בתי החולים ברחבי הארץ הוזהרו על ידי משרד הבריאות מניסיונות הונאה, לאחר שאנונימי התקשר לבית החולים שערי צדק בירושלים וביקש מחברי הצוות קוד גישה. מנהלת אגף מערכות מידע בשערי צדק סיפרה, כי האיש התקשר ארבע פעמים וביקש לקבל קוד גישה לאחד ממאגרי המידע של בית החולים. במרכז הסייבר של משרד הבריאות התקבלה אינדיקציה על ניסיון למתקפת דיוג טלפוני .vishing בבית החולים – בהודעת משרד הבריאות לבתי החולים נכתב, כי על פי הדיווח עובדים בבית החולים קיבלו טלפון מתוקף המתחזה לגורם מוסמך ובו הוראה לספק לו קוד גישה. בהמשך צוין, כי שיטה זו מתבססת על הנדסה חברתית, כלומר ביצוע מניפולציה פסיכולוגית על הקורבן באמצעות פנייה אליו שתיראה לגיטימית ואמינה. לרוב הפנייה תכיל בקשה דחופה או מפתה, כדי להניע את הקורבן לפעול בפזיזות. "העברת פרטים לתוקפים עלולה להביא לפריצה לרשת הארגונית, להצפנת קבצים ומערכות, דלף או השמדת מידע וגרימת נזק רב לחברות ולארגונים הנתקפים", נכתב. במשרד הבריאות המליצו לבתי החולים "לבצע הדרכות להעלאת מודעות העובדים בארגון בנוגע להנדסה חברתית, בייחוד בנוגע ליכולת ניצול ערוצי תקשורת מגוונים לטובת התחזות לגורמים בכירים בארגון". המלצה נוספת היתה "להסביר לעובדים ששום גורם מוסמך לא יבקש מהם פרטי התחברות או קוד שהתקבל", וכן ש"מומלץ לאפיין וליישם נהלי עבודה למקרים דחופים או יוצאי דופן, בכדי לצמצם צורך בשיקול דעת של העובדים תחת לחץ של זמן". הסתיים קורס מניעה וטיפול בפצעים שהתקיים ב"שהם" במהלך החודש החולף הסתיים קורס בנושא מניעה וטיפול בפצעים קשיי ריפוי. בקורס, שהתקיים ב"שהם", השתתפו בעלי תפקידים מקופות חולים, בתי חולים, חברות סיעוד ובתי אבות בכל הארץ. מדובר בקורס בן שמונה שבועות, שהתמקד בעדכון ידע בנושא תהליכי ריפוי פצעים, גישות טיפוליות וסוגי חבישות. את הקורס יזמו והובילו לאוניד אוקלנדר, מרכז תחום פצעים ב"שהם", וקוסאי מצרי, מרכז חת"ש ופיתוח מקצועי. בין המרצים היו עובדי המרכז - מוחמד אגברייה וסאלים עתאמנה. עוד הרצו סאדק מסארווה ועלי כבהה, שפרשו לגימלאות אך ממשיכים לשמור על קשר עם המרכז ולתרום מזמנם לטובת קידום העשייה המקצועית. לאוניד אוקלנדר מרכז תחום פצעים ״סליחה, למה אתה מסתכל לי על הסלולרי״, נשמע קולה של גברת שעמדה בתור בסניף הבנק וחיכתה לתורה. מאחוריה, עמד אדם, גבוה ממנה וצפה בצג הסלולרי שלה. במקרה אחר, אדם שהלך ברחוב הרגיש דחיפה קלה מגבר שעמד לצידו. כעבור מספר דקות, כאשר נדרש לטלפון הסלולרי שלו, נוכח לדעת שהוא נגנב מכיסו. במקרה שלישי, צוות האבטחה של חברה מסוימת הריץ אחורה את הקלטת הוידאו וראה כיצד העובד מכניס התקן ״דיסק און קי״ למחשב, מושך אותו החוצה לאחר מספר דקות, קם ויוצא ממשרדי החברה. אותו עובד לא חזר מעולם לעבודה. מרביתנו, כאשר חושבים על מתקפת סייבר, חושבים על מתקפה המבוססת על