הטכנולוגיה שבשער (וגם בונוס: מדריך לעבודה מהבית)

אמצעי התקשורת בשבועות האחרונים מדברים על מחסור בחנויות המחשבים בלפטופים, שהפכו בימי קורונה למצרך מבוקש. מה צריך לבקש מהמוכרים? ואיזה טכנולוגיות כדאי שיהיו בפנים לטובת ההגנה על המידע החשוב שאתם מאחסנים שם. מדריך

• מאת: שי מרון

עם הקורונה הגיעו גם לא מעט כללי משחק חדשים. אחד שכזה שכבר זכה לסקירה כמעט מכל הכיוונים האפשריים הוא המעבר של עובדים רבים הביתה. יחד איתם נדד לכיוון הסלון (שהפך לחדר עבודה) גם המחשב הנייד ובלא מעט מקרים החל גל רכישה של לפטופים ויחד עמם עלו לא מעט שאלות לגבי איזה מחשב נייד צריך באמת לרכוש בימים אלה.  

בניגוד אולי למחשבים עבור הילד הגיימר, כשמדובר במחשב עסקי, טעות אבטחה, פירצה אחת קטנה, יכולה לעלות לארגון הרבה מאוד כסף. הסיבה: המידע שנשמר על המחשבים הללו הוא יקר ערך. על פי  חברת המחקר הדיגיטלי Bitcom מגלה מספר נתונים מדאיגים: בשנתיים האחרונות, שבע מתוך עשר חברות מסחריות ברחבי אירופה היו קורבנות של חבלה דיגיטלית, גניבת מידע וריגול תעשייתי. בתקופה הזו נגרם לחברות הללו נזק של מעל 43.4 מיליארד אירו וחלק לא מבוטל מהנתונים מתייחסים לחדירות למחשבים ניידים.

איך ניתן לנצל את חידושי הטכנולוגיה לטובת מניעת זליגת/גניבת המידע הבאה? ומה צריך לבקש מהמוכרים?

אחת החברות המובילות והגדולות בתחום Dynabook (לשעבר טושיבה) הגדירה כבר בשנת 1985, עת השיקה את המחשב הנייד הראשון, את צורתו של שוק המחשבים הניידים כיום כשכבר מהימים הראשונים תחום האבטחה הוא תחום שהחברה שמה עליו את מלוא משקלה. אחד הפתרונות החשובים: Zero Client . ״אבטחת המידע הארגוני, תוך עידוד היעילות בעבודה במערכות ניידות, חשובה להצלחה בעסקים, ובמיוחד אם מדובר בחברות ביטחוניות, בנקים, קופות חולים, גופי ממשל שונים, צבא או כל גורם אחר הנזקק לאבטחה מלאה של החומרים הדיגיטליים שלו, ה׳מסתובבים בשטח׳, כשהם מאוחסנים על מחשבים ניידים מסוגים שונים״, אומר אהרון לאוטמן, נציג מכירות Dynabook בישראל. ״מדובר בפתרון חדשני שמאפשר לארגונים לבצע את כל המשימות מבוססות ה-IT  דרך מערכת V.D.I ארגונית ברמת אבטחה חסרת תקדים ברמתה. הפתרון  ייושם בארגונים בהם מצד אחד רגישות המידע גבוהה מאוד ומצד שני, עליהם לתת לעובדים את היכולת לעבוד גם במשרד וגם מחוצה לו בקלות תוך רמת אבטחה גבוהה״.

לדברי לאוטמן,טכנולוגיית הדור החדש – Zero Client  מסלקת מהמשוואה איומי טרור סייבר שנועדו להזיק למידע שנמצא על מערכות המחשב הניידות ואף מונעת את האפשרות לנזק במקרה של אובדן או גניבה מכוונת. הפתרון מאפשר לספק למשתמשי הקצה מערכת ניידת (שנראית מבחוץ לחלוטין כלפטופ ׳רגיל׳) אך למעשה אין עליה כל מערכת הפעלה, כונן HDD או SSD, ולמעשה היא אינה מאפשרת אחסון כל מידע שהוא על המכשיר עצמו, אלא משתמשת במכשיר רק כנקודת גישה ניידת ומאוד משוכללת. ״עם ׳הדלקתו׳ של המחשב הנייד הוא מתחבר לרשת האלחוטית או קווית זמינה דרך רכיב ה-BIOS  שלו בלבד,  ומאפשר למשתמשים לגשת לכל המידע האישי והארגוני שלהם. כל נתוני המשתמש, כל הפונקציונליות של המערכת נגישה למשתמש הקצה באמצעות פתרון VDI קיים, כשבכך, למעשה, מוסר איום הנוזקות ובקשות הכופר. במקרה של גניבה, או חבלה במכשיר, המידע עצמו לא נפגע או ניזוק. העובד עצמו יכול לגלוש באינטרנט, לשלוח ולקבל מילים, להיכנס למערכות הארגון השונות בהתאם להרשאות שניתנות לו ולראות מידע הקשור לעיסוקו מכל מקום בעולם מבלי להשאיר כל טביעת אצבע שכן אין כל מקום אחסון שהוא״.

למחלקות ה-IT בארגונים מדובר ביתרון משמעותי שכן יחידת הקצה איננה מנוהלת ואין צורך לבצע התקנות כלל. הכול מתבצע דרך מערכת ה- VDI כשהמשמעות חסכון משמעותי במשאבי ניהול ואנוש בארגון. מדובר בהתייעלות משמעותית וחסכון כספי מחד ורמת אבטחת מידע גבוהה ביותר מאידך.

מעבדים מאובטחי ליבה

שיתוף פעולה עם עם חברת מייקרוסופט, הביא לבניית המחשבים האישיים מבוססי ה-Windows המאובטחים ביותר בעולם. המחשבים בקטגוריה – Windows 10 Secured-core PCs (מעבדים מאובטחי ליבה) –  מתוכננים עם אינטגרציה מלאה בין חומרה לתוכנה, כשבליבם נמצאים המעבדים המתקדמים ביותר העמידים בפני איומי סייבר עכשויים ועתידיים. מחשבי ה-dynabook הראשונים שיציעו את הדור הבא של החומרה, התוכנה וההגנה על זהות המשתמשים – היישר מהקופסא – זמינים כבר כעת באמצעות חברת ״מפעיל״, והם ממצבים את Dynabook כאחד היצרנים הראשנים בעולם שמכניסים את ה- מחשבי Secured-core לשוק. קו מחשבי ה-13״, 14״ וה- 15״ המאובטחים כולל דגמי Portégé ו-Tecra .

מחשבי Secured-core  תוכננו כך שיוכלו לטפל במידע יקר ערך ולהגן על העובדים בדרכים, הנמנים על כמה מהתעשיות היותר רגישות לזליגת מידע, דוגמת בתחומי הרפואה, שם מטפלים בתיקים רפואיים ובשאר פריטי מידע רגיש, כמו גם בתעשיות אחרות שמהוות בדרך כלל מטרות להתקפות סייבר ונסיונות פישינג, או מקומות עבודה בהם יש עובדים ניידים הזקוקים למידע עסקי קריטי בעודם נמצאים בדרכים.

״מערכות מחשוב ניידות הן לעתים קו ההגנה הראשון בארגונים״ אומר לאוטמן. ״התעשיות הרגישות לזליגת מידע זקוקות לשכבת הגנה נוספת של אבטחה. זו הסיבה לחבירה למייקרוסופט כדי לפתח חומרה ותוכנה – עם חשיבה מראש על ההגנה עליהן״.

מחשב Secured-core משתמש בחומרה בה רכיבי האבטחה מובנים מראש, בינהם Trusted Platform Module 2.0 (TPM) בצירוף מעבד עכשווי, יחד עם אבטחה מבוססת וירטואליזציה (VBS) והשימוש ב- Windows hypervisor code integrity (HVCI), כדי ליצור סביבת חומרה מאובטחת שיכולה לבודד זכרון וכן רכיבים קריטיים אחרים, כדי למנוע התקפות ואו גישה בלתי מורשה לחלקים הקריטיים של מערכת ההפעלה. בהסתכמו על יכולות האבטחה המתקדמות המובנות בלב המעבד המודרני, מחשב Secured-core מגן על שלמות ה-Windows ועל תהליך האתחול שלה מפני התקפות ברמת הפירמוור. המחשב  משתמש בטכנולוגיית DRTM, כדי להעלות את המערכת למצב מוגן על ידי העברת השליטה מהמעבד היישר ל- Windows hypervisor loader באמצעות מהלך מאובטח. היותו של ה- Windows hypervisor במצב הנמדד על ידי החומרה, סביבת ה-VBS נוצרת בזכרון, כדי לבודד ׳מפתחות׳ קריטיים  ולעבדם ממערכת ההפעלה ה׳רגילה׳.

אימות והגנה

סיסמאות לבדן אינן מספקות כדי להגן על הזהות ומידע רגיש. כדי להבטיח את המשתמשים מפני גניבה, התקפות פישינג ושאר צרות סייבר, מחשבי Secured-core עושים שימוש ב- Windows Hello כדי למנוע התקפות על המשתמשים וזהותם, על ידי שימוש בשילוב של חיישנים ביומטריים, ואחסון מוגן. אמצעי הבטיחות כוללים מפתח FIDO2 לזיהוי פנים וטביעות אצבע, או אימות PIN, בזמן שרכיב Credential Guard עושה שימוש ב- virtualisation-based security (VBS) כדי לחסום את הכלים בהם משתמשים בתקיפה.

בין אם המחשב נגנב או אבד, אחת מהחוליות החלשות בשרשרת האבטחה, היא הגישה הפיסית למערכת. מחשב Secured-core הוא מערכת מבוססת Windows מודרנית, שמגיעה עם רמת האבטחה הגבוהה ביותר הן בחומרה, הן בתוכנה והן ביכולות ההגנה על הזהות – היישר מהקופסא. הוא מספק את רמת ההגנה הגבוהה ביותר נגד אובדן מידע פוטנציאלי.

מחשבי Secured-core אף חוסמים ציוד היקפי חיצוני מפני אתחול או ביצוע Kernel Direct Memory Access (DMA) אלא אם הדרייברים לציוד ההיקפי תומך בבידוד זכרון. מוצרי צד שלישי שכוללים דרייברים תואמים מזוהים אוטומטית ומאפשרים ביצוע DMA. כברירת מחדל, מוצרי עזר ללא דרייברים הולמים נחסמים מאתחול עד לקבלת אישור מהמשתמש. בנוסף, המחשב עושה שימוש ב- BitLocker Drive Encryption כדי להגן על מידע ולהבטיח שאף אחד לא ניסה לחבל בו כאשר המערכת היתה לא מקוונת. אמצעי אבטחה אלה מספקים אימות רב שלבי ומספקים בטחון שהמחשב לא יתחיל לעבוד בלי ה-PIN הנכון או לחיצה על כפתור התחל.  

אבטחה, אבל, ברצינות

אחד האתגרים החשובים שמגיעים בעקבות המעבר לעבודה מרחוק הוא אתגר האבטחה. על פי NCSC האמריקני, יש לקחת בחשבון ולהיערך נכונה מול קבוצות פושעי סייבר שמנצלים את מגפת הקורונה עם אינספור ניסיונות פישינג וקמפיינים מזיקים של בקשות כופרה.

עבודה מרחוק מעמידה אתגרים לא קטנים בפני החברות. ככל שיותר ויותר מערכות מקושרות מתחברות למידע רגיש וחשוב כשהן מצויות רחוק ממקור הידע, כך גם מתרחב וגדל אלמנט הסיכון והאיום. אבטחה חייבת להיות במוקד תשומת הלב של כל הגופים העסקיים וחייבים לטפל בה ללא הפסקה ובאופן קבוע. על החברות לוודא שהמועסקים שלהן מצויידים בטכנולוגיה שיכולה לצמצם למינימום את הסיכונים הכרוכים בהתקפות סייבר. לפטופים הכוללים רכיבי זיהוי פנים וטביעות אצבע וכן רכיבי הצפנה מסוג TPM בטוחים מפני חדירות מבחוץ, יכולים לספק את שכבת ההגנה הראשונה והבסיסית שמפחיתה את הסיכונים של כניסת גורמים לא רצויים לתוך המערכת. פתרונות אחרים, דוגמת Mobile Zero Client יכולים להבטיח כי ביחידת הקצה אין לעולם חומרים רגישים. במקום זאת, המידע החשוב מאוחסן במקום מרכזי במערכת מבוססת ענן (VDI), כך שאם הלפטופ האמור נגנב או אובד, המידע נשאר תמיד מוגן ולגנב אין יכולת להגיע אליו.

המצב הגלובלי הכללי כיום הכניס את כולנו לעידן חדש ככל שמדובר בעבודה מרחוק. וכמו בכל תהליך שינוי, גם הפעם, יש אתגרים ומכשולים שצריך לעבור, בין אם אתה גוף גדול ובין אם חברה צעירה שמשייטת בין הגלים הגבוהים.