 |
| מקור התמונה: ויקיפדיה |
כידוע צרות באות בצרורות. גם סיכונים נלווים לקורונה. אחד הסיכונים שפחות מקושרים לקורונה הוא הסיכון להתקפת Cyber על ארגון.
הסיכון הזה היה קיים עוד לפני משבר הקורונה אבל המשבר העצים אותו. סקרים מדברים על כ-30% עד 40% מהארגונים שנתקלו בדרישות כופרה.
חלקם לא נענו לדרישות ולא התרחש נזק משמעותי, ולכן לא שמענו על הדרישות הללו.
BYOD כמשל
BYOD הן ראשי תיבות של: Bring Your Own Device.
הן מתארות מצב בו נתקלו ארגונים בעשור האחרון. ככל שהמחשוב התפתח כך גדל מספר העובדים שיש ברשותם אביזרי מחשוב פרטיים, כגון: מחשבים אישיים ניידים וטלפונים חכמים. העובדים השתמשו באביזרי מחשוב פרטיים גם במקום העבודה.
השימוש במכשירים פרטיים היה נוח לעובדים ולא פעם גם תרם להעלאת התפוקה שלהם ושל הארגון כלו.
היה לזה גם מחיר.
המחיר היה קושי בשליטה של הארגון באביזרי המחשוב המשמשים את עובדיו.
מדוע השליטה ב-BYOD פחותה?
כשהמעביד סיפק לעובדים את כל ציוד המחשוב שלהם, הציוד היה ציוד תקני והתוכנות, שהותקנו בו, היו לרוב ידועות יותר לארגון.
הארגון היה יכול לתחזק ולשדרג את החומרה ואת התוכנה באופן אחיד.
כשכל עובד מביא ציוד משלו מגוון הציוד גדול הרבה יותר. התוכנות אינן אחידות וחלקן לא עדכניות. על אותו מחשב פרטי עשויות להיות מותקנות גם תוכנות שאינן קשורות לעבודה.
נקודות תורפה משמעותית היא אבטחת מידע. את הציוד והתוכנה התקניים של הארגון מתחזקים אנשי מקצוע בתחום אבטחת מידע. את ציוד המחשוב הפרטי מתחזק כל עובד על פי יכולתו, כישוריו והמודעות שלו לנושא אבטחת מידע.
ה-Trade Off באבטחת מידע
ה-Trade Off הוא תמיד בין נוחות בעבודה ופרודוקטיביות, הנגזרת ממנה, לבין אבטחת מידע. צריך למצוא נקודות איזון שבה בכל זאת תהיה אבטחת מידע טובה מספיק ולא תהיה פגיעה משמעותית ביכולת לעבוד.
דוגמה כושלת ל-Trade Off לא נכון מוכרת מפרויקט חידוש מערכות המחשוב של ה-CIA לאחר מתקפת הטרור של ה-11 בספטמבר 2001. מסוכני ה-CIA נשללה גישה לאינטרנט שהייתה חיונית לעבודתם.
למרבית המזל, היה מי שעצר את הפעלת המערכות ממש לפני שהוחלט להפעילן וביקש חוות דעת של מומחים בתעשייה ובאקדמיה.
העבודה מרחוק בזמן הקורונה
העבודה מרחוק בזמן משבר הקורונה מציבה בפני ארגונים בעיות דומות לבעיות, שהציב השימוש ב-BYOD לפני כעשור. יש הבדל אחד משמעותי: סדר הגודל הוא הרבה יותר גדול.
הפעם העובד עובד מהבית ומשתמש בכל המחשוב הביתי שלו ולא רק באביזר אחד שהוא מביא איתו לעבודה. הכוונה היא גם לרשתות מקומיות ביתיות ולחיבור לאינטרנט.
גם הפעם לא הכל תקני, גיוון הציוד והתוכנה גדול יותר מאשר בתוך הארגון ורמת האבטחה תלויה לא מעט בעובד ולא בארגון.
כפי שכבר למדנו, המודעות של עובדים לאבטחת מידע היא במקרים רבים החוליה החלשה באבטחת מידע.
התקפות Cyber על ארגונים בימי קורונה
אני לא היחיד שיודע את מה שכתבתי בפסקה "עבודה מרחוק בזמן הקורונה". גם אלה שרוצים לבצע מתקפת Cyber כלפי ארגונים יודעים את זה לא פחות טוב ממני.
התוצאה היא שחלק ניכר מהמתקפות על ארגונים מתבצעות דרך התקפה של מערכות המתחברות למערכת הארגונית מבתים פרטיים של עובדים.
ב-Webinar של חברת PECB בו השתתפתי הזכירו מומחים נתון שנתקלו בו בסקרים או במחקרים: כ- 30% מהתקפות ה-Cyber על ארגונים הן דרך המחשבים הביתיים.
כיצד נמנעים מהתקפות או מקטינים את הנזק?
ב-Webinar של חברת PECB דיברו על שלוש דרכים עיקריות:
1. היערכות של הארגון כנגד מתקפות
זוהי הדרך המקיפה ביותר להתמודדות אבל היא גם זו הדורשת יותר זמן ואמצעים. צריך להיות מומחה או צוות מומחים שמטפלים בנושא, צריך לבצע סקרים ביחס לאופן בו עובדים מתחברים מהבית, לתת הנחיות והדרכה לעובדים וליצור מודעות לסיכוני מתקפות. צריך לדווח ולעקוב אחרי מה שקורה באופן מתמשך ושיטתי.
2. Penetration Tests
זוהי דרך מהירה וזולה יותר. מביאים מומחים שבניסיון חדירה מסודר ושיטתי מנסים למצוא את נקודות התורפה.
ב-Penetration Test מאתרים נקודות תורפה והארגון עשוי לטפל בהן לפני שמתבצעת מתקפת Cyber.
3. Ethical Hacking
האקרים חיוביים העשויים לגלות נקודות תורפה ולהציף אותן לארגון.
אין מדובר בתהליך שיטתי כפי שנעשה ב-Penetrartion Tests.
האמת היא שרצוי לפעול בארגון באמצעות כל סוגי האמצעים, שצוינו לעיל, במקביל.
בלא מעט מקרים כדאי להתחיל ב-Penetration Test בטווח זמן קרוב ככל האפשר.
