איריס לבארי, ג'יסקטרה: "מערכות ההפעלה בטלפונים לא מספיק בשלות ומכילות סיכוני אבטחה"
"מוצרי האבטחה לעולם הטלפונים החכמים אף הם לא כולם בשלים, ולא כולם מכסים את מנעד בעיות האבטחה בתחום", אמרה לבארי, מומחית אבטחת מידע, המתמחה בפיתוח יישומים מאובטחים ואבטחה תשתיתית, שדיברה במועדון CISO מקבוצת אנשים ומחשבים ● לדבריה, "כל הצרות שהיו לנו בווב - יש אותן גם בעולם הנייד. נדרשים כלי שליטה חדשים שיאכפו את מה שנקבע שמותר למשתמשים להתקין"
"מערכות ההפעלה בטלפונים לא מספיק בשלות ומכילות בקרבן סיכוני אבטחה. מוצרי האבטחה לעולם הטלפונים החכמים אף הם לא כולם בשלים, ולא כולם מכסים את מנעד בעיות האבטחה בתחום", כך אמרה איריס לבארי, מומחית אבטחת מידע, המתמחה בפיתוח יישומים מאובטחים ואבטחה תשתיתית.
לבארי, מרצה בכירה בג'יסקטרה, דיברה בפתח מועדון CISO מקבוצת אנשים ומחשבים. המפגש, שנשא את הכותרת "רשתות חברתיות ומובייל", התקיים אתמול (א') במלון ליאונרדו ברמת גן. את המפגש הנחה אבי וייסמן, מנהל See Security, המכללה לאבטחת מידע ולוחמת מידע.
טלפון חכם, אמרה לבארי, "הוא כבר מזמן אינו רק טלפון, אלא הוא מחשב נייד עם יכולות רבות יותר, עושר, מידע אישי, ומידע מבוסס מיקום". סיכוני אבטחת המידע בעולם זה, ציינה לבארי, נחלקים לסיכונים מוחשיים ושאינם כאלה. הסיכונים המוחשיים, הסבירה, הם גניבה או אובדן של המכשיר. "30% מהגניבות ברכבת התחתית בפריז הם של טלפונים חכמים", אמרה לבארי, "לכל עובד ארגוני יש מידע בעל ערך שכדאי לגנוב אותו. בצד גניבת המידע, אף אם הוא מוצפן, ניתן לגנוב את הזהות של בעלי המכשיר ולהתחזות". הסיכונים הלא מוחשיים, ציינה, הם אובדן לקוחות ופגיעה במוניטין הארגון.
לבארי חילקה את סוגי התקפות לשניים, ממוקדות ובלתי ממוקדות. לדבריה, בעיות האבטחה נובעות בחלקן ממערכות ההפעלה של המכשירים, ובחלקן הורדה של יישומים מסוכנים מחנויות היישומים המקוונות. בעיות נוספות, לדבריה, הן העדר מדיניות אבטחת מידע ארגונית והעדר אכיפה שלה, לצד ערבוב מידע פרטי וארגוני על המכשירים. עוד ציינה לבארי את "הקלות הבלתי נסבלת של שימוש בסיסמאות", לדבריה, ואת היכולת של הגנבים לפענח בקלות מידע שהוצפן. היא סיכמה באומרה כי "כל הצרות שהיו לנו בווב – יש אותן גם בעולם הנייד. נדרשים כלי שליטה חדשים שיאכפו את מה שנקבע שמותר למשתמשים להתקין. ניתן לרכוש כיום מכשירים פורצי הצפנה. הדרך היחידה של מנהל האבטחה הארגוני לנהל את כלל הרכיבים, היא על ידי ניהול מרכזי. החברים הכי טובים של מנהלי האבטחה הם אנשי המחלקה המשפטית, יש להם אינטרסים משותפים".
שי חן, מנהל טכנולוגי הקטיקס, מחלקת שירותי אבטחת מידע, ארנסט אנד יאנג (Ernst & Young), תיאר כמה בעיות אבטחת מידע הקיימות ברשתות החברתיות. האחת, לדבריו, נובעת מכך שההצפנה ברשת החברתית היא חלקית, משמע מצפינים רק את דף ההזדהות, דבר המאפשר אפשרות להתחזות בחלקים האחרים של המערכת. בעיה נוספת, ציין חן, נובעת מדפוסי שימוש בעייתיים של משתמשי רשת חברתית. אלה, הסביר, מתקינים באופן אוטומטי יישומים ומספקים מענה אוטומטי להודעות של חברים ומשתמשים. בדרך זו, הסביר, מתאפשרת התפשטות נוזקות מסוג Jacking, התקפות ייעודיות לרשת חברתית, המאפשרות גניבה של קליקים. חן סיים את דבריו בכמה המלצות: לשנות את הרגלי השימוש ברשת החברתית; לא להיות מחוברים באופן רציף ליישומים; לא לגלוש לאתרים אחרים בזמן שמשתמשים ברשת החברתית.
את המפגש חתמה הרצאתה של רו"ח הילה בר-הויזמן, מנהלת קבוצת הייעוץ לניהול סיכונים, דלויט ברייטמן אלמגור זוהר, שתיארה את האיומים והסכנות הטמונים ברשתות חברתיות – לארגונים. לדבריה, לצד ההזדמנויות השיווקיות הטמונות ברשת החברתית, ניכרת מצד עובדי ארגונים גם פעילות בלתי מושכלת, ומסוכנת. "העדר המודעות והעדר הביקורת", ציינה, "מובילים לפגיעה בפרטיות, לסיכונים של הוצאת לשון הרע, הסדרים כובלים, הפרת חובת הסודיות, פרסום סודות מסחריים ועוד". בר-הויזמן סיימה בציינה כי עובדי הארגונים הפעילים במדיה החברתית אינם מודעים לסיכוני החשיפה הללו.
לצערי כמנהלת חברת שחזור חקירתי של טלפונים סלולרים היום הטלפונים הסלולרים אוגרים בתוכם מידע שגם אם חשבתם שמחקתם אותו או גרסתם אותו ראה לדוגמא BlackBerry עדין אפשר להוציא מידע מחוק ומוצפן. לפרטים נוספים : www.d-f-d.com Digital Forensic Data
מצטרף אלייך איריס "מוצרי האבטחה לעולם הטלפונים החכמים אף הם לא כולם בשלים" - ישנן מספר מועט של פתרונות אבטחה כוללת (סנכרון מיילים, יומן והטמעת מדיניות אבט"מ) אך לכל אחד באגים משלו שמונעים את הטמעתו בארגון.