התפתחות הטכנולוגיה ואבטחת מידע
בעבר טלפון היה רק טלפון. הוא הוציא וקבל שיחות והדאגה היחידה לאבטחת המידע הייתה לסודיות המידע כאשר מישהו יכול היה לצותת לשיחה. בימינו הסמארטפונים ממשיכים את מהפכת המחשוב והם עשרות מונים יותר חזקים ומתקדמים ממחשבים אישיים מלפני עשור. שימוש בסמארטפונים לצורכי עבודה עסקים ופנאי וזאת באופן משולב לחלוטין מגיע לשיאו ובקרוב הוא יעקוף את המחשב האישי ככלי עיקרי לגישה לאינטרנט ודוא"ל.
סיכוני אבטחת מידע
על פי העיקרון הידוע באבטחת מידע, ככל שיש יותר פונקציונאליות, פתיחות, קישוריות ונוחות, כך מתרבים האיומים, הסיכונים והחשיפות לאבטחת המידע. הסמארטפונים מהווים צמתי גישה למשאבים ארגוניים, אוגרים מידע אישי ועסקי רב וככאלה מהווים יעד מפתה ואף מועדף לתקיפה על ידי גורמים זדוניים שונים.
מידע בסמארטפונים בדרך כלל יותר חשוף לאובדן, דליפה או גניבה. במיוחד כאשר פרטי הזדהות וסיסמאות מאוחסנים בצורה לא מאובטחת או מוגדר בהם מנגנון גישה באופן אוטומטי למשאבים שונים כמו דוא"ל אישי ואירגוני, חשבונות ברשתות חברתיות, בבנקים ועוד. הנ"ל אף חמור יותר כשמדובר במכשירים שעברו תהליך פריצה של הגדרות יצרן לצורך שיפור יכולות אשר עלול להשאיר פתח גישה אחורי (back door) לגורמים זדוניים לאותו מכשיר.
האיומים לאבטחת מידע של סמארטפונים נעים מאיומים טריוויאליים כמו גניבה פיזית של מכשיר וגישה למידע האגור בו, דרך גישה באמצעותו למשאבים ארגוניים או אישיים שונים, התקפות באמצעות WIFI ו Bluetooth, הודעות SMS/MMS עם סקריפטים זדוניים, ועד לאפליקציות צד ג' זדוניות, קוד זדוני באתרי אינטרנט ובקבצים, וירוסים וסוסים טרויאניים שמבצעים פעילות זדונית כמו גניבת מידע ודליפת מידע (רשימות אנשי קשר, תמונות, סיסמאות, הודעות טקסט ועוד), שימוש במשאבי המכשיר (הופך לזומבי) לביצוע התקפות על מכשירים ואתרי אינטרנט אחרים, גניבת זהות (לרבות שליחת מסרים בשם בעל המכשיר), פישינג, ספאמינג, מעקב אחרי מיקום פיזי (באמצעות GPS מובנה במכשיר) וזאת תוך הסתרת פעילות זדונית מבעל המכשיר על ידי התחזות למשחק או אפליקציה תמימה ומדליקה.
במחקר שפורסם לאחרונה עולה שמשתמשי סמארטפונים נמצאים תחת מתקפה מאסיבית על ידי גורמים ותוכנות זדוניים .
הדבר נובע משתי סיבות עיקריות לדעת מומחי אבטחת מידע: הראשונה היא שמשתמשי הסמארטפונים מחוברים online יותר ונחשפים לאיומים חדשים (zero day) לפני שהם נחשפים על ידי חברות האבטחה והשנייה היא ההנחה המוטעית שתוכנות זדוניות זה איום שתוקף רק מחשבים "רגילים" ושהסמארטפונים מגיעים עם אבטחת מידע מלאה מהקופסא. הנ"ל אינו מתיישב עם המציאות כאשר, למשל לחלק מסוגי הסמארטפונים כלל לא קיימת תוכנת אנטי וירוס ייעודית.
כיום עשרות אלפי אפליקציות צד ג' חדשות ואף חינמיות, שבין היתר, מפותחות על ידי מפתחים אלמוניים באופן פרטי מפורסמות להורדה מדי שבוע מחנויות הורדה של ספקי תוכן מרכזיים. כמות אפליקציות זו לא מאפשרת סינון מלא של כל האפליקציות שנכתבו למטרות זדוניות. לאחרונה פורסמו ידיעות על כך שספקי תוכן מרכזיים הסירו עשרות אפליקציות שנחשדו כזדוניות.
טיפול בסיכונים
לגורמי מערכות מידע ואבטחת מידע בארגונים מאוד קשה לשלוט במה שמשתמשים עושים בסמארטפונים שלהם וכתוצאה מכך גם מאוד מאתגר להגן על המידע העסקי האגור בהם או נגיש מתוכם.
