עבודה עם סמארטפון: עד כמה המידע שלכם מוגן?
רמת האבטחה אינה מדביקה את קצב התקדמות הטכנולוגיה: כמות הווירוסים בסלולאר זינקה ב-3,000% ברבעון האחרון, אולם פחות מ-15% מהצרכנים משתמשים במערכות הגנה. בינתיים, יותר ויותר עובדים תלויים בטאבלטים לצורכי עבודה, והמעסיקים נהנים מעובד זמין אך מסתכנים בזליגת מידע רגיש
לוקחים את האייפד הפרטי לפגישות וישיבות מחוץ למשרד? מורידים קבצים מהסמארטפון למחשב בעבודה? מנהלים את כל יומן הפגישות על הטאבלט? מתברר שלא כולם יכולים לעשות זאת. מקומות עבודה רבים מטילים הגבלות על השימוש שעושים העובדים בטאבלטים האישיים שלהם לצורכי עבודה, מחשש לדליפת מידע עסקי.
כתבות נוספות בערוץ הקריירה :
- מדוע צריך לשלוח קו"ח רק למשרות מתאימות?
- עיני על הקיצוץ: "ניאבק עד חורמה, עם כל האמצעים"
- Vmware העולמית תקצץ 900 עובדים
העלייה המתמדת בשימוש במכשירים חכמים בכלל האוכלוסייה, הובילה מקומות עבודה רבים בעולם למגמה בשם BYOD - Bring your own device ("הבא את המכשיר שלך"), בה יותר ויותר אנשים משתמשים במכשיר האישי שלהם כדי לגשת למידע פנים ארגוני.
נעם פרוימוביץ, מנכ"ל פאוור תקשורת, נציגת חברת אבטחת המידע קספרסקי בישראל, מסביר כי מצד אחד הדבר משרת את בית העסק ומעניק זמינות תמידית של העובד. מצד שני, הסיכון לזליגת מידע רגיש של העסק עולה בהתאמה, בין אם המכשיר יאבד ובין אם יושתלו עליו תוכנות ריגול או וירוסים שעלולים לעבור לרשת הפנים ארגונית.
לטענתו, מדובר בהתפתחות שאי אפשר לעצור כמעט, בשל הצורך של העובד בנגישות תמידית למידע, גם מחוץ למשרד. "כשארגון נותן לעובד מכשיר משלו, הוא גם יכול לקבוע מדיניות שימוש ולשלוט על אבטחת המידע", הוא מסביר. "הבעיה מתחילה כשלא מספקים לעובדים ניידים, או כאשר עובד רוכש לעצמו אייפד למשל, ורוצה להשתמש בו כשהוא מחוץ למשרד".
הסכנה של דליפת המידע הנשקפת ממכשירים אלה, הומחשה לאחרונה בפרשיית הריגול המקוונת "אוקטובר האדום", שכוונה נגד גופים ממשלתיים בכל העולם, ביניהם גם בישראל, בין השאר באמצעות איסוף מידע מסווג מסמארטפונים. "אם עד היום פעילות ריגול מקוונת זוהתה בעיקר עם השלטות על PC - כיום זה מגיע לפלטפורמות נוספות", מסביר פרוימוביץ.
הגבלות על השימוש בנייד
כדי לנסות להתמודד עם הבעיה, במקומות רבים מטילים הגבלות שונות על השימוש בנייד האישי, עד כדי איסור לעשות בו שימוש בזמן ולצורכי עבודה. מגמה זו עשויה להתגבר על פי מחקר של חברת מחקרי השוק גרטנר, לפיו עד שנת 2016 - לפחות 25% מעובדים באירופה ובצפון אמריקה לא יורשו להביא לעבודה את המכשירים הניידים שרכשו בעצמם.
