המלצות אבטחת מידע ופרטיות – מלחמת חרבות ברזל

בימים קשים אלו, צצות יוזמות פרטיות אשר מנסות לגשר על הפערים הקיימים ולתווך בין אנשים הזקוקים לסיוע, לאלו שיכולים ורוצים לתת אותו.

יוזמות אלו הן מבורכות, ולרוב מתבצעות במימד הדיגיטלי (אתר, קישור למסמך, אפליקציה וכו').

לצד היוזמות והברכה שביוזמות אלו, ישנם לא מעט סיכונים חבויים, הן כמי שמרים יוזמה כזו והן למשתמש הבודד בצריכת התוכן או הזנת נתונים ליישומים אלו.

הנחות עבודה

  • לאויב יש אינטרס לייצר לחץ פסיכולוגי ותודעתי. הפצה של פייקניוז, ופעילות תודעה הינה חלק מהמערכה.
  • טלפונים סלולריים של כמה מאלו שאינם בין החיים נלקחו, והאויב מתחבר לקבוצות הווטסאפ שלהם, לפרופיל הלינקדין ולרשתות חברתיות שלהם. דוגמא לכך, ראינו כאשר אחד המחבלים רצח קשישה, והעלה סרטון לפרופיל הפייסבוק של הנרצחת.
  • קבצים שיתופיים אינם מנהלים גרסאות בצורה יעילה, באופן שבו אם גורם עוין ישנה את הטלפון או הכתובת בעמודה/שורה מסוימת, הדבר לא יעורר חשד אצל רוב האנשים.
  • אנו לרוב נוטים לסמוך על הודעות שמתקבלות ממקור איתו יש לנו היכרות אישית. בימים אלו, יש לבחון בזהירות הנחת מוצא זו, עד לחזרה לשגרה.
  • רוב הודעות על מתקפת סייבר הינן פייק. הפצתן אינה מסייעת, ואף גורמת לנזק. מומלץ לפעול בהתאם להמלצות פיקוד העורף בנושא (האם המידע הגיע ממקור מהימן? האם שיתופו עלול לפגוע במישהו? האם הפצת המידע יכולה לסייע איכשהו?)

סיכונים ותרחישים לדוגמא

  • האויב רואה ברשתות את התמונה של האדם שנעדר, מתקשר למשפחה ומנסה לסחוט אותה בתמורה לקבלת מידע.
  • האויב ינסה להתחבר לקבוצות ווטסאפ וישאב משם מאגרי מידע רגישים שנבנים מתוך מטרה טובה (דוגמא למאגר עם מידע רגיש וניהול הרשאות לא מיטבי..) או יקים קבוצה כזו, אשר בהתחלה תפעל בצורה לגיטימית (דוגמא לקבוצה שמציעה לאנשים שמחפשים טרמפ דרומה)
  • האויב ייכנס דרך מכשירים של אנשים שנחטפו לרשתות חברתיות וישלח הודעות בשמם, או יכריח אותם להקליט הודעות (פייק ניוז) במטרה לייצר בהלה ולהעביר מסרים וכו'
  • האויב ישאב מידע רגיש ויקבל תמונת מצב מתוך פרסומים וריכוזי נתונים שנבנים בצורה "פתוחה" ללא בקרה (ראו לדוגמא מאגר איתור נעדרים, בו ניתן לשאוב את כל המאגר בקלות באמצעות הקשת כל ה א-ב)
  • האויב יקים אתר אשר מתיימר לסייע (נניח, איתור נעדרים) במטרה לקבל מידע רגיש כגון מיקום, תפקיד בצבא וכו' מקהל יעד מטורגט
  • האויב ינסה להוציא מידע ממכשירים סלולריים ו/או לבצע פעולות בשמם של החטופים/נרצחים (העברה כספית, הוצאת מידע רגיש, יצירת קשר עם קרובים או קולגות וכו')
  • האויב ינסה לחלץ מידע ולהבין אודות פערים ממקורות גלויים כגון מוקד טלפוני או קבוצות ווטסאפ אשר אוספים מידע על פערים לוגיסטיים (דוגמת יוזמה זו)
  • במטרה לזרוע בהלה, אויבים נכנסים לשידורי זום/טימס של בתי ספר ומעבירים מסרים מפחידים (ראו מדריך התנהלות נכונה עם טימס) וכן משתלטים על מסכי פרסום ברחבי הארץ.

