חושדים שנתוני הלקוחות או הארגון שלכם נחשפו? עקבו אחרי השלבים

עלה חשד לדליפת מידע או חשיפה של פרטי לקוחות? חשיפת נתוני לקוחות לא תמיד מתחילה במתקפה

ברוב המקרים המידע פשוט עבר במסלול הלא נכון

כאשר ארגונים שומעים על חשיפת נתוני לקוחות, האינסטינקט הראשון הוא לחשוב על מתקפת סייבר, ransomware או האקר חיצוני. בפועל, לא מעט אירועים מתחילים דווקא בפעולה שנראית שגרתית לחלוטין.

עובד שמוריד export של CRM כדי לעבוד מהבית, דוח BI עם פרטי לקוחות שנשלח לספק חיצוני, קובץ Excel של מחלקת שירות שנשמר ב־Google Drive, קישור OneDrive שנשלח עם guest access פתוח, או מסמך רגיש שנשמר בערוץ Teams הלא נכון.

בכל אחד מהמקרים האלו לא הייתה בהכרח “פריצה” במובן הקלאסי, אלא תנועת מידע במסלול שגוי, בלי Governance, בלי Data Classification ובלי בקרה מספקת על הזהויות שמסביב.

הסיכון הגדול נמצא דווקא בתהליכים היומיומיים

CRM, BI, ספקים ו־Customer Service

נתוני לקוחות זזים כל הזמן בין CRM, מוקדי שירות, BI, מערכות גבייה, ספקי שילוח, שותפים עסקיים, מערכות פיננסיות ופורטלים חיצוניים.

הבעיה מתחילה כאשר חלק מהשיתוף הזה נשען על כלים יומיומיים כמו Google Drive, Dropbox, Microsoft 365, Teams, Excel exports או קבצי CSV שנשלחים מחוץ למערכות הליבה.

המשתמשים עושים זאת מתוך צורך עסקי לגיטימי, אך מבחינת Privacy ו־DPO זהו בדיוק השלב שבו נתוני לקוחות עלולים להיחשף.

בלי סיווג מידע קשה להבין את היקף הסיכון

Customer Data חייב להיות מזוהה לאורך כל המסלול

כאשר export יוצא ממערכת CRM, הוא מאבד לעיתים את ההקשר העסקי שלו והופך לעוד Excel או CSV. כאן בדיוק נכנס Data Classification.

כאשר מידע אישי, פיננסי או מזהה לקוח מסווג מראש, ניתן להחיל עליו DLP, הצפנה, watermark, expiration, external sharing restrictions ו־retention גם כשהוא יוצא מהמערכת המקורית.

כך השליטה נשארת צמודה למידע עצמו, ולא רק למערכת שממנה הוא הגיע.

לעיתים הדליפה מתרחשת חודשים לפני שמישהו מזהה אותה

אחד האתגרים המטרידים ביותר הוא שארגונים רבים אינם יודעים בזמן אמת שהמידע כבר דלף.
תוקפים רבים נשארים בסביבה לאורך זמן, לומדים את התהליכים, אוספים הרשאות ומוציאים מידע בהדרגה.

בפועל, לעיתים חולפים שבועות ואף חודשים מהרגע שבו נוצרה גישה לא מורשית ועד שהאירוע מתגלה.
בזמן הזה exports של CRM, מסדי לקוחות, קבצי BI ודוחות שירות עלולים לצאת החוצה במסלולים שנראים לגיטימיים לחלוטין.

במציאות של היום,
נכון לצאת מנקודת הנחה של לא האם תהיה פריצה, אלא מתי, ובמקרים רבים אפילו לשאול האם כבר קיימת דליפה פעילה שהארגון עדיין לא רואה.

רוב הארגונים לא באמת יודעים שנפרצו

לפעמים האיתות הראשון מגיע בכלל מה־Dark Web

כך מזהים “פצע מדמם” לפני שהוא הופך למשבר

במקרים רבים, האינדיקציה הראשונה לדליפה אינה מגיעה מה־SIEM או מה־EDR, אלא דווקא מ־Dark Web Monitoring, פורומים סגורים או מאגרי credentials דולפים.

כאשר כתובות מייל ארגוניות, פרטי גישה, exports של CRM או דגימות מידע של לקוחות מופיעים בזירות כאלו, זו לעיתים האזהרה הראשונה לכך שהארגון מתמודד עם דליפה פעילה שהוא עדיין לא רואה מבפנים.

לכן, לצד DLP, Data Classification ו־Secure Data Movement, נכון לשלב גם Dark Web Scanning ו־Threat Intelligence כדי לקבל התרעה מוקדמת.

כשהחשד הופך לאירוע

הצעדים הקריטיים שכל ארגון חייב לבצע בצורה מידית ברגע שיש חשד בדליפת מידע

ברגע שעולה חשד לחשיפת נתוני לקוחות, חשוב קודם להבין את זהות הפריצה: האם מדובר בגישה חיצונית דרך משתמש גנוב, API, ספק, VPN או שרת חשוף, או באירוע פנימי כמו עובד, ספק עם הרשאות רחבות מדי או export שנשמר במקום הלא נכון.

