מעבר לשימוש בפרוטוקול מאובטח https הוא צעד מתבקש לאור התקפות הסייבר הרבות על ישראל. כעת לקוחותיה הרבים של חברת אמינות מכון פוליגרף ואימות מידע בע"מ יהיו עוד יותר בטוחים.
ישראל היא יעד להתקפות סייבר כנראה יותר מכל מדינה אחרת בעולם. ההתקפות מכוונות כנגד כל הנכסים הדיגיטליים הקיימים בישראל, אולם סובלים ממנו בפרט בעלי עסקים קטנים ובינוניים אשר המשאבים העומדים לרשותם לצורך אבטחת ותחזוקת אתרי האינטרנט ומערכות המחשוב הפנימי שלהם אינה גדולה במיוחד.
ארגונים אנטי-ישראליים, ארגוני פשיעה כלכלית ועברייני סייבר עצמאיים, מוציאים לפועל מידי יום התקפות על מערכות מחשוב ו/או אתרים ישראליים הממוקמים בישראל לצורך איסוף מידע וביצוע פעולות תקיפה, לצרכי ריגול תעשייתי, סחיטה וכדומה. אי לכך, עסקים נדרשים להתמודד עם אתגר ההגנה על מערכות המחשוב שלהם בכלל ואתר האינטרנט שלהם, הנעזרים בשירותי אחסון אתרים הממוקמים בישראל, בפרט.
לפי דו"ח שפרסמה חברת אבטחת המידע קספרסקי, הרי ש 26.2% מקורבנות תוכנות כופר ב-2017 היו משתמשים עסקיים, בהשוואה ל- 22.6% ב- 2016. על פי מומחי החברה הדבר נובע בין היתר מ"מתקפות חסרות תקדים בהיקפן שנערכו על רשתות ארגוניות ואשר שינו לעד את אופק האיום ההולך ומתגבר הזה".
הגנת סייבר ואבטחת מידע הן מן היסודות ליכולת השרידות וההתאוששות של ארגונים וחברות, ויש להן אספקטים רבים של הגנה ומניעה. אחד מהם הוא אחסון אתר האינטרנט של החברה או הארגון בשרת מאובטח. מעבר לחקיקה של חוקי סייבר הנמצאת בשלבים מתקדמים, ישנו נושא הנזק הגדול שעלול להיגרם לארגון או לעסק וללקוחותיו, אלא גם הצורך הטכני באיתור, בתיקון וחזרה למצב הקודם.
אחסון אתר האינטרנט בשרת מאובטח, מסייע לעסק או לארגון להקטין את סיכוני הפריצה. לשרת מאובטח ישנם היבטים רבים שצריך לתת עליהם את הדעת. למשל: האם השרת מאובטח ע"י חומת אש, האם מתבצע ניטור על פעילויות חריגות בשרת, האם יש אפשרות לחסום גישה לתיקיות מסויימות ב- IP, שמחוץ לישראל, האם יש גיבוי יומי או שבועי והאם השחזור הוא תהליך פשוט, האם אתרים חדשים שעוברים לשרת נסרקים ע"י אנטי וירוס, האם יש תמיכה 24/7, מה הניסיון של חברת האחסון מבחינת פריצות לאתרים, ועוד.
כיום, בעידודה התקיף של גוגל, הצפנת מידע באתרי אינטרנט הופכת לסטנדרט עולמי, ויותר בעלי אתרי אינטרנט רוכשים תעודות אבטחה SSL במטרה לעמוד בדרישות ההולכות וגוברות מצד גוגל והלקוחות הגולשים בעצמם. יחד עם זאת, המעבר לתקן https אינו מסתכם בקניית תעודת SSL והתקנה על גבי השרת, אלא ביצוע שינויים רבים באתר כמו למשל: עדכון הקישורים הדינאמיים (חיפוש והחלפה במסד נתונים), עדכון הקישורים הסטטיים בקבצי קוד, בדיקת קוד המקור, אינדיקציה של הדפדפן, הפניות מסוג 301, תגי קוניקל, ועוד.
הרעיון הבסיסי של https הוא לאפשר ערוץ מאובטח ומוגן יחסית מפני האזנות סתר ושליפת מידע רגיש. זהו יישום המוסיף שכבת הצפנה על פרוטוקול http רגיל. https בעצם מצפין את כל המידע שנשלח מהדפדפן אל השרת, ובכך מונע זליגה שלו לגורמים זדוניים. כשאנחנו נכנסים לאתר באמצעות פרוטוקול https, אף אחד לא יכול לדעת מה אנחנו עושים באתר כי התקשורת בינינו לבין האתר מוצפנת.
אבטחת אתר בסיסית ב-https חשובה במיוחד אם גולשים ב-WiFi. כך, שאם אדם גולש באמצעות WiFi של בית קפה ונכנס לאתר מאובטח, בעל בית הקפה יכול לדעת שהאדם נכנס לאתר הזה אבל אין לו אפשרות לדעת מה הוא עשה שם. באתר לא מאובטח, כל אדם עם ידע טכני בסיסי יכול לדלות מהתקשורת בין הגולש לבין האתר את פרטי החשבון שלו, את הסיסמא, את מספר כרטיס האשראי וכו'.
חברת אמינות מכון פוליגרף ואימות מידע בע"מ, המתמחה בין השאר באבטחת מידע והגנת סייבר, העבירה את אתר האינטרנט של החברה לשימוש בפרוטוקול מאובטח https על מנת לשמור עוד יותר על ביטחון כל לקוחותיה הפרטיים והעסקיים.
אודות המחבר
