סמארטפונים בגופי הביטחון
ניתן לחלק את האיומים לשלוש רמות: המכשור, התוכן והארגון. אורן ברט ממטריקס מסביר מדוע לא צריך לפחד מהתקנים ניידים, גם בגופי הביטחון
הגנה לישראל
| 19/05/2011
אורן ברט (צילום: קובי קנטור)
בעת האחרונה אנו מתוודעים לכניסתם של מכשירי סלולר מתקדמים וטאבלטים לשימוש ביחידות השונות בצה"ל ובגופי הביטחון. עם אימוץ המכשירים הללו על ידי המנגנונים הרגישים ביותר בארץ, נשמעים לא מעט קולות ספקניים, המתריעים על איומי אבטחת המידע ההולכים יד ביד עם הקִדמה. ואכן, המגוון הגדול של איומי מערכות, תשתית ומידע הנובע משימוש בציוד זה (מחשבי לוח וטלפונים) וביכולותיו הרבות הינו רחב.
ניתן לחלק את האיומים לשלוש רמות: הראשונה היא המכשור – הכוללת איומים כגון מעקב אחר GPS, מעקב אחר היסטוריית ותוכן השיחות, הדוא"ל והמסרונים, שליחת תכנים, גישה למידע רגיש ועוד. הרמה השנייה היא התוכן, הכוללת איומים כגון קריאה ומעקב אחר המידע, שינוי מידע ארגוני, התחזות למכשירים, מתקפות DOS - Denial of Service, מתקפות MITM - Man in the Middle, שיטת ציטוט למכשירים, Spoofing – פריצה למערכות אינטראנט המאפשרת ניטור או שיבוש תעבורת נתונים, ועוד. הרמה השלישית היא הארגון, והיא כוללת איומים כגון גישה בלתי מורשית, גניבת זהות, זליגת מידע, תקיפת וקטורים של הארגון, הפצת סוסים טרויאנים, תולעים ונוזקות בין מכשירי הארגון, וכמובן גם מתקפות DOS ו-Spoofing.
אי לכך, אין זה פלא, שרבים טוענים שיש לשלול לחלוטין את השימוש במכשירים הללו בגופים הביטחוניים. אולם בעידן הנוכחי ובעתיד הטכנולוגיה מהווה גם יתרון אסטרטגי, שלא ניתן להתעלם ממנו. כמו כן, אימוץ הסמארטפונים והטאבלטים ברוב (אם לא כל) ההיבטים של חיינו הוא בלתי נמנע, והתנגדות לו רק תיצור קיפאון טכנולוגי ואובדן כשירות, שעשויים להיות הרסניים בטווח הרחוק. הפתרון, אם כן, אינו גלום במניעה וקיפאון טכנולוגי, אלא בבנייה של תשתית אבטחה, דיווח ובקרה מחד, ופיתוח תודעתי מקיף בנושא אבטחת מידע ושימוש מושכל ומוגן במכשירים הללו מאידך.
ההתמודדות מול אותם איומים תכלול ניהול של הציוד הנייד על ידי המערכת הביטחונית, ביצוע אכיפה אקטיבית על היכולת הטכנולוגית (על בסיס מיקום גיאוגרפי או פרופיל שימוש), לצד טיוב, שיפור והתאמה של יכול בקרת הגישה למידע ו\או לציוד הנייד עצמו. טיפול כזה צריך לכלול טווח רחב של פתרונות, הכוללים יכולות למחיקת מידע מרחוק, ארכיב ומעקב אחר שיחות, הודעות ודוא"ל, הצפנה של מידע בתוך הארגון וגם כשהוא יוצא ממנו, מנגנוני anti-spoofing שימנעו התחזות למכשירים, anti-rouging שימנע זליגת מידע תוך שימוש ביכולות התקשורת של הטלפון, שימוש בחיבורי VPN, הפרדה וירטואלית בין סוגי מידע שונים, DLP - Data Leakage Prevention ועוד.
בסופו של דבר, ההכרעה בנוגע לטיב ההחלטה לאמץ סמארטפונים על ידי גופי הביטחון לא צריכה להימדד על פי האיומים הנשקפים, אלא על פי התהליך במסגרתו הם נכנסים לשימוש. רק אם התהליך ינוהל תוך שימת לב ומתן מענה מושכל ומקיף לכל פרטי ההגנה וההטמעה – אזי נוכל להגדיר את המהלך כהצלחה.
