מכשירים עצמאיים בשטח: הגנה לעובדים שמשתמשים במכשירים האישיים לעבודה

30.05.24

ESET30.05.24

לאחר שעבודה מהבית סייעה לארגונים להתמודד עם ההפרעה שנגרמה כתוצאה ממגפת הקורונה, סגנון העבודה ההיברידי מיצב את מקומו בעולם התעסוקה. כשהגבולות בין הבית והעבודה הפכו למטושטשים מאי פעם, רבים מהאנשים רוצים (ואף צריכים) לגשת למשאבים הקשורים לעבודה – לא רק מכל מקום ובכל זמן, אלא גם מכל מכשיר. כך החל עידן השימוש במכשירים אישיים להשלמת משימות בעבודה ולגישה למשאבים ארגוניים.

מהצד השני, שימוש במכשירים אישיים לצרכי עבודה, בין אם באופן בלעדי ובין אם יחד עם מכשירים שנרכשו ע״י המעסיק, מגיע עם סיכוני אבטחת סייבר גדולים יותר, ובמיוחד אם השימוש בהם לא מוגן כראוי. ההסתמכות ההולכת וגדלה על מכשירים אישיים המשמשים לעבודה מצריכה הערכה והתאמה מחדש של כללי מדיניות, כך שיתאימו לסביבת העבודה המתפתחת הזו.

אם כך, כיצד מעסיקים וארגונים יכולים לצמצם את סיכוני הסייבר הנוגעים למכשירים אישיים של העובדים, ולמנוע פגיעה במידע העסקי ובנתוני הלקוחות? אמנם אין פתרון אחד שמתאים לכולם, אך ישנם צעדים שיסייעו רבות בהגנה על החברה מפני נזקים כאלה.

צמצמו את משטח התקיפה העסקי

עובדים שמשתמשים במכשירים שלא נמצאים תחת אחריות צוות ה-IT הופכים לאיום משמעותי על הנתונים העסקיים, במיוחד אם הם אינם נבדקים. בתקופה בה גורמים זדוניים לא מפסיקים לחפש פגמים בהגנות החברות, צמצום מספרן של נקודות הכניסה האפשריות הוא כמעט ברורה מאליו. אם כך, חשוב שארגונים ירשמו כל מכשיר שניגש לרשתות שלהם, ויגדירו סטנדרטים והגדרות אבטחה שבהם המכשירים חייבים לעמוד, כדי לקבוע רמת הגנה בסיסית.

אפליקציות שלא עברו בדיקה ותוכנות אחרות שעשויות להימצא על מכשירי עובדים הם מקורות נפוצים לסיכונים שעלולים לפגוע בשלמות, הזמינות והסיווג של נתונים ומערכות עסקיים. כדי למנוע גישה לנתונים רגישים מצד גורמים חיצוניים, ארגונים יכולים להיעזר ביצירת ״מחסום״ בין מידע אישי ובין מידע הקשור לעבודה במכשירים האלה, ולאכוף ״רשימה שחורה״ של אפליקציות שאינן מורשות להתקנה באמצעות כלי מתאים (או לחילופין, ״רשימה לבנה״ של אפליקציות מורשות להתקנה). ישנן גם דרכים אחרות לבקרה ושליטה על מכשירים אישיים של העובדים – באמצעות תוכנות ייעודיות לניהול מכשירים ניידים, מה שמביא אותנו לנקודה הבאה.

התקינו עדכונים לתוכנות ולמערכות הפעלה

החשיבות של התקנת עדכוני אבטחה לתיקון פרצות אבטחה ידועות בפרק זמן סביר ידועה לכולם, ובמיוחד כאשר לא עובר יום ללא חדשות על גילוי של פרצת אבטחה חדשה בתוכנה פופולרית כלשהי.

ואכן, קל הרבה יותר לוודא שעובדים פועלים על מכשירים מעודכנים כשהם משתמשים בלפטופים ומכשירים ניידים של החברה עצמה ויכולים להיעזר בתמיכת צוות ה-IT שמקפיד על התקנת עדכוני אבטחה במכשירים מיד לאחר שהם משוחררים. רבים מהעסקים בוחרים להשתמש כיום בתוכנות לניהול מכשירים – לא רק כדי לסייע בהתקנת עדכונים על מכשירי עובדים, אלא גם כדי לחזק באופן כללי את מערך האבטחה שלהם.

אם משימת העדכון הקבוע של המכשירים מוטלת על העובדים עצמם, הארגונים יכולים, לכל הפחות, להקפיד ולהזכיר לעובדים על קיומם של עדכונים, לספק מדריכים להתקנה ולפקח על התהליך כולו.

