תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

המתכון של יבמ לאבטחה בעידן הניידות

בצד שורה ארוכה של יתרונות אותם מציגים מכשירי קצה ניידים - הם מולידים גם איומים חדשים עימם חייב הארגון להתמודד. השינוי בהעדפות השימוש של משתמשים הקצה ותהליך הגלובליזציה משנים את אופיו של כוח העבודה מצד אחד ואת אופן הקשר עם לקוחות מצד שני. העובדים בעידם הנוכחי מעוניינים לגשת אל הרשת הארגונית מכל מכשיר, בכל מיקום בו הם נמצאים, ותוך עבודה שקופה במגוון אינסופי של אפליקציות. תפיסת "הבא את המכשיר הנייד שלך אל מקום העבודה", שזכתה לראשי התיבות האנגליים BYOD,   היא האתגר הבא בניהול הרשת הארגונית. השימוש הגובר במכשירי קצה ניידים בתקשורת בין לקוחות ובין ארגונים – מציג אתגר לארגונים האלה, הן באיכות השירות והן באבטחתו.

בוריס גנט,  מנהל מכירות אבטחת מידע בחטיבת התוכנה של יבמ בישראל בישראל, מסביר כי התרחבות השימוש בטלפונים חכמים מובילה להרחבת השימוש במכשירים הפרטיים האלה לצורך גישה אל הרשת הארגונית. מספר הטלפונים החכמים והטבלטים הנמכרים מדי שנה בעולם גדול ממספר המחשבים האישיים – ניידים ונייחים כאחד. העצמת עובדים והידוק הקשר עם לקוחות באמצעות פתיחת האפשרות בפניהם לתקשר עם הארגון מכל מקום ובכל זמן מהווה הזדמנות אסטרטגית מבחינת הארגון. אלא שחברות חייבות להקפיד על אבטחת המידע הארגוני הזורם לטלפונים חכמים ולטבלטים, נוצר באמצעותם או מאוחסן עליהם – בין אם הטלפונים האלה הם רכוש החברה ובין אם הם בבעלות המשתמש.

בין אם מדובר בבנקים או בחברות הכפופות לרגולציה הדוקה, בין אם מדובר בחברות קמעונאיות, בין אם במגזר הצבאי והבטחוני שם מתרחב השימוש במכשירים פרטיים ובין אם במערכות ממשלתיות:  בעיות ניהול, שליטה ואבטחה לובשות מימדים עצומים וגדולים מאי-פעם.

גנט מזכיר כי רשימת האיומים בתחום האבטחה של שימוש במכשירי קצה ניידים כוללת סכנות דוגמת קוד זדוני – וירוסים, תולעים, סוסים טרויאניים ותוכנות ריגול; חשיפה להתקפות ישירות המתמקדות בממשק אל המכשיר, התקפות מניעת שירות ברשת  DoS,   והודעות SMS    הכוללות קוד זדוני. במקביל, יש להתמודד עם הסכנות המלוות אבדן או גניבה של מכשירים: להיות מסוגלים למנוע שמירת מידע רגיש על גבי מכשירי הקצה האלה, למחוק מרחוק תכנים ויישומים, ולבלום שימוש במכשיר בידי מי שאינם מורשים לכך. כל יירוט של תקשורת הנתונים אל מכשירי הקצה הניידים מציג סכנה לדליפת מידע – וניצול מסוכן של המידע הזה בידי זרים.

הסכנה הצפונה בשימוש ארגוני במכשירים ניידים היא אמיתית – והיא צומחת במהירות גבוהה במיוחד. צוות  X-Force  של יבמ, המרכז ומנתח דיווחים אודות סיכונים ואיומים ברשת, מצביע על התרחבות איומי האבטחה בעולם הנייד. "בחינה היסטורית של התפתחות הקוד הזדוני מלמדת כי לאורך השנים הופכות התוכנות האלה מתוחכמות יותר ויותר. כל שיהוי בהיערכות, ובחירה במדיניות של תגובה במקום פעילות מונעת מוקדמת שיטתית – עלולים להיות עניין יקר וכואב", אומר עמרי הולצמן, מנהל שירותי האבטחה של יבמ בישראל.

אתגר מורכב בריבוי סביבות ותשתיות

ארגונים המבקשים ליהנות מיתרונות השימוש במכשירי קצה ניידים בשירות עובדים, שותפים עסקיים וכערוץ תקשורת עם לקוחות – חייבים להתמודד עם אתגרי התמיכה במגוון רחב של מכשירים כאלה, לרבות מערכות הפעלה ומפעילי תשתיות רשת שונים. ניהול המכשירים האלה אינו מתבצע למעשה על ידי הארגון – והם מערבים ומשלבים מידע אישי ומידע ארגוני על גבי פלטפורמה אחת. המידע הארגוני מופץ למעשה אל מכשירים בלתי מאובטחים – מבלי שהארגון יוכל לשלוט בסל היישומים הפועלים במקביל על גבי אותו מכשיר קצה. ההתמודדות עם מכלול האתגרים האלה קשה עוד יותר – בשל המחסור באנשי מקצוע מנוסים המסוגלים להתמודד עם אתגרי הניהול והאבטחה של טכנולוגיות ניידות.