הכותב הוא מנהל תחום אבטחת מידע בחטיבת מוצרי התוכנה של מטריקס.
בעת האחרונה אנו מתוודעים לכניסתם של מכשירי סלולר מתקדמים וטאבלטים לשימוש ביחידות השונות בצה"ל ובגופי הביטחון. עם אימוץ המכשירים הללו על ידי המנגנונים הרגישים ביותר בארץ, נשמעים לא מעט קולות ספקניים, המתריעים על איומי אבטחת המידע ההולכים יד ביד עם הקִדמה. ואכן, המגוון הגדול של איומי מערכות, תשתית ומידע הנובע משימוש בציוד זה (מחשבי לוח וטלפונים) וביכולותיו הרבות הינו רחב.
ניתן לחלק את האיומים לשלוש רמות: הראשונה היא המכשור – הכוללת איומים כגון מעקב אחר GPS, מעקב אחר היסטוריית ותוכן השיחות, הדוא"ל והמסרונים, שליחת תכנים, גישה למידע רגיש ועוד. הרמה השנייה היא התוכן, הכוללת איומים כגון קריאה ומעקב אחר המידע, שינוי מידע ארגוני, התחזות למכשירים, מתקפות DOS - Denial of Service, מתקפות MITM - Man in the Middle, שיטת ציטוט למכשירים, Spoofing – פריצה למערכות אינטראנט המאפשרת ניטור או שיבוש תעבורת נתונים, ועוד. הרמה השלישית היא הארגון, והיא כוללת איומים כגון גישה בלתי מורשית, גניבת זהות, זליגת מידע, תקיפת וקטורים של הארגון, הפצת סוסים טרויאנים, תולעים ונוזקות בין מכשירי הארגון, וכמובן גם מתקפות DOS ו-Spoofing.
אי לכך, אין זה פלא, שרבים טוענים שיש לשלול לחלוטין את השימוש במכשירים הללו בגופים הביטחוניים. אולם בעידן הנוכחי ובעתיד הטכנולוגיה מהווה גם יתרון אסטרטגי, שלא ניתן להתעלם ממנו. כמו כן, אימוץ הסמארטפונים והטאבלטים ברוב (אם לא כל) ההיבטים של חיינו הוא בלתי נמנע, והתנגדות לו רק תיצור קיפאון טכנולוגי ואובדן כשירות, שעשויים להיות הרסניים בטווח הרחוק. הפתרון, אם כן, אינו גלום במניעה וקיפאון טכנולוגי, אלא בבנייה של תשתית אבטחה, דיווח ובקרה מחד, ופיתוח תודעתי מקיף בנושא אבטחת מידע ושימוש מושכל ומוגן במכשירים הללו מאידך.
ההתמודדות מול אותם איומים תכלול ניהול של הציוד הנייד על ידי המערכת הביטחונית, ביצוע אכיפה אקטיבית על היכולת הטכנולוגית (על בסיס מיקום גיאוגרפי או פרופיל שימוש), לצד טיוב, שיפור והתאמה של יכול בקרת הגישה למידע ו\או לציוד הנייד עצמו. טיפול כזה צריך לכלול טווח רחב של פתרונות, הכוללים יכולות למחיקת מידע מרחוק, ארכיב ומעקב אחר שיחות, הודעות ודוא"ל, הצפנה של מידע בתוך הארגון וגם כשהוא יוצא ממנו, מנגנוני anti-spoofing שימנעו התחזות למכשירים, anti-rouging שימנע זליגת מידע תוך שימוש ביכולות התקשורת של הטלפון, שימוש בחיבורי VPN, הפרדה וירטואלית בין סוגי מידע שונים, DLP - Data Leakage Prevention ועוד.
בסופו של דבר, ההכרעה בנוגע לטיב ההחלטה לאמץ סמארטפונים על ידי גופי הביטחון לא צריכה להימדד על פי האיומים הנשקפים, אלא על פי התהליך במסגרתו הם נכנסים לשימוש. רק אם התהליך ינוהל תוך שימת לב ומתן מענה מושכל ומקיף לכל פרטי ההגנה וההטמעה – אזי נוכל להגדיר את המהלך כהצלחה.
הכותב הוא מנהל תחום אבטחת מידע בחטיבת מוצרי התוכנה של מטריקס.
