"נשיא ארה"ב יקבל בחזרה את טלפון הבלקברי שהוא כל כך אוהב, כשהוא מעודכן עם תוכנת אבטחה עוצמתית. משך בדיקות הווירוסים בדואר האלקטרוני שלו, עשוי להימשך גם 50 דקות", Ynet, 27.4.09
מי מאיתנו לא ניסה לאחרונה לקרוא את הדואר האלקטרוני המשרדי שלו באמצעות הטלפון הסלולרי החדשני שקיבל לא מזמן ?
הרי ככה נוכל להגיע לזמן התגובה הכי טוב ללקוחות או הספקים שלנו.
נפלא ! לא ???
עד לפני שנתיים שלוש כאשר אמרנו כי העלינו את רמת הפרודוקטיביות של העובדים ע"י זה שאיפשרנו להם ניידות, התכוונו בעצם כי סיפקנו להם מחשב נייד, ובו כמובן וורד, אקסל ודואר אלקטרוני, ואולי אפילו גישה מרחוק ליישומים הארגוניים הרגילים שלנו.
מרבית העובדים התחברו לרשת של החברה ע"י האינטרנט הביתי שלהם, רשתות WiFi מזדמנות, והמהדרים אפילו סיפקו לעובדים חיבור ע"י תקשורת סלולרית.
לפני אספקת המחשב הנייד, מנהל המחשוב היה דואג שבכל מחשב נייד כזה יותקן אנטי-וירוס מעודכן, ובלא מעט מחשבים אפילו הותקנה תוכנה להצפנת הדיסק הקשיח, ולכולם היה ברור מאליו שחיבור ה- OWA ייעשה בפרוטוקול SSL מוצפן, ורוב החברות השתדלו לאפשר חיבור ליישומים הארגוניים רק
דרך VPN מאובטח, ואולי אפילו עם eToken או OTP (סיסמא חד פעמית) במקום סיסמא פשוטה.
ואז הגיעו אלינו הטלפונים החכמים החדשים.
לכל טלפון כזה, וזה לא משנה אם זה Nokia, BlackBerry, iPhone, או יצרן אחר כלשהו - לכולם עוצמת מחשוב גדולה יותר מאשר כל מחשב נייד שהכרנו עד לפני חמש שנים בערך.
לטלפונים החדשים הללו ש דפדפנים מובנים עם חיבור קבוע לאינטרנט ע"י רשתות GSM מהירות (UMTS, HSPA וכו'), BlueTooth לחיבור אזניות ועזרים למיניהם, WiFi, תוכנת דואר אלקטרוני משוכללת, יישומים מוקטנים לעיבוד תמלילים, גיליון אלקטרוני, צפיה ב-PDF, וכמובן גם כרטיסי זיכרון Flash בנפחים של 16gb וצפונה.
כן - לא שכחתי שבתערוכת CES 2009 הציגו כבר טלפונים סלולריים ראשונים עם מקרן מובנה, שיכול להקרין מצגת ישירות מהטלפון הסלולרי על הקיר בחדר הדיונים.
ההתפתחות המהירה כל כך של הטלפונים הסלולריים והאפליקציות שרצות עליהם, גרמו לשינוי גדול בדרך שבו אנו מנהלים את העסקים שלנו, ועוזרים לנו להגדיל את הפרודוקטיביות של העובדים, שיכולים כעת לבצע משימות שונות כמו מענה על דוא"ל וניהול הזמנות, רחוק מהמשרד ובשעות לא שגרתיות, וכמובן שהעובדים יכולים להחזיק את כל המידע שהם זקוקים לו - קרוב מאוד אליהם: בתוך הטלפון.
לעובדים ניידים רבים המחשב הנייד הפך כמעט מיותר - אולי למעט לאלו שצריכים להקליד מסמכים ארוכים, וזקוקים עדיין למקלדת ה- Qwerty הגדולה במחשב שלהם.
אתר מנהלי אבטחת המידע - CSO-online פרסם לאחרונה תוצאות של סקר שהראה כי כמעט שליש מהאנשים משתמשים בטלפון הסלולרי שקיבלו מהעבודה לגלישה באינטרנט, ומעל 80% מאלו הודה שאין להם שום אמצעי אבטחה המותקן בטלפון.
