Web Analytics

של מי המחשב הזה, לעזאזל?!

Posted byאיתן כספי Leave a comment on של מי המחשב הזה, לעזאזל?!

לאחרונה אני עוסק באופן אינטנסיבי יותר בהטמעת מערכת אבטחת נקודות קצה (מה שנקרא
Endpoint Security), המשלבת AV, אנטי-ספייוור, ‏FW ו-IPS כרכיבים עיקריים.

ראיתי את התופעה שלהלן בעבר, אבל כעת, כאשר הכלים לנקודות הקצה הופכים חזקים ומתוחכמים יותר, לאחר שקיבלו יכולות שבעבר היו נחלתם של מוצרי רשת בלבד – הזבל שצף הוא בכמויות ובאיכויות שלא הכרתי בעבר.
כנראה שלא בגלל שקודם הוא לא היה שם, אלא בגלל שקודם לא היו הכלים שיציפו את הממצאים.

בכל פעם אני נדהם מחדש ממה עובדים מכניסים למחשב שלהם. יהיו אלו תוכנות או קבצים – מולטימדיה, P2P, ‏BitTorrent, קראקים, עוקפי פרוקסי, MP3 כמובן, תמונות פורנו, סרטי פורנו מלאים או חלקיים וכן הלאה. הדבר יותר אופייני וחזק במחשבים ניידים, שמלווים את העובדים לאורך כל היום, כולל בביתם.

נדהם, לא כי אני יכול לטעון שאני יותר מוסרי מהם או שאינני עוסק בתכנים דומים, אלא כי הם עושים זאת על גבי מחשב שהוא, לפחות רשמית, של מקום העבודה, ולעתים, מה לעשות, גם מחובר לרשת ולמערכות של מקום העבודה.
מילא חשבתם מותר/אסור, חשבתם שלא יעלו עליכם, אין סיכוי שיפטרו אתכם על דברים כאלו וכדומה – אבל לא חשבתם לפחות על הסיכוי לבושה, כאשר יום אחד מישהו מהארגון ישלח אליכם דוא"ל או ירים אליכם טלפון ויחזיק מולכם תמונת ראי של הצד "השובב" של החיים שהכנסתם למחשב עסקי? ומן הסתם הוא לא יהיה היחיד שיקבל עדכון על כך, אלא גם המנהל הישיר שלכם ואולי גם משאבי אנוש?

.

מושג המפתח פה הוא "המחשב שלהם". כאן נעוץ לדעתי שורש העניין. של מי המחשב?

בואו וננסה להתחקות אחר התפתחות העניינים:

1. מכירות המחשבים הניידים עברו לאחרונה את אלו של המחשבים הנייחים. המחירים יורדים כל הזמן, האיכות והכמות עולה, יתרונות הניידות רבים מאוד. אין שאלה לגבי הכדאיות. וארגונים עסקיים מבינים זאת ובהתאמה כמות הניידים בארגונים עולה בהתמדה.
עלויות רכישת החומרה, התוכנה, הקישוריות (בעיקר הסלולרית), החלפים, התחזוקה והתמיכה – אין שאלה, חלות על הארגון בלבד.

2. אשליית הפרטיות הידועה בכינויה "אם-אני-לא-רואה/יודע-שרואים-אותי-זה-סימן-שלא-רואים-אותי" – אנשים, בייחוד אלו שאינם טכניים, בטוחים בפרטיותם ולא יודעים שאם, חס וחלילה, הם לא הפעילו מערכות הגנה משלהם במחשבים שלהם, אז רואים להם הכול. אבל הכול.
אז כמו הילד המכסה את עיניו בידיו ולכן בטוח שלא רואים אותו – כך העובדים בטוחים שהארגון לא רואה מה עושים במחשב שלהם.

3. טשטוש הגבולות הכמעט יזום בין הארגוני לפרטי. לפעמים הארגון דוחף עובדים לעבוד מכל מקום ובכל שעה, העיקר לקדם את העניינים – על חשבון זמן ומשאבים פרטיים בחלקם, והוא מסייע לעובדים לממש זאת על ידי מתן משאבים כגון מחשבים ניידים, תקשורת נתונים סלולרית, גישה מרחוק לארגון ועוד.
מטרת הטשטוש מבחינת הארגון היא מן הסתם להעביר משאבים מהפרטי אל העסקי, השאלה היא כיצד העובד רואה זאת, מה מטרתו וכיצד הוא מממש זאת. אולי להיפך מכוונת הארגון?
זו משיכת חבל בלתי-נגמרת בין האישי לארגוני, וכל אחד דוחף ומפרש את הנתונים לפי מטרותיו.