המלצות כלליות

  • אל תזינו נתונים רגישים לתוך מאגרי מידע לא מנוהלים ולא מוכרים. גם אם המטרה היא טובה, מאגרים אלו עלולים להיות חשופים לגורמים עוינים. מידע רגיש בכלל ומאגרי מידע בפרט, אמורים להיות מנוהלים (ישנה חקיקה והגדרות כיצד מנהלים מאגרי מידע בישראל)
  • שימו לב לניסיונות מניפולציה ריגשית, להודעות בעל נוסח מאיים, מאיץ, מפחיד או מפתה. קיבלתם הודעה מוקלטת עם מסר מפחיד? שאלו האם השולח מכיר אישית את המקור להקלטה.
  • מומלץ להגדיר אימות רב גורמי (MFA) לכלל החשבונות שלכם עסקיים ופרטיים (Gmail, רשתות חברתיות, WhatApp וכו'). לא מעוניינים שיצרפו אתכם לקבוצות ווטסאפ? הגדירו זאת במכשיר שלכם בקלות.
  • מומלץ להגדיר סיסמאות קשות לניחוש לכלל החשבונות שלכם.
  • אל תשתפו יוזמות שאתם לא מכירים מי עומד מאחוריהן (יש המון פייק ניוז ומלחמת תודעה + לוחמה פסיכולוגית)
  • היו זהירים גם בקבלת הודעות ברשתות חברתיות או בווטסאפ מאנשים שאתם מכירים.
  • היו זהירים בנתונים שאתם משתפים ובפרט בקבוצות "סגורות" מהצבא וכו' גם בשגרה, לא אמורים לשלוח סיסמאות או מידע רגיש בקבוצות פומביות. בטח בתקופה זו, אין לשלוח מידע רגיש בשום סיטואציה באמצעות כלים דוגמת ווטסאפ. נתבקשתם לשלוח מידע רגיש? תרימו טלפון לצד השני ותציעו חלופה בטוחה יותר.
  • העלו מודעות בקרב הקרובים לכם. הסבירו בעיקר לילדים, שכשם שלפעמים יש תוכן מפחיד בטלויזיה, ואז אנו מכבים את המסך או מעבירים ערוץ? אז באותו האופן, אם הם מקבלים הודעה מפחידה לטלפון, או רואים בזום או בשלט ברחוב פרסום מפחיד, יש לדווח לכם ופשוט לנתק את הזום או להתעלם מהמסך בו ישנם מסרים שמפחידים אותם.
  • נתבקשתם לבצע פעולה "חריגה/משמעותית" כגון העברה כספית, שינוי פרטים רשמיים, מסירת מידע רגיש וכו'? לא למהר לבצע. מומלץ לוודא בערוץ נפרד את נכונות ההודעה ואימות הבקשה (call back – לדוגמא, קיבלתם מייל? שלחו הודעת ווטסאפ. קיבלתם הודעת ווטסאפ? הרימו טלפון וכו')
  • קחו שניה לפני כל שיתוף/הקלקה וכו' והתייעצו אם אתם לא בטוחים
  • בכל שאלה, פנו אל גורמי אבטחת המידע/הגנת הפרטיות בארגון שלכם. אין לכם כזה? מוזמנים להתקשר למערך הסייבר הלאומי בכל שאלה במספר 119 מכל טלפון

עבודה עם WhatsApp

  • הניחו כי בקבוצה ישנם אנשים שאינכם מכירים, ואולי אף גורם עוין.
  • היו זהירים בלחיצה על קישורים לא מוכרים.
  • פתחתם קבוצה? בחנו את מדיניות צירוף האנשים לקבוצה
  • במידה ומדובר בקבוצה שתכליתה העברת מידע "חד צדדית, שיקלו לאפשר שליחת הודעות מטעם מנהלי הקבוצה בלבד.
  • עבור קבוצות "רגישות" – בצעו בחינה וראו כי אתם מכירים אישית את כל המנהלים של הקבוצות. (בקבוצות רבות, תמצאו אנשים שכבר לא בארגון/לא אמורים להופיע בה)
  • במידה וישנם אנשים לא מוכרים/מזוהים, הגדירו מה עושים "פר קבוצה" (ניתן לבקש מהם להזדהות, להסיר אותם, לברר אודותיהם וכו')
  • אין לשלוח מידע חשוב ומיקומים בכל קבוצה!

כניסה לאתרי/קבצי "סיוע"

  • הימנעו מפרסום מידע שאיננו הכרחי.
  • העדיפו למסור ערוץ קשר מולכם בצורה "לא ישירה" (דוגמת מסירת כתובת המייל שלכם, במקום לשתף את מספר הטלפון הנייד) ככל שניתן.
  • אל תמסרו מידע שלא תרצו שירוץ ברשת, דוגמת מיקום פיזי וכו'

שימוש במסמכים שיתופיים דוגמת google sheet/docs

  • השתדלו להגדיר הרשאות מינימליות, דוגמת צפייה בלבד, או הצעת הערות (אך לא עריכה). במידה והמסמך לא חייב להיות פתוח/גלוי לכולם, עדיף להגדיר אותו בהתאם. ניתן גם להגביל הורדה או הדפסה של הקובץ ועוד. להסבר כיצד להגן על הקובץ בצורה טובה ראו כאן.
  • גבו אחת לכמה זמן את העותק העדכני.
  • אין להצטרף למסמכים שיתופיים ו/או לפתוח עם כתובת המייל של העבודה (אלא באמצעות מייל פרטי, ועדיף כתובת מייל נפרדת שאתם מייעדים לתכתובת שכזו (מייל רפאים) ושאינו מקושר אליכם ועדיף שיפתח בדומיין אחר (למשל אם אתם פועלים בגוגל תפתחו כתובת כזו ביאהו) או לכתובת הראשית שלכם, לכן במידה וכתובת זו נפרצת היא אינה מסכנת אותכם ואו כל מידע אישי, פרטי ואו פיננסי שלכם. למקפידים שבינכם, עדיף לפתוח ולהשתמש בכתובת זו מדפדפן חליפי / אחר ולמחוק את קבצי העוגיות עם סגירתו)
  • אין לבצע שימוש בפרטים שאספתם/נחשפתם אליהם גם אם זה "לטובת מטרות חשובות אחרות" (צמידות מטרה, הינו מושג אשר מבטא בהפשטה את העובדה שזה שקיבלתם מידע מאדם מסוים, לא מאפשר למקבל המידע לעשות עם הפרטים הללו ככל העולה על רוחו)

 

כיצד ניתן להתייעץ או לקבל יותר מידע לגבי פרטיות, אבטחת מידע והגנת סייבר?

  1.  מערך הסייבר הלאומי
  2. הרשות להגנת הפרטיות
  3. איגוד האינטרנט הישראלי