להתייחס לאבטחת המובייל והטאבלט מנקודת מבט רוחבית

Google+ Pinterest LinkedIn Tumblr +

ראיון עם שלומי בוטנרו, מנהל מרכז התמחות סייבר במטריקס.

עד כמה מוחשיים איומי אבטחת המידע במובייל?
מדובר באיומים שרק הולכים ומתרבים מדי יום.

צלם: אבישי פינקלשטיין

אילו איומים נקודתיים ניתן למצוא כיום במובייל ?
זה נשמע כמעט ברור מאליו, אך חשוב לזכור, כי כל האיומים הקיימים באינטרנט קיימים גם במובייל. יתרה מזאת, ניידות המכשיר ויכולתו להתחבר לרשתות WiFi שונות על פי מיקומו רק מעצימה את הסכנה, בעיקר כשמדובר על רשתות ציבוריות ולא מאובטחות. כך למשל, אפליקציה בשם FaceNiff מאפשרת לצותת לתעבורת רשת, ולחלץ נתונים ממכשירים המחוברים לאותה רשת, כמו סיסמאות. גם תופעה של גניבת חיבורים (Session Hijacking), בה "נגנבים" החיבורים לאתרים בהם גולש המשתמש, היא שכיחה. לכן, כדאי לעבוד גם במובייל ובטאבלט בתצורות ובפרוטוקולים מאובטחים, כדוגמת https ו-VPN. 

מה הדבר הכי חשוב הנדרש מארגון כדי להגן על המובייל?
על הארגון להתייחס לאבטחת המובייל והטאבלט מנקודת מבט רוחבית-ארגונית, ולא באופן נקודתי – פר מכשיר. האסטרטגיה הארגונית צריכה להיבנות על סמך הטכנולוגיות בהן הארגון משתמש, על פי צרכיו, שיטות העבודה הייחודיות לו, יחידות הקצה שלו, האיומים הרלוונטיים לו ועוד. באופן טבעי, בשל מורכבות הדבר, מן הראוי שתכנון האסטרטגיה ויישומה יובלו ע"י אנשי מקצוע. 

מהן נקודות התורפה עבור ארגונים בכל הנוגע למובייל?
זה תלוי מהו המידע הרגיש בארגון, לאילו נכסים הארגון מוכן לאפשר גישה מהמובייל והטאבלט וכיצד הוא יתממשק למשאבי הארגון. על סמך מיפוי זה, ניתן להמשיך ולהגדיר את פתרונות האבטחה הנדרשים.

נוסף לכך, נקודת המוצא צריכה להיות שלא ניתן לסמוך על המשתמש. שלא במודע, הוא עלול לגרום לפגיעה באבטחת המידע, למשל ע"י הימנעות מקריאת תנאי שימוש והתעלמות מהוראות אזהרה. גם אפליקציות תמימות למראה, כמו יומן, משחקים ולימוד נגינה, עשויות לגשת לנתונים רגישים במכשיר או להכיל נוזקה.

חשוב גם לזכור, כי דין הטאבלט כדין המובייל. לא אחת הארגון דואג לאבטח את המובייל, למשל על ידי הצפנת הנתונים, בעוד שהטאבלט נשאר חשוף לאיומים. 

כיצד ניתן להתמודד עם תופעת ה-Bring Your Own Device?
אבטחת מידע של כל מכשיר בנפרד היא משימה בלתי אפשרית, וקל לאבד כך את הידיים והרגליים. ניהול מרכזי – MDM (Mobile Device Management) – מאפשר ליישם הגדרות אבטחת מידע אחידות לכלל המשתמשים בארגון. נוסף לכך, ניהול מרכזי מאפשר אכיפת מדיניות אבטחת המידע, שכן ערכה של מדיניות אבטחה שאינה נאכפת היא  כמדיניות אבטחה שלא קיימת. 

איזו המלצה יש לך לארגונים?
לשים דגש על מודעות. הנטייה הטבעית לטמון את הראש בחול רק דוחה את הבעייתיות ואף מעצימה אותה. חשוב שכלל הארגון יירתם לטובת המטרה, החל מראשי הארגון, המשך באנשי ה-IT וכלה במשתמשי הקצה.

שתף.

.