מחקרים: העבודה מהבית – איום סייבר משמעותי על ארגונים
העבודה מהבית היוותה ועדיין מהווה פתרון טוב לארגונים במשבר הקורונה, אבל שני מחקרים עדכניים מראים ששליש מהעובדים מרחוק חשופים לסיכוני סייבר ושהמוכנות האבטחתית של חברות לפרקטיקה זו לוקה בחסר
בחודשים האחרונים התרגלו רבים מאתנו לעבוד מהבית ולא פחות מכך, ארגונים הסתגלו למגמה הזאת, שעל פי ההערכות, אחרי משבר הקורונה תהיה בולטת יותר מאשר לפניו. שני מחקרים שפורסמו היום (ד') מראים כי הפרקטיקה הזאת טומנת בחובה סיכונים, שנובעים בעיקרם מהגורם האנושי – אנחנו.
מחקר שמפורסם כאן בבלעדיות של סלסטיה, שפיתחה לומדה להעלאת המודעות לסכנות הסייבר, מעלה שכשליש מהעובדים שעבדו מהבית בזמן סגר הקורונה היו חשופים לאיומי הסייבר בשל צורת עבודה זו, מאחר שהם כלל לא היו מודעים לסכנות שיצר המעבר מהעבודה במשרד לסביבת העבודה הביתית. מחקר אחר, של סייברארק, מראה שההרגלים וההתנהגות של העובדים מהבית מאיימים על אבטחת הרשת הארגונית, בין היתר מאחר ש-77% משתמשים במכשירים בלתי מנוהלים.
המחקר של סלסטיה התבסס על תוצאות אמת של כ-3,000 משתמשים מארגונים שונים, שהשתמשו בלומדה שפיתחה החברה. ניתוח הנתונים מעלה ש-26% מהעובדים בעלי המשפחות שביצעו את העבודה מביתם לא הכירו את החולשות העלולות להיגרם כתוצאה מהגישה של בני המשפחה, בהם ילדים, למחשב המשמש לצרכי עבודה. עוד הוא מציג שורה של הנחות שגויות של העובדים: 51% מתוכם ענו שאם העבודה מתבצעת במחשב של הבית, אי אפשר להגביל את בני המשפחה בגישה אליו, 31% סברו שאם המחשב הוא של מקום העבודה וככזה, מאובטח על ידי אנטי וירוס, שם משתמש וסיסמה, אין סכנה לתת לבני המשפחה האחרים גישה אליו, ו-18% ענו שאם הוסבר לבני המשפחה שהמחשב שייך לעבודה, אין כל סיבה לחשש.
18% מהמשיבים כנראה הושפעו יותר מדי מהידיעות שלפיהן האקרים מבצעים מתקפות פישינג על ידי מיילים שמתחזים לאתרי מידע בנושא הקורונה, וענו כי זוהי נקודת החולשה היחידה שהרעים מנצלים. מדובר בגישה שלא תואמת את המציאות, שכן ההאקרים משתמשים בשלל שיטות על מנת להגיע למחשבים של העובדים ולמערכות של הארגונים. לדברי לימור גרוסמן, מנהלת שיווק ומכירות בסלסטיה, "עובדים לא לקחו בחשבון שאפילו כניסה בטעות של בן משפחה לסביבת העבודה הארגונית עלולה לגרום לפגיעות קשות – דליפת מידע, מחיקתו, שיתופו ועוד פעולות שעלולות לחשוף את הארגון לסיכון ופגיעה".
נתונים נוספים מראים ש-10% מהמשתמשים לא הכירו את הכללים שיאפשרו להימנע מסכנת סייבר לאחר שהם עוזבים את המחשב. מתוכם, 61% טעו לחשוב שדי בכיבוי המסך, מבלי לדעת שבתצורה זו, המחשב עדיין דולק וחשוף לתקיפות סייבר. 21% השיבו שדי להעביר את המחשב למצב שינה כדי למנוע סכנת פריצה למחשב. 19% דיווחו שהם משאירים את המחשב בלי השגחה במהלך היום.
כמו כן, עשירית מהמשתמשים לא היו מודעים לסכנות הגלישה ברשת הארגונית באמצעות הנתב הביתי. מתוכם, 62% סברו שאין כל סכנה בעבודה אתו, 22% חושבים שהנתב שלהם לא מאובטח מספיק ולכן גולשים באמצעות נתב של שכנים או נתב ציבורי אחר ול-16% אין מושג באמצעות איזה ראוטר הם גולשים.
גרוסמן סיכמה באומרה כי "בתחילת הסגר ראינו שארגונים הפיצו לעובדים שלהם נוהל מסודר לעבודה מהבית. אלא שהמציאות מראה שעובדים רבים כלל לא קראו, או לא הפנימו את הנהלים. חשוב שגם כעת, כשעובדים רבים ממשיכים לעבוד מהבית, ובוודאי כהכנה לקראת הגל השני של הקורונה, יש להמשיך ולבצע תהליך מסודר ומנוהל של הנחלת כללי אבטחת המידע והגנת הפרטיות בעת עבודה מהבית".
93% השתמשו באותה הסיסמה למכשירים רבים
גם המחקר של סייברארק מעלה ממצאים מטרידים בקשר לאבטחה של העבודה מהבית ולמודעות העובדים לנושא. מדובר במחקר שערכה החברה בסוף אפריל, לדבריה על ידי חברת סקרים בלתי תלויה, בקרב כ-3,000 עובדי ומומחי IT בארצות הברית, בריטניה, צרפת וגרמניה, שעברו לעבוד מרחוק.
מהנתונים עולה ש-77% מהעובדים מרחוק נכנסים למערכות הארגוניות ממכשירים פרטיים שלהם – BYOD, שלא מנוהלים ולא מאובטחים. עוד עולה כי 66% מהעובדים אימצו כלים לתקשורת ולעבודה משותפת, דוגמת זום ומיקרוסופט טימס, שדיווחו באחרונה על חולשות אבטחה.
"לעתים קרובות, הנוחות גוברת על האבטחה, במיוחד בקרב הורים שעובדים מרחוק, על אחת כמה וכמה כשמדובר בהורים עובדים, שלצד העבודה צריכים לטפל בילדיהם ולכן, לא מפתיע שנהלי אבטחת הסייבר בעבודה מהבית אינם עומדים בראש מעייניהם", ציינו חוקרי חברת האבטחה. כך, 93% מהעובדים מרחוק השתמשו באותה הסיסמה ליישומים והתקנים רבים, 37% שומרים סיסמאות באופן לא מאובטח בדפדפנים על המכשירים שקיבלו מהעבודה ו-29% מאפשרים לבני משפחה להשתמש בציוד שקיבלו מהעבודה לפעילויות כגון לימודים, משחקים וקניות ברשת.
המחקר מעלה כי בעוד ש-94% מצוותי ה-IT בטוחים ביכולתם לאבטח גם את העובדים מרחוק, 40% מהם לא החמירו את פרוטוקולי האבטחה. זאת, חרף השינוי המשמעותי באופן ההתחברות של העובדים מהבית למערכות הארגוניות והוספת יישומים חדשים לשיפור התפוקתיות.
על פי חוקרי סייברארק, "המרוץ לאימוץ אפליקציות ושירותים חדשים המאפשרים עבודה מרחוק בשילוב עם חיבורים לא מאובטחים ונהלי אבטחה מסוכנים של העובדים הרחיבו מאוד את שטח המתקפה. לפיכך, יש צורך לעדכן את אסטרטגיית האבטחה, כך שתתאים לסביבת האיומים הדינמית. עובדה זאת נכונה במיוחד כשמדובר באבטחת הרשאות גישה פריבילגיות של עובדים מרחוק. אם הרשאות אלה ייפגעו, הן יפתחו את הדלת עבור ההאקרים למערכות ולמשאבים הקריטיים ביותר של הארגון".
לדברי יאיר שדה, סמנכ"ל ניהול מוצר בסייברארק, "ככל שגדל מספר הארגונים המרחיבים את מדיניות העבודה מהבית לפרקי זמן נוספים, חשוב להפיק לקחים מהשלבים הראשונים של העבודה מהבית. יש לעצב את אסטרטגיות אבטחת הסייבר העתידיות, כך שלא יאלצו את העובדים לעשות פשרות שיסכנו את הארגון".
תגובות
(0)