הגדירו חיבור מאובטח

אם העובדים מהבית צריכים לגשת לרשת הארגון, הארגון צריך להיות מודע לכך. העובדים מרחוק לא משתמשים רק ברשת האלחוטית בביתם, ועשויים להשתמש גם ברשתות אלחוטיות ציבוריות מחוץ לבית. בכל אחד מהתרחישים האלה, רשת וירטואלית פרטית (VPN) שמוגדרת באופן תקין ומאפשרת לעובדים מרחוק לגשת למשאבי החברה כמו העובדים מהמשרד היא דרך קלה לצמצום החשיפה של הארגון לחולשות שפושעי סייבר עשויים לנצל כדי לתקוף את הארגון.

דרך אחרת בה ניתן לאפשר גישה מרחוק לסביבת ה-IT של הארגון היא באמצעות Remote Desktop Protocol (RDP). עם הגדילה במספר העובדים שעברו לעבודה מהבית, גדל גם מספר חיבורי ה-RDP – וכך גם מספר המתקפות נגד תחנות קצה ל-RDP. היו יותר מדי מקרים בהם תוקפים מצאו דרך לניצול הגדרות RDP שגויות או סיסמאות חלשות כדי לקבל גישה לרשתות החברה. פושע סייבר יוכל להשתמש בפרצות האלה כדי לגנוב קניין רוחני, להצפין את כלל קבצי החברה ולהשתמש בהם לדרישת כופר, או לזרוע אנדרלמוסיה בגיבויי הנתונים של החברה.

החדשות הטובות הן – ישנן דרכים רבות להתגוננות מפני מתקפות מבוססות RDP. יש להגדיר באופן מתאים את הגישה ל-RDP, בין היתר באמצעות כיבוי האפשרות ל-RDP דרך האינטרנט ודרישה לסיסמאות מורכבות וחזקות לכל החשבונות דרכם ניתן להתחבר ל-RDP.

הגנו על המשאבים החשובים ביותר

אחסון מידע מסווג עסקי על מכשיר אישי יוצרת סיכון אדיר, ובמיוחד אם המכשיר נגנב או אבד ואינו מוצפן או מוגן בסיסמה. אותו סיכון גם נובע משימוש של אנשים אחרים (שאינם העובד) באותו המכשיר. גם אם זה ״רק״ קרוב משפחה, מצב כזה יכול להוביל לפגיעה במשאבים החשובים ביותר של החברה, ואין זה משנה אם הנתונים מאוחסנים על המכשיר עצמו או, כפי שקורה בדרך כלל בעידן העבודה מרחוק, על גבי הענן.

מספר אמצעים פשוטים, כמו יצירת דרישה לסיסמאות חזקות, נעילה אוטומטית של מכשירים, יחד עם הדרכה לעובדים בנוגע לצורך במניעת שימוש במכשיר מצד כל אדם שאינו הם עצמם, יסייעו רבות הגנה על נתוני החברה מפני פגיעה.

על מנת לצמצם את הסיכון לגישה למידע מסווג ע״י אנשים לא-מורשים, ארגונים צריכים להצפין נתונים רגישים גם בתנועה וגם במנוחה, להטמיע כלים לאימות רב-שלבי, ולאבטח את חיבורי הרשת.

שיחות וידאו מאובטחות

שירותי שיחות הוידאו חוו גדילה אדירה במהלך המגפה, מכיוון שכל הפגישות שבוצעו בחלל הפיזי עברו לעולם הווירטואלי. חשוב כי ארגונים יגדירו כללים מנחים לשימוש בשירותי שיחות וידאו, למשל – באילו תוכנות להשתמש וכיצד לאבטח את החיבור.

מומלץ במיוחד להשתמש בתוכנות שכוללות אפשרויות אבטחה חזקות, כמו הצפנה מקצה לקצה והגנה על שיחות באמצעות סיסמה, שיגנו על נתונים רגישים מפני גורמים זדוניים. כמובן, גם התוכנות לשיחות וידאו צריכות להיות מעודכנות עם עדכוני האבטחה האחרונים כדי להבטיח שהפרצות לא נשארות פתוחות.

תוכנות ואנשים

אנחנו נחטא לתפקידנו אם לא נזכיר שהימנעות משימוש בתוכנת אבטחה רב-שכבתית על גבי מכשירים שיכולים לגשת למערכות החברה היא מתכון לאסון. תוכנות כאלה, ובמיוחד אם הן מנוהלות ע״י צוות האבטחה או צוות ה-IT של החברה, יכולות לחסוך כאבי ראש רבים, וכמובן – זמן וכסף. בין היתר, התוכנות האלה יכולות לספק הגנות מפני הנוזקות החדשות ביותר, להגן על נתונים עסקיים גם במקרה של אובדן או גניבת מכשיר, ולסייע למנהלי המערכת לוודא שהמכשירים עומדים בדרישות האבטחה של החברה.

כמובן, יש לוודא שהמכשירים והנתונים מגובים באופן קבוע ולספק הכשרות בנוגע למודעות לסיכוני סייבר לכלל העובדים. הכלים לבדם לא יועילו אם העובדים לא מבינים את הסיכונים הנוספים שנובעים משימוש במכשירים אישיים לצרכי עבודה.