עד כה זיהינו כמה וירוסים בודדים שפגעו בטלפונים הסלולריים, ולכן אפילו שבבלקברי של אובמה התקינו אנטי-וירוס כה חזק לבדיקת דואר אלקטרוני, עד שלא יופיעו מעט יותר וירוסים שמסוגלים לפגוע במערכת ההפעלה של הטלפון הסלולרי - אנחנו יכולים להניח את הנושא הזה בצד.
אז מה כן מסכן את הטלפון החכם שלנו ?
שני הדברים העיקריים שמסכנים את הטלפון שלנו, הם למעשה גם נקודות העוצמה העיקריות שלו:
1. המימדים / ניידות
2. הקישוריות
בגלל המימדים הזעירים, אנו נוטים לאבד את הטלפון, ואיתו כל הדואר האלקטרוני שסינכרנו לזיכרון שלו, כל הקבצים שאיחסנו בזיכרון ה-flash (ואני לא מתכוון ל- MP3 שהורדנו ב- eMule ), וכמובן שגם רשימת אנשי הקשר שלנו, עם מספרי הטלפון האישיים והדוא"ל שלהם.
אם המוצא הישר, אינו כה ישר, ולמעשה ארב לטלפון שהיה מונח על השולחן בבית הקפה - הוא כבר ימצא מה לעשות בכל המידע שישלוף מהטלפון.
הקישוריות היא הנושא החשוב השני - רובנו מפעילים את אזניות ה- Bluetooth, או הדיבורית המקבילה במכונית, ומשאירים את הזיהוי של הטלפון פתוח, ולכל אלו שיש גם WiFi בטלפון, ומשתמשים בזה לגלישה באינטרנט ללא עלות בכל נקודת גישה מזדמנת - אנחנו למעשה חושפים את הטלפון שלנו לחדירה די פשוטה מהצד, ע"י כל מי שידע להוריד את התוכנה המתאימה מהאינטרנט.
סיכון משמעותי נוסף כלל לא נמצא בטלפון הסלולרי עצמו - הוא מצוי דווקא ברשת שלנו.
אם לפני כמה שנים מנהל המחשוב הסכים לפתוח לתקשורת חיצונית את ה- exchange רק לגישה מרחוק עם SSL, ודרש VPN להפעלת האינטראנט הארגוני, כדי לא לחשוף את המידע למתחרים, אזי היום אנחנו מתלוננים שאם מפעילים הצפנה על הדוא"ל "הוא לא זז", ועל VPN מול הטלפון אין בכלל מה לדבר.
בארגונים רבים פשוט פתחו את התקשורת לגישה מהטלפונים החכמים ישר ליישומים הארגונים - וזאת כמובן בשם הגדלת הפרודוקטיביות בימי משבר אלו.
אני לא רוצה לצעוד זאב, זאב, ולהפחיד יותר מדי, ובוודאי שלא לאמר לא להשתמש בטלפונים החכמים, כי הטכנולוגיה רק תרוץ עוד קדימה והטלפונים רק יהפכו להיות חכמים הרבה יותר, אבל מנהלי המחשוב ומנהלי אבטחת המידע בארגונים צריכים להתחיל לטלפונים הסלולריים בתור זירת התמודדות טכנולוגית נוספת.
מנהלי המחשוב צריכים למפות את הסיכונים העומדים בפניהם בזירה הסלולרית החדשה, לזהות את החולשות הפוטנציאליות העלולות לפגוע בארגון ובנכסי המידע שלו, ולהוסיף למדיניות אבטחת המידע הארגונית התייחסות הולמת הן לסיכונים, והן למתכונת בה בוחר הארגון להתמודד עם הסיכונים הללו:
? אילו נכסי מידע יש לחשוף כלפי העולם הסלולרי - מערכות מידע, דוא"ל וכו'
? כיצד מאבטחים את נכסי המידע הללו בפני פגיעה או דליפה מבחוץ
? כיצד מגנים על המידע שנשלח ומאוחסן בתוך הטלפונים עצמם
? כיצד להנחות את העובדים בהתמודדות עם אירועי אבדן או גניבה של טלפונים ובמודעות לסיכונים הנובעים מהשימוש בטלפון לגישה למידע של הארגון
הארגון צריך להכין תוכנית מעשית להתמודדות עם סיכוני אבטחת המידע החדשים הללו, ולהתייחס כמובן גם למצבים שלא תמיד נראים כה חשובים בתחילה, כמו זה שעובדים משתמשים גם בטלפונים חכמים פרטיים, ולא רק באלו שסופקו ע"י החברה, או שלעובדים יש לעיתים יותר ממכשיר אחד- כגון מכשיר ה- GPS החדש באוטו, שהוא למעשה גם טלפון סלולרי חכם בעצמו, או שעובדים נהנים מהמסך הגדול שבו לגלישה לדוא"ל של החברה, וכמובן גם לא לשכוח שלעיתים רגולציה שאנו נדרשים לעמוד בה, דורשת ישירות או בעקיפין את אבטחת המידע גם של הטלפונים הללו.
