המחשב, המידע והבכיר ממשרד ראש הממשלה

המחשב הנייד של אותו בכיר במשרד ראש הממשלה, שנגנב שלשום (א'), לא הכיל מידע סודי. עד כאן החדשות הטובות, אפשר לנשום לרווחה. החדשות הפחות טובות מגיעות משני כיוונים: האחת, המושב בו אירעה הפריצה, הממוקם באזור בשרון, סובל זה זמן רב מגל פריצות לבתים של תושבים; והחדשה הרעה השניה היא שהמשטרה מודה שאנו מצויים בגל גואה של גניבת מחשבים ניידים, טלפונים חכמים ומחשבי לוח.

תפקידו ובכירותו של אותו "עובד משרד ראש הממשלה" (שלא צריך להיות שרלוק הולמס כדי לנחש במה הוא עוסק), העלו שוב לאור הזרקורים את אחד האתגרים היותר קשים שבהם מתמודדים ארגונים בעידן הניידות. ההיסטריה הזמנית שפרצה בעקבות פרשת הפריצה לביתו של הבכיר לא היתה בגלל המחשב והטלפון, אלא בגלל המידע שיש בו.

נכון הוא שבעיית אבטחת המידע קיימת מאז החל עידן הניידות, כאשר עובדים ומנהלים החלו להשתמש במחשבים ניידים ושמו על המחשב את כל המידע הרגיש. במשך השנים פותחו שיטות, חידוד הנהלים שחוסמים גישה למידע ארגוני רגיש במחשבים ניידים. בגופים ממשלתיים וצבאיים חל איסור מוחלט לשים מידע שלא מוגדר כבלמ"ס. קצינים ובעלי תפקידים שמחשביהם נגנבו והם לא קיימו את הכללים – נשפטו לתקופות מאסר.

לא כך הדבר באשר לטלפונים החכמים ומחשבי הלוח למיניהם. הללו הפכו לתחליפים כמעט מלאים למחשבים הנייחים והניידים. הם נמצאים אצל כל מנהל וכל בעל תפקיד רגיש. וזה עוד לא הכל – תופעת ה-BYOD (ר"ת Bring Your Own Device), בה עובדים מביאים בעצמם את המכשירים הכי חדישים, מעצימה אף יותר את נושא האבטחה. המידע שנמצא ברכיבים אלו רחוק מאוד מלהיות מוגן. רמת ההצפנה והחסימה מהווה אתגר קל ביותר לכל פורץ מתחיל. הנקודה המדאיגה היא שהמניעים של חלק גדול מהפורצים אינו רק המכשיר עצמו, שהוא בעל ערך רב – לא מעט פריצות וגניבות של מכשירים נעשות במטרה ברורה לשים יד על המידע שקיים בו.

גם פה, למרבה הפלא, הטכנולוגיה אינה המכשול. כיום יש כבר לא מעט מתודולוגיות שנותנות מענה להגנה על הרכיבים הניידים המסתובבים אצל עובדי הארגון, בחוץ או בבית. זה מתחיל מדברים בסיסיים כמו התניית גישה למידע כנגד סיסמה מאובטחת, עם הגבלת מספר הפעמים בהן ניתן לטעות, ועד הפעלת מנגנונים של מחיקת הנתונים מרחוק ברגע שנחשפת הפריצה וגניבת המכשיר. במכשירים החכמים החדשים יש אפשרות להגדיר אזורים נפרדים למידע האישי של העובד למידע הארגוני, כך שהוא גם יהיה חסום בפני כל גורם חיצוני אחר, כולל ילדים ובני משפחה.

גם לבעלי המכשירים הפרטיים יש אינסוף אפשרויות להגן על המידע שלהם. בחנויות האפליקציות של אפל (Apple) ויצרנים אחרים יש עשרות אפלקיציות, טובות וטובות יותר, שמאפשרות גיבוי, הגנה ושמירה טובה יותר על המידע בעת חירום. חלקן חינמיות, אחרות עולות דולרים בודדים בלבד. אלו שמעדיפים לא להשקיע בזה צריכים לקחת בחשבון את העלות החלופית של אובדן המידע במכשיר הצמוד אליהם 24 שעות ביממה.

"לי זה לא יקרה"
המשותף לסקטור הארגוני והפרטי הוא היעדר המודעות לסכנות שבגניבת המכשירים. תופעת "לי זה לא יקרה" חוגגת כאן ובגדול, ולמרבה הצער היא שולטת גם בשוק הארגוני. מכאן נובע שהדבר הראשון שארגונים צריכים לעשות הוא לקחת השליטה חזרה לידיהם, להחמיר עם הוראות האבטחה באשר לנשיאת רכיב נייד ארגוני – ולהעניש את אלו שחורגים מהן, מבלי לעשות איפה ואיפה בין מנהל בכיר ואחרון העובדים.

במקביל, חייבים לנקוט במהלכי הסברה והדרכה בתדירות גבוהה לכל עובד ולכל מחלקה. חלק גדול ממחדלי האבטחה נובעים מחוסר מודעות של העובדים עצמם. נשיאת טלפון חכם טומן בחובו גם סכנות מיידיות. רק השבוע שמענו על מקרה של שוד סמארטפון, שנחטף מידיה של צעירה תל אביבית עת דיברה בטלפון.

אבל את הפעולה הכי חשובה צריכים לעשות מנהלי אבטחת המידע והמנמ"רים, פנימה. חוסר המודעות של ההנהלות היא אחד הפשעים הגדולים ביותר בעולם הארגוני כיום, שיום אחד עלול להסתיים בוועדת חקירה. היעדר המודעות בא לידי ביטוי בחוסר נכונות להקצות לתהליכי ההגנה, האבטחה והגיבוי את המשאבים המתאימים, או מיצובם הנמוך בסולם ההעדפות הארגוני. כאן צריך להכניס לתמונה גם גופים רגולטורים שמפקחים על מגזרים מסוימים, כדי לדרבן אותם להשקיע בשמירה על הנכס הכי יקר להם, שמסתובב באופן חופשי אצל מאות אנשים ללא הגנה מינימלית.