אולם, בכל זאת אנסה לתאר עקרונות מנחים לשיפור אבטחת המידע בארגון בקשר לסמארטפונים על מנת לצמצם את החשיפות הקיימות והעתידיות.
בחירה של סוג מכשיר מתאים: בבחירת סוג מכשיר לארגון צריך להתחשב בפרמטרים הבאים, בין היתר: מידת אפשרות לשליטה מרכזית על מכשירים, מאפייני אבטחה שמסופקים על ידי היצרן, רמת אינטגרציה עם יישומי אבטחה בארגון ויישומי אבטחה ייעודיים לסמארטפונים, מהו המוניטין וההיסטוריה של אירועי אבטחה בסוגי מכשירים אלה וכד'.
גיבוש מדיניות אבטחת מידע ארגונית בקשר לשימוש בסמארטפונים: הנהלת הארגון צריכה לאשר מדיניות שימוש בסמארטפונים, למשל להגדיר חובת שימוש בסיסמאות גישה חזקות לסמארטפונים, שימוש באנטי וירוס, הגבלת שימוש והורדה של אפליקציות צד ג', מידת השימוש לצרכים אישיים, דיווח על אובדן מכשיר ואירועים חריגים, אמצעי אבטחה פיזית, עדכוני אבטחה ועוד.
הגברת מודעות משתמשים: המשתמשים תמיד נחשבים כחוליה החלשה בשרשרת אבטחת המידע בארגון. העברת הדרכות אבטחת מידע בנושא סמארטפונים, החתמה על טופס שימוש נאות או מסמך מדיניות, ביקורות של מכשירים וכד'.
טיפול באירועים של אובדן: הגדרת אפשרות למחיקה מרחוק של נתונים, הגדרת מחיקת נתונים במקרה של ניסיונות פריצה למכשיר, הגדרת אפשרות לאיתור באמצעות GPS, אפשרות לקבל SMS מטלפון שנגנב בו הוחלף ה- SIM, מנגנונים אוטומטיים לגיבוי ושחזור נתונים.
שימוש באמצעי אבטחת מידע: שימוש בטכנולוגיות SSL-VPN ו IPSec לצורך הצפנת טווח גישה למשאבים ארגוניים, שימוש ב-Firewall דור הבא מתקדם וייעודי שכולל שימוש בטכנולוגיה DPI-SSL לאבטחה, הגבלה, סינון, בחינת תעבורה לרבות מוצפנת מסטארטפונים למשאבי הארגון, בחינת סטאטוס אמצעי אבטחה בסמארטפון לפני חיבורו למשאבי הארגון, שימוש במנגנוני שליטה מרכזיים לאכיפת מדיניות אבטחה אחידה בכל המכשירים (למשל מניעת אפשרות להתקנת אפליקציות צד ג') ועדכון אוטומטי בעדכוני אבטחה ומערכת הפעלה, שימוש ב- Firewall מקומי במכשיר למניעת התקפות על מכשיר מרשת אינטרנט, WIFI ו- Bluetooth, שימוש בסיסמאות גישה חזקות למכשירים, נעילת המכשיר לאחר פרק זמן קצר של חוסר פעילות, שימוש בהצפנת מידע במכשירים, שימוש במנגנוני הזדהות מתקדמים לגישה למשאבים ארגוניים לרבות מנגנוני סיסמא חד פעמית, חתימה דיגיטלית ועוד, שימוש בתוכנות אנטי וירוס ואנטי רוגלות, שימוש בתוכנת אנטי ספאם לסינון הודעות SMS/MMS זדוניות ועוד.
סיכום
גלגל האיומים וההגנות ממשיך להסתובב. כמו בכל טכנולוגיה חדשה גורמים זדוניים מכוונים את מירב המאמצים כדי לנצל אותה למטרות זדוניות שלהם ומצד שני אנשי אבטחת מידע מנסים להגן על הטכנולוגיה ועל המשתמשים התמימים. לכן חשוב מאוד שסיכוני אבטחת מידע בסמארטפונים יכללו במסגרת מערכת ניהול הסיכונים הארגונית ויהיו במיקוד ההנהלה וגורמי הבקרה הפנימית בארגון. סמארטפונים הינם כמו כל טכנולוגיה חדשה שמקדמת עסקים מצד אחד ומצד שני יוצרת סיכונים חדשים אותם נדרש למפות, לנהל, לצמצם ולבקר.
הירשם לניוזלטר ולעדכונים אחרונים מ BDO זיו האפט
Please fill out the following form to access the download.