מדיניות אבטחה ארגונית כזו יכולה לכלול סעיפים כגון:
? הפעלת מנגנון הסיסמאות המובנה בטלפון
? הרשאות והגנה מתאימה לרשת הארגונית
? התקנת תוכנת אבטחה והצפנה לטלפון
? תוכנות אנטי-וירוס
? התקנת עדכוני אבטחה בטלפון
? לשקול יישום אמצעי הזדהות חזקה למול הרשת הארגונית
אז אם השירות החשאי וה- CIA אפשרו לנשאי אובמה לקרוא את הדוא"ל שלו עם הבלקברי הצמוד שלו, כנראה שגם אנחנו יכולים לעשות זאת, אבל אולי רצוי שגם נלמד משהו מאובמה לגבי הצורך להתייחס מעט לאבטחת המידע של הטלפונים שלנו.
מי מאיתנו לא ניסה לאחרונה לקרוא את הדואר האלקטרוני המשרדי שלו באמצעות הטלפון הסלולרי החדשני שקיבל לא מזמן ?
הרי ככה נוכל להגיע לזמן התגובה הכי טוב ללקוחות או הספקים שלנו.
נפלא ! לא ???
עד לפני שנתיים שלוש כאשר אמרנו כי העלינו את רמת הפרודוקטיביות של העובדים ע"י זה שאיפשרנו להם ניידות, התכוונו בעצם כי סיפקנו להם מחשב נייד, ובו כמובן וורד, אקסל ודואר אלקטרוני, ואולי אפילו גישה מרחוק ליישומים הארגוניים הרגילים שלנו.
מרבית העובדים התחברו לרשת של החברה ע"י האינטרנט הביתי שלהם, רשתות WiFi מזדמנות, והמהדרים אפילו סיפקו לעובדים חיבור ע"י תקשורת סלולרית.
לפני אספקת המחשב הנייד, מנהל המחשוב היה דואג שבכל מחשב נייד כזה יותקן אנטי-וירוס מעודכן, ובלא מעט מחשבים אפילו הותקנה תוכנה להצפנת הדיסק הקשיח, ולכולם היה ברור מאליו שחיבור ה- OWA ייעשה בפרוטוקול SSL מוצפן, ורוב החברות השתדלו לאפשר חיבור ליישומים הארגוניים רק
דרך VPN מאובטח, ואולי אפילו עם eToken או OTP (סיסמא חד פעמית) במקום סיסמא פשוטה.
ואז הגיעו אלינו הטלפונים החכמים החדשים.
לכל טלפון כזה, וזה לא משנה אם זה Nokia, BlackBerry, iPhone, או יצרן אחר כלשהו - לכולם עוצמת מחשוב גדולה יותר מאשר כל מחשב נייד שהכרנו עד לפני חמש שנים בערך.
לטלפונים החדשים הללו ש דפדפנים מובנים עם חיבור קבוע לאינטרנט ע"י רשתות GSM מהירות (UMTS, HSPA וכו'), BlueTooth לחיבור אזניות ועזרים למיניהם, WiFi, תוכנת דואר אלקטרוני משוכללת, יישומים מוקטנים לעיבוד תמלילים, גיליון אלקטרוני, צפיה ב-PDF, וכמובן גם כרטיסי זיכרון Flash בנפחים של 16gb וצפונה.
כן - לא שכחתי שבתערוכת CES 2009 הציגו כבר טלפונים סלולריים ראשונים עם מקרן מובנה, שיכול להקרין מצגת ישירות מהטלפון הסלולרי על הקיר בחדר הדיונים.
