‬
‫התקינו תוכנות שאתם מכירים,‬
‫שבחרתם להתקין, ושמגיעות‬
‫ממקור אמין‬
‫המנעו מהתקנת תוכנות שאינן‬
‫נחוצות‬
‫51‬

15. ‫נעלו את המערכת והמחשב‬
‫• כשעוזבים את השולחן - ‪WIN + L‬‬
‫• נעילת מערכת אוטומטית לאחר כמה דקות‬
‫• נעלו את המחשב בסוף היום (אם צריך...)‬
‫61‬

16. ‫האם יש וירוס?‬
‫(סימנים מעידים, אך לא מחייבים...)‬
‫• מחשב איטי‬
‫• קורס‬
‫• התנהגויות יוצאות דופן אחרות‬
‫71‬

17. ‫הגנה על מכשירים ניידים‬
‫• שמרו עליהם כמו על הארנק‬
‫• הסיכון שבהעברת מידע – האם הוא כדאי במקרה‬
‫של אבדן או גניבה?‬
‫• ‪ USB‬עשוי להדביק בוירוס – גם אם הוא שלכם‬
‫(ונדבק ממחשב אחר).‬
‫‪Cyber Threats to Mobile Phones – US-CERT - j.mp/KD40kb‬‬
‫81‬

18. ‫הגנה על מכשירים ניידים‬
‫• נעילת מסך‬
‫• אפשרות איתור או מחיקה מרחוק‬
‫• שימו לב אילו אפליקציות אתם מתקינים, ומה‬
‫ההרשאות שלהן‬
‫‪Cyber Threats to Mobile Phones – US-CERT - j.mp/KD40kb‬‬
‫91‬

19. ‫1. מבוא‬
‫2. הגנו על המחשב‬
‫3. הגנו על מידע רגיש‬
‫4. היזהרו מחוץ לארגון‬
‫5. סיכום ומידע נוסף‬
‫02‬

20. !‫חישבו‬
‫עצרו וחישבו לפני מסירת מידע וביצוע פעולות‬
Stop. Think. Connect
|national Cybersecurity Awareness Campaign - http://j.mp/KpfulD
21

21. ‫פישינג והנדסה חברתית‬
‫71 מאי 2102: 117,4 הונאות פישינג פעילות‬
‫‪www.phishtank.com‬‬
‫22‬

22. 23

23. ‫פישינג - דוגמא‬
‫לקוח נכבד,‬
‫כדי להבטיח שאתה מוגן תמיד, אנחנו מציגים תכנית‬
‫חדשה‬
‫על אבטחה בשם בנק מאובטחת ותראה כמה יוזמות‬
‫זה יהיה לשים במקום לשפר את חוויית בנקאות‬
‫האינטרנט שלך.‬
‫המשך למדוד את האבטחה החדשים, הרישומים שלנו‬
‫מצביעים על חשבונך היה מסומן ויש תולדה שגיאה‬
‫פנימית על המעבד שלנו.‬
‫מטעמי אבטחה, עליך לעדכן את החשבון שלך‬
‫לשחזר גישה מלאה בנקאות מקוונת שלך.‬
‫אנא לחץ כאן כדי להשלים לעדכן את החשבון שלך.‬
‫הרשם כדי להתחיל‬
‫תהליך האימות.‬
‫‪http://j.mp/JyFuBp‬‬ ‫בנקאות ישירה‬
‫42‬ ‫בנק לאומי‬

24. ‫התוצאה: אתרים למכירת פרטי אשראי גנובים‬
SOCA & FBI seize 36 Criminal Credit Card Stores - j.mp/K3mQOP
25

25. https
.‫הצפנה מהמחשב ועד האפליקציה‬
https://www.facebook.com
http://www.facebook.com
(HTTPS Anywhere https://www.eff.org/https-everywhere)
26

26. ‫כמה קל לזייף אתר...‬
‫הדגמה‬
‫72‬

27. ‫אתר ‪ YouTube‬מזוייף – נגד פעילים סורים‬
‫6‪eff.org - j.mp/K3eFC‬‬
‫82‬

28. ‫איך מזהים הונאה?‬
‫אחד או יותר מהסימנים הבאים יעלה חשד:‬
‫– תוכן מדאיג/מפחיד ודחוף‬
‫– שגיאות כתיב או תחביר‬
‫– הצעות שהן טובות מידי מכדי להיות אמיתיות...‬
‫– בקשה למידע רגיש‬
‫92‬

29. ‫למשל...‬
‫• "חשבונך ייסגר אם לא תפעל כעת"‬
‫• "בכדי לזכות בפרס, אנא שלח את פרטי חשבון הבנק"‬
‫• "וואו, אני לא מאמין שפרסמת את התמונה הזו"‬
‫03‬

30. ‫גם בטלפון‬
‫• מסירת פרטים מזהים ומידע רגיש (ובכלל) בטלפון‬
‫• למי? למה? האם הוא צריך אותם?‬
‫7‪ - j.mp/KDd5t‬שם חדש למנהג ישן ‪Social Engineering‬‬
‫13‬

31. ‫איך מוודאים?‬
‫• יוצרים קשר בערוץ אחר עם השולח (אך לא פרטי‬
‫קשר שהופיעו בהודעה...)‬
‫• מחפשים את אתר החברה באינטרנט / מקלידים‬
‫כתובת האתר אם יודעים אותה‬
‫23‬

