הזירה הסלולרית

"נשיא ארה"ב יקבל בחזרה את טלפון הבלקברי שהוא כל כך אוהב, כשהוא מעודכן עם תוכנת אבטחה עוצמתית. משך בדיקות הווירוסים בדואר האלקטרוני שלו, עשוי להימשך גם 50 דקות", [Ynet, 27.4.09].

מי מאיתנו לא ניסה לאחרונה לקרוא את הדואר האלקטרוני המשרדי שלו באמצעות הטלפון הסלולרי החדשני שקיבל לא מזמן? הרי ככה נוכל להגיע לזמן התגובה הכי טוב ללקוחות או לספקים שלנו. נפלא! לא?

עד לפני שנתיים-שלוש, כאשר אמרנו כי העלינו את רמת הפרודוקטיביות של העובדים על-ידי כך שאיפשרנו להם ניידות, התכוונו בעצם כי סיפקנו להם מחשב נייד, ובו כמובן וורד, אקסל ודואר אלקטרוני, ואולי אפילו גישה מרחוק ליישומים הארגוניים הרגילים שלנו. מרבית העובדים התחברו לרשת של החברה על-ידי האינטרנט הביתי שלהם, רשתות WiFi מזדמנות, והמהדרים אפילו סיפקו לעובדים חיבור על-ידי תקשורת סלולרית.

לפני אספקת המחשב הנייד, מנהל המחשוב היה דואג שבכל מחשב נייד כזה יותקן אנטי-וירוס מעודכן, ובלא מעט מחשבים אפילו הותקנה תוכנה להצפנת הדיסק הקשיח, ולכולם היה ברור מאליו שחיבור ה-OWA ייעשה בפרוטוקול SSL מוצפן, ורוב החברות השתדלו לאפשר חיבור ליישומים הארגוניים רק דרך VPN מאובטח, ואולי אפילו עם eToken או OTP (סיסמה חד-פעמית) במקום סיסמה פשוטה.

ואז הגיעו אלינו הטלפונים החכמים החדשים. לכל טלפון כזה, וזה לא משנה אם זה Nokia, BlackBerry, iPhone או יצרן אחר כלשהו - לכולם עוצמת מחשוב גדולה יותר מאשר כל מחשב נייד שהכרנו עד לפני חמש שנים בערך.

לטלפונים החדשים הללו יש דפדפנים מובנים עם חיבור קבוע לאינטרנט על-ידי רשתות GSM מהירות (UMTS ,HSPA וכו'), BlueTooth לחיבור אוזניות ועזרים למיניהם, WiFi, תוכנת דואר אלקטרוני משוכללת, יישומים מוקטנים לעיבוד תמלילים, גיליון אלקטרוני, צפייה ב-PDF, וכמובן גם כרטיסי זיכרון Flash בנפחים של 16gb וצפונה.

כן - לא שכחתי שבתערוכת CES 2009 הציגו כבר טלפונים סלולריים ראשונים עם מקרן מובנה, שיכול להקרין מצגת ישירות מהטלפון הסלולרי על הקיר בחדר הדיונים.

ההתפתחות המהירה כל כך של הטלפונים הסלולריים והאפליקציות שרצות עליהם, גרמו לשינוי גדול בדרך שבה אנו מנהלים את העסקים שלנו, ועוזרות לנו להגדיל את הפרודוקטיביות של העובדים, שיכולים כעת לבצע משימות שונות כמו מענה על דוא"ל וניהול הזמנות, רחוק מהמשרד ובשעות לא שגרתיות, וכמובן שהעובדים יכולים להחזיק את כל המידע שהם זקוקים לו - קרוב מאוד אליהם: בתוך הטלפון.

לעובדים ניידים רבים המחשב הנייד הפך כמעט מיותר - אולי למעט לאלו שצריכים להקליד מסמכים ארוכים, וזקוקים עדיין למקלדת ה-Qwerty הגדולה במחשב שלהם.

אתר מנהלי אבטחת המידע - CSO-online - פרסם לאחרונה תוצאות של סקר שהראה כי כמעט שליש מהאנשים משתמשים בטלפון הסלולרי שקיבלו מהעבודה לגלישה באינטרנט, ומעל 80% מאלו הודו שאין להם שום אמצעי אבטחה המותקן בטלפון.

עד כה זיהינו כמה וירוסים בודדים שפגעו בטלפונים הסלולריים, ולכן אפילו שבבלקברי של אובמה התקינו אנטי-וירוס כה חזק לבדיקת דואר אלקטרוני, עד שלא יופיעו מעט יותר וירוסים שמסוגלים לפגוע במערכת ההפעלה של הטלפון הסלולרי - אנחנו יכולים להניח את הנושא הזה בצד.

אז מה כן מסכן את הטלפון החכם שלנו?

שני הדברים העיקריים שמסכנים את הטלפון שלנו, הם למעשה גם נקודות העוצמה העיקריות שלו:

1. הממדים / ניידות;
2. הקישוריות.

