"IoT זה גם האינטרנט של הדברים הרעים"

"אנשים חושבים שאינטרנט של הדברים הוא דבר מגניב. הם צודקים, אבל אינם מודעים לכך שלכל הרכיבים הללו יש גם צד שלילי – בהיבט אבטחת המידע, ולכן אני מכנה אותו האינטרנט של הדברים הרעים", כך אמר בני פלח, מנהל פעילות פורטינט (Fortinet) ישראל.

פלח דיבר בכנס הלקוחות והשותפים העסקיים של הסניף הישראלי של ענקית אבטחת המידע. הכנס, בהפקת אנשים ומחשבים, נערך אתמול (ד') והיום (ה') במלון אגמים באילת, בהשתתפות כ-200 מקצועני אבטחת מידע.

לדברי פלח, "אנשים אינם מודעים למה שיהיה 'מתקפת הטוסטרים'. כל מכשיר והתקן שיהיה מקוון, עלול להוות פירצת אבטחה פוטנציאלית. יש המון התקנים שאינם מאובטחים, אין בהם רכיב כלשהו של אבטחת מידע, בין השאר בשל הצורך בייצור מוזל שלהם ועם תכונות מתקדמות, תכונות שבאות על חשבון אבטחת המידע".

לדברי פלח, "האיומים מגיעים ממגוון כמעט אינסופי של התקנים, מרכיבי אינטרנט של הדברים, טלפונים חכמים, שעוני נוכחות, מצלמות אבטחה, חיישני בקרת אש, התקני אלחוט – כל דבר שנמצא במרחב הארגוני".

איומים שאנו לא מכירים

איום נוסף, ציין פלח, "מגיע מהמימד האנושי – עובדי הארגון, ספקים שלו, אורחי הארגון, כל מי שמשתמש במשאבי המחשוב של הארגון". הוא הוסיף כי "אתגר הולך ומתעצם הוא כל אותם איומים שאנו לא מכירים".

"כך, מתקפת מניעת שירות מבוזרת, DDoS, עלולה להוות 'מסך עשן', שנועדה לפגוע – בסופו של דבר – במשאב IT ארגוני – בסיס נתונים, שרת אינטרנט, שרת דואר, כל דבר שהוא נגיש. זאת, בניגוד לעבר, אז מתקפה שכזו מטרתה הייתה רק להשבית את הארגון ותו לא. כיום, הרעים מחפשים לפגוע במשהו מאד נקודתי – שהפועל היוצא הוא פגיעה בפעילות התקינה של הארגון. 'על הדרך' נפגע המוניטין של הארגון והמתקפה גורמת לנזק כספי כבד".

"מנהל אבטחת המידע הארגוני", אמר פלח, "נדרש להגביר את המודעות של כל הגורמים בארגון, המשתמשים הסופיים הצורכים משאבי מחשוב – עובדים, אורחים, ספקים, ולבטח כל אנשי ה-IT ובראשם מנהל התשתיות, מנהלי רשת, מנהלי גישה לרשת, מנהלי מחשוב, מפתחים וראשי צוותי פיתוח – כל השכבות התומכות בארגון".

לדבריו, "עוד גורם חשוב שעל מנהל אבטחת המידע לשים לב אליו, הוא מחלקת השיווק. אלה צורכים משאבי IT בענן, לטובת עריכת קמפיינים שיווקיים, לטובת הידוק הקשר עם הלקוחות, ועוד. בקרב אנשי השיווק, המודעות לנושא אבטחת המידע נמוכה מאד. הם משתפים, לעתים מבלי דעת, מידע במדיה החברתית, והנתונים הללו עלולים לחזור כבומרנג ולשמש ככלי תקיפה נגד הארגון".

שמירה ולווי צמוד וקבוע של המשתמשים

לאחר העלאת המודעות, אמר פלח, "יש להגדיר לכל אחד בארגון את האחריות שלו. על מנהלי הרשת, לדוגמה, לדעת מהם גבולות הגזרה שלהם, מה הם צריכים לעשות – אכיפה של מתודולוגיות, הטמעה של מערכות תקשורת ואבטחה. הכל, על מנת להבטיח פעילות רציפה של עבודה, תוך כדי שמירה ולווי צמוד וקבוע של המשתמשים".

נדרש איזון, אמר פלח, "בין חוויית משתמש טובה בעבודה, לצד הצורך בעבודה שתהיה מנוטרת, מבוקרת ולא תחרוג ממדיניות אבטחת המידע בארגון".

אנחנו בפורטינט, סיכם פלח, "לא דוגלים בהטמעה של מוצרי אבטחה באופן נקודתי, כפתרון קסם, או כפלסטר כדי 'לסתום חור', אלא בתפיסה כוללת ומערכתית – המכונה 'מארג האבטחה'".

התפיסה, אמר, "מספקת לארגון, למנהלי הרשת ולמנהלי אבטחת המידע, את כל האפשרויות לבוא, לנטר ולבקר את מדיניות האבטחה בארגון, בין אם על ידי שימוש בפתרונות פורטינט, אך חשוב מכך – התממשקות למערכות אבטחה וניטור של יצרנים אחרים".