מאת: נמרוד עמיר, סמנכ”ל סייבר וחדשנות, אינטגריטי תוכנה
קשה למצוא מעסיק שלא ישמח לגלות שעובדיו הוסיפו לעצמם, על חשבונם (!) 10 ימי עבודה בשנה. בזמנים של הידוק חגורות וטלטלות פיננסיות כל מה שארגון צריך זה עובדים פרודוקטיביים יותר, ואם הם באים עם חיסכון בעלויות – אז בכלל נראה שיש כאן פיצוח. לפי מחקר שערכה חברת סיילספורס, עובדים המשתמשים בהתקנים הניידים הפרטיים שלהם, שווים למעסיקיהם עוד 10 ימי עבודה בשנה.
המקרים הללו לא נגמרים במענה להודעת וואטסאפ זועפת של לקוח בשעות הלילה. מדובר בתופעה עולמית ומוכרת שזכתה לכינוי BYDO (Bring your own device) ששלחה זרועות הרבה לפני משבר הקורונה והעבודה מרחוק: עובדים המנהלים את שגרת יומם בבית או במשרד, ומתחברים לרשתות ארגוניות באמצעות המחשבים האישיים או הסמארטפונים.
במבט ראשון נראה שכולם מרוויחים: הארגון חוסך משאבים על ציוד טכנולוגי ומחשוב יקר; מקבל זמינות גבוהה של עובדים גם מחוץ לשעות היום; ובתוך כך מעלה את הפרודוקטיביות והחיסכון בזמן. והעובדים? הם מקבלים את החופש לעבוד מהיכן שירצו ומתי שירצו, בלי בקרה הדוקה. ואולם, בשנים האחרון נכנס למשוואה נתון שלישי: אותם עובדים הפכו למטרה קלה וניידת להאקרים שזיהו דרך קלה לחדור לארגון ולשבש את מערכותיו.
לפי נתוני מיקרוסופט, שניים מתוך שלושה עובדים בכל ארגון עושים שימוש במכשירים פרטיים למטרות עבודה. החדשות הרעות הן שלארגון אין באמת כלים למנוע את התופעה הזאת, אבל בהחלט ניתן לצמצם אותה ולפעול בנחישות כדי להישאר מחוץ למספרים המבהילים הבאים: עד 2026 ארגונים ברחבי העולם ישקיעו 252 מיליארד דולר במניעת נזקי סייבר כתוצאה מתופעת BYOD. זינוק מרשים לעומת 68 מיליארד דולר שהושקעו רק לפני ארבע שנים.
אחת הסיבות לכך, היא הניידות של העובדים בין הארגונים וניהול לקוי של הרשאות החיבור למערכות השונות, שמותיר חשש גדול להתרחשות אירועי סייבר. אבל זאת רק ההתחלה:
1. גניבת נתונים ופריצת חשבונות
שימוש של עובדים בהתקנים אישיים ללא בקרה ופיקוח עשוי להוביל למקרים של גניבת נתוני הארגון. הסיבה לכך היא שלרוב, הם אינם מקפידים על דרישות אבטחה מחמירות. מספיקה פריצה אחת לחשבון האישי של העובד כדי לדלות את שאר ההרשאות שלו למערכות הארגוניות.
2. חדירת תוכנות זדוניות
כולם מורידים קבצי תמונות, סרטונים, גיימינג וכד’, אבל ככל שמדובר במחשבים הארגוניים – מדובר בסיכון אבטחתי בר ביצוע וחסימה. במחשב האישי – הדבר מורכב יותר והפתח להורדה של תוכניות זדוניות או וירוס מתוחכם הוא גדול ומזמין יותר עבור האקרים. משם, המעבר לרשתות הארגוניות הוא מהיר ובר אסון.
3. פגיעה במוניטין העסקי
אירוע סייבר המתרחש כתוצאה מזליגת נתונים מהמחשב האישי של אחד העובדים, הוא יקר, מסוכן לפעילות הארגון – ובעיקר מעיד על רשלנות. מדובר באסון תדמיתי בעל נזק פוטנציאלי לטווח ארוך, וזה עוד לפני גל התביעות המשפטיות שעלולות להגיע בעקבותיו.
4. פגיעה ביכולות הבקרה
סמארטפון שנגנב או אבד הוא מקור לתסכול גדול, אבל סמארטפון מלא בסיסמאות למערכות חשובות – הוא משבר אמיתי. גם אם הציפייה שעובדים ישמרו על המחשב האישי שלהם קיימת תמיד, אי עמידה בפרוטוקולי אבטחה מחמירים ומידע רגיש שנשמר בחוסר רגישות היא מתכון לאסון. כך המקרה גם כשעובד מסיים את תפקידו בארגון אבל ממשיך להחזיק בהרשאות חיבור למערכות החברה. בשני המקרים חלה חובה על הארגון לוודא שהסיסמאות לא עוזבות אף הן את התפקיד יחד עמו.
5. חשש ל- Shadow IT
ניהול, או ליתר דיוק חוסר ניהול של מערך ההרשאות ומדיניות אבטחת המידע על ידי מחלקת ה-IT בארגון, זכתה לשם המפוקפק Shadow IT. בינינו, כמה מהעובדים מיידעים את מחלקת ה-IT בארגון על כל חיבור למערכת Saas? כנראה שרק מעטים בודדים. ובכן, מדובר בבעיה חמורה שעלולה לעלות ביוקר.
זום, יומן, מערכות לניהול משימות, ניהול דוא”ל, ChatGPT, מערכות שיווק אוטומטי – כלי העבודה הללו נראים תמימים (והם אכן כאלה, עד שהאקרים מגיעים) והשימוש בהם הוא כמעט יומיומי. ואולם, הם עלולים להיות גם פתח מסוכן לחדירה כתוצאה מחיבור שוטף ממכשירי BYOD. אז מה עושים? מגבשים מדיניות ברורה לניהול BYOD ומוודאים שהעובדים הם חלק אינטגרלי ממנה. יש להם 10 ימים בשנה ללמוד את זה.
כך תאבטחו את עמדות הקצה בארגון ומחוצה לו>>