מערכות מחשוב בלבד. תוקף פורץ למערכת או משיג גישה מרחוק. אולם, חלק ממתקפות הסייבר משלבות גם פעולות פיזיות. כפי שמראות הדוגמאות לעיל. אז מהן שיטות הפעולה הפיזיות הנפוצות בעולם הסייבר? ריכזנו עבורכם רשימה התחלתית. גניבה גניבת מחשב, טלפון סלולרי, שעון חכם וכל התקן אחר המשמש אותנו. התקנים אלו יכולים להכיל מידע רגיש או סודי-עסקי. גניבה ופתיחה שלהם מספקת לתוקף מודיעין ולעיתים אף יותר מכך. גניבת ארנק עם כרטיס אשראי תספק לתוקף מרווח זמן לבצע רכישות. דיסק און קי פשוט וקל. לוקחים התקן זיכרון נייד, מכניסים לסלולרי (לשקע הטעינה), למחשב או שרת, שואבים מידע - ובורחים מהמקום. מצלמות בכספומטים וקוראי כרטיסי אשראי מצלמות חשאיות במכשיר הכספומט (סקימרים) יכולות לצלם את פרטי האשראי לשימוש עתידי של הפושע. קוראי כרטיסי אשראי יכולים לגנוב פרטי אשראי מהפס המגנטי של חלק מכרטיסי האשראי. טיפ מודעות אבטחת מידע פיזית 5 טיפ מודעות מאמר מערכת תוכן עניינים חיטוט בפחי זבל )Dumpster diving( שיטה זו נועדה לחפש מסמכים חשובים בפחי זבל. הקפידו לגרוס מסמכים חשובים שאין לכם צורך בהם עוד. ״אתה אח של דוד?״ בשיטה זו זר שאסף מידע אודותיכם פותח בשיחה מקרית, לכאורה, ובה הוא מקשר אתכם למישהו שאתם מכירים. הטילו ספק בכל שיחה מקרית עם אדם זר. איש ביטחון או רפואה בשיטה זו התוקף יתחזה לדמות סמכותית ויבקש לבצע פעולה דחופה לכאורה. בקשו אישור מקב״ט החברה או וודאו למי הוא מגיע ובדקו זאת מולו. הפיתוי בשיטה זו אדם זר פונה אליכם באמתלה של שיחת חולין. במסגרתה הוא מבקש לדעת פרטים אודות התפקיד שלכם בחברה. אל תתפתו לזרים מתנחמדים. ״תעביר את זה לבוס״ בשיטה זו, זר יזדהה כקולגה לעבודה ויבקש מכם להעביר חבילה למנהל שלכם (ואף ינקוט בשמו הנכון). סרבו באדיבות והמציאו תירוץ שאתם לא בדרך למשרד. גלישה מעבר לכתף )Shoulder Surfing( במקרה זה מישהו שנמצא מאחוריכם מציץ לכם בזמן שאתם גולשים ברשת. בודקים יתרה בבנק? בחנו שרק אתם צופים במסך. ״באתי לתקן את המדפסת״ בשיטה זו התוקף מתחזה לאיש תחזוקה ומבקש להיכנס למשרד. הקפידו לוודא את זהות האדם מולכם ולעקוב אחר נהלי החברה שכוללים תיאום מראש ואישורים וכן ליווי צמוד לכל איש תחזוקה. שולחן נקי הלכתם הביתה, לשירותים או להכין קפה? פושע יכול ״לגלח״ לכם מסמכים המפוזרים על שולחן העבודה. קמתם מהשולחן? נעלו את המחשב, שימו הכל במגירות. מסמכים רגישים עדיף לנעול או לשים בכספת. טריק הקפה: ״הידיים שלי תפוסות״ )Tailgating attack( בשיטה זו התוקף יחזיק שתי כוסות קפה ויבקש עזרה בכניסה לאזור מוגבל עם כרטיס. הפנו אותו באדיבות לשומר במקום או בקשו לראות את כרטיס הכניסה שלו – גם אם תציעו להחזיק עבורו כוס אחת. 6 טיפ מודעות מאמר מערכת תוכן עניינים אבטחת מידע משרד הב יאות מזהיר את בתי החולים מניסיונות הונאה
RkJQdWJsaXNoZXIy MjgzNzA=