עולם של חיבורים

מאמר זה הוא תרגום של המאמרA world of connections  שהתפרסם בגיליון אוגוסט 2016 של כתב העת Internal Auditor IA

מאת: Jane Seaqo – כותב מקצועי

ה"אינטרנט של הדברים" מעמיד את המבקרים הפנימיים בפני סיכונים שלא ניתן להכיל בקלות

לפי מקורות שונים, עד שנת 2020 הכמות הכלל עולמית של מכשירים בעלי יכולת להתחבר לאינטרנט תנוע בין 26 מיליארד (גארטנר) ל-50 מיליארד (סיסקו). בשני הקצוות של הטווח הזה, המספר הוא מדהים. ניכר כי כוחות השוק, ובהם זמינות גוברת של האינטרנט, עלויות חיבור נמוכות, שימוש נרחב בענן, מספר עולה של מכשירים בעלי יכולת חיבור לרשת והעלות הפוחתת של הטכנולוגיה, יצרו יחד את הסביבה האידיאלית ל"אינטרנט של הדברים" (the Internet of Things – IoT).

ההשפעה של ה-IoT כבר ניכרת. מגמה טכנולוגית רווחת זו, שמוגדרת על ידי ג'ים טאלי, מנהל המחקר בנושא IoT בחברת המחקר והייעוץ גארטנר בלונדון, כ"רשת של חפצים פיזיים שמשובצת בהם טכנולוגיה המאפשרת להם לזהות ולהתקשר עם סביבתם כדי לייצר תועלת עסקית", היא חלק בלתי נפרד מחיינו (ראה להלן "דוגמאות ל-IoT"). חסידי ה-IoT משבחים את הנוחות, המהירות, ההתאמה לפרט ופשטות השימוש הגלומות בו. עסקים מהללים את ה-IoT בשל ההזדמנויות שגלומות בו בהיבטים של חיסכון בעלויות, בטיחות, יצירת הכנסות ואיסוף מידע.

עם זאת, יש שמכירים בכך שלהשלכות של מיליארדי החיבורים הללו ויתרונותיהם, רבים ככל שיהיו, יש צד אפל: סיכוני אבטחה, אובדן הפרטיות ואובדן היכולת של אנשים לשלוט בחייהם. קנת' מורי, מנהל חברת Stronghold Solutions International והמבקר לשעבר של העיר אוסטין, טקסס, טוען כי "הסיכונים העתידיים שגלומים ב-IoT הם משמעותיים הרבה יותר מהסיכונים הקיימים כיום. לרגישויות החדשנות האלו יש השלכות קשות בתחומים של אבטחת מידע ואבטחת סייבר".

למבקרים פנימיים יש סיבות אחרות לתהות לגבי המשמעות של ה-IoT עבור הארגונים שלהם. ייתכן כי יידרשו להעניק ייעוץ להנהלה לגבי התועלת והיתרונות התחרותיים שה-IoT יכול לספק להם. עם זאת, עליהם גם לפקח על הסיכונים החדשים שנובעים מכך והבקרות המפצות הנדרשות. הם אינם יכולים להרשות לעצמם להסתמך על ההנחה כי הגורמים הקבועים יישארו קבועים. בדיוק כפי שגאות עולה מגביהה את כל הסירות, כך ההתפתחות המהירה של ה-IoT מובילה לאבולוציה מהירה של הסיכונים. על המבקרים הפנימיים להיות קשובים לשינויים אלה ולהיערך בהתאם על מנת שיוכלו לוודא שהארגונים שלהם מעודכנים.

מערך של סיכונים

מעטים חולקים על כך כי קישוריות היתר של ה-IoT כרוכה בחשיפה לסיכונים. עם זאת, קיימים חילוקי דעות ביחס לאופי הסיכונים האלה.

יש שמתייחסים לסיכונים האלה במונחים אפוקליפטיים. הם מאמינים כי כאשר פעילויות יומיומיות מנוטרות ואנשים מייצרים מידע באופן רציף, היכולת ליצור פרופילים ולכוון למטרות ספציפיות תגדל ותוביל לקשיים גוברים בהיבטים חברתיים, כלכליים ופוליטיים. הם טוענים כי ישנו צורך לייצר עבור האנשים דרכים להתנתק מהרשת, להפסיק לשלוח ולקבל מידע. טאלי מביע סקפטיות לגבי היכולת להתנתק מהרשת: "ה-IoT נמצא בכל מקום", הוא טוען, "אין דרך להתחמק ממנו לגמרי".

עם זאת, קיימות דעות אחרות, פרגמטיות יותר, ביחס לסיכונים הגלומים ב-IoT: הפסדים כספיים המשפיעים על הרווחיות (האקר מצליח לפרוץ למד חשמלי וגונב אנרגיה), הפרעות לעסקים (בעקבות מתקפות מונעות שירות), אובדן היתרון התחרותי (מתקפות מכל סוג שהוא