ארגונים רבים עדיין בוחנים את רמת התועלת שנוצרת בעקבות הכנסת הסמארטפון והטאבלט לשגרת העבודה בעסק שלהם. באותו זמן, אנשי הIT באותם עסקים מנסים להעריך את היתרונות בשימוש באותם מכשירים מול סיכוני האבטחה שאותם מכשירים יוצרים. אבל מה הוא ההיקף האמתי של התופעה? האם הרושם שנוצר שריבוי של מכשירים סלולאריים בארגון זו סכנת אבטחה הוא מדויק? אלו הן שאלות חשובות עם השלכות מהותיות לתחום אבטחת המידע.
לפי סקר שנערך לאחרונה על ידי חברת ESET העולמית, יותר מ 80% מהעובדים ברחבי העולם משתמשים בסוג כלשהו של מכשיר סלולארי או מחשב נייד שנמצא בבעלותם הפרטית לצרכי עבודה.
זה לא בהכרח דבר רע. בתור מנהל, המשמעות של זה היא שהצוות שלך יכול להיות מעודכן ובקשר עם המשרד בכל מקום וזמן וכך לנצל או ליצור הזדמנויות שבמקרים אחרים היו מתפספסות. מגוון המכשירים ומה שאפשר לעשות איתם הוא עצום, ולא סביר שהם ייעלמו בעתיד הנראה לעין. אבל מה לגבי העובדה שהמשתמשים מורשים, או אפילו מעודדים, להתחבר לרשת המשרדית המכילה את המידע הרגיש של העסק מרחוק באמצעות הסמארטפון או הטאבלט שלהם? האם הם באמת יכולים להיות בטוחים? איך ניתן לאכוף מדיניות של אבטחת מידע על הלפטופ של סגן המזכ"ל כמו גם על הiphone של המזכירה?
אנשי IT, וכמותם אנשי הנהלה, נרעדים לנוכח המחשבה שמכשיר פרטי כלשהו של אחד העובדים שלהם, מריץ בטעות (או בזדון) אפליקציה מזויפת ויוצר פתח להאקרים למידע היקר שהוא לב הפעילות של הארגון שלהם. תרחישים שלפיהם פרצות אבטחה כאלו מרסקות ארגונים מדירים שינה מעיניו של איש ה IT.
אבל עד כמה המכשירים האלו באמת מהווים פרצת אבטחה? התשובה תלויה בסוג המכשיר; כרבע (24%) מהעובדים משתמשים בסמארטפון הפרטי שלהם כדי לגשת למידע של הארגון או לאכסן אותו. האחוז עולה ל 41% כשמדובר במחשבים ניידים ול- 47% במחשב ביתי. רק 10% משתמשים בטאבלט הפרטי שלהם לצרכי עבודה. המספרים האלו מראים שרוב העובדים עדיין סומכים יותר על הטכנולוגיה הוותיקה למטרות עסקיות מאשר במכשירים החדשים יותר.
אך המגמה הזאת לא מעודדת במיוחד כשאנחנו בוחנים את הממצאים הבאים מהמחקר: מתוך כל אותם אנשים, המשתמשים במכשירים הפרטיים שלהם לצרכי עבודה, רק שליש טורחים להצפין את המידע הרגיש של המשרד שלהם. פחות מ 10% מאלו המשתמשים בטאבלט הפרטי שלהם לעבודה משתמשים בנעילה אוטומטית של המכשיר כשהוא לא בשימוש, אצל בעלי הסמארטפונים המצב מעט טוב יותר עם 25% שנועלים את הטלפון שלהם עם סיסמא ורק שליש מבעלי המחשבים הניידים טורחים להגדיר סיסמא חזקה.
אם נסכם את כל זה יחד נוכל לראות שפחות מחצי מבעלי המכשירים הניידים משתמשים במנגנון האבטחה הבסיסי ביותר שקיים שהוא נעילה באמצעות סיסמא. וזה עוד לפני שדיברנו על תוכנות אבטחה מתקדמות שם ניתן לומר שהשטח עדיין בתולי לחלוטין. בהחלט לא חדשות טובות למי שאבטחת המידע של הארגון יקרה לליבו.
