אתם סומכים יותר מדי על פלטפורמת הענן שלכם, ויש לנו 9.8 מיליון הוכחות לזה
כמעט 50% מפרצות המייל בארגוני בריאות ב-2024 התרחשו דרך Microsoft 365. הסיבה היא לא חור באבטחה ולא מתקפת סייבר, אלא הגדרות אבטחה שגויות. ויש המון מה ללמוד מזה
טעויות אבטחה קטנות שעולות ביוקר (דימוי: Dreamstime)
מאת מיקי שניידר
למרות ההשקעה ההולכת וגוברת באבטחת סייבר, ארגונים ממשיכים ליפול דווקא בכלי הבסיסי ביותר: המייל. אני לא מדבר על פריצות מתוחכמות או מתקפות כופר יוצאות דופן, אלא על שגיאות פשוטות, כמעט טריוויאליות, בהגדרות המערכת (מתקדמת ככל שתהיה). אבל בעיות אבטחה במייל הן רק סימפטום שמוביל אותנו לשאלה רחבה יותר: איך יכול להיות שארגונים, מכל סוג וגודל, עדיין סומכים על מערכות הענן שלהם מבלי להבטיח לעצמם רשת ביטחון אמיתית?
בתחילת 2025 פורסם דוח מקיף שטלטל את מערכת הבריאות האמריקאית וחשף נתון מטריד: כמעט 50% מפרצות המייל בארגוני בריאות בשנה החולפת התרחשו דרך Microsoft 365. הסיבה? לא חור אבטחה במערכת ולא מתקפת סייבר, אלא הגדרות אבטחה שגויות. תיבת סימון שלא נבחרה, פרוטוקול שלא הופעל, הרשאה שלא הוגבלה – אלה הטעויות שהעניקו לתוקפים גישה חופשית למידע הרפואי הרגיש ביותר.
לפי דוח של IBM, פרצה כזו עולה לארגונים 9.8 מיליון דולר בממוצע – וזה עוד לפני שמחשבים את הפגיעה באמון הציבור, הנזקים התדמיתיים, תביעות משפטיות וקנסות רגולטוריים (כמו זה שהוטל על חברת Solara Medical Supplies, שנאלצה לשלם 9.76 מיליון דולר בעקבות דליפה שחשפה מידע של 114,000 מטופלים).
מערכת הבריאות שמה דגש כמעט בלעדי על הגנה של מאגרי המידע הרפואיים, אבל מה עם המייל הפנימי? התכתבויות בין רופאים, העברת אישורי מחלה, קבצים ומסמכים יומיומיים? דווקא שם, מתחת לרדאר, מסתתרת אחת מנקודות התורפה החמורות ביותר. כל מה שצריך כדי לגרום נזק הוא צילום אחד, מייל שנשלח בטעות או חדירה לארכיון התקשורת. למעשה, לא תמיד צריך לחדור למערכות הקריטיות עצמן, מספיק לחשוף פרט אחד כדי להכניס את הארגון כולו לסחרור.
מה שקורה בבתי חולים קורה גם אצלכם
הבעיה הזאת לא ייחודית למערכת הבריאות. היא קיימת כמעט בכל מקום שבו ארגונים מסתמכים על תשתיות ענן מבלי להשלים את מעטפת ההגנה החיונית. מערכת הבריאות פשוט מתועדת יותר, אבל הטעויות קורות בכל מקום: חברות הייטק, מוסדות חינוך, גופים ממשלתיים ואפילו עסקים קטנים – כולם חשופים בדיוק לאותן שגיאות בסיסיות.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
זה יכול להיות סטארטאפ שמחק בטעות מאגר לקוחות ששמר בענן, משרד עורכי דין שבו עובד חדש מחק מסמך משפטי קריטי, או עסק משפחתי ששכח לגבות את תיקיית הנהלת החשבונות. בכל מקום שבו יש משתמשים, מיילים וקבצים משותפים, קיים גם פוטנציאל לטעות אנוש.
