האם נוכל לשרוד את הברכה הטמונה בטכנולוגיות הענן והמחשוב הנייד?

האם נוכל לשרוד את הברכה הטמונה בטכנולוגיות הענן והמחשוב הנייד?

מאת ג’ואי פלג, המכון הישראלי לסייבר צבאי – ICDI

7323466_sהמאמר מפרט את עיקרי ההרצאה שניתנה על ידי מומחה לאבטחת מידע, ועסקה בהרחבה בסיכוני אבטחת מידע, תוך התמקדות על “בשורות” הענן והמחשוב הנייד  – תחת הכותרת – האם נוכל לשרוד את הברכות של הענן והמחשוב הנייד?

במסגרת המאמר נעשתה הבחנה בין סוגי משתמשים, תוך חלוקתם ל-5 סוגים:

א.      משתמשים פרטיים

ב.      עסקים קטנים ובינוניים (SMB ) ומשרדים ביתיים (SOHO)

ג.       ארגונים גדולים (פרטיים וממשלתיים).

ד.      צבאות

ה.      גורמי ממשל ורשויות אכיפת חוק

התמונה הכוללת המתקבלת מהמאמר עגומה למדי. ככל שהשימושים בטכנולוגיות המידע הופכים נפוצים יותר, כך גדלה רמת הפגיעות של המשתמשים. לאיומם מצד הגורמים העוינים מצטרפת התנהגות המשתמשים המתאפיינת בבורות, חוסר מודעות, גישת “לי זה לא יקרה”, אי-ראיית בעיית האבטחה כסיכון מהותי לפעילות הארגון, זרימה עם פיתוחי הטכנולוגיה, ועוד.

הטלפונים הניידים נותנים כיום למשתמשים יכולות מדהימות המאפשרות להם לשמור על קשר עם חברים ומשפחה, עם מקום העבודה, ועם מגוון חברות וארגונים, בכל מקום ותוך כדי תנועה. מחשוב הענן מאפשר שמירת כמויות גדלות והולכות של מידע אישי, כולל מוסיקה, תמונות , תוצרי עבודה ועוד. שתי הטכנולוגיות ביחד הביאו להתפתחות עצומה בתחום היישומים, המוצרים והפתרונות בשנתיים האחרונות.

מנקודת המבט של מומחי אבטחת המידע, הענן והמחשוב הנייד הם מקור לסכנות גוברות והולכות לארגון ולמשתמש הפרטי. המאמר קובע כי שלב זה של הגנת הסייבר הוא שלב לוחמה אסימטרית בין מומחי אבטחת מידע לפושעי הסייבר, כשידם של פושעי הסייבר על העליונה.

לגבי המשתמש הפרטי, עם התפוצה הנרחבת של מחשבי לוח והטלפונים החכמים, נוצר מצב אידיאלי מבחינת פושעי הסייבר. הטלפון החכם מהווה אמצעי רישום של חלק גדול מחיינו, במיוחד בשילוב עם שירותי הענן. המשתמשים מורידים עשרות ומאות יישומים שונים, המבקשים הרשאות גישה לחלקים גדלים והולכים של המחשב הנייד, ועל ידי כך פותחים דלת רחבה לניסיונות פושעי הסייבר לחדור למערכות ההפעלה ומאגרי מידע תוך איסוף מידע האמור להיות פרטי, ותוך הסתייעות בטלפונים של משתמשים להשגת מידע על משתמשים אחרים, וחדירה למערכות מחשב ארגוניות.

כפי שקובע המאמר, מרבית ההתקנים האישיים הם בבחינת “sitting ducks”, ברווזים במטווח המהווים טרף קל לפושעי הסייבר. הם כה פגיעים, שלדעת המרצה אפשרות מתן הגישה להתקנים אלו למחשבים ארגוניים היא בלתי אחראית, לא רציונאלית וגובלת בפשע.

