97% מהעובדים משתמשים באותו המכשיר לעבודה ולצרכים פרטיים

זהויות של עובדים, ספקי צד שלישי ויתר הזהויות האנושיות המתחברות לסביבה הארגונית – מהוות לעתים קרובות בעיה של הגנת סייבר. מחקר חדש שערכה סייברארק (CyberArk) הישראלית בקרב 4,000 עובדי משרד בארה"ב, בחן לעומק כיצד הם משתמשים בדפדפן האינטרנט שלהם – שהוא יישום העבודה הנפוץ ביותר, ומה הסיכון הנגזר מכך לארגון. אחד הממצאים הלא מפתיעים, אך מדאיגים – הוא שלרוב העובדים יש הרשאות גישה רגישות.

לפי החוקרים, "במכשירים אישיים חסרים לעתים קרובות אמצעי אבטחה שיש במכשירים הארגוניים, כגון הצפנת מידע, אתחול מאובטח, או גישה ל-VPN. במקביל, כשפרטי ההתחברות לסביבות העבודה ולסביבות האישיות מאוחסנים באותו דפדפן, די בכך שגורם עוין מקבל גישה למחשב, או למכשיר הנייד של העובד – ואז הוא יכול לגשת לכל הסיסמאות השמורות שלו, מה שמעמיד בסיכון את המידע הארגוני, וגם האישי". כך, המחקר העלה, כי ל-58% מהעובדים יש גישה למידע רגיש של החברה, כגון רשומות משאבי אנוש, נתוני לקוחות ותחזיות לגבי מכירות או ייצור.

עוד עלה, כי כמעט כל העובדים, יותר מ-97% מהם, משתמשים באותם המכשירים – טלפונים, מחשבים ניידים ונייחים וטאבלטים – לצורכי עבודה וגם לפעילות אישית. יותר משלושה רבעים מהעובדים, 78% מהם – משתמשים במכשיר השייך לעבודה כדי לגשת למידע חסוי בעבודה ולצורך גלישה אישית. 17% מהם עושים זאת תמיד. נתון נוסף העולה מהמחקר הוא, שיותר משני שלישים מהעובדים, 68% מהם, השתמשו באותן סיסמאות עבור יישומים ארגוניים ואישיים.

לפי החוקרים, "דפדפן האינטרנט הוא היישום הארגוני הנפוץ ביותר. הדפדפנים משמשים יותר ויותר לגישה ליישומים עסקיים קריטיים והפכו לשער כניסה בלתי מוגן לנכסי המידע הקריטיים ביותר של החברה. כדי לגשת לנכסים אלו, ארגונים משתמשים בדפדפנים מסורתיים מוכווני צרכן, שתוכננו לצורך נוחות המשתמשים ולא לצורכי אבטחה". המחקר העלה, כי למרות ש-92% מהעובדים אמרו שצוות האבטחה בחברה קבע מדיניות גלישה בטוחה – 65% אמרו כי נאלצו להפר מדיניות זו כדי לבצע את עבודתם. 12% מהם הפרו "תמיד" את מדיניות הגלישה הבטוחה. 59% מהעובדים דיווחו על שמירת שמות משתמש וסיסמאות של מקום העבודה בדפדפן האינטרנט של מכשיר העבודה שלהם.

סייברארק השיקה דפדפן ארגוני ראשון, המבוסס על אבטחת זהויות. לדברי החברה, "גורמי מאקרו, כמו המעבר לסביבות היברידיות וההתקדמות בתחום הבינה המלאכותית, מאפשרים לתוקפים פחות מיומנים להוציא לפועל מתקפות מזיקות יותר, בהיקף גדול יותר. הם הופכים את ההתמקדות באבטחת זהויות להיבט קריטי בשיפור ההגנה על נכסי מידע קריטיים".

"ריבוי אפליקציות SaaS, משאבי ענן ואפליקציות עסקיות קריטיות, שהגישה אליהם היא דרך הדפדפן – מהווים סיכונים חדשים ומשמעותיים שהתוקפים החלו לנצל במהירות", אמר גיל רפפורט, מנהל  פתרונות ראשי בסייברארק. "לשיטות המסורתיות לניהול גישה חסרים מנגנוני הבקרה הנכונים, המאפשרים לראות ולאבטח את מסע הזהות (identity journey) במלואו, מקצה לקצה". הוא ציין כי "אנו מספקים דפדפן ארגוני חזק, שמוסיף פרודוקטיביות ושכבות של בקרת אבטחה ופרטיות לדפדפן – שהוא האפליקציה הנפוצה ביותר בשימוש ברוב הארגונים. כך, אנו מרחיבים את אבטחת הזהויות לכל סוגי המשתמשים, לא משנה איך הם ניגשים לנכסי מידע רגיש בחברה".