ניתן להעלות את רמת האבטחה של המכשירים הניידים בצורה דרמטית די בקלות. אם רק תוודא שהעובדים שלך ידאגו לנעול את המכשיר כשהוא לא בשימוש, יגדירו סיסמא חזקה ויפעילו את הצפנת המכשיר עשית כברת דרך ארוכה וחשובה בהגנת העסק שלך. כמובן שחינוך ומודעות היא חלק מהותי מהעניין. הדברים האלה הם קלים ליישום על המגוון העצום של המכשירים המשמשים את העובדים שלנו בחיי היום יום שלהם וגם לעבודה, והם בדרך כלל לא מצריכים משאבים רבים. אך הדבר החשוב מכל הוא חינוך ומודעות לנושא אבטחת המידע ואכיפת מדיניות של עשה ואל תעשה על העובדים. המחיר הזעום של חינוך העובדים הוא בטל בשישים לעומת המחיר שהעסק שלך יצטרך לשלם בתרחיש בו המידע היקר שלך נפרץ ונגנב.
האם ניתן לסמוך על הטכנולוגיה שתגן עלינו?
אם נהיה כנים, אין אף פתרון אבטחה שמסוגל להגן על המשתמש בצורה הרמטית. גם לא במחשוב הביתי או 'המסורתי' ועל אחת כמה וכמה כשמדובר בסמארטפונים או במכשירים ניידים אחרים. מה שייתן לך פתרון אבטחה אולטימטיבי הוא שילוב של הפתרון הטכנולוגי בשילוב עם מודעות ושימוש בשכל הישר בכל הקשור לגלישה ושימוש נבון במכשיר ובאינטרנט.
למעשה, רוב משתמשי הסמארטפונים מאמינים לתומם שהמכשירים האלה בטוחים יותר מהמחשבים הביתיים. הם לא מעלים על הדעת עד כמה היבטים רבים מחייהם מאופסנים במכשיר הקטן שהם מחזיקים בכיס. מה ניתן לדעת עלינו באמצעות הסמארטפון שלנו? יותר מדי: למשל איפה אנחנו נמצאים (GPS), במה אנחנו מתעניינים (היסטוריית גלישה בדפדפן), מי החברים שלנו (פייסבוק), מה התוכניות שלנו (יומן), מצבנו הכלכלי (החיבור המקוון לבנק), במה אנחנו עובדים ועל מה אנחנו עובדים (האימייל העסקי) ובנוסף כל מידע אישי אחר שנמצא גם במחשב האישי (באמצעות פעולת הסנכרון בין הסמארטפון למחשב). בעתיד הלא רחוק, גם הארנק שלנו יהפוך לווירטואלי ויוחלף קרוב לוודאי בסמארטפון כפי שמתכננת לנו גוגל עם פרויקט הארנק הדיגיטלי שלה.
למעשה אם תבין שהסמארטפון הוא מעין שער קטן לחיים הדיגיטאליים שלך ושלאובדן המכשיר או המידע המאופסן בו עלולות להיות השלכות רציניות ותתייחס לנושא האבטחה קצת יותר ברצינות, כבר עשית שמונים אחוז מהדרך.
ניתן לומר שהאתגר הגדול ביותר שניצב בפני בעלי העסקים הוא העלאת המודעות וחינוך העובדים לנושא האבטחה, ולעיתים יש לחנך גם את בעלי העסקים עצמם. אתגר נוסף שעומד בדרכם הוא יצירה ואכיפה של מדיניות אבטחת מידע על עובדי העסק. הפתרונות הטכנולוגים קיימים וממשיכים להשתפר כל הזמן, אבל אם המשתמשים לא יטרידו את עצמם בשאלה 'מי או מה שומר על המידע שלי (או של העסק במקרה הזה) בטוח' וימשיכו לנהוג בחוסר זהירות, אז שום פתרון טכנולוגי לא יעזור להם.
רונן מואס הוא מנכ"ל ובעלים של חברת ESET-ישראל אותה הקים בשנת 2004. לפני כן עבד כמנהל IT במספר חברות. בעל תואר ראשון לארכיאולוגיה של אוניברסיטת חיפה.