למה לא BYOD

האם ארגונים מאפשרים כיום לעובדים לחבר במשרד מחשבים ניידים פרטיים שלהם לרשת? הרוב המוחלט לא. זה עדיין טאבו שארגונים לא מוכנים לשמוע עליו. לא בטוח שזה יישאר כך לעד.
האם עד לפני שלוש-ארבע שנים ארגונים אפשרו לעובדים לסנכרן טלפונים פרטיים שלהם לתיבת המייל? היום תופעת ה – Bring Your Own Device (או BYOD) נפוצה והרבה ארגונים מאפשרים זאת לעובדים במטרה לחסוך עלויות רכש. הרבה ארגונים מאפשרים לעובדים שלהם לסנכרן את המכשירים החכמים הפרטיים (טלפון או טאבלט) למייל.

הצידוק הוא, שאני לא לגמרי מסכים איתו, שנאפשר לעובד לסנכרן את המכשיר הפרטי שלו במידה והוא יסכים להגדרת למדיניות האבטחה הארגונית על המכשיר, וכך נגן על עצמנו. זה נכון שבמקרה כזה, המכשיר יהיה מוגן בדומה למכשירים שהארגון מנפיק, אך ישנם מספר גורמים חבויים שמנהלים לא מבינים. יעילות האבטחה אינה רק ב – Policy עצמו אלא גם במהות המכשיר. המגבלות הבאות יבהירו למה אני מתכוון.

1. כאשר עובד עוזב את הארגון, הוא לוקח עימו את המכשיר שלו. נכון שהארגון אמור לבטל את סנכרון המיילים למכשיר. אך מה עם כל המיילים שכבר שמורים על המכשיר? ויותר מזה, מה עם מסמכים רגישים שהיו מצורפים למיילים שהעובד צפה ושמר על כרטיס הזכרון? הם נותרים שמורים על המכשיר גם לאחר ביטול הסנכרון. תחשבו שמנהל מכירות שומר את קובץ הלקוחות או קובץ ZIP עם הסכמים עם ספקים ועמלות, ועובר לארגון מתחרה.
2. כאשר המכשיר הינו פרטי, עולות בעיות משפטיות בחדירה לפרטיות. המכשיר הפרטי מכיל תכנים פרטיים רבים לצד תכנים עסקיים. עד להיכן יכול הארגון לנהל ולבקר את תכני המכשיר? עם הזמן, אני בטוח שיהיו מקרים שעובדים שעזבו יתבעו את המעסיק הקודם על חדירה לפרטיות.
3. כאשר המכשיר הוא פרטי, לארגון אין רצון ויכולת למחוק את המכשיר של העובד שעזב. במכשיר ארגוני, המחיקה לא מצריכה את אישור העובד שעזב.
4. אי אפשר לדרוש מהעובד שלא להתקין תוכנות מסוכנות על מכשירו הפרטי. נכון שגם במכשיר ארגוני קשה לכפות מניעה כזו, אך ניתן להגביל בנוהל התקנת תוכנות שכאלה ובמידת הצורך אפשר ליישם נוהל מחיקת מכשיר ארגוני ללא צורך בהסכמת העובד מעבר להסכמתו הראשונית בעת הנפקת המכשיר.
5. לבסוף, החסכון מאי רכישת טלפון חברה עבור עובד אינו כה מוחשי כפי שנדמה בהתחלה. עדיין ישנן עלויות תפעול (OPEX) רבות. העובדים פונים לתמיכה גם בתקלות שאינן קשורות למיילים והטכנאים מוצאים את עצמם מקדישים זמן רב על תקלות אלה.

אז אם הארגון שלכם עדיין אינו מאפשר BYOD, תבהירו טוב למנהלים את החסרונות האלה. כי את היתרונות הם מכירים (או חושבים שהם יודעים לחשב).

סיכונים בתוכנות איפוס סיסמאות Self Service Password

אחת מהסיבות שבגללן מתקשרים הכי הרבה למרכז התמיכה (Help Desk) הינה איפוס סיסמאות. הסיבה היא שמשתמש ארגוני צריך לזכור בין 4-8 סיסמאות למערכות השונות והן משתנות בממוצע כל 90 יום. נהלי החברה אוסרים, בצדק, לרשום את הסיסמאות על לוח המודעות או על המסך ובנוסף, הסיסמא מורכבת וארוכה. לכן, אחוז נכבד מהפניות למוקד הוא בנושא זה.

באופן טבעי, מחלקת השירות מעוניינת להטמיע בארגון תוכנות לאיפוס סיסמאות בשירות עצמי. תוכנות אלה מאפשרות למשתמש לשחרר את הסיסמא מנעילה או לאפס בעצמו את הסיסמא. לכאורה, זה משרת גם את אבטחת מידע שכן גם המוקדנים לא יידעו את הסיסמא החדשה. עם זאת, תוכנות כאלה יוצרות סיכונים אחרים שצריך להתחשב בהם בעת הטמעת מערכת כזאת.

להלן מספר סיכונים שמיפיתי בבחינת פתרונות שונים:

• לא כל המערכות האלה מאובטחות בעצמן. למשל, ראיתי בעבר מערכת שעובדת על HTTP, כלומר תשדורת הסיסמא עוברת באופן לא מוצפן. כך ששימוש בתוכנה לא מאובטחת תאפשר לפורץ להשיג שליטה על סיסמאות של עובדים אחרים.
• ישנם מנהלים שרוצים לחשוף מערכת כזאת גם לאינטרנט. זה יאפשר לכל העולם לנסות לדוג שם משתמש וסיסמא ולחדור לרשת הארגונית.
• מערכת כזאת מאפשרת לבצע סוג של Brute Force כדי לאפס סיסמא של עובדים. ניצול מתקפת Social Engineering יביא לתוצאה דומה לנקודה הקודמת.
• הגדרת שאלות אבטחה ('סבתא') חלשות לצורך זיהוי המשתמש, כגון מה הצבע האהוב עליך (רוב האנשים יבחרו כחול, אדום, ירוק או צהוב), יחליש מאוד את רמת האבטחה. למי שמתעניין בפוליטיקה האמריקאית בוודאי יזכור שכך פרצו לחשבון המייל של שרה פיילין אשר התמודדה על תפקיד סגן נשיא ארה"ב.

לכן, כאשר באים להכניס לארגון פתרון לחיזוק האבטחה, חשוב לוודא שהפתרון בעצמו מאובטח ולא פוגע ברמת אבטחת המידע.