מעבר לאיומים המסתתרים בקוד המחשב – אנשים ומשתמשים עשויים להיות האיום הגדול ביותר. גנט קובל כי "אין בשוק מישהו שמבין לעומק כמה משמעותי התהליך שבו מביאים אנשים את מכשירי הקצה שלהם ומשתמשים בהם במסגרת הארגונית – BYD–    ואין בשוק מי שמבין את חוסר הבגרות של השוק. התהליך הזה של  BYD   מתפתח במהירות מתפרצת: כשאני מביא מכשיר פרטי למקום העבודה, השאלה הראשונה היא מה המשתמש הקצה עושה עם זה. האם הוא קורא דואר? האם הוא מדבר בטלפון? האם הוא ניגש ליישומים ארגוניים? רוב הארגונים רוצים לתת לעובדים להשתמש במכשיר הפרטים – משום שזה לכאורה זול יותר: אני נותן לעובד לרכוש את המכשיר וחוסך את המחיר. אלא שניהול מכשיר קצה של עובד עולה כ- 120 דולר לשנה לעובד. הרכיב היקר ביותר הוא זה של אבטחת המכשיר הפרטי. יותר מדי ארגונים נכשלים בהגנה על עצמם, ואין פתרון אחד שמכסה את כל הסיכונים בכל הארגונים. הייתי רוצה שזה יהיה פשוט יותר. השוק אינו בוגר, וקודם כל אנחנו צריכים להתמקד באסטרטגיה: לקבוע למי מותר להפעיל מכשירים, למה ולאלו שימושים – ואלו סיכונים אנחנו מוכנים לקחת על עצמנו".

הפתרון אותו מציעה יבמ לאתגר הזה, כולל מצד אחד חליפה מקיפה של תוכנות אבטחה המיועדות לפריסה ברמת מכשיר הקצה – מכל סוג שהוא – וברמת הארגון בכלל. במקביל, מציעה יבמ גם  שירות מנוהל המבוסס על סביבת ענן מחשוב, ומסוגל לסייע בהגנה על מכשירים ומשתמשים ניידים הניגשים אל המידע הארגוני. השירות של יבמ מציע הגנה על נתונים מפני שימוש בלתי מורשה במכשירים המונחים ללא השגחה, מכשירים שאבדו לבעליהם או כאלה שנגנבו והגיעו לידיים זרות. השירות וכלי התוכנה של יבמ מגינים גם מפני אבדן נתונים או דליפת מידע באמצעות ניטור וניהול השימוש במצלמה המשולבת במכשיר הנייד, ביציאות USB   וביישומים – ומגבילים את הגישה ליישומים העלולים לחשוף את החברה ולהטיל עליה אחריות מול צד שלישי. יבמ משלבת בשירות האבטחה שלה גם כלים לניתוח סיכונים פנים-ארגוניים, ומאפשרת לנהל את מכלול התקשורת בין מכשירי הקצה ובין הרשת הארגונית במתכונת מוצפנת ומאובטחת.

הפתרון של יבמ יכול לשלב תשתיות מאוחסנות בהיקף הנדרש לארגון, בקרה ושליטה ברמת מכשיר הקצה, וניהול כולל של מדיניות האבטחה ותהליכי הניטור באמצעות צוות מוקד התפעול של יבמ. למעשה, מדובר במיקור חוץ מלא של אבטחת המכשירים הניידים – באופן המאפשר להימנע מהשקעות בטכנולוגיה לניהול פנימי ובצוות הנדרש לתפעולה. סל השירותים של יבמ מכסה את מכלול שלבי התכנון וההקמה של מערך האבטחה, הניטור, ההתראה והדיווח בשימוש שוטף – כמו גם תפעול מוקד התמיכה במשתמשים.

ביבמ מזכירים כי עידן הענן מוליד אתגרים חדשים ומורכבים במיוחד: כשתוקפים מזהים תמונת מערכת חדשה המוקמת בענן, הם משתמשים בה להתקפות מניעת שירות. הבעיה הגדולה ביותר של עידן הענן היא עצם הפיכת ה-  IT  זמין  לאנשים שאינם מתחום ה- IT–   והעובדה שאיננו כופים על האנשים האלה לאבטח את עצמם.

אנשי יבמ מציעים ליישם את אותה קונצפציה של אבטחה המוכרת במרכז עיבוד הנתונים גם בענן – תוך ביצוע ההתאמות המתחייבות. בנוסף, נדרש להדריך ולחנך את המשתמשים: אנשי שיווק שרוצים הדגמה ללקוח – אינם יכולים להקים מערכת בלי להתייחס לסוגיית אבטחה. צריך למנוע שגיאות אנוש – ועדיין אנחנו צריכים אנשים בעלי ידע. מדיניות אבטחה תותאם בסופו של דבר לצרכים העסקיים.

