אבטחת האתר

אבטחת האתר

ההגדרות, הסכנות וכל הסיבות מדוע חשוב לאבטח את האתר שלכם וגם- למה אתרים מאובטחים הם "הבן המועדף" על גוגל.
ריכזנו לכם את כל ה- Do And Don’t, תמשיכו לקרוא.

SSL, TLS, HTTPS מה זה בכלל אומר?

SSL (ראשי תיבות של Secure Sockets Layer) הינו פרוטוקול אבטחה שמטרתו אבטחת שרת.
במילים אחרות, הSSL הינו תקן אבטחה אשר מטרתו היא לוודא שמידע שעובר מהמחשב של הגולש לבין השרת אכן מאובטח באמצעות הצפנה מתאימה.
TLS (ראשי תיבות של Transport Layer Security) גרסה עדכנית לSSL.
HTTPS (ראשי תיבות של HyperText Transfer Protocol Secure) הינו פרוטוקול תקשורת נפוץ לאבטחת מידע אשר מיושם באינטרנט.
לשם ההבהרה, HTTPS אינו פרוטוקול תקשורת לשם עצמו אלא שימוש בפרוטוקול HTTP על שכבת SSL/ TLS מקנה יכולת אבטחה סטנדרטית לתקשורת HTTP רגילה.
הרעיון של HTTPS לעומת ה HTTP הינו ליצור ערוץ מאובטח על גבי רשת שהיא פרוצה, ערוץ שמאפשר לנו בעלי האתרים הגנה.

חשוב להבין כי אתר לא מאובטח פתוח לפריצות- לדוגמא אתר אשר לוקח פרטי זהות של לקוחות/ פרטי אשראי או כל מידע של לקוחות (גם אם זה רק טופס יצירת קשר)
כאשר אתם מבקרים באתר כלשהו אם כתובת האתר מתחילה ב HTTP- משתמע מכך שכל המידע שעובר בין המחשב שלכם לבין השרת בו מאוחסן האתר- חשוף.
אך במידה והתקנתם תעודת SSL על השרת שבו מאוחסן האתר, כתובת האתר תתחיל ב HTTPS (תוספת הS בסוף פירושה SECURE כלומר, מאובטח).
כלומר, אם האתר אוסף נתונים פרטיים- המידע יהיה מוצפן ומאובטח.

אז בואו נעשה קצת סדר, למה בכלל צריך תעודת SSL באתר?
תקן הSSL אינו חדש, אך בשנים האחרונות חשיבותו עולה הן עבור בעל האתר והן עבור לקוחותיו.
"אזהרה- הנך גולש באתר לא מאובטח!"- נשמע מוכר?
עקב הגברת המודעות לאבטחת אתרים בשנים האחרונות מנוע החיפוש באופן אוטומטי יציע לכם לחזור "לחוף מבטחים" כאשר יזהה שאתם נכנסים לאתר שאינו מאובטח.
וכל חברה לבניית אתרים תמליץ לכם לעמוד בתקן לאבטחת מידע (SSL) או בשמו העדכני יותר TLS.
משמעות התקן הינו שיש ברשותכם מערך הגנה על כל המידע שעובר באתר החל מצאטים, פרטים סודיים, פרטי אשראי וטפסים למיניהם, וזאת בכדי "להילחם" בפריצות, גניבות וזיוף מידע.

עוד בנושא חשוב לדעת כי לא כל שרתי האחסון מאובטחים
לא חסרים ספקי אחסון אתרים באינטרנט, ולמרבה הצער חלק לא מבוטל מהם לא משקיעים במשאבים הנחוצים לאבטחת האתר.
אז כאשר אתם בוחרים ספק לאחסון האתר שלכם תבדקו שלושה דברים:

  1. תוודאו שאותה חברה דואגת לטפל בנושא על מנת לספק לכם סביבה מאובטחת.
  2. תוודאו כי הם מספקים את כל הכלים על מנת להבטיח התאוששות מאסון כזה או אחר.
  3. גיבוי האתר כמטלת MUST! תוודאו עם החברה כי היא מספקת לכם שירותי גיבוי שבלחיצה תוכלו להוריד למחשב, רק למקרה של יום גשום.

שיטת "האם" לצורך בדיקה של ספק אחסון האתרים:

  • האם יש BACKUP במידה וקורה אסון?
  • האם השרת חסו למדינות עוינות?
  • האם מותקנת תוכנת אנטי וירוס בשרת?
  • האם יש גיבוי על בסיס קבוע? (יומי/ שבועי/ חודשי)
  • האם השרת מוגן על ידי FIREWALL ? (חומת אש)

איך נזהה אתר מאובטח?
פרוטוקול הSSL/ TLS מספק תעבורת נתונים בין הדפדפן לשרת האחסון.
אנו נדע שנעשה שימוש בפרוטוקול אם מופיע סימן של מנעול בשורת הדומיין יחד עם השימוש בכתובת HTTPS, לעומת ה HTTP שמתריע בפנינו כי האתר אינו מאובטח.