ההתפתחות המהירה כל כך של הטלפונים הסלולריים והאפליקציות שרצות עליהם, גרמו לשינוי גדול בדרך שבו אנו מנהלים את העסקים שלנו, ועוזרים לנו להגדיל את הפרודוקטיביות של העובדים, שיכולים כעת לבצע משימות שונות כמו מענה על דוא"ל וניהול הזמנות, רחוק מהמשרד ובשעות לא שגרתיות, וכמובן שהעובדים יכולים להחזיק את כל המידע שהם זקוקים לו - קרוב מאוד אליהם: בתוך הטלפון.
לעובדים ניידים רבים המחשב הנייד הפך כמעט מיותר - אולי למעט לאלו שצריכים להקליד מסמכים ארוכים, וזקוקים עדיין למקלדת ה- Qwerty הגדולה במחשב שלהם.
אתר מנהלי אבטחת המידע - CSO-online פרסם לאחרונה תוצאות של סקר שהראה כי כמעט שליש מהאנשים משתמשים בטלפון הסלולרי שקיבלו מהעבודה לגלישה באינטרנט, ומעל 80% מאלו הודה שאין להם שום אמצעי אבטחה המותקן בטלפון.
עד כה זיהינו כמה וירוסים בודדים שפגעו בטלפונים הסלולריים, ולכן אפילו שבבלקברי של אובמה התקינו אנטי-וירוס כה חזק לבדיקת דואר אלקטרוני, עד שלא יופיעו מעט יותר וירוסים שמסוגלים לפגוע במערכת ההפעלה של הטלפון הסלולרי - אנחנו יכולים להניח את הנושא הזה בצד.
אז מה כן מסכן את הטלפון החכם שלנו ?
שני הדברים העיקריים שמסכנים את הטלפון שלנו, הם למעשה גם נקודות העוצמה העיקריות שלו:
1. המימדים / ניידות
2. הקישוריות
בגלל המימדים הזעירים, אנו נוטים לאבד את הטלפון, ואיתו כל הדואר האלקטרוני שסינכרנו לזיכרון שלו, כל הקבצים שאיחסנו בזיכרון ה-flash (ואני לא מתכוון ל- MP3 שהורדנו ב- eMule ), וכמובן שגם רשימת אנשי הקשר שלנו, עם מספרי הטלפון האישיים והדוא"ל שלהם.
אם המוצא הישר, אינו כה ישר, ולמעשה ארב לטלפון שהיה מונח על השולחן בבית הקפה - הוא כבר ימצא מה לעשות בכל המידע שישלוף מהטלפון.
הקישוריות היא הנושא החשוב השני - רובנו מפעילים את אזניות ה- Bluetooth, או הדיבורית המקבילה במכונית, ומשאירים את הזיהוי של הטלפון פתוח, ולכל אלו שיש גם WiFi בטלפון, ומשתמשים בזה לגלישה באינטרנט ללא עלות בכל נקודת גישה מזדמנת - אנחנו למעשה חושפים את הטלפון שלנו לחדירה די פשוטה מהצד, ע"י כל מי שידע להוריד את התוכנה המתאימה מהאינטרנט.
סיכון משמעותי נוסף כלל לא נמצא בטלפון הסלולרי עצמו - הוא מצוי דווקא ברשת שלנו.
אם לפני כמה שנים מנהל המחשוב הסכים לפתוח לתקשורת חיצונית את ה- exchange רק לגישה מרחוק עם SSL, ודרש VPN להפעלת האינטראנט הארגוני, כדי לא לחשוף את המידע למתחרים, אזי היום אנחנו מתלוננים שאם מפעילים הצפנה על הדוא"ל "הוא לא זז", ועל VPN מול הטלפון אין בכלל מה לדבר.
בארגונים רבים פשוט פתחו את התקשורת לגישה מהטלפונים החכמים ישר ליישומים הארגונים - וזאת כמובן בשם הגדלת הפרודוקטיביות בימי משבר אלו.
אני לא רוצה לצעוד זאב, זאב, ולהפחיד יותר מדי, ובוודאי שלא לאמר לא להשתמש בטלפונים החכמים, כי הטכנולוגיה רק תרוץ עוד קדימה והטלפונים רק יהפכו להיות חכמים הרבה יותר, אבל מנהלי המחשוב ומנהלי אבטחת המידע בארגונים צריכים להתחיל לטלפונים הסלולריים בתור זירת התמודדות טכנולוגית נוספת.