דוח שפרסמה Abnormal Security במרץ 2025 מחדד את הנקודה: מרבית הפרצות הן לא תוצאה של מתקפות סייבר מתוחכמות, אלא של תצורות שגויות: היעדר אימות דו-שלבי, הרשאות עודפות, גישה לא מבוקרת והיעדר מוחלט של גיבוי עצמאי. כשאנחנו סומכים אך ורק על הפלטפורמות עצמן, בלי לבנות שכבת גיבוי חיצונית, אנחנו משאירים את הארגון חשוף. פלטפורמות כמו Microsoft 365 ו-Google Workspace, מצוינות ככל שיהיו, לא נועדו לשמש כמערכות גיבוי מלאות. ברוב המקרים הן מספקות שכבת הגנה בסיסית, לעתים זמנית, שדורשת הפעלה ידנית ותחזוקה רציפה, אך הן אינן מספקות פתרון גיבוי מלא, עצמאי ובלתי תלוי.
אז מה קורה כשהאצבע מחליקה ומוחקת תיקייה קריטית? מה קורה כשמנהל לשעבר, שעדיין מחזיק בהרשאות, מוחק מידע רגיש? במקרים רבים, הארגון מגלה את זה רק כשהוא כבר בעיצומו של משבר – ואז אין דרך חזרה. זו לא תקלה – זה המודל.
כך תתכוננו ליום שבו משהו ישתבש
לפני שהטעות מתרחשת, הנה כמה שאלות שכל עסק צריך לשאול את עצמו: מתי לאחרונה בדקתם את מדיניות הגיבוי שלכם? אתם יודעים אם קובץ שנמחק ישתחזר בקלות? יש לכם בכלל גיבוי חיצוני נפרד? כמה עובדים בארגון יודעים מה מותר למחוק ומה אסור? אם מחר בבוקר תתרחש תקלה (לא עלינו), תוך כמה זמן תצליחו לחזור לשגרה? אם התשובות לא ברורות, זו לא בעיה טכנית – זו בעיית ניהול סיכונים.
כדי לא לחזור על אותה הטעות, ולא משנה אם אתם בית חולים, סטארטאפ או עסק קטן, צריך לבנות תרבות ארגונית שמבינה שגיבוי ואבטחה הם לא מוצר, אלא תהליך מתמשך. הנה שלושת העקרונות שכל ארגון צריך ליישם כדי להימנע מטעויות קטנות שעולות ביוקר:
1. נפרדות היא הגנה
גם מערכות ענן חזקות צריכות גיבוי עצמאי, וכשמדובר בדאטה קריטי אסור להסתמך עליהן בלבד. שמרו את הגיבוי מחוץ למערכת הפעילה, בענן מאובטח, בפלטפורמה נפרדת ועם מדיניות גישה שונה. כך תבטיחו שמה שמתרחש בפנים לא יפגע במה ששמור בחוץ.
2. אבטחה מתחילה בהגדרה, לא באנטי-וירוס
ניהול מערכת מורכבת מתחיל בהבנה של כל תיבה מסומנת ולא מסומנת בממשק הניהול. מערכות כמו Microsoft 365 מציעות שכבות אבטחה מתקדמות, אבל רובן אינן מופעלות כברירת מחדל. בנו תהליכי ביקורת קבועים: עברו על הרשאות, על פרוטוקולי האבטחה ועל אמצעי השחזור. ודאו שהשחזור עובד בפועל, ולא קיים רק במסמך הנהלים.
3. תרגול ולא תקווה
הדרך היחידה לדעת שהגיבוי שלכם עובד היא לבדוק אותו באופן קבוע. אחת לשלושה חודשים, בצעו תרגיל שחזור אמיתי של קובץ קריטי. תופתעו לגלות כמה ארגונים מגלים באיחור שאין באמת לאן לחזור.
העובדה שפלטפורמות מובילות כמו Microsoft 365 ממשיכות להיפרץ שוב ושוב לא מעידה על כשל טכנולוגי, אלא על כשל בהבנה: האחריות האמיתית לשמירה על הדאטה הארגוני לא נמצאת אצל הספקים – היא בידיים שלכם. לכן אל תסתפקו במה שיש, אל תבנו על המזל ואל תחכו ליום שאחרי. התחילו כבר היום לייצר לעצמכם רשת ביטחון אמיתית עם גיבוי עצמאי, ביקורות הרשאות ותרגול שחזור אמיתי.
בין אם אתם מוסד רפואי, סטארטאפ צומח או חברה משפחתית – הדאטה שלכם הוא לא רק עוד משאב, הוא קו החיים של הארגון. ההגנה עליו מתחילה בהחלטה אחת פשוטה: להיערך עכשיו, לפני שהשגיאה הבאה תהפוך לאסון.
הכותב הוא דירקטור השיווק של CloudAlly
