מאז שנות השבעים, האבולוציה החברתית והטכנולוגית שינתה בהדרגה את פרדיגמת העבודה, שבוצעה בעבר באופן מסורתי במרחבים הפיזיים הנשלטים על ידי המעסיק. התקדמות זו עברה תאוצה שלא נראתה מעולם בשל משבר הבריאות האחרון. אמצעי הבלימה והניהול כתוצאה מכך, אילצו את הפנייה ל עבודה זריזהיתר על כן גם באמצעות מכשירים אלקטרוניים שאינם בשליטת הפלטפורמה הטכנולוגית של המעסיק; מכשירים, בין היתר, לא תמיד בקנה אחד - כפי שניתן להבין בקלות - להמלצות או לתקנים של גופי ההסמכה או האישור.
ההשפעות על אבטחת המידע ועל המשכיות התפעול של רשתות, מערכות IT ושירותי מידע לא איחרו לבוא. והחודשים הקרובים ככל הנראה יביאו ראיות נוספות לפגיעות מערכתית חדשה לחלוטין מבחינת המימד, הבת לשני היבטים נלווים, שהשפעותיהן כתף אל כתף זו עם זו עם תוצאות אקספוננציאליות: חוסר התאמה פתאומי שנוצר בין היקף אבטחת ה- IT לבין היקף האבטחה הפיזית; ושימוש מאסיבי במכשירים אישיים בכדי לפצות - במידה ניכרת בשלב הראשון של המשבר - על היעדר לקוח ארגוני (טלפון חכם, טאבלטים ומחשבים שהמעסיק הקצה לעובדים, כביכול) הכרחי כדי להבטיח "עבודה חכמה".
כן, מכיוון שעולם העבודה התעורר בוקר אחד ונאלץ להתמודד עם מציאות - כליאה ביתית - שהפנתה את זרם המידע על העבודה והפעילות העסקית למגזרים הטכנולוגיים של אינטימיות ביתית, מינהל ציבורי והמגזר השלישי. מסת תנועה, לא בדיוק "פנאי", נפלה על הקטנה נתב המשפחה (דלת הכניסה הקיברנטית של הבית), במחשב בחדר הילדים - המשמש ללא הפקרות גם לשיעורי למידה מרחוק - או בגרסה האחרונה של טלפון חכם של ייצור "המזרח הרחוק", שעליו מפגשי ועידה בווידיאו, משחקים פעילים מגוונים והאינטראקציות הכי בזבזניות של רשתות חברתיות.
כולם מתובלים בעובדה שמסיבות מעשיות וכלכליות ברורות, פלחי הרשת שזה עתה נולדו ומאולתרים העבירו בעיקר את הדגש - ברמה הפיזית - על טכנולוגיית הרדיו (Wi-Fi), פחות אמינים מכבלי נחושת ועל הסיבים האופטיים. .
בקיצור, מול שערים, פורטלים, חומות אש ושרתי גישה מרחוק (כלומר ספינות קרב סייבר פרוסים להגנה על רשתות צריפים, משרדים, ארגונים ללא רווח לחברות) האויב הזדמן לעקוף את חזית ההגנה ולפרוץ לרוחב דרך המודם המוסתר בארון הבית של "עובדי הטלוויזיה".
לטיעון יש חשיבות כזו שה- המכון הלאומי לתקנים וטכנולוגיה השיק "קריאה להערות", שגייס את האינטליגנציה הקולקטיבית של המגזר כדי להתאים את סטנדרטיזציה של תהליכי אבטחה ושיטות למציאות המשתנה. ובמולדת, הנושא נמצא בתשומת ליבם של CSIRT איטליה (כוחות הסייבר המיוחדים של הרפובליקה שלנו, כביכול), שבין היתר פתחה במסע מודעות ספציפי.
אז בואו נעשה חשבון - ממעוף הציפור - של פרופילי הסיכון שיש לפקח עליהם.
ראשית כל, היקף הניתוח שיש לקחת בחשבון מורכב משלושה אזורי תהליך, חופפים חלקית אך שונים מבחינה רעיונית: "עבודות טלפון"כלומר ביצוע עבודות מחוץ למתחם האבטחה הפיזי של הארגון; ה "גישה מרחוק"כלומר, אפשרות לגשת - מבחוץ - למשאבי ה- IT הלא-ציבוריים של ארגון; ה "BYOD", ראשי תיבות של "תביא מכשיר משלך" וזאת האפשרות לעבוד איתו טלפון חכם, טאבלטים ומחשבים שאינם בשליטת המעסיק, כלומר אלה שבבעלות העובד או בידי צדדים שלישיים חוזים (קבלנים).
