"כיום נוסף עוד כשל אבטחתי: 'צל IT' בגרסת המלחמה"

"כבר היינו בסרט הזה: משבר הקורונה לימד את המשק הישראלי לעבור לעבודה מרחוק מאפס למאה, והתרגלנו לנהל שגרת עבודה מבוזרת. אך המציאות שנכפתה עלינו במלחמה מול איראן, ובמיוחד בצל האיומים והעימותים בחזית הסייבר, מביאה איתה אתגר מורכב הרבה יותר. בתצורת העבודה מרחוק, עובדים רוצים לספק תוצאות כאן ועכשיו, ועורכים 'קיצורי דרך' הפוגעים באבטחת הארגון. כך, תחת מסירות ראויה לציון, מתחולל כשל אבטחתי, בדמות 'צל המחשוב', ה-Shadow IT בגרסת המלחמה", כך אמר ערן רונן, מנכ"ל משותף ומנהל אבטחת מידע בג'מבומייל (JUMBOmail).

בראיון שהעניק לאנשים ומחשבים אמר רונן כי "הפעם, העבודה מהבית, או מהממ"ד, לא מתרחשת רק תחת איום פיזי, אלא תחת מתקפת סייבר חסרת תקדים על המשק הישראלי. ארגונים ישראליים מסומנים כיום כיעד אסטרטגי, מה שהופך כל חיבור ביתי של עובד לנקודת תורפה פוטנציאלית שארגונים חייבים לתת להם מענה".

לדבריו, "לאחר יותר משנתיים של לוחמה, הישראלים למדו להתמודד עם המצב ולתת לו מענה. גם כשיש אזעקות וגם כשמוסדות החינוך סגורים, החברות והעובדים במשק עושים הכל כדי לשמור על רציפות עסקית. בין אם מדובר במהנדס ברשות מקומית, שחייב להעביר בדחיפות תוכניות בנייה כבדות לקבלן, או מנהלת פרויקטים שצריכה להעביר חומרים ללקוח – הם יעשו זאת, אך בגלל שהם עובדים מהבית, הם יעשו זאת ממחשבם הביתי ודרך רשת האינטרנט הביתית. המערכות המסורתיות של הארגון, ה-VPN או שרתי הקבצים הפנימיים, קורסות לעיתים תחת העומס, או במקרים רבים הן איטיות להחריד, או פשוט לא נגישות מחוץ לרשת המשרדית".

"העובדים", הסביר רונן, "רוצים לספק תוצאות כאן ועכשיו, והם לא פועלים מתוך כוונה רעה. להפך, הלחץ התפעולי דוחף אותם לחפש ערוצים חלופיים. כשאין פתרון מוסדר וברור מטעם הארגון, הם ימצאו פתרון חינמי ועצמאי ברשת למשלוח הקובץ. על פניו, מדובר במסירות ראויה לציון, לא? אולם כך נולד כשל אבטחתי בגרסת המלחמה: המשימה אמנם בוצעה, אך הארגון איבד לחלוטין את השליטה והבקרה: מנהל האבטחה לא יודע מה נשלח, למי זה נשלח, מתי, והאם המידע הרגיש נותר חשוף בשרתים לא מאובטחים, אי שם בעולם?".

הפתרון: מעבר מגישת חסימה לגישת העצמה מבוקרת

"כמנהלי אבטחה וטכנולוגיה", אמר רונן, "עלינו להכיר בעובדה שגישת החסימה פשוט לא עובדת, בעיקר בתקופות חירום. כשחוסמים לעובדים את הדרך ללא מתן חלופה ראויה, הם ימצאו דרך עוקפת, והסיכון הארגוני רק יגדל. במקום לחסום, אנחנו חייבים לאפשר. הפתרון טמון במתן כלים שפשוט עובדים: מערכות MFT (ר"ת Managed File Transfer) ארגוניות, שמעניקות לעובד חוויה חלקה ומהירה, ומספקות לארגון את השליטה שהוא זקוק לה, במיוחד עכשיו".

"כמענה מדויק לאתגר הזה", הוסיף רונן ואמר, "פיתחנו פתרון ארגוני מנוהל, שאינו דורש תהליכי הטמעה מורכבים וניתן ליישום מיידי, אפילו בעבודה מהבית בזמן מלחמה. המערכת מספקת תשתית מאובטחת להעברת קבצים בנפחים עצומים, והיא כוללת אינטגרציה מלאה למערכות ההזדהות הארגוניות (SSO)". "המשמעות", הסביר, "היא שהעובד מקבל כלי נוח ורשמי, בעוד מנהל הרשת ומנהל האבטחה נהנים משליטה, בקרה ותיעוד מלא – של כל קובץ שנכנס או יוצא מהארגון, גם כשהעובד מחובר למחשב בסלון ביתו".

"בימים אלה, יותר מתמיד, חוסן ארגוני מתחיל בשליטה במידע", סיכם רונן. "מנמ"רים, מנהלי אבטחת מידע ומנכ"לים צריכים לשאול את עצמם בכל בוקר: 'האם אתם באמת יודעים איך העובדים שלכם מעבירים, או מקבלים, קבצים ברגעים אלה ממש? האם אתם יכולים לישון בשקט כשאין לכם ניראות אמיתית על זרימת המידע מחוץ לגבולות הארגון?'. זה הזמן לעדכן את פוליסת העבודה מרחוק שלכם, להפסיק להילחם בעובדים שמחפשים פתרונות, ולספק להם באופן יזום פתרון מוסדר, בטוח ושקוף. כך נעשה עוד צעד שמסייע לנו להבטיח שהעורף הדיגיטלי שלנו יישאר חזק, רציף ומוגן".