32. ‫מסקנה‬
‫חישבו לפני שאם לוחצים או‬
‫מוסרים מידע‬
‫33‬

33. ‫ססמאות‬
‫• לא לשתף!‬
‫• ססמה שונה בין אתרים‬
‫• לא לשמור על המחשב (בלי הצפנה)‬
‫43‬

34. ‫ססמה חזקה‬
‫– לפחות 8 תווים‬
‫– אותיות גדולות, קטנות, מספרים, סמלים ותווים אחרים‬
‫(למשל - % ,$ ,# ,@ ,!)‬
‫– לא דברים ברורים... (תאריכים, ת.ז, שמות, רצף מספרים)‬
‫– לא מילים שמופיעות במילון‬
‫53‬

35. ‫1. מבוא‬
‫2. הגנו על המחשב‬
‫3. הגנו על מידע רגיש‬
‫4. היזהרו מחוץ לארגון‬
‫5. סיכום ומידע נוסף‬
‫63‬

36. ‫אינטרנט אלחוטי‬
‫כשאינו מוצפן – חשוף במיוחד!‬ ‫•‬
‫התחברו ל-‪WPA‬‬ ‫•‬
‫הכירו את מי שאתם מתחברים אליו (שימו לב לשם,‬ ‫•‬
‫וודאו אותו).‬
‫‪HTTPS‬‬ ‫•‬
‫‪Tips for Using Public Wi-Fi Networks | OnGuard Online - j.mp/K3So7l‬‬
‫73‬

37. firesheep - ‫דוגמא‬
38

38. ‫מסקנה‬
‫ברשת ציבורית - הימנעו‬
‫מהעברת מידע, התקנת תוכנה‬
‫וביצוע פעולות רגישות‬
‫93‬

39. ‫מכשיר אבד או נגנב‬
‫• להודיע מיד למחלקת המחשוב‬
‫• להחליף ססמאות‬
‫• אם אפשר – מחיקת מידע מרחוק‬
‫04‬

40. ‫רשתות חברתיות‬
‫• שימו לב איזה מידע אתם מוסרים‬
‫• היו מודעים לכך שאחרים מודעים לו...‬
‫• המנעו משיחה על נושאי עבודה שאינם ראויים – תמיד‬
‫הניחו שהמידע חשוף‬
‫14‬

41. ‫דוגמא – דליפת מידע‬
‫• אירועים אחרונים של מידע שנחשף כתוצאה מפריצה‬
‫לאתרים ('ההאקר הסעודי' וכדומה)‬
‫24‬

42. ‫1. מבוא‬
‫2. הגנו על המחשב‬
‫3. הגנו על מידע רגיש‬
‫4. היזהרו מחוץ לארגון‬
‫5. סיכום ומידע נוסף‬
‫34‬

43. ‫סיכום‬
‫חישבו לפני שאם לוחצים או מוסרים מידע‬ ‫•‬
‫ברשת ציבורית - המנעו מהעברת מידע, התקנת‬ ‫•‬
‫תוכנה וביצוע פעולות רגישות‬
‫התקינו תוכנות שאתם מכירים, שבחרתם להתקין,‬ ‫•‬
‫ושמגיעות ממקור אמין‬
‫המנעו מהתקנת תוכנות שאינן נחוצות‬ ‫•‬
‫44‬

44. ‫קראו עוד‬
gov.il - ‫כיצד להגן על הפרטיות ברשת ובסלולר‬ •
Outlook - ‫זיהוי דואר אלקטרוני מזויף ומזימות דיוג‬ •
Office.com
‫אבטחת מידע – ויקיספר‬ •
onguardonline.gov •
IT Security Training Handbook | Sophos •
Everything About Passwords and Internet Security •
45

45. ‫מקורות ושותפים‬
:‫• שותפים בהכנת המצגת‬
Defcon 9723 ‫– איציק קוטלר, שירית פלמון, קבוצת‬
‫• מקורות‬
• "Internet Safety at Work" here:http://www.uschamber.com/issues/technology/internet-
security-essentials-business
• ‫הרשות הממלכתית לאבטחת מידע‬
• http://www.cpni.gov.uk/Security-Planning/Staff-training-and-
communications/workplace-security/
• Protect Your Employees | Stay Safe Online
• Cyber Security Guidance
• 2011 Cost of Data Breach Study
• Negligent Employees Cause Most Data Breaches; Mobile Is Key Factor
• FBI — Protect Your Computer
46

46. ‫אייל סלע‬
‫‪eyal@isoc.org.il‬‬
‫‪@isociltech @eyalsela‬‬
‫השתמשו במצגת! ‪j.mp/infosecb‬‬
‫המצגת ניתנת לשימוש באופן חופשי, ללא תשלום או תנאים מגבילים למעט ייחוס לאיגוד‬
‫האינטרנט הישראלי, כפי שמופיע ב"רישון ייחוס 5.2 ישראל (5.2 ‪")CC BY‬‬
‫מידע נוסף על רישיון השימוש: ‪creativecommons.org/licenses/by/2.5/il‬‬
‫הנ"ל אינו תקף לתמונות וחומרים מממקורות חיצוניים.‬
‫74‬