עם זאת, קובע כותב המאמר כי “יש אור בקצה המנהרה”, וכי הוא נחשף בחודשים האחרונים למספר פתרונות ישראליים, של מומחים בעלי רקע צבאי, העשויים לשפר המצב במידה ניכרת. לדבריו, מדובר ביישומים הצפויים לצאת לשוק במהלך השנה.

לגבי מגזר העסקים הקטנים והבינוניים, ותת-מגזר ה-SOHO, נקבע כי המצב בעיקרו דומה לזה של המשתמשים הפרטיים. חלק גדול מהמשתמשים מאמינים שהם חסינים מפני תקיפות עקב היותם קטנים, ולא בדיוק מאמינים או מסוגלים להשקיע את הכספים הנדרשים לאבטחת מידע. מעבר לזה, יותר ויותר גופי SMB נעזרים בשירותי ענן, , SaaS PaaS ו- IaaS,, מבלי להבין באמת את ההשלכות של שימוש בשירותים אלו. אחת הבעיות הרציניות ביותר היא העברת מידע קנייני בצורה מאובטחת לאתר שאינו מאובטח, שלא תמיד ידוע למי הוא שייך ולמי הוא מעביר את המידע שהוא מקבל. אם יש מזל ל-SMB, מנהל הרשת דאג לציידו בפתרון אנטי ווירוס/פיירוול, אך אלו אינם מהווים מכשול גבוה מדי, אפילו להאקרים צעירים. המחבר טוען כי המצב בעסקים הקטנים/בינוניים ניתן לתיאור כ-WWW (wild wild west), בפרט שלממשלות אין האמצעים לספק הגנה לעסקים הקטנים, אף כי הם מהווים את החלק המשמעותי ביותר של הכלכלה הלאומית.

ההמלצה היחידה בהקשר זה היא לממשלות – ליזום פעילות להגברת המודעות לסיכוני אבטחת מידע לעסקים, בתקווה שהדבר יביא לשיפור המצב בעתיד.

לגבי ארגונים, המחבר מסווג אותם לתשתיות פרטיות, תשתיות לאומיות, ושילובים שלהן. המחבר מאזכר תקיפות סייבר שהופנו בשנה אחרונה כנגד Amazon, Twitter, Google, RSA, Sony, Bank of America וכד’, ומציין כי יש קונסנזוס בין מומחי אבטחת המידע כי כ-80% ממקרי הפגיעה בביטחון מידע פשוט אינם מדווחים כדי לא לפגוע במוניטין החברה. גם ברמת הארגונים (Enterprise) רואים שימוש בהתקנים ניידים ושירותי ענן במקום העבודה. להבדיל מהמשתמש הפרטי או העסק הקטן, כאן מדובר בארגונים שיש ברשותם משאבים, אך הבעיה כאן היא הנכונות להשקיע באבטחה שאיננה נתפסת כחלק מהמודל העסקי של החברה. בדרך כלל יש כאן ויכוח בין מומחי אבטחת המידע להנהלה, שאינה משוכנעת בדרך כלל בצורך להשקיע באבטחה ומעדיפה להשקיע בנושאים אחרים. גם כאן נדרשת פעילות להגברת המודעות, בפרט ברמות ההנהלה הבכירות כדי  להצביע על הסיכונים, תוך מתן דוגמאות אמיתיות.

גם כאן קיימת קרן תקווה , כיוון שממשלות וקבוצות עניין מתחילות להבין את הסיכונים, ומאלצות חברות להגן על עצמן מפני הסיכונים באמצעות עמידה בדרישות רגולאטוריות, כגון ISO 27001,  SOX, HIPPA ו- PCI-DSS. בפרט תת-הקטגוריה המוגדרת כ-“תשתית לאומית”  החלה להיות מבוקרת על ידי הממשלות – צבא וגורמי אכיפת החוק, ובדרך כלל יש להם ארגוני אבטחה ו- CISO המיישמים אמצעי בטיחות.

למאמר המלא באנגלית, לחץ על הלינק