מה יכול ללמוד מנהל אבטחת המידע על BYOD ממתקפת הסייבר של החמאס?

אחד מתרחישי הסייבר המפחידים ביותר בישראל התרחש לאחרונה – פעילי חמאס פרצו לטלפונים האישיים של חיילים וגנבו משם מידע אישי.

חוץ מתמונות של מסיבות הסופ"ש הפרועות ושביזות יום א', עולה החשד שהחמאס השיג מידע משירותם הצבאי – תמונות מהבסיס, מספרי טלפונים של מפקדים, שיחות ווטסאפ (WhatsApp) בנושאי עבודה, מידע מה-GPS על מסלולים לבסיס ועוד. הפריצה, שהתרחשה באמצעות פרופילים מזוייפים בפייסבוק שפיתו חיילים לעבור לאפליקציה שפיתח החמאס והשתילה וירוס בטלפונים שלהם, מוכיחה את הצורך הגובר בסביבת עבודה סגורה ואטומה בטלפונים האישיים שלנו.

מצב דומה יכול להתרחש בעולם העסקי – סמנכ"ל שיווק בחברה מובילה, שבמסגרת תפקידו מדבר עם לקוחות, מעביר תמונות של מוצרים חדשים ומקבל נתונים כלכליים של החברה ושל לקוחותיו, מגלה שהטלפון הנייד שלו נפרץ. במקרה הזה, האקרים יכולים לגנוב מידע ארגוני רגיש שעלול לפגוע קשות בארגון ואף להפילו לחלוטין.

כל אלו מתרחשים כיום בגלל תרבות ה-BYOD – Bring Your Own Device. כלומר, התקופה שבה ארגונים חילקו לכולם טלפונים סלולריים עברה וחלפה, כיום העובדים רוצים ומתעקשים לעבוד עם המכשיר האישי שלהם, אותו הם מכירים ואוהבים.

מחד, ל-BYOD מספר יתרונות ברורים – הארגון חוסך את עלות הרכישה של הטלפונים הסלולריים לעובדי החברה, אך הוא בעיקר מספק צורך של "דור ה-Y" – הדור של היום, עליו אומרים כי סוגיות של פרטיות ואבטחה לא מציקות לו, לא אוהב שאומרים לו מה לעשות, הוא רוצה לבחור איזה טלפון יהיה ברשותו, אילו אפליקציות יתקין, מתי יעדכן גירסה ומתי יחליף לדור הבא של הסמארטפונים. עובדים היום לא מסכימים ללכת עם שני מכשירים, הם רוצים להשתמש בטלפון הסלולרי שהם קנו.

מאידך, החסרונות, בעיקר בגלל אבטחת המידע, רבים – כאשר המכשיר נמצא בבעלות העובד קשה מאוד לעקוב ולאכוף אחר מה הוא מתקין והאם הוא משתמש באפליקציות הגנה.

בעבר כאשר ארגון היה רוכש סדרת מכשירים לכל העובדים, מנהלי האבטחה הכירו את המכשיר על בוריו ויכלו להכתיב מהי המדיניות באשר להתקנות, מפרט, חומרה, מערכת הפעלה ועוד.

כאשר הארגון היה רוצה להתקין אפליקציה או לעדכן גרסה הוא היה עושה זאת על מגוון קטן של מכשירים. אך היום יש לכל עובד מכשיר אחר, ולכל מכשיר יש כמה וכמה גרסאות וכמה סוגים של מערכות הפעלה. כעת צריכים מנהלי אבטחת המידע להתאים מאות או אלפי מכשירים לצרכי האבטחה והעבודה של הארגון, ובקצב השחרור של המכשירים והגרסאות כיום, זה בלתי אפשרי.

כדי שמקרה נוסף של פריצה וגניבת מידע חשוב מטלפונים אישיים לא יחזור על עצמו, ניתן לבצע כמה פעולות:

הגברת מודעות

הדבר הראשון שנדרש לעשות הוא הגברת מודעות העובדים לנושא. רוב מתקפות הסייבר מתרחשות כי עובד מסוים התנהג בצורה פזיזה ולא אחראית בכך שפתח קובץ מייל לא מוכר, נכנס לקישור לא ידוע או הוריד אפליקציה חדשה. ארגונים יכולים לחזור ולחלק לעובדיהם טלפון סלולרי משרדי, אך פעולה זו יקרה מאוד ורוב העובדים יסרבו לקחת טלפון.

הפרדה והגנה על המידע העסקי

הפתרון השני וההגיוני יותר הוא להטמיע את הסביבה הארגונית במכשירים הסלולריים של העובדים בצורה המופרדת מן הסביבה הפרטית באמצעות תוכנות ייעודיות שמבצעות את ההפרדה. כך הסביבה הארגונית תתפקד כמו קפסולה, היא מנותקת לחלוטין משאר הטלפון ויש לארגון אפשרות לשלוט במה שקורה בה.

הארגון יכול להחליט מה יהיה באותה קפסולה והוא גם יכול לסגור אותה במקרה של פריצה, גניבה או עזיבה. מה שבטוח שגם אם השתלטו על המכשיר גורמים עוינים, המידע שעל המכשיר הנמצא באותו קפסולה מאובטח ומוצפן באופן מלא ולכן מקשה עוד יותר על שליפת המידע.

בצורה הזאת יכול העובד להמשיך ולהשתמש במכשיר האישי שלו כרגיל וכשצריך לעבוד הוא נכנס לסביבה הארגונית. הארגון יכול לשלוט על הסביבה אך הוא לא מתערב בחלק הפרטי של הטלפון. בזכות הסביבה הארגונית העובד מרוויח את המכשיר שלו והארגון שומר על העובד מרוצה תוך כדי שמירה על רמת פרודקטיביות גבוהה.

הכותב הינו מנכ"ל קבוצת Mobility PRO, המפיצה את פתרון ניהול הנתונים Maas360 של יבמ (IBM).