אבטחת האתר כשירות ללקוח

בין אם האתר שלכם משמש כחנות וירטואלית, אתר תוכן שמספק מידע או אפילו סתם אתר עם הרשמה לחברים, כאשר הגולש מוסר פרטים אישיים (אשראי, פרטי זהות, פרטי התקשרות וכל סוג של מידע) הוא רוצה לדעת כי אתם מסוגלים להגן על פרטיותו, ובמידה ומקבל התרעה שאינכם מאובטחים, סביר להניח שהוא ינטוש את האתר ואתם תפסידו.

אבטחת האתר לצורך קידומו בגוגל

גוגל כבר הכריזה כי "שמה עין" על אתרים שאינם מאובטחים, וציינה כי בעל אתר שימשיך בניהול האתר ללא חיבור SSL/ TLS מוצפן עלול למצוא את עצמו בתחתית תוצאות החיפוש, ואילו בעלי אתרים אשר יאבטחו את אתריהם "יוקפצו" לראש התוצאות.
תזכרו HTTPS- אין, HTTP- אאוט.

חשוב לדעת! כי גם אם החלטתם לאבטח את האתר, בין אם הוא כבר קיים ובין אם טרם הקמתם אותו, לרכוש תעודת אבטחה- לא אומר שאתם מוגנים.
אתר שמאובטח באמת מצריך הרבה עבודה וכ 95% מהאתרים כוללים בתוכם גם קישורים חיצוניים אשר אינם מאובטחים.
במילים יותר פשוטות, לא רק האתר צריך להופיע עם הכתובת HTTPS, אלא גם כל הקישורים שהוא מכיל.
אז אם החלטתם שאתם רוצים להתאים את האתר ולספק שירותי גלישה בטוחה ללקוחותיכם, עליכם להשים בראש מעייניכם את שדרוגו והתאמתו של האתר בהתאם לתקנים העדכניים.

אבטחת מידע – התקנות החדשות


לקראת סוף מרץ 2017, אישרה ועדת החוקה, חוק ומשפט את התקנות החדשות להגנת הפרטיות.
מה זה אומר?
כל גוף בישראל אשר מחזיק במאגר מידע אשר מוגדר על פי חוק הגנת הפרטיות על פי רמות אבטחה שהוגדרו בתקנות, יהיה מחויב בתקנות החדשות.

התקנות מסבירות בפירוט כי יש כ-ארבעה סוגים של מאגרי מידע, כאשר לכל מאגר מידע יש את הרמת אבטחה שלו.
רמות האבטחה המאוגדות בתקנות הן:

  1. מאגרים שמנוהלים על ידי יחיד.
  2. רמת אבטחה בסיסית- בהגדרה זו נכנסים בעלי עסקים אשר מחזיקים מאגרים כמו רשימת דיוור וכדומה, והמרשים בגישה למאגר לא עולה על עשרה אנשים.
  3. רמת אבטחה בינונית- אליהם נכנסים מאגרים אשר אליהם יש גישה למעל עשרה אנשים ואשר מחזיקים במידע רגיש כמו מידע פלילי, רפואי וכדומה.
  4. רמת אבטחה גבוהה- אשר כוללים מאגרים של למעלה ממאה אלף איש ומספר המורשים למאגר עולה על מאה.

אז לאחר ההקדמה, מהן התקנות בעצם ומה הן אומרות?