רשימת שלבים בבניית מדיניות אבטחה

כצעד ראשון בבניית מדיניות אבטחה, מציעים ביבמ לבנות תרבות ארגונית המודעת לסיכוני אבטחה. הארגון חייב להיות מודע לתוצאות האפשריות של כל הקשה על קישור נגוע – והמודעות הזאת צריכה לכלול כל עובד ועובד, ולא רק את מנהלי האבטחה או ההנהלה הבכירה. כאשר מתגלות בכל זאת בעיות – יש לנהל מקרי אבטחה ותהליכי תגובה לאירועים. מערך מקיף של מודיעין אבטחה, הנשען על כלי ניתוח אנליטי מתאימים, יידע לקשר בין אירועים שונים גם אם הם נראים בלתי קשורים זה לזה, להצביע על מגמות ולחזות בעיות על מנת לגבש את נהלי ההתמודדות עימן – עוד בטרם גרמו לבעיות בפועל. כיוון שפושעי סייבר מחפשים ללא הרף אחר פרצות – יש להגן על סביבת העבודה. כל תחנת עבודה, מחשב נייד או טלפון חכם מהווים נקודת חדירה פוטנציאלית לקוד זדוני. הגדרות התצורה והפעלת תוכנת ההגנה על גבי כל מכשיר כזה אינן יכולות להיות עניינו של משתמש הקצה בלבד: יחידת טכנולוגיית המידע חייבת לשלוט באבטחת מכלול נקודות הקצה, כמו גם להגדיר אזורי תוכן ברשת הארגונית ולשלוט בזרימת הנתונים בין איזור לאיזור.

ניהול עדכוני תוכנה בהיקף כלל ארגוני מהווה אתגר מורכב – ועדיין חובה לשמור על תמונה ברורה ונקייה של מצאי התוכנה והיישומים הפועלים בארגון. לא מעט אנשים מעדיפים להמשיך ולעבוד בסביבת כלים מוכרים, ולהימנע משדרוג. חברות תוכנה מפסיקות לתמוך בגרסאות ותיקות – לטובת מהדורות חדשות יותר. פורצי מחשבים מכירים היטב את המציאות הזאת – ומתמחים בחדירה לאותן מערכות בלתי-מעודכנות, שלא עברו הטלאה ושדרוג המתחייבים עם גילויים של איומים חדשים.

סביבה מאובטחת חייבת לשלוט בגישה לרשת. ממש כשם שמערכות שיטור עירוניות נשענות על מוקד ניטור אחד, המודע לסטטיסטיקה של עומסי תנועה ואיומי פשיעה, ולמיקום הניידות המתמודדות עימם – צריכה סביבת הניהול המאובטחת לשלוט במכלול עומסי התנועה ברשת, לדעת לנתב אותם – ולזהות את איומי האבטחה.

עולם האבטחה הארגוני עובר לענן. סביבת ענן המחשוב מאפשרת ייעול משמעותי של משימות המחשוב הארגוני – ומציגה אתגרי אבטחה חדשים. המעבר לסביבת ענן מציב את היישומים הארגוניים בשכנות קרובה ליישומים המופעלים על ידי ארגונים אחרים – ומחייב הגדרת כלים, תהליכים, מערכות ניטור ושליטה הנדרשים על מנת לבודד את הארגון ולהגן עליו.

תרבות האבטחה הארגונית חייבת לפעול מעבר לתחומי הארגון עצמו. כך, למשל, יש להגדיר וליישם שיטות לשילוב מאובטח משתמשים חיצוניים – ספקים או לקוחות – בתהליכים המנוהלים על גבי הרשת הארגונית. ככל שהפתיחות הזאת גוברת – ומייעלת את המשימות העסקיות – חובה להגן במשנה זהירות על יהלומי הכתר של הארגון. על מנת להצליח במשימה הזאת, חייב הארגון להגדיר במפורט את המידע והיישומים הקריטיים ביותר שלו: נתונים הנדסיים, נתונים פיננסיים או מידע אודות עסקות רכישה ומיזוג עתידיות. תהליך ההגדרה הראשוני הזה חיוני על מנת להקים חומות הגנה ולהגדיר את הרשאות הגישה אל כל פריט מידע – בהתאם לרמת הסודיות שלו.

לסיום, מזכירים ביבמ כי ניהול אבטחה מקיף כולל מעקב המאפשר לדעת בכל רגע נתון מי הוא מי. עובדי קבלן עשויים להפוך לעובדי חברה; עובדי חברה עשויים לשנות את הגדרת התפקיד ותחומי העיסוק – וההרשאות הנגזרות מההגדרות האלה; עובדים מסיימים את העסקתם בחברה ועוברים לעבודה מחוץ לה. כל מעבר או שינוי כזה מחייב עדכונים של הגדרות האבטחה. אי-הקפדה על עדכונים כאלה עלולה להיות מתורגמת – בסופו של דבר – לזליגה בלתי רצויה של מידע.

 

לפרטים נוספים: בוריס גנטמכר, מנהל תחום אבטחת מידע בי.ב.מ, 052-2554593, borisg@il.ibm.com.

כתבות ראשיות באתר

כתבות שאולי פיספסתם

*#