האסימון נפל אצל מנהלי אבטחת המידע

מחקר מקיף שערכה יבמ (IBM) בקרב מנהלי אבטחת מידע, שפרסמנו את עיקרי ממצאיו אתמול (ב'), העלה תובנות שונות על תפיסתם את התחום. אחת המסקנות המעניינות היא שמנהלי האבטחה הפנימו את העובדה שהמובייל הוא האתגר הבא שלהם מבחינת האיומים, מאחר שמדובר במכשירים שמצויים בידי מרבית העובדים, ויש קושי אמיתי לנהל מדיניות של אכיפת אבטחת מידע לגביהם.

אם מסכמים את החלק הזה במסקנות של המחקר במשפט אחד, אפשר לומר שהאסימון נפל בקרב מנהלי אבטחת המידע. עד לפני שנתיים, נושא המובייל היה אצלם בבחינת חור שחור. הם הביטו בשלווה יחסית במגמה הגוברת והולכת של BYOD – מגמה שזכתה לרוח גבית חזקה מצד המשתמשים ומצד המנהלים של הארגונים, וקיוו שהיא תיעלם כלעומת שבאה.

אולם המציאות טפחה על פניהם. איומי הסייבר שהלכו וגברו הגדילו את חרדתם של מנהלי אבטחת המידע. ההאקרים כבר לא חייבים להתאמץ כדי לפרוץ את חומות האש הארגוניות. די להם בחדירה, קלה יחסית, לטלפונים החכמים של מנהלים בכירים בארגון, או פשוט לגנוב את הטלפונים הללו. רמות האבטחה המיושמות כיום במובייל פחותות בהרבה מאשר על שרתי הארגון. אחת הסיבות לכך היא חוסר המודעות של מנהלי האבטחה, שקיוו שהבום של ה-BYOD יעבור. סיבה נוספת לכך נעוצה בהנהלות הארגונים, שלא דרבנו מספיק את מנהלי האבטחה להשקיע באבטחה במובייל.

מסקנות נוספות

החוקרים מוסיפים סיבות לאדישות של מנהלי האבטחה: 51% מהם סבורים כי הכלים שקיימים כיום להגנה על אפליקציות מובייל ארגוניות הן בעלות רמת בשלות נמוכה. זו לשון מכובסת לכך שעדיין קיימים פערים בין הצרכים הטכנולוגיים שקשורים בהגנה על מובייל לבין המצאי בשוק. כאן אולי צריך לזרוק כוכבית גדולה לספקים ולמפתחים, שבמידה מסוימת לא סיפקו בזמן כלים מתאימים שימריצו את מנהלי האבטחה להגן טוב יותר על המובייל.

בצד השני, מנהלי האבטחה מודים כי רק חלק קטן מהם מפעיל גישת ניהול אפקטיבית במובייל, כפי שהם יודעים לעשות בהגנה פיזית על השרתים בארגון שלהם.

מומחי מובייל טוענים כי שם המשחק באבטחת מכשירים ניידים הוא מדיניות ניהול נכונה ויעילה. זוהי מדיניות שכוללת הוראות והנחיות מפורשות של מותר ואסור, כמו גם איזון נכון בין התרת העברת מידע לנייד מתוך שרתי הארגון לעמידה בלחצים גוברים והולכים מצד המשתמשים, שרוצים את כל המידע הארגוני בכף ידם.

בצד הטכני, מנהלי האבטחה צריכים לבחון ברצינות יתר התפתחויות שקורות בתחום ההגנה על ניידים. התפתחויות אלה נמצאות באזורים שהם, כמו מנהלי IT אחרים, לא תמיד מסתובבים בהם – בקרב סטארט-אפים צעירים שמפתחים פתרונות שנועדו קודם כל להגן על המובייל שברשות העובד, בכל מקום על הגלובוס שבו הוא שוהה.

הפתרון הבסיסי ביותר הוא נטרול ומחיקת כל המידע מהמובייל מרגע שזוהתה הפריצה. זוהי פעולת חירום, דרסטית ואולי אף מסוכנת, אבל מטרתה הראשונית היא לעצור את ההאקר, שממהר להשתמש במידע שבידיו ולעבד אותו לצרכיו. מובן מאליו שלפעולה זו יש תנאי מוקדם – ביצוע גיבויים ושחזורים נכונים כפי שמתבקש, תחום ששייך לעולם של המנמ"רים, לשרתים ולמחשבים בארגון. לכן, ההמלצה למנהלי אבטחת המידע היא: לכו אחרי הסטארט-אפים, הקשיבו להם ובפעם הבאה שידפקו על דלתותיכם, פיתחו והזמינו אותם. אולי הם יהיו הקו המפריד בין תקלת אבטחה חמורה בארגון שמקורה בטלפון נייד של אחד הבכירים לבין עוד אירוע אבטחה שטופל כהלכה.