BYOD במגזר הביטחוני: דרושה מדיניות מכוונת

בסיור שערכו השבוע חברי פורום המנמ"רים באחד המפעלים של רפא"ל בצפון התייחס המנמ"ר, קובי כ. (אסור לחשוף את שמו המלא…), לסוגיית ה-BYOD. מדובר במפעל שמעסיק כ-5000 עובדים, כמעט שני שליש מסך כל המועסקים ברפאל. למרות שהמפעל מוגדר כביטחוני ברמה גבוהה ביותר ויש בו נהלי ביטחון ואבטחה קפדניים, נאלצים אנשי הביטחון והממונים על אבטחת המידע להתמודד עם אתגר טכנולוגי מורכב: הטרנד החדש שבו לכל אחד יש היום טלפון חכם. הטרנד הזה לא פוסח גם על עובדי התעשיות הביטחוניות, כמו גם על מערכת הביטחון וצה"ל. "באחרונה חיברנו אלפי טלפונים חכמים. הדבר דורש שינוי בפרדיגמה והתמודדות עם האתגרים של פתרונות לניהול ואבטחת הרכיבים הניידים", התוודה מנמ"ר רפא"ל.

ההתמודדות עם BYOD היא בשני מישורים: במישור הפנים ארגוני ובמישור שמחוץ לארגון. גם עובדי התעשיות הביטחוניות, כמו גם קצינים בצה"ל ואנשי מערכת הביטחון, מכירים ביתרון של זמינות און-ליין, גם הם רוצים לעבוד מהבית ולראות דואר או לבצע פעולות שונות. במערכות מסוג זה, יש גם לעיתוי ומהירות ההחלטה משקל קריטי, שלפעמים יכול לעלות בחיי אדם. מצד שני, המגבלות הקיימות בגישה למערכות פנים ארגוניות במערכות הביטחוניות ברורות. ברמה הפנים ארגונית, נהלי האבטחה על טלפונים לא משתנים.

במתקנים רגישים כמו אותו מתקן בהם התארחו המנמ"רים, חל איסור מוחלט להכניס טלפונים ניידים, ואלו של העובדים, חסומים בשיטות שונות למניעת זליגת מידע, וכדומה. עבודה מהבית מורשית בשלב זה רק למנהלים מסויימים – אלה שיש חשיבות לקשר שוטף איתם מחוץ לשעות העבודה. גם כאן נדרשת מערכת הגנה מתוחכמת ביותר, שלמעשה כלל אינה מאפשרת לעובד לגשת אל מערכות הליבה של הארגון, אלא קבלת המידע שהוא מורשה לו, דרך מסננים ואפליקציות מיוחדות.

אלא שלמנהלי האבטחה במגזר הביטחוני ברור, כי הבעיות רק תלכנה ותעשנה מורכבות. הטכנולוגיה משתכללת ומאפשרת להתגבר בקלות על חסמים שונים – שכבר קיימים כיום. גם העובדה שיש מגוון רחב מאוד של טלפונים המבוססים על תקנים לא אחידים לא מקלה את החיים על מנהלי מערכות המידע והאבטחה.

מדבריו של מנמ"ר רפא"ל, אפשר היה להבין שבדיוק כמו כל מנמ"ר אחר, גם הוא מתמודד עם אתגרים לחיפוש אחר כלים ומדיניות מתאימה בתחום ה-MDM. מדובר קודם כל במתודולוגיה, בתהליכי עבודה ובנהלים. אולם באשר למגזר הביטחוני, שם הרגישות היא רבה יותר, נדרשת מדיניות כוללת, מכוונת, אחראית וברת ביצוע ואכיפה. נכון לעת כתיבת שורות אלו, מדיניות כזו לא קיימת, ומן הראוי שהגורמים האחראים לכך יתנו את דעתם לכך. חסימה גורפת של טלפונים אינה באה בחשבון וגם פריצה מוחלטת של כל המחסומים ואפשרות גישה חופשית מכל טלפון אינה עולה על הדעת. את שביל הזהב יצטרכו המומחים למצוא, וכמה שיותר מהר.