יש לסגור את הסיכון הנדון על ידי הנחת ארבע הנחות יסוד. הראשון נובע מהשיקול ש אתה לא יכול להגן על מה שאתה לא שולט פיזית. עבודות עבודה ברשת - מעצם הגדרתן - מחוץ למתחם האבטחה הפיזי של המעסיק ולכן "לקוחות" הארגון יכולים להתפזר, לגנוב אותם בקלות רבה יותר או להישאר זמנית מחוץ לזמינות העובד. התוצאה כאן יכולה להיות אובדן הנתונים שנשמרו במכשיר האבוד או ניסיון גישה מרמה לתשתיות השרת, ניצול מנגנוני האימות של המכשיר הגנוב.
השנייה מתייחסת לעובדה, למעט חריגים יקרים שקשורים בדרך כלל להפצת מידע אסטרטגי למערכות הגנה וביטחון לאומיות, "הגישה מרחוק" מתבצעת באמצעות רשתות - רדיו או קווי - המוענקות על ידי צדדים שלישיים (ספקים) ואשר אבטחתם אינה נשלטת. מכאן נגזר כל הנושא של יירוט בלתי חוקי של תעבורת נתונים למטרות גניבה או חבלה במידע, האופייני לטקטיקות הפוגעניות של איש באמצע (MITM).
השלישי, בעל זיקה מושגית רבה למשבר הבריאות הנוכחי, מורכב מ סכנת הדבקה מוירוסי מחשב באמצעות מכשירים נגועים שאפשרו להם להתחבר לרשת הפנימית של הארגון. זה, למשל, שטח הבחירה לטקטיקות גישה ראשונית שודדי-סייבר שמטרתם לחדור לסביבת המחשב של הקורבן באמצעות הפעלה לביצוע פעולות חבלה, נזק, גניבה או פיקוח ובקרה חשאיים.
ההנחה האחרונה חייבת להיעשות תוך התייחסות למשאבים הפנימיים שהוחלט להעמיד לרשותם גישה מבחוץ, במיוחד אם בידי BYOD, כגון המחשב הנייד של הקבלן, טלפון חכם צוות העובד, הטאבלט של היועץ. כאן, לשם השוואה, הגישה של הקפדה על מתן מפתחות הבית לגנן חלה, כך שלא במקרה תנעל אותך מחוץ לבית או תפרץ את הדירה בהיעדרך.
יש לבצע סדרת הנחות סיכון משלימות במיוחד עבור BYOD. נתאר אותם בקצרה: קודם כל יש תמיד שיפוע "עובי" (חסינות מידת הביטחון) בין סביבות ה- IT של המעסיק לבין המכשירים האישיים: כתם זה מהווה גורם יתרון עבור היריב. למעשה, מטבעו טלפון חכם אישי מיועדים לשימוש פנאי והם מובן כי הם דקים יותר (כביכול שבריריים יותר) מאשר תשתיות המעסיקים, כאשר צרכי האבטחה וההמשכיות התפעולית מחייבים אותם להיות חזקים יותר מגמישים. יתר על כן, ניתן לייחס למעביד כל תנועה בלתי חוקית שנוצרה על ידי BYOD המחוברת לרשת המעסיק, עם סיבוכים משפטיים ברורים ונזק מוניטין.
לבסוף, רשת מעסיקים המאפשרת חיבור BYOD יכולה להיות שדה קרב לא מודע בין מכשירי צד שלישי. IS לעשות בטיחות זה לא רק על הגנה על הנכסים שלנו; אבל גם למנוע ממישהו לנצל את שלנו נכס לפתוח במתקפות על אחרים!
מידע נוסף:
https://csrc.nist.gov/publications/detail/sp/800-46/rev-3/draft
https://www.difesaonline.it/evidenza/cyber/2020-un-anno-di-hacking
https://www.difesaonline.it/evidenza/cyber/microsoft-sicurezza-e-privacy-ai-tempi-del-covid