4. תרבות ישראלית חופשית, חברית ובלגניסטית – הן ברמת הפרט והן ברמת הארגון, אינה מסייעת, בלשון המעטה, לפיתוח גבולות, הגבלות ונהלים. כבר נתקלתי במקרים שאפילו בין מנהל לעובד היו חילופי תכנים כנ"ל.
בהתאמה, הארגון אינו טורח להגדיר במפורש גבולות שימוש נאותים. מה מותר ומה אסור. לא בע"פ ולבטח לא בכתב.

5. העובד מקבל מחשב נייד צמוד (במקרים הרלוונטיים, כמובן). ממש כמו הרכב הצמוד.
ברכב הצמוד מישהו אומר לו לאן לנסוע? מה להעמיס על האוטו? בקושי רק חברות מעטות מגבילות קילומטרז' בשל עלויות צריכת הדלק.
אז למה שבמחשב הנייד, זה שהולך איתו לבית הקפה עם האינטרנט החופשי, או בבית עם האינטרנט הפרטי (ולעתים על חשבון העבודה) – יגידו לו מה לעשות איתו? להיכן לגלוש? במה לצפות? מה להוריד? מה להתקין (אם מאפשרים לו מבחינת הרשאות התקנה במערכת ההפעלה)? מה להריץ (אם ניתן להרצה בלי התקנה)?
כך שמחשבתית, אפילו שהרכב לרוב הוא למעשה הטבה כלכלית/חוזית ולא כלי עבודה, בעוד שהמחשב הוא כלי עבודה ולא הטבה – הרי שבתנאים הנ"ל המחשב נתפס גם הוא כהטבה לשימוש סמי-פרטי.
מן הסתם גם העובדה שהשימוש לרוב נעשה שלא במבנה/אתר של הארגון, תורם להרגשת החופשיות של העובד בתוספת הרגשת היעדר ההשגחה הארגונית.
אני משער שבלא מעט מקרים המחשב הנייד של העבודה פשוט משמש כמחשב הביתי העיקרי או כמחשב ביתי נוסף.

על כן, לאור הסעיפים הנ"ל, העובדים למעשה מקבלים מסר פאסיבי (ואולי אף מעט אקטיבי בשל הענקת משאבי הניידות למטרת עבודה בכל מקום) של "תעשו מה שבא לכם" בכל הנוגע למחשב הארגוני, בייחוד הנייד. המסר הזה מן הסתם מוביל לתופעות שתיארתי לעיל.

.

אבל מצידו השני של הארגון, יש צורך באבטחת מידע, וכאן אנשי האבט"מ נכנסים עם הכלים שלהם ומפוצצים את הבועה של העובדים (או שלא… תלוי בגישת הארגון ומנהליו ולמי לבסוף הם יתנו גיבוי…), שלא מבינים מאיפה נחתו עליהם. כבר קיבלתי תגובה בסגנון "מה פתאום נכנסת מרחוק למחשב שלי? אסור לך! זה מחשב אישי!". בחיי.
יש כבר כאלו שהלכו צעד קדימה והרימו FW משלהם על המחשב בכדי למנוע ממני גישה, שלא אראה מה קורה אצלם… אבל זו כבר רמה אחרת וסיפור אחר.

שורש הבעיה כאן לדעתי הוא שאין רצף של גישה מצד הארגון – מצד אחד הוא נותן חופש משתמע לעובד, אבל מצד השני מפעיל כלים למניעת הסיכונים הנובעים מחופש זה, ובכך גם במידה רבה מוליך שולל את העובדים וגם מקשה ומייקר את פעילות אבטחת המידע, כי היא נאלצת להתמודד עם יותר איומים מבית מאשר מחוץ.

על כן, לדעתי, ואומר זאת שוב ושוב, אסור להתמקד רק בצד הטכני של האבט"מ – אלא להבטיח סגירת מעגל מלאה שהצד הטכני יהיה רק חלק ממנה, החלק של וידוא הביצוע ואיתור החריגות.
צריך לוודא עם מחלקות משאבי אנוש ומשפטית את ההגבלות שמצד אחד רוצים ומצד שני יכולים להחיל על העובדים (ושיש לכך גיבוי מהדרגים הגבוהים ביותר בארגון) – וממגבלות אלו ליצור נהלים מתאימים, ולוודא שהם מועברים לעובדים כך שהם יהיו מודעים למגבלות אלו במלואן ולסנקציות שיינקטו כנגד מי שלא עומדים בהן.

חשוב שנזכור שאבטחת מידע, כפי שאנו מכירים אותה, הטכנית בעיקר, היא למעשה קצה הקרחון של מגוון רחב של נושאים בארגון – משפטיים, חברתיים, כלכליים, מוסריים, פסיכולוגיים ועוד – ולכן כדאי להתייחס לכולם בכדי ליצור אבטחת מידע יעילה יותר, וכך מן הסתם, גם העבודה שלנו תהיה מעניינת יותר…

.

Leave a comment

האימייל לא יוצג באתר. שדות החובה מסומנים *