לאחר מכן יש למפות את משך השהייה של התוקף, להבין מתי החלה הגישה, כמה זמן היה פעיל ואילו מסלולי שיתוף נוצלו.

השלב הבא הוא זיהוי מקור הדליפה:
מסד נתונים, export של CRM, BI, SharePoint, Google Drive, OneDrive, File Server, MFT או Data Room.

משם חשוב להבחין האם מדובר בזליגה לא מכוונת או בתקיפה ממוקדת, ולעצור את הדימום באמצעות חסימת משתמשים, revoke לקישורים, ניתוק אינטגרציות, שינוי credentials והקפאת exports.

לאחר הבלימה, יש להרחיב את החקירה באמצעות SIEM, audit trails, Microsoft 365 audit, FileCloud logs, GoAnywhere logs ו־Dark Web scanning.

השלב האחרון והחשוב ביותר הוא לבנות מחדש את מסלול המידע הרגיש באמצעות Data Classification, DLP, FileCloud, GoAnywhere, Privacy Governance ו־least privilege.

אינך בטוח מהי הפעולה המתאימה ביותר לפירצה פנימית לעומת פירצה חיצונית? להלן מספר הנחיות.

1. פירצה פנימית
האם חשיפת נתוני הלקוחות הגיעה מתוך הרשת הפרטית שלך (כלומר, "שיחת הטלפון הגיעה מהבית")? פירצה מסוג זה עשויה לכלול איומים פנימיים, כמו עובדים סוררים, ספקי צד ג 'עם הרשאות גישה רחבים מדי וכן הלאה. סימנים של פירצה פנימית יכולים לכלול עובד אשר שולח דוא"ל עפ מסמכים רגישים למחשב הביתי שלו, גיליון אלקטרוני המכיל מספרי ביטוח לאומי המשותפים עם בן / בת זוג או משווק המאחסן סיסמאות של לקוחות בטקסט רגיל (Plain Text ) בשרת פנימי.

מידע נוסף מעניין שכדאי לקרוא : 6 משתמשים שכדאי לשים ברשימת המעקב

יתכן ויהיה צורך לבצע בדיקה משפטית כדי לקבוע את היקף הפירצה הפנימית, אך זו יכולה להיות הקלה אם הנתונים לא הודלפו או זלגו מחוץ לארגון. התראות על הפרת נתונים ברשומות לקוחות אשר הושפעו מפירצה כזו, עשויות להיות נחוצות; הסיבה היא כי תרצה לבדוק את ההשלכות בהתאם להגדרות הרגולציה המקומיות בעיקר בכדי לצפות קנסות או עונשים שיכולים לקחת במקרה כזה. ייתכן שאת גורם הפירצה במקרה כזה יהיה קל לתקן (למשל, על ידי הגבלת גישה או קיום הדרכות מודעות בנושא אבטחת מידע ברשת) ועל ידי כך לבצע מניעה בעתיד.

2. פירצה חיצונית – מסד נתונים חיצוני 
למרבה הצער, זהו הסוג הנפוץ ביותר הגורם לפירצה חיצונית. פירצה יכולה להתרחש כאשר תיקיה או מסד נתונים המתוקן בשרת ציבורי אינם מאובטחים כראוי או משתמשים בהרשאות ברירת המחדל. לעיתים מסד הנתונים נמצא באמצעות חיפוש באינטרנט; בפעמים אחרות נמצא כי מדובר בקישוריות סביב אתר האינטרנט של הארגון או בשימוש בשרת FTP (כמו FileZilla).

בסיס נתונים חשוף נחשב לפגיע ביותר וניתן לפרוץ אליו אם הוא מתגלה – אך אם אתה מכיר מראש את הפגיעות , תוכל לתקן אותה ואף להצפין את הנתונים  , כך שאף אחד אחר לא יוכל לגשת לנתונים או להעתיק אותם, ואם כן לא יהיה למידע הזה שום ערך בגלל הצפנתו .

3. פירצה חיצונית – פירצה מכוונות וממוקדת 
סוג זה של פירצה הוא מאלו שאתה שומע עליהם בחדשות ולעיתים קרובות : האקר החדיר לארגון שלך תוכנות כופר, תוכנות זדוניות,  פישינג באמצעות דוא"ל וכו '. משם, האקר כבר עוקב אחר נתונים ומעתיק אותם בכל מקום וכל זה במהלך שבועות עד שנים!

אם אתה מוצא את עצמך קורבן לפירצת מידע ומזהה כי נתוני לקוחות הושפעו מהפירצה , תצטרך לפעול בהתאם לפרוטוקול הארגוני שהוגדר מראש בנושא ולהודיע ללקוחות במיידי בכדי שיוכלו לשנות את הסיסמאות שלהם, לנטר את הפעולות בכרטיס האשראי או לבטל את כרטיסי האשראי שלהם, וכן הלאה.

