המצגת מציגה פרקטיקות לשיפור אבטחת המידע של עובדים בארגונים. היא מבוססת על המלצות של ארגונים ברחבי העולם, כולל מרכזי CERT ופרוייקטים ייעודיים לשיפור אבטחת המידע במדינות שונות. המצגת מיועדת לעובדים עצמם (ולא לצוות ה-IT), ומציגה נושאים כגון אבטחת מידע אישי, מודעות לפישינג ושיטות פריצה, ססמאות, מסירת ואיבוד מידע, ועוד.
The Open Web Platform and You! [Executive version]
אבטחת מידע לעובדים בארגון
1. אבטחת מידע ברמת הפרט
אייל סלע
מנהל פרויקטים, איגוד האינטרנט הישראלי ומשרד ה- W3Cהישראלי
המצגת ניתנת לשימוש באופן חופשי, ללא תשלום או תנאים מגבילים למעט ייחוס לאיגוד
האינטרנט הישראלי, כפי שמופיע ב"רישון ייחוס 5.2 ישראל (5.2 ")CC BY
מידע נוסף על רישיון השימוש: creativecommons.org/licenses/by/2.5/il
הנ"ל אינו תקף לתמונות וחומרים מממקורות חיצוניים.
2. 1. מבוא
2. הגנו על המחשב
3. הגנו על מידע רגיש
4. היזהרו מחוץ לארגון
5. סיכום ומידע נוסף
3
3. איגוד האינטרנט הישראלי
שלוחת האיגוד הבינלאומי
עמותה ללא מטרת רווח
קידום האינטרנט והטמעתו בישראל כתשתית
טכנולוגית, מחקרית, חינוכית, חברתית ועסקית
4
10. תוכנה זדונית באתר אמנסטי הבינלאומי
• דוגמא לאתר לגיטימי שהודבק.
• הדבקת המשתמשים התבססה
על פרצת אבטחה
0when bad things happen on good sites | Ars Technica - j.mp/KDkUz
11
11. כמה דברים חשובים לדעת על תוכנות
• פוטנציאל הגישה – בלתי מוגבל
• המנעו מהתקנת תוכנות שאינן נחוצות
• חפשו סימני אמינות (אבל, זה קשה עד בלתי אפשרי).
21
12. קישורים וקבצים
• קישור לא חייב להיות מה שכתוב (איך רואים קישור
לפני לחיצה עליו)
• אימייל אפשר לזייף ממש בקלות - כולל שולח
• קובץ עשוי להיות וירוס או תוכנת מעקב.
31
13. בנק ישראל זימן את מנהלי האבטחה בבנקים
לדיון דחוף
“התולעת שהתגלתה בבנק
מעידה על רמות תחכום
גבוהה. היא הוסתרה בקובץ
פאואר פוינט שנשלח
למספר עובדים… עם
הפעלתה ניסתה הרוגלה
לבצע שליחה של מידע
לשרתים הממוקמים
באיראן"
01681/TheMarker IT - it.themarker.com/tmit/article
41
15. נעלו את המערכת והמחשב
• כשעוזבים את השולחן - WIN + L
• נעילת מערכת אוטומטית לאחר כמה דקות
• נעלו את המחשב בסוף היום (אם צריך...)
61
16. האם יש וירוס?
(סימנים מעידים, אך לא מחייבים...)
• מחשב איטי
• קורס
• התנהגויות יוצאות דופן אחרות
71
17. הגנה על מכשירים ניידים
• שמרו עליהם כמו על הארנק
• הסיכון שבהעברת מידע – האם הוא כדאי במקרה
של אבדן או גניבה?
• USBעשוי להדביק בוירוס – גם אם הוא שלכם
(ונדבק ממחשב אחר).
Cyber Threats to Mobile Phones – US-CERT - j.mp/KD40kb
81
18. הגנה על מכשירים ניידים
• נעילת מסך
• אפשרות איתור או מחיקה מרחוק
• שימו לב אילו אפליקציות אתם מתקינים, ומה
ההרשאות שלהן
Cyber Threats to Mobile Phones – US-CERT - j.mp/KD40kb
91
19. 1. מבוא
2. הגנו על המחשב
3. הגנו על מידע רגיש
4. היזהרו מחוץ לארגון
5. סיכום ומידע נוסף
02
20. !חישבו
עצרו וחישבו לפני מסירת מידע וביצוע פעולות
Stop. Think. Connect
|national Cybersecurity Awareness Campaign - http://j.mp/KpfulD
21
23. פישינג - דוגמא
לקוח נכבד,
כדי להבטיח שאתה מוגן תמיד, אנחנו מציגים תכנית
חדשה
על אבטחה בשם בנק מאובטחת ותראה כמה יוזמות
זה יהיה לשים במקום לשפר את חוויית בנקאות
האינטרנט שלך.
המשך למדוד את האבטחה החדשים, הרישומים שלנו
מצביעים על חשבונך היה מסומן ויש תולדה שגיאה
פנימית על המעבד שלנו.
מטעמי אבטחה, עליך לעדכן את החשבון שלך
לשחזר גישה מלאה בנקאות מקוונת שלך.
אנא לחץ כאן כדי להשלים לעדכן את החשבון שלך.
