דו"ח טכנולוגי
שגרת הקורונה: עבודה מהבית וחשש ממתקפות סייבר
חברות הודיעו לעובדיהן על המשך העבודה מהבית ללא הגבלת זמן. כעת על הארגונים להבין את הסיכון שבדבר. וגם: המשחק מיינקראפט חצה את רף ה-200 מיליון עותקים שנמכרו
אבל יש דבר אחד שלא השתנה, וגם לא ישתנה בעתיד: עובדים רבים ממשיכים לעבוד מהבית, ויעשו זאת בתקופה הנראית לעין גם עם חזרת המשק לפעילות, במיוחד כשמדובר בחברות הייטק. חברות רבות הודיעו לעובדיהן על המשך העבודה מהבית עד יוני לפחות, כאשר אחרות נקטו בצעדים דרסטיים יותר: פייסבוק וגוגל, למשל, מאפשרות לעובדים לעבוד מהבית עד סוף השנה, בעוד טוויטר וסקוור הודיעו שהעבודה מהבית תימשך ללא הגבלת זמן, גם אחרי חיסול המגיפה (שלא במקרה, בראש שתיהן עומד ג'ק דורסי).
במעבר לעבודה מהבית, מעסיקים רבים השקיעו לא מעט משאבים בפיתוח או רכישת מערכות שנועדו לוודא שהעובדים לא מנצלים את "ההטבה" החדשה בכדי לא לעבוד. אבל בלהיטותם לעקוב ולנטר את פעילות העובדים, ייתכן שפספסו סכנה אחרת לגמרי שנוגעת לעבודה מהבית, כזו שצריכה להטריד אותם הרבה יותר מעובד שמבלה יותר מדי זמן ביוטיוב: ההתקנים השונים שעובדים מחברים למחשבים באמצעותם הם עובדים מהבית.
במשרד, למעסיק יש שליטה רחבה על סוגי ההתקנים שעובד מחבר למחשב, בין אם באמצעות מדיניות ובין אם באמצעות תוכנות שמונעות חיבור התקנים חיצוניים. בבית, לעומת זאת, יכולת הפיקוח ואכיפת המדיניות חלשה עד לא קיימת, אם בכלל אפשרית, ועובדים רבים מחברים למחשבים שלהם התקנים שונים. ואלו, כפי שמזהירים בחברת הסייבר הישראלית ספיו סיסטמס (Sepio Systems), יכולים להביא לפרצות אבטחה משמעותיות, אפילו כשמדובר בהתקנים פשוטים ובסיסיים כמו עכבר או מקלדת.
ספיו מתמחה בתחום אלמוני יחסית של מתקפות מבוססות חומרה. כלומר, מתקפות בהן החדירה לארגון לא נעשית באמצעות האקר שמתחבר מרחוק, קובץ זדוני שנשלח באימייל או אתר מסוכן שאליו גולש המשתמש, אלא באמצעות התקן פיסי שמחובר ישירות למערכת המחשוב.
החברה הוקמה על ידי יוסי אפלבאום, יפתח ברטשפיז ובנצי בן עטר, והיו"ר שלה הוא ראש המוסד לשעבר, תמיר פרדו. בעבודתה אתרה ספיו מגוון התקנים נגועים – עכברים, מקלדות, מדפסות, סורקים, כל מה שאפשר למעשה לחבר למערכת המחשוב. במקרה אחד גילתה ספיו רכיב סלולרי משוכלל מושתל בעכבר המחשב של סמנכ"ל כספים באחד הבנקים הגדולים בעולם.
בעידן של טרום הקורונה, פושעי סייבר שרצו לבצע מתקפה מבוססת תוכנה נגד ארגונים (כאשר מדובר בארגונים בעלי אבטחת מידע מעולה, פעמים רבות הדרך היחידה להתחבר למערכותיהם היא באמצעות התקן פיסי), היו צריכים לנקוט בצעדים מרחיקים לכת על מנת להחדיר את החומרה הנגועה לארגון. למשל, מקרה אמיתי שאפלבאום, שמכהן כמנכ"ל החברה, תיאר לי בעבר: "בנק יוצא במכרז למחשבים. אני מקים משווק, מציע מחיר זול ב־10% וזוכה במכרז. הנה נכנסתי לשרשרת האספקה".
אבל הקורונה והמעבר הנרחב לעבודה מהבית יתרו את הצורך הזה. ועכשיו, כל מה שצריכים פושעים לעשות הוא להעביר את החומרה הנגועה שלהם לידי משתמשים בבית, בתקווה שהם עובדים בארגון שמחזיק במידע בעל ערך עבורם. זה הרבה יותר פשוט מכפי שזה נשמע. לפי דו"ח של ספיו,שפרטיו מתפרסמים כאן לראשונה, מאז המעבר לעבודה מהבית בחסות הקורונה נרשמה עלייה של 42% במספר המכשירים שמחוברים לנקודות קצה של תאגידים (המידע נאסף משירות הענן של ספיו, שמנטר בעבור ארגונים חיבור של מכשירים לנקודות קצה. ייתכן שהנתונים בפועל גבוהים יותר, שכן לקוחות ספיו, מכיוון ששכרו את שירותי החברה, כבר מודעים לבעיה בעוד שארגונים אחרים פחות).
ומה שמעניין כאן, לדברי החברה, הוא לא רק הגידול במספר ההתקנים המחוברים אלא גם בגיוונם. "אנחנו רואים גידול של כמעט פי 3 ביצרני המכשירים השונים – רבים מהם מכשירים זולים ללא מותג מוכר, שאינם שכיחים בסביבה תאגידית", נכתב בדו"ח. "העלייה המשמעותית הזו מיוחסת לעובדה שעובדים מחברים מכשירים ביתיים קיימים לנקודות הקצה שלהם. בבירורים פרטניים שעשינו, ראינו מקרים שבהם בני משפחה אחרים עשו שימוש בנקודות קצה ארגוניות לצורכי למידה מרחוק, הנאה וגיימינג. תובנה מעניינת נוספת היא העובדה ששעות הפעילות התארכו משמעותית, ושעות עבודה רגילות נתמחות לאור טשטוש הגבולות בין שעות עבודה למנוחה".
כלומר, אם קודם לכן היה לארגון שליטה רחבה על על השימוש שנעשה בנקודות הקצה, מי משתמש בו ושעות השימוש, בתקופה הנוכחית אין לחברה אפשרות אמיתית לווסת את הגישה למחשבים שמחוברים לרשת הארגונית, או את השימושים ובעיקר ההתקנים שמחוברים אליהם. ועתה, במקום שעות פעילות תחומות בזמן המחשבים עובדים מסביב לשעון, בשעות לא שעות.
חמור יותר, משתמשים רבים מחברים למחשב אביזרים זולים שקנו ברשת מייצרנים לא מוכרים, ואלו יכולים להיות וקטור מצוין למתקפה. פושע סייבר מתוחכם במדינה בעלת בסיס ייצור גמיש וזול כמו סין יכול לנפק קו של מקלדות, עכברים, אפילו כבלי טעינה, שיוצרו בהתאם למפרט שלו אשר כולל גם נוזקה מבוססת חומרה, למכור אותם לצרכנים במערב ולקוות שאחד מהם יחבר אותו לנקודת קצה של רשת ארגונית מעניינת. לא התרחשות בלתי סבירה.
והסכנות מגוונות: "מקלדות, עכברים וכבלי USB לא נחשבים להתקנים פגיעים. ואולם, הם יכולים להוות איום על הארגון מכיוון שהם יכולים לשדר ולקלוט מידע, מה שמאפשר להשתמש בהם לגרימת נזק. בהתקנים אלו ניתן להטמיע מיקרומחשבים, כמו רספברי פיי, ולתמרן אותם כך שיפעלו בצורה זדונית. למשל להתקנת נוזקות דוגמת סוסים טרויאנים, תולעים או וירוסים. התקפות אחרות כמו Man in the Middle, מתקפת מניעת שירות מבוזרת (DDoS), ניטור הקלדות ושאיבת מידע יכולות גם הן להתבצע בווקטור זה. מתקפות אלו יכולות להתבצע בתוך דקות, אם לא שניות, ואז גם אחרי שההתקנים נותקו תהיה להאקרים גישה מרחוק לרשת של הארגון".
בשגרה החדשה, עבודה מהבית הופכת לנורמה, לא לחריג, וזה יימשך בעתיד הנראה לעין. וכמו בכל מצב חדש, יש גם סכנות חדשות שצריך לזהות ולהתמודד עמן. צעד ראשון הוא להבין שעכשיו הארגון חשוף בהרבה דרכים חדשות, ושכל עובד הוא נקודת חדירה אפשרית שצריך להתמודד אתה.
קצרצרים
1) דיברנו בשבוע שעבר את הקשיים המפתיעים של שירותי המשלוחים, והנה סיפור קטן שממחיש עד כמה התעשייה הזו בעייתית. בעל של רשת פיצריות קטנה בארה"ב החל יום אחד לקבל תלונות מלקוחות על משלוחים, למרות שהרשת לא מציעה משלוחים (וזה, בלי קשר לסיפור, ממש מוזר. מה זה פיצרייה בלי משלוחים?). חקר בירר ומה גילה? שירות DoorDash החליט לספק משלוחים מהרשת באופן חד-צדדי, מעין טקטיקת רכישת לקוחות אלימה. היתה רק בעיה אחת: מחיר פיצה בשירות היה 16 דולר, בעוד הוא עצמו גובה על פיצה 24 דולר – 8 דולר הפרש. מה עשה בעל העסק הזריז? התחיל להזמין פיצות מעצמו. על כל פיצה הוא שילם לדורדאש כלקוח 16 דולר, ובתמורה קיבל מדורדאש 24 דולר כבעל המסעדה. והוא אפילו לא צריך להכין את הפיצה.
2) משרד המשפטים של ארה"ב היה בחודשים האחרונים בעימות עם אפל סביב דרישה שזו תסייע ל-FBI לפצח את ההגנה של שני האייפונים של המחבל שרצח שלושה חיילים בדצמבר. כמו בפעם הקודמת שהיה עימות מסוג זה בין הצדדים, אפל סירבה בטענה שיצירת דלת אחורית במוצרים שלה תסכן את לקוחותיה ואף תאיים על הביטחון הלאומי. וכמו בפעם הקודמת, גם הפעם פרשה זו נגמרה אחרי שה-FBI הצליח לחדור למכשירים ללא הסיוע של אפל. לדברי התובע הכללי של ארה"ב, במכשיר נמצאו ראיות ל"קשרים משמעותיים" של המחבל עם ארגון אל-קאעידה. לאור האמינות הנמוכה של ממשל טראמפ, רצוי להתייחס להצהרה הזו בספקנות.
3) מיינקראפט של מיקרוסופט חצה לאחרונה את קו 200 מיליון העותקים שנמכרו (כארבע שנים אחרי שחצה את קו ה-100 מיליון), ונכון לעכשיו מספר המשתמשים הפעילים בחודש במשחק עומד על 126 מיליון. כצפוי, סגר הקורונה סייע רבות לפופולריות של המשחק עם גידול של 25% במספר השחקנים החדשים בחודש שעבר וזינוק של 40% במספר המשחקים מרובי המשתתפים.