המושג אבטחת מידע נשמע לבעלי עסקים קטנים כמו משהו שרלוונטי לבנקים ולחברות הייטק. בפועל, כל עסק שמחזיק מידע דיגיטלי של לקוחות – ולו הקטן ביותר – חשוף לאותם איומים בדיוק. מספיקה רשימת לקוחות אחת בגיליון אלקטרוני, תיקייה אחת של חשבוניות או מאגר פרטים של מטופלים כדי שהעסק יהפוך ליעד לתקיפה. תוקפי סייבר לא בודקים כמה עובדים יש בחברה לפני שהם תוקפים. הם מחפשים את הדלת הכי פתוחה, ואצל עסקים קטנים הדלתות בדרך כלל פרוצות לרווחה.
מה החוק דורש בתחום אבטחת מידע לעסקים
תקנות הגנת הפרטיות בישראל לא מבדילות בין עסק גדול לקטן. כל מי שמנהל מאגר מידע אישי מחויב לעמוד בדרישות אבטחה מוגדרות. החובות כוללות מינוי גורם אחראי על אבטחת המידע, ביצוע סקר סיכונים תקופתי, הגדרת נהלי גישה למידע, והכי חשוב – דיווח על כל אירוע חריג שמתרחש. בעל עסק שלא עומד בתקנות חשוף לקנסות כספיים, לתביעות אזרחיות מצד לקוחות שנפגעו, ובמקרים חמורים אף להליכים פליליים. הרגולטור לא מקבל את התירוץ שמדובר בעסק קטן – החוק חל על כולם.
הסיכונים שרוב בעלי העסקים לא מכירים
מתקפת כופרה יכולה להשבית עסק קטן לשבועות. בלי גישה למחשבים, בלי יכולת להוציא חשבוניות, בלי אפשרות להגיע לתיקי לקוחות – העסק למעשה מפסיק להתקיים. אבל הכופרה היא רק חלק מהתמונה. דליפת מידע של לקוחות גוררת אובדן אמון שקשה מאוד לשקם. גניבת פרטי תשלום חושפת את בעל העסק לתביעות ישירות. ויש גם את הנזק שלא מדברים עליו מספיק – גניבת זהות של לקוחות שהמידע שלהם דלף, פגיעה בפרטיות שלהם ובחייהם הכלכליים. בעל עסק שלא הגן על המידע נושא באחריות מלאה לכל הנזקים האלה.
אבטחת מידע לעסקים – מאיפה מתחילים
הצעד הראשון הוא להבין כי אבטחת מידע לעסקים היא לא פרויקט חד פעמי אלא תהליך מתמשך. מתחילים בסקר סיכונים שממפה מה צריך להגן עליו ואיפה הפרצות. משם עוברים לבניית שכבות הגנה מותאמות – חומת אש, הגנה על נקודות קצה, גיבויים מאובטחים ונהלי עבודה ברורים לעובדים. ומעל הכל, צריך תוכנית מוכנה ליום שבו מתקפה כן קורה, כי ההנחה צריכה להיות שזה יקרה. עסק שמתחיל לטפל באבטחת מידע היום חוסך לעצמו נזקים שיכולים להיות הרסניים מחר. ההשקעה קטנה ביחס למה שעולה להתאושש ממתקפה שכבר קרתה.