מנהלי המחשוב צריכים למפות את הסיכונים העומדים בפניהם בזירה הסלולרית החדשה, לזהות את החולשות הפוטנציאליות העלולות לפגוע בארגון ובנכסי המידע שלו, ולהוסיף למדיניות אבטחת המידע הארגונית התייחסות הולמת הן לסיכונים, והן למתכונת בה בוחר הארגון להתמודד עם הסיכונים הללו:
? אילו נכסי מידע יש לחשוף כלפי העולם הסלולרי - מערכות מידע, דוא"ל וכו'
? כיצד מאבטחים את נכסי המידע הללו בפני פגיעה או דליפה מבחוץ
? כיצד מגנים על המידע שנשלח ומאוחסן בתוך הטלפונים עצמם
? כיצד להנחות את העובדים בהתמודדות עם אירועי אבדן או גניבה של טלפונים ובמודעות לסיכונים הנובעים מהשימוש בטלפון לגישה למידע של הארגון
הארגון צריך להכין תוכנית מעשית להתמודדות עם סיכוני אבטחת המידע החדשים הללו, ולהתייחס כמובן גם למצבים שלא תמיד נראים כה חשובים בתחילה, כמו זה שעובדים משתמשים גם בטלפונים חכמים פרטיים, ולא רק באלו שסופקו ע"י החברה, או שלעובדים יש לעיתים יותר ממכשיר אחד- כגון מכשיר ה- GPS החדש באוטו, שהוא למעשה גם טלפון סלולרי חכם בעצמו, או שעובדים נהנים מהמסך הגדול שבו לגלישה לדוא"ל של החברה, וכמובן גם לא לשכוח שלעיתים רגולציה שאנו נדרשים לעמוד בה, דורשת ישירות או בעקיפין את אבטחת המידע גם של הטלפונים הללו.
מדיניות אבטחה ארגונית כזו יכולה לכלול סעיפים כגון:
? הפעלת מנגנון הסיסמאות המובנה בטלפון
? הרשאות והגנה מתאימה לרשת הארגונית
? התקנת תוכנת אבטחה והצפנה לטלפון
? תוכנות אנטי-וירוס
? התקנת עדכוני אבטחה בטלפון
? לשקול יישום אמצעי הזדהות חזקה למול הרשת הארגונית
אז אם השירות החשאי וה- CIA אפשרו לנשאי אובמה לקרוא את הדוא"ל שלו עם הבלקברי הצמוד שלו, כנראה שגם אנחנו יכולים לעשות זאת, אבל אולי רצוי שגם נלמד משהו מאובמה לגבי הצורך להתייחס מעט לאבטחת המידע של הטלפונים שלנו.
*חיים טולדנו הנו שותף בכיר בחברת דיס ביקורת ואבטחת מידע ונפתלי זיגרט, CISSP, הנו מנהל תחום ייעוץ אבטחת מידע בחברה.
*חברת דיס ביקורת ואבטחת מידע, מתמחה במתן שירותים מקצועיים ע"י מומחים בתחומי ביקורת פנימית, ניהול סיכונים ואבטחת מידע. החברה אשר הוקמה בשנת 2006 משלבת ידע וניסיון עשיר - הן בפן התהליכי והן בפן הטכנולוגי, ומסייעת לארגונים לשפר ולייעל תהליכים, לחסוך בהוצאות ולמקסם את רמת האבטחה בארגון. על לקוחות החברה בארץ ובעולם נמנים גופים פיננסיים, רשויות מקומיות, חברות ממשלתיות, חברות טלקום ועוד.
http://www.this.co.il
*חברת דיס ביקורת ואבטחת מידע, מתמחה במתן שירותים מקצועיים ע"י מומחים בתחומי ביקורת פנימית, ניהול סיכונים ואבטחת מידע. החברה אשר הוקמה בשנת 2006 משלבת ידע וניסיון עשיר - הן בפן התהליכי והן בפן הטכנולוגי, ומסייעת לארגונים לשפר ולייעל תהליכים, לחסוך בהוצאות ולמקסם את רמת האבטחה בארגון. על לקוחות החברה בארץ ובעולם נמנים גופים פיננסיים, רשויות מקומיות, חברות ממשלתיות, חברות טלקום ועוד.
http://www.this.co.il