הרשם כדי להתחיל
תהליך האימות.
http://j.mp/JyFuBp בנקאות ישירה
42 בנק לאומי
24. התוצאה: אתרים למכירת פרטי אשראי גנובים
SOCA & FBI seize 36 Criminal Credit Card Stores - j.mp/K3mQOP
25
28. איך מזהים הונאה?
אחד או יותר מהסימנים הבאים יעלה חשד:
– תוכן מדאיג/מפחיד ודחוף
– שגיאות כתיב או תחביר
– הצעות שהן טובות מידי מכדי להיות אמיתיות...
– בקשה למידע רגיש
92
29. למשל...
• "חשבונך ייסגר אם לא תפעל כעת"
• "בכדי לזכות בפרס, אנא שלח את פרטי חשבון הבנק"
• "וואו, אני לא מאמין שפרסמת את התמונה הזו"
03
30. גם בטלפון
• מסירת פרטים מזהים ומידע רגיש (ובכלל) בטלפון
• למי? למה? האם הוא צריך אותם?
7 - j.mp/KDd5tשם חדש למנהג ישן Social Engineering
13
31. איך מוודאים?
• יוצרים קשר בערוץ אחר עם השולח (אך לא פרטי
קשר שהופיעו בהודעה...)
• מחפשים את אתר החברה באינטרנט / מקלידים
כתובת האתר אם יודעים אותה
23
32. מסקנה
חישבו לפני שאם לוחצים או
מוסרים מידע
33
33. ססמאות
• לא לשתף!
• ססמה שונה בין אתרים
• לא לשמור על המחשב (בלי הצפנה)
43
34. ססמה חזקה
– לפחות 8 תווים
– אותיות גדולות, קטנות, מספרים, סמלים ותווים אחרים
(למשל - % ,$ ,# ,@ ,!)
– לא דברים ברורים... (תאריכים, ת.ז, שמות, רצף מספרים)
– לא מילים שמופיעות במילון
53
35. 1. מבוא
2. הגנו על המחשב
3. הגנו על מידע רגיש
4. היזהרו מחוץ לארגון
5. סיכום ומידע נוסף
63
36. אינטרנט אלחוטי
כשאינו מוצפן – חשוף במיוחד! •
התחברו ל-WPA •
הכירו את מי שאתם מתחברים אליו (שימו לב לשם, •
וודאו אותו).
HTTPS •
Tips for Using Public Wi-Fi Networks | OnGuard Online - j.mp/K3So7l
73
38. מסקנה
ברשת ציבורית - הימנעו
מהעברת מידע, התקנת תוכנה
וביצוע פעולות רגישות
93
39. מכשיר אבד או נגנב
• להודיע מיד למחלקת המחשוב
• להחליף ססמאות
• אם אפשר – מחיקת מידע מרחוק
04
40. רשתות חברתיות
• שימו לב איזה מידע אתם מוסרים
• היו מודעים לכך שאחרים מודעים לו...
• המנעו משיחה על נושאי עבודה שאינם ראויים – תמיד
הניחו שהמידע חשוף
14
41. דוגמא – דליפת מידע
• אירועים אחרונים של מידע שנחשף כתוצאה מפריצה
לאתרים ('ההאקר הסעודי' וכדומה)
24
42. 1. מבוא
2. הגנו על המחשב
3. הגנו על מידע רגיש
4. היזהרו מחוץ לארגון
5. סיכום ומידע נוסף
34
43. סיכום
חישבו לפני שאם לוחצים או מוסרים מידע •
ברשת ציבורית - המנעו מהעברת מידע, התקנת •
תוכנה וביצוע פעולות רגישות
התקינו תוכנות שאתם מכירים, שבחרתם להתקין, •
ושמגיעות ממקור אמין
המנעו מהתקנת תוכנות שאינן נחוצות •
44
44. קראו עוד
gov.il - כיצד להגן על הפרטיות ברשת ובסלולר •
Outlook - זיהוי דואר אלקטרוני מזויף ומזימות דיוג •
Office.com
אבטחת מידע – ויקיספר •
onguardonline.gov •
IT Security Training Handbook | Sophos •
Everything About Passwords and Internet Security •
45
45. מקורות ושותפים
:• שותפים בהכנת המצגת
Defcon 9723 – איציק קוטלר, שירית פלמון, קבוצת
• מקורות
• "Internet Safety at Work" here:http://www.uschamber.com/issues/technology/internet-
security-essentials-business
• הרשות הממלכתית לאבטחת מידע
• http://www.cpni.gov.uk/Security-Planning/Staff-training-and-
communications/workplace-security/
• Protect Your Employees | Stay Safe Online
• Cyber Security Guidance
• 2011 Cost of Data Breach Study
• Negligent Employees Cause Most Data Breaches; Mobile Is Key Factor
• FBI — Protect Your Computer
46
46. אייל סלע
eyal@isoc.org.il
@isociltech @eyalsela
השתמשו במצגת! j.mp/infosecb
המצגת ניתנת לשימוש באופן חופשי, ללא תשלום או תנאים מגבילים למעט ייחוס לאיגוד
האינטרנט הישראלי, כפי שמופיע ב"רישון ייחוס 5.2 ישראל (5.2 ")CC BY
מידע נוסף על רישיון השימוש: creativecommons.org/licenses/by/2.5/il
הנ"ל אינו תקף לתמונות וחומרים מממקורות חיצוניים.
74