מה לעשות אם לדעתך נתוני לקוחות נחשפו

אם אתה חושב שנתוני לקוחות נחשפו, אל תיבהל. במקום זאת, עקוב אחר ששת הצעדים המפורטים מטה בכדי להגיב במהירות, ביעילות  ובדרך הנכונה והמתאימה לאותו אירוע.

1. קבעו מהן הפגיעות , היכן הן נמצאות, מה הסיכון והערך ותקנו אותן לפי סדר.

לדוגמה, אם הפירצה נגרמה על ידי שרת לא מוצפן, ישם שיטות הצפנה.

2. ברגע שהפירצה נחסמה (כלומר ניתקת את המקור), קבעו איזה סוג של רשומות נחשף.

מיילים? מספרי טלפון? מידע בריאותי ? נתוני אשראי? מזהים אישיים, כמו מספרי ביטוח לאומי?

3. חפשו את החוקים המקומיים החלים על פירצות בהתאם לתעשייה והאזור בו הארגון שלך פועל .

ישנם חוקים המחייבים הודעה לגורמים הרלוונטים תוך 48 שעות, בעוד שחוקים אחרים מאפשרים יותר מרחב (למשל 30-45 יום). אם הארגון שלך פועל גם בארה"ב, הנה מדריך שימושי לחוקים הרלוונטים הקשורים לפירצות מידע .

4. במהלך תקופת הפירצה, יש ליידע לקוחות שנפגעו או נחשפו באמצעות דואר אלקטרוני ובכתב .

מהלך כזה יאפשר ללקוחות לנקוט בפעולות להגנה על עצמם, כגון שינוי סיסמתם, ניטור אשראי, הקפאת כרטיסים או פרטי אשראי וכו '. זה גם יעזור לארגון להימנע מקנסות .

5. יידעו את העובדים בארגון בכדי שיידעו על הנושא בשיחה עם לקוחות 

6. עדכנו את אסטרטגיית אבטחת המידע ברשת שלך כדי להימנע מפירצות בעתיד 

זה חייב לכלול יישום פתרונות אבטחה טובים יותר ובעיקר בהצפנת נתונים, ניטור רשת, והקשחת מדיניות סיסמאות ועוד.

 במאמר זה תמצאו שלבים חשובים לפעולה, בכדי להגיב במהירות וביעילות באזורים אחרים אשר נפגעו מהפירצה.

הגנו על נתונים רגישים באמצעות אכיפת פתרונות אבטחה אוטומטיים אשר יעזרו לך להקדים הגנה מפני האיומים המשתנים ללא הרף.

FileCloud ו־GoAnywhere פותרים את מסלול הסיכון

כל מידע רגיש חייב לעבור בערוץ שמתאים לרמת החשיפה, לרגישות לחשיבות ולסיכון שבחשיפה.

כאשר מדובר בשיתוף מול עובדים, ספקים, מוקדי שירות, יועצים או שותפים עסקיים, FileCloud Secure Collaboration מספק granular permissions, revoke access, audit trail ו־DLP integration.

כאשר מדובר ב־exports של CRM, דיווחים פיננסיים, data feeds, מערכות BI, ספקי גבייה, גופים ממשלתיים או ממשקי API, GoAnywhere MFT מספק workflow, retry, integrity ו־non repudiation.

המשמעות היא שכל נתוני נהארגון נעים במסלול שמתאים לרמת הרגישות שלהם.

כשהמידע נע במסלול הנכון

החשיפה הופכת להרבה פחות סבירה

הדרך הנכונה למנוע חשיפת נתוני לקוחות אינה עוד שכבת Firewall, אלא בניית מסלול ברור לכל סוג שיתוף והעברה.

ב־Messagenet, עם ניסיון של מעל 35 שנה, מאות ארגונים במגזר הציבורי, הפיננסי, הבריאותי והתעשייתי, אנחנו מלווים ארגונים בבניית שכבת Customer Data Protection שמחברת DLP, Data Classification, FileCloud, GoAnywhere, Privacy Governance ו־Dark Web Monitoring.

אם גם אצלכם נתוני לקוחות נעים בין CRM, BI, ספקים וכלי ענן, נשמח לעזור לבנות מסלול מאובטח ומבוקר שמצמצם משמעותית את הסיכון לחשיפה.

צרו איתנו קשר לתיאום שיחה

https://www.messagenet.net/2019/09/05/%d7%97%d7%95%d7%a9%d7%91%d7%99%d7%9d-%d7%a9%d7%a0%d7%aa%d7%95%d7%a0%d7%99-%d7%94%d7%9c%d7%a7%d7%95%d7%97%d7%95%d7%aa-%d7%a9%d7%9c%d7%9a-%d7%a0%d7%97%d7%a9%d7%a4%d7%95-%d7%a2%d7%a7%d7%95%d7%91-%d7%90/