בישראל אפשר בעיקר למצוא בעיקר הגבלות שונות על השימוש בנייד. הפן המוכר יותר הוא בגופים ביטחוניים כמו רפא"ל והתעשייה האווירית, שאוסרים לעתים להכניס ניידים לאזורים ממודרים כמו מעבדות. גם בארגונים אחרים, כמו בנקים וחברות ביטוח, אפשר למצוא הגבלות שונות: מניעת אפשרות גישה למערכות הארגוניות באמצעות הניידים, איסור להכניס אותם לדיונים מסוימים ועוד.
כך למשל, עובד בבנק הפועלים מספר שחל על העובדים איסור לעשות שימוש בטאבלטים אישיים לצורכי עבודה. "מותר להשתמש רק באביזרים מאובטחים של הבנק עם סיסמה, וגם זה באישור אישי של ראש חטיבת IT", הוא מספר. עובד במכבי שירותי בריאות, מסר, כי הארגון כן מרשה לעובדים להתחבר לתוכנת האאוטלוק באמצעות הנייד, אבל לא למערכות המרכזיות. "יש המון מידע רגיש במערכות", הוא אומר, "אנשי אבטחת המידע גם ככה נמצאים בלחץ מטורף. אם תוסיף עליהם חיבור לא ממוחשב, גמרת עליהם".
מצד שני, ב-IBM התקבלה החלטה רשמית לאפשר לעובדים לעשות שימוש בניידים הפרטיים, אך תחת מגבלות שונות כמו איסור על שימוש בשירות שיתוף הקצבים Dropbox, או דרישה להתקנת תוכנה שתאפשר למחוק את המידע מהמכשיר מרחוק אם הוא נגנב או אובד.
"זו בעיה שאנו נתקלים מולה כל הזמן בארגונים מכל הסוגים כמעט", מאשר מוטי רפאלין, מנכ"ל חברת Watchdox המספקת הגנה על מידע ארגוני. לדבריו, "עד שמנהלי מערכות המידע לא מוצאים דרך שמספקת אותם מבחינת אבטחה - הם חוסמים את הגלישה ברשת הארגונית כך שאין אפילו גישה לג'ימייל". רפאלין מספר, כי ככל שיש יותר מידע רגיש בארגון - הנטייה לחסום הרבה יותר גבוהה.
איומים הולכים וגדלים
בשעה שעולם המובייל מתפתח במהירות - גם האיומים גדלים במהירות. הסכנות משתנות ממכשיר למכשיר, בהתאם לפופולאריות שלו ולטכנולוגיה, אבל הן נמצאות במגמת עליה. שלומי בוטנרו, מנהל מרכז התמחות אבטחת מידע וסייבר במטריקס, מספר כי ברבעון האחרון חל זינוק של יותר מ-3,000% בכמות הווירוסים בטלפונים סלולאריים, זאת בשעה שפחות מ-15% משתמשים במערכות הגנה במכשירים.
בין השאר הוא מדגים, אם תוכנה שכזו חדרה לנייד באמצעות אפליקציה זדונית - היא עלולה לאפשר גישה לכל מה שנמצא על המכשיר כמו מיילים, יומן פגישות ומסרונים, מעקב באמצעות ה-GPS וחדירה לרשת הארגונית וגישה לכל המידע שנמצא עליה. זאת, במידה שעובד ישתמש במכשיר כדי להתחבר אל הרשת הארגונית.
"עולם המובייל עדיין חדש ורבים עוד לא מבינים שזה מחשב לכל דבר", הוא מסביר. "רבים לא הטמיעו עדיין את יכולות האבטחה הנדרשות, אפילו אם מדובר בפתרונות אנטי וירוס בסיסיים". בוטנרו מזהיר, שגם ניידים שמספק מקום העבודה חשופים לסכנות, גם אם בהיקף יותר קטן. "אין ארגון אחד עם אותו דגם לכל העובדים, יש הרבה סוגי מכשירים ולכן אחד הנושאים העיקרים שצריך להתמודד איתו זה לתמוך בכמה שיותר מערכות הפעלה".
מיכאל שאולוב, מנכ"ל Lacoon Secrity שעוסקת באבטחת סמארטפונים מפני פריצה, מספר על פי נתונים שנאספו בחברה, כי אחד מכל 1,000 מכשירי סלולר בישראל הותקף על ידי תוכנת ריגול ייעודית. מדובר בתוכנות העלולות להדליף מידע ארגוני רגיש לגורמים זדוניים. "יותר ויותר עובדים מביאים איתם טאבלטים למקום העבודה ומחברים אותם למערכות", הוא מספר, "כתוצאה מכך נוצרות שתי שאלות מרכזיות: איך לאבטח את התקשורת בין הארגון למכשיר, ואיך לאבטח את המכשיר עצמו, כך שאם ילך לאיבוד - לא תהיה גישה למידע הרגיש שנמצא עליו".
אז מה עושים?
מלבד עצות ותיקות ומוכרות, כמו נקיטת משנה זהירות בפתיחת מיילים שהגיעו מנמען לא מוכר או גלישה באתרים לא מזוהים, השוק מציע פתרונות טכנולוגיים שונים. כך למשל ניתן להשתמש ב-mobile device management (תוכנת MDM) - המותקנת על המכשירים הניידים ומאפשרת לעקוב אחריהם מרחוק ולשלוט בתוכנות שמתוקנות עליהם. התוכנה מסוגלת, למשל, לחסום הורדת אפליקציות, למחוק תכנים מהנייד מרחוק או להשתמש בהצפנה.
עם זאת, נדרשת הסכמת העובד לכך שיגבילו את השימוש שלו בנייד. "הרעיון הוא ליצור אזור מבודד וחסין בטאבלט, שרק באמצעותו מתקשרים עם הארגון", מסביר פרוימוביץ נציג חברת קספרסקי. "זו מעין בועה מוגנת ומבודדת שהארגון יכול לראות רק בתוכה, אולם יש לו בה שליטה על המידע. במקביל, המשתמש הפרטי אמור לקבל ביטחון, חוקית וטכנולוגית".
ב-Watchdox מציעים תוכנה שמאפשרת שיתוף מסמכים בדרך מאובטחת. "הפתרון שלנו גם מאפשר הצפנה של המידע שעל המכשיר וגם שולט עליו", מסביר רפאלין. "אנחנו מסוגלים לעקוב אחר המסמכים, לראות היכן נפתחו על פי מיקום גיאוגרפי ולהשמיד אותם בכל פלטפורמה שהם נמצאים עליה".
יש גם פתרונות שלא קשורים למסמכים, למשל ב-Lacoon Secrity מספקים פתרון אבטחה נגד תוכנות ריגול דמוי Firewall (חומת אש), שמזהה אם יש תוכנה זדונית שמנסה להוציא מהמכשיר מידע. "התקשורת של המכשיר הנייד עוברת דרך ענן שמסנן את המידע ומבצע את הזיהוי", מסביר שאולוב.
עם זאת, מומחים בתחום אבטחת המידע מסכימים כי אין עדיין בנמצא פתרון כוללני, שיכול למנוע באופן מוחלט את הסיכון של זליגת מידע. "יש פתרונות אבל אין מעטפת מלאה", מוסיף מומחה לתכנות. "יש הבדל בין אבטחה אנושית לאבטחה של תוכנות. בסוף פורצים גם מערכות משוכללות. גם מכשיר ממקום העבודה חשוף לזה".
לצד זאת, רוב המומחים גורסים, כי מתן אפשרות לעובדים לעשות שימוש במכשיר הפרטי שלהם – דווקא משרת את הארגון בטווח הרחוק וכי בסופו של דבר לא יהיו הרבה ברירות, אלא לשחות עם הזרם.
"בעתיד לא יהיה ארגון שלא יאפשר לעבוד עם המכשיר הפרטי", מעריך פרומוביץ, "כמות הטאבלטים תעלה על המחשבים וזו תהיה הטכנולוגיה הכי זמינה". שאולוב מצידו מוסיף, כי "אם לא נותנים לעובדים אמצעים נוחים שיאפשרו להם להיות פרודוקטיביים, הם יעקפו בעצמם את ההגנות".