מחקר: מכשירים ניידים – האיום הגדול ביותר על אבטחת המידע הארגונית

מחשבים ניידים וטלפונים חכמים מהווים את איום אבטחת המידע הארגוני הגדול ביותר – כך על פי מחקר חדש שביצע ISACA, האיגוד הבינלאומי לביקורת ולאבטחת מערכות מידע. המחקר בוצע בקרב מאות ארגונים ברחבי העולם, ובחן מה היה אופי פרצות אבטחת המידע, האם חל גידול במספרן ומה הייתה עלותן הכוללת.

"הפופולריות הגוברת של ההתקנים הניידים מהווה את האיום המשמעותי ביותר על דליפת מידע ארגוני סודי-עסקית ועל קניין רוחני", קבע האיגוד. "השימוש ברשתות אלחוטיות בדרך כלל פחות מאובטח מאשר רשתות תקשורת קוויות, ובשל כך – הסכנות הנובעות מיירוט המידע גבוהות בהן יותר".

על פי ISACA, "עובדים רבים בארגונים מאחסנים מידע ארגוני רגיש עסקית באופן בלתי מוצפן במכשירים רבים, כגון: טלפונים ניידים או זיכרונות USB. מצב זה עלול להעמיד בסכנה את המידע הרגיש, כיוון שאפשר להשיג אותו על ידי יירוט המידע, גניבת מכשיר, או כתוצאה מאובדן המכשיר". עוד מצוין במחקר, כי "מכשירים ניידים יכולים להוות מטרות להתקפות זדוניות, שכן עובדי הארגונים נושאים אותם רוב שעות היממה ולא תמיד משתמשים ברשתות התקשורת המאובטחות של הארגונים".

"חוסר השליטה של הארגונים על השימוש בהתקנים ניידים, יחד עם עליית המגמה של שימוש במכשירים אישיים על ידי העובדים לצורך ביצוע עסקים, הגדיל את רמת הסיכון של השימוש במכשירים הניידים", נקבע. ISACA ציטט מחקר שבוצע בשנה החולפת על ידי מכון פונמון (Ponemon Institute) שלפיו 32% מפרצות המידע שבוצעו ב-2009 נעשו באמצעות גניבה או אובדן רכיבים ניידים לסוגיהם: טלפונים חכמים, מחשבי כף יד או מחשבים ניידים. על פי פונמון, ארגונים בכל המדינות בעולם דיווחו באופן בולט יותר על עלויות גבוהות כתוצאה מפרצות מידע שנבעו משימוש באמצעים ניידים, כשהעלות הארגונית הממוצעת לפרצת מידע עמדה על 3.4 מיליון דולרים.

רו"ח גיא מונרוב, שותף באלקלעי מונרוב ושות', המתמחה בבקרה וניהול סיכונים, הוא חבר הנהלת האיגוד הישראלי לביקורת ואבטחת מידע, השלוחה הישראלית של ISACA. לדבריו, "מצב אבטחת המידע של ההתקנים הניידים בישראל דומה לזה העולמי. יותר ויותר חברות מאפשרות לעובדים לסנכרן מידע להתקנים ניידים, ללא נקיטת מלוא האמצעים הדרושים לאבטחתו". רו"ח מונרוב ציין, כי "טכנולוגיה ניידת יכולה להציע לארגונים כמה יתרונות, מהגברת הייצור ועד לשירות לקוחות טוב יותר. למרות זאת, חשוב להכיר בסיכונים הקיימים בשימוש בה וליישמה רק לאחר גיבוש כל המנגנונים הנדרשים להגנה על המידע".

מסגרת העבודה לממשל טכנולוגיית מידע CobiT, או מסגרת העבודה לניהול סיכוני IT שהנפיקה ISACA, "יסייעו לעסקים להבטיח שתהליכים ושינויים במדיניות החברה, מיושמים ומובנים", אמר רו"ח מונרוב. "המסגרות הללו יבטיחו רמות סבירות של אבטחה עם יישומן וימנעו אובדן נתונים". לדבריו, "בעת תכנון אסטרטגית אבטחת מידע למכשירים ניידים יש להתחשב בנקודות הבאות: סוגי ההתקנים המותרים, טיב השירותים הנגישים להתקנים, הדרכים בהן העובדים משתמשים במכשירים ותרבות הארגון, שילוב כל ההתקנים בתכנית ניהול נכסים, הגדרת האימותים וההצפנות שחייבים להיות בהתקנים וכן הבהרת תהליכי שמירת המידע ושידור המידע".