בגלל הממדים הזעירים, אנו נוטים לאבד את הטלפון, ואיתו כל הדואר האלקטרוני שסינכרנו לזיכרון שלו, כל הקבצים שאיחסנו בזיכרון ה-flash (ואני לא מתכוון ל-MP3 שהורדנו ב-eMule), וכמובן שגם רשימת אנשי הקשר שלנו, עם מספרי הטלפון האישיים והדוא"ל שלהם.

אם המוצא הישר, אינו כה ישר, ולמעשה ארב לטלפון שהיה מונח על השולחן בבית הקפה - הוא כבר ימצא מה לעשות בכל המידע שישלוף מהטלפון.

הקישוריות היא הנושא החשוב השני - רובנו מפעילים את אוזניות ה-Bluetooth, או הדיבורית המקבילה במכונית, ומשאירים את הזיהוי של הטלפון פתוח, ולכל אלו שיש גם WiFi בטלפון, ומשתמשים בזה לגלישה באינטרנט ללא עלות בכל נקודת גישה מזדמנת - אנחנו למעשה חושפים את הטלפון שלנו לחדירה די פשוטה מהצד, על-ידי כל מי שידע להוריד את התוכנה המתאימה מהאינטרנט.

סיכון משמעותי נוסף כלל לא נמצא בטלפון הסלולרי עצמו - הוא מצוי דווקא ברשת שלנו. אם לפני כמה שנים מנהל המחשוב הסכים לפתוח לתקשורת חיצונית את ה-exchange רק לגישה מרחוק עם SSL, ודרש VPN להפעלת האינטראנט הארגוני, כדי לא לחשוף את המידע למתחרים, אזי היום אנחנו מתלוננים שאם מפעילים הצפנה על הדוא"ל "הוא לא זז", ועל VPN מול הטלפון אין בכלל מה לדבר.

בארגונים רבים פשוט פתחו את התקשורת לגישה מהטלפונים החכמים ישר ליישומים הארגוניים - וזאת כמובן בשם הגדלת הפרודוקטיביות בימי משבר אלו.

אני לא רוצה לצעוק זאב, זאב, ולהפחיד יותר מדי, ובוודאי שלא לומר לא להשתמש בטלפונים החכמים, כי הטכנולוגיה רק תרוץ עוד קדימה והטלפונים רק יהפכו להיות חכמים הרבה יותר, אבל מנהלי המחשוב ומנהלי אבטחת המידע בארגונים צריכים להתחיל להתייחס טלפונים הסלולריים בתור זירת התמודדות טכנולוגית נוספת.

מנהלי המחשוב צריכים למפות את הסיכונים העומדים בפניהם בזירה הסלולרית החדשה, לזהות את החולשות הפוטנציאליות העלולות לפגוע בארגון ובנכסי המידע שלו, ולהוסיף למדיניות אבטחת המידע הארגונית התייחסות הולמת הן לסיכונים, והן למתכונת בה בוחר הארגון להתמודד עם הסיכונים הללו:

• אלו נכסי מידע יש לחשוף כלפי העולם הסלולרי - מערכות מידע, דוא"ל וכו';

• כיצד מאבטחים את נכסי המידע הללו בפני פגיעה או דליפה מבחוץ;

• כיצד מגינים על המידע שנשלח ומאוחסן בתוך הטלפונים עצמם;

• כיצד להנחות את העובדים בהתמודדות עם אירועי אובדן או גניבה של טלפונים, ובמודעות לסיכונים הנובעים מהשימוש בטלפון לגישה למידע של הארגון.

הארגון צריך להכין תוכנית מעשית להתמודדות עם סיכוני אבטחת המידע החדשים הללו, ולהתייחס כמובן גם למצבים שלא תמיד נראים כה חשובים בתחילה, כמו זה שעובדים משתמשים גם בטלפונים חכמים פרטיים, ולא רק באלו שסופקו על-ידי החברה, או שלעובדים יש לעיתים יותר ממכשיר אחד - כגון מכשיר ה-GPS החדש באוטו, שהוא למעשה גם טלפון סלולרי חכם בעצמו, או שעובדים נהנים מהמסך הגדול שבו לגלישה לדוא"ל של החברה, וכמובן גם לא לשכוח שלעיתים רגולציה שאנו נדרשים לעמוד בה, דורשת ישירות או בעקיפין את אבטחת המידע גם של הטלפונים הללו.

מדיניות אבטחה ארגונית כזו יכולה לכלול סעיפים כגון:

• הפעלת מנגנון הסיסמאות המובנה בטלפון;

• הרשאות והגנה מתאימה לרשת הארגונית;

• התקנת תוכנת אבטחה והצפנה לטלפון;

• תוכנות אנטי-וירוס;

• התקנת עידכוני אבטחה בטלפון;

• לשקול יישום אמצעי הזדהות חזקה למול הרשת הארגונית.

אז אם השירות החשאי וה-CIA איפשרו לנשיא אובמה לקרוא את הדוא"ל שלו עם הבלקברי הצמוד שלו, כנראה שגם אנחנו יכולים לעשות זאת, אבל אולי רצוי שגם נלמד משהו מאובמה לגבי הצורך להתייחס מעט לאבטחת המידע של הטלפונים שלנו.