  1. נוהל אבטחה- על בעלי המאגרים לנסח מסמך "נוהל אבטחת מידע" ובו יכללו:
    אופן ההתמודדות עם אירועי אבטחת מידע, הסיכונים אשר המאגר חשוף אליהם ודרכים לטיפול, הרשאות גישה למאגר, תיאור אמצעי האבטחה, והוראות אבטחה של המאגר בין יתר הדברים.
  2. אבטחה פיזית וסביבתית- תקנה זו מחייבת כי המערכות שבהן נמצא המאגר יישמרו במקום מוגן , אשר תואם את אופי המאגר ורמת רגישות המידע בו.
  3. מסמך הגדרות המאגר- מסמך אשר מכיל את הגדרות המאגר, השימושים בו וסוגי המידע השונים אשר כלולים במאגר.
    על המסמך להתעדכן בכל עת בה יבוצע שינוי משמעותי במאגר ורמת נחיצות השמירה על המאגר תיבדק אחת לשנה.
  4. ניהול הרשאות גישה- הרשאת הגישה למאגר תקבע בהתאם להגדרת התפקיד וינוהל רישום מעודכן של רשימת ההרשאות התקפות. מתן ההרשאה לגישה למאגר יינתן לאחר נקיטת אמצעים סבירים עוד בהליכי מיון העובדים.
  5. סקר סיכונים ומיפוי מערכות- מסמך מעודכן של מבנה המאגר אשר יכלול בין היתר סוגי רכיבי תקשורת, מערכות התוכנה המשמשות להפעלה של המאגר, סקר לאיתור סיכוני אבטחת המידע וכולי.
  6. מיקור חוץ- תקנה אשר קובעת את ההוראות לעניין התקשורת מול גופים חיצוניים לצורך קבלת שירות- אשר כרוך במתן גישה למאגר המידע.
  7. ביקורות תקופתיות- ביקורת פנימית או חיצונית על ידי הגורם המתאים והגופים המקובלים בעלי ההכשרה המתאימה בכדי לוודא עמידה בהוראות התקנות.
  8. תיעוד אירועי אבטחה- תיעוד של כל אירועי האבטחה בכל הנוגע למאגר המידע על ידי בעל המאגר.
  9. אבטחת תקשורת- תקנה הקובעת כי כל מערכת שבה מתנהל המאגר לא תחובר לרשת האינטרנט או רצת ציבורית ללא אמצעי הגנה מתאימים מפני חדירה לא מורשית.
  10. התקנים ניידים- על בעל המאגר למנוע אפשרות לחיבור התקנים ניידים למערכות המאגר או לחלופין להגביל זאת על ידי שימוש באמצעי ההגנה המקובלים.
  11. גיבוי ושחזור- ייקבעו נהלים לביצוע גיבוי ושחזור של המידע בהתאם לרמת רגישות המידע במאגר.

איך תדעו אילו הליכים עליכם לבצע?

במידה ואתם בעלי מאגר מידע אשר מנוהל על ידי יחיד, כלומר ברמת אבטחה בסיסית ביותר, חלות עליכם חובות מצומצמות ביותר הכוללות הכנה של מסמך הגדרות המאגר בלבד.
ואילו בעלי מאגרים בשאר רמות האבטחה נדרשים להכין מסמך הגדרות מורחב יותר שבו יוגדר איסוף המידע, מטרת השימוש בו  והאם לא נאסף מידע מעבר.
בעלי מאגר אשר נכללים תחת רמת האבטחה הגבוהה ביותר יידרשו לבצע את כל הסקרים, להכין את כל המסמכים, לתעד את כל אירועי האבטחה ובאופן כללי לקיים את כל התקנות בלי יוצא מהכלל.

למה בכלל נקבעו התקנות?

בעקבות איסוף המידע האגרסיבי על ידי חברות הטכנולוגיה וכל חברה בעצם שמחזיקה מידע ופרטים רגישים על לקוחותיה (החל ממספר טלפון ומייל ועד למידע רפואי, ביטחוני או פלילי) הגדירה ועדת החוקה את התקנות שמטרתן היא לדאוג לפרטיות האזרחים.
אולי יצא לכם להיתקל בהגדרה GDPR (General Data Protection Regulation)- הגדרה זו בערך בעלת אותו עיקרון התקנות הישראליות, ומטרתה היא להסדיר את השמירה על המידע האישי של אזרחי איחוד אירופה אשר מוחזק עלי ידי החברות המסחריות למיניהן.
פרט חשוב שעליכם לקחת בחשבון הוא העונשים המוטלים על אי עמידה בתקנות אבטחת המידע.
במידע ואתם אוגרים מידע על האיחוד האירופאי התקנות של GDPR יחייבו אתכם בקנס של כ-4% ממחזור הכספים שלכם או קנס בגובה של 20 מיליון יורו (הגבוה מביניהם).
ואילו בישראל העונש הוא עד חמש שנות מאסר, במידה והוכחה אחריות פלילית של בעל במאגר, וכן ניתן לתבוע על הפרה ז בבית משפט אזרחי.

אז אם אתם בעלי מידע, גדול או קטן חשוב שתכירו ביתרון המשמעותי של התקנות, כאשר אתם מקיימים את התקנות על פי הספר מה שנקרא ושומרים על פרטיות לקוחותיכם, הרווחתם את האמון שלהם, שאם נודה באמת- זה הדבר הכי חשוב כאשר מנהלים עסק.