דילמות באבטחת מידע לרכיבים ניידים שהעובדים מביאים מהבית

טרנד המובייל תפס את מחלקות ה-IT עם המכנסיים למטה. תופעת ה-BYOD (ר"ת Bring Your Own Device), לפיה עובדים משתמשים בטלפונים החכמים ובמכשירי ה-iPad האישיים שלהם ככלי עבודה פרטיים בארגון, היא דוגמה טובה לכך. התופעה מציבה אתגרי אבטחה לא פשוטים בפני המנמ"רים, אשר מספקים לעת עתה מענה חסר מתודולוגיה סדורה, וללא ידע וניסיון דיו בתחום.

בחינת המציאות על פי כללי האבטחה המוכרים חושפת בפנינו את התסריט הבא: אחד מעובדי החברה קונה iPad חדש. הוא רוצה ליהנות מיכולות המכשיר החכם; לצלם ולתעד אירועים משמחים, להנציח את צעדיו הראשונים של התינוק שלו שזה עתה נולד, וכן הלאה. כעובד מסור הוא מביא את ה-iPad שלו לעבודה, ומציגו בפני מחלקת ה-IT. שם הוא זוכה לתדרוך, לפיו יש להתקין במכשיר תוכנה שתאפשר לו גישה מרחוק למידע בשרתי החברה. הם בוודאי ינסו להסיר דאגה מליבו, ולומר לו שמדובר בתוכנה חכמה שיודעת לזהות ניסיונות פריצה, ואף מסוגלת לנעול ולהשמיד את עצמה ברגע שהיא מזהה ניסיון חדירה. במצב עניינים שכזה למנמ"ר הארגון יגיע צל"ש על מדיניות אבטחה אחראית ונכונה.

אולם, בסופו של יום העובד מגיע הביתה, והבן הקטן שלו משתלט על ה-iPad ועושה בו כרצונו. מהר מאוד יתברר, כי הילד החכם שיחק במשחק אחד יותר מדי, תרחיש שעלול קטלני מבחינת המכשיר. שכן הילד הקטן, שבסך הכל רצה להיכנס לאפליקציה שמחברת את המכשיר עם שרתי הארגון, הזין מספר סיסמאות שגויות, ובכך גרם לתוכנה החכמה להפעיל את נוהל החירום, להשמיד את עצמה ואף למחוק כל זכר למידע החשוב שהיה על גבי ה-iPad. לא עוד צילומים מיום ההולדת האחרון, להתראות טבלאות אקסל ממכירות הרבעון האחרון.

נכון, ל-iPad יש אפשרויות גיבוי בענן, אבל כהרגלם בקודש, לא העובד ולא אנשי ה-IT טרחו לוודא שאכן הגיבוי הופעל. על רקע התסריט הקטלני הזה, נוצרה מציאות לפיה ארגונים החלו לכתוב נהלי אבטחה פרטניים וגמישים יותר, שלוקחים בחשבון את הסכנות ובה בשעה מודעים לאפשרות שניתן לעקוף אותם.

אין זה סוד שבפועל העובד לא ממש זקוק למחלקת ה-IT. הוא יכול בקלות להעביר כל מידע שיש לו ברשת המחשבים שלו בארגון, המחוברת ל-iPad, לכתובות ג'י-מייל (Gmail) או לאפליקציות פרטיות שעוקפות כל נוהל בסיסי של אבטחה. עם זאת, יש לזכור ששם הסכנה גבוהה ביותר, ולאיש אין שליטה על הנעשה. הגבולות בין המידע של החברה למידע שהעובד מחזיק במחשב האישי שלו מטשטשים. העובדה החמורה מכל מבחינתם של המנמ"רים היא, כי מדובר במידע יקר ורגיש, המסתובב מחוץ לגבולות החברה באין מפריע, וזו בהחלט סיבה להדיר שינה מעיניהם. אז מה עושים?

לשיטתו של ארט וויטמן, ראש מערכת הכתבים בשבועון InformationWeek האמריקני, הפתרון נמצא בדרך הביניים. לדבריו, ניהול רכיבים ניידים בארגון חייב להיות תחת מדיניות של אבטחת מידע סדורה, ברורה וריאלית. כך, למשל, עליה להקפיד על העיקרון המציב את המידע כנכס העיקרי של החברה, ולעתים כדבר היחיד שעליו מבוססת פעילותה. מנגד, יש לקחת בחשבון את המשתמשים והצרכים שלהם, ולא להעמיד בפניהם מכשולים דוגמת אפליקציות קטלניות, שיכולות לגרום לנזק בלתי הפיך במקרה של טעויות אנוש.

חרף הקושי שבדבר והדרך הארוכה שעוד נועדה למנמ"רים, זהו תהליך שמתחיל להתבצע בלא מעט ארגונים. השבועון InformationWeek אף ערך סקר בנושא, והגיע לממצאים הבאים: 18% מהנשאלים ציינו שיש להם מדיניות אבטחה בנדון, 32% מהארגונים כבר כתבו נהלי אבטחה לרכיבי מובייל – והם ייכנסו לתוקף בתוך שנתיים, ואילו 25% מהנשאלים טענו, כי עד סוף השנה הם יסיימו לכתוב מדיניות אבטחת מידע למובייל.

השורה התחתונה: יש לזכור, כי גם כאן החומר האנושי משחק תפקיד מכריע. בסיפור של המובייל, האנשים הופכים להיות קו ההגנה הראשון של המנמ"ר. לכן, צריך להשקיע מאמצים רבים בהדרכה ובהסברה, וכמובן גם בנהלי אכיפה, כך שה-iPad האישי של העובד לא יהפוך למטרד.