תעשיית הסטארטאפים עדיין מתקשה להתמודד עם איומי הסייבר
מאת:
איתן פריימוביץ, 15.10.18, 04:50
סטארטאפים, שמתאפיינים במתן גמישות גבוהה לעובדים וביכולת לעבוד מכל מקום ובכל זמן, חייבים להתאים לעצמם פתרונות אבטחת מידע היודעים להתגמש איתם.
תעשיית הסטארטאפ בישראל מביאה למדינה גאווה רבה, ולא בכדי, רשימת ההישגים הטכנולוגיים אכן מופלאה בתחומים רבים ומגוונים. אולם, למרות הידע הטכנולוגי הרב והמעמיק, שיש ליזמים ולמהנדסים בחברות הללו, מסתבר, שבפועל רבים מהם מתקשים להתמודד עם איומי סייבר ולהיערך נכונה לקראתם.
בביקורי התכופים בסטארטאפים הופתעתי לגלות רמת מוכנות נמוכה, דווקא במקומות בהם סודיות המידע כה חשובה והנכסים הרוחניים נשמרים בצורה קנאית ממש.
לא אחת התבקשתי לחתום על הסכמי סודיות (
NDA) לפני תחילת עבודה עם סטארטאפ, אך כשחקרתי אותו לגבי רמת אבטחת המידע גיליתי, שהיא שטחית ביותר או אפילו כמעט ואינה קיימת.
האם מדובר על מקרה קלאסי של "הסנדלר הולך יחף"? ובכן, הדיסוננס הקיים במעוזי הסטארטאפ מאוד מעניין ויוצא דופן בעולם ההייטק, וקיימות מספר סיבות טובות לקיומו.
הראשונה שבהן קשורה לשאיפה של הסטארטאפים להעניק גמישות תפעולית ותעסוקתית. הרצון הרב (והצודק) בגמישות הביא סטארטאפים לבחור בשירותי ענן ולא לרכוש שרתים למשרדים. הדבר מאפשר להם לגדול ולקטון לפי הצורך מבלי להוציא סכומים נכבדים על חומרה.
לצד זאת מתברר, שעובדים רבים בסטארטאפים מביאים מחשבים מהבית ו"מהגרים" אותם לטובת העבודה. הסטארטאפים אינם קונים מחשבים באופן מרוכז כפי שמקובל בעולם העסקי, אלא על פי דרישה באופן ספורדי לחלוטין.
מחשבים אלה משמשים את המפתחים לצרכים שלהם, כאשר משתמשים בעלי הרשאות חזקות יכולים להתקין כל תוכנה וכל יישום על גביהם. גישה זאת גם היא תואמת לרוח השוררת בסטארטאפים המאפשרת לעובדים לעבוד מכל מקום, מהבית או מבית הקפה.
כמו כן, במקרים רבים אין ניהול מרכזי לכלל המחשבים והמכשירים הניידים (קרי לנקודות הקצה) ולא קיימת מדיניות לגביהם. המחשבים והמכשירים הניידים משמשים את העובדים לצרכי עבודה ולצרכים ביתיים ופרטיים.
משמעות הדבר היא, שהם מחוברים לרשתות חיצוניות ללא סינון, מערכות ההגנה מותקנות עליהם ללא יכולת ניטור בצורה חיה ורכיבי ההגנה עליהם מובילים ליחידת קצה מאד חלשה מבחינת אבטחת המידע.
המחשבים, בלשון המעטה, לפעמים קצת יותר מוקשחים אך עדיין ללא ניטור חי. הבעיה העיקרית היא, שהמחשבים האלה נותנים גישה לרשת של הארגון ובכך הרשת נחשפת לגניבת מידע. הם מתחברים לנקודות גישה לא מאובטחות, שיכולות לתת לתוקף יכולת להאזין לתעבורה ואפילו להאזין לתעבורה מוצפנת.
היבט נוסף וחשוב לא פחות מתייחס להצפנת המחשבים. ברוב המקרים, העובדים מקבלים מחשבים והתקנים ניידים לא מוצפנים. כלומר, במקרה של גניבה, כל המידע, שקיים במחשב, יהיה זמין לגנב לסחור בו
ברשת האפלה.
נקודות הקצה, בהן מחשבים, מחשבים ניידים, סמארטפונים, טאבלטים וכד' הם החוליה החלשה במערך אבטחת המידע של הסטארטאפים.
כיום קיימים בשוק לא מעט פתרונות המספקים פתרון הגנה מקיף לנקודות קצה, שמתאימים בדיוק לצרכים ולכיס של הסטארטאפים. פתרונות אלוה גם קלים לשימוש וגם מאפשרים את הגמישות הטבועה בתרבות הארגונית של החברות הללו.
בין הפתרונות הללו ניתן למנות פתרונות הצפנה של הדיסק, סינון אתרים זדוניים, מנועי אנטי וירוס מתקדם היודעים לזהות אנומליות,
IPS מבוסס על תחנות הקצה, יכולות
MDM, יכולות מינימליות של הקשחת סיסמאות, הצפנה וניהול מפתחות ההצפנה, הגדרת מדיניות גישה לרשתות האינטרנט ועוד. כל זאת, תוך התממשקות הלקוח למערכת ניהול אחוד בענן, שנותנת חיווי חי על כל לקוח ולקוח עם יכולת של
Root Cause Analysis.
בשלב זה, קיימת עדיין מודעות נמוכה לנושא אבטחת המידע בסטארטאפים, הן של העובדים והן של צוות ההנהלה. חשוב לבצע טסטים לעובדים עם תרחישי תקיפה ולבדוק כיצד הם מגיבים ולהתקין מערכות הגנה, שתאפשרנה המשך עבודה בטוחה לעובדים ולארגון.
סטארטאפים, שמתאפיינים במתן גמישות גבוהה לעובדים וביכולת לעבוד מכל מקום ובכל זמן, חייבים להתאים לעצמם פתרונות אבטחת מידע היודעים להתגמש איתם.
מאת: איתן פריימוביץ, אוקטובר 2018.
מנכ"ל ובעלי חברת
פריים סולושנס, שותפה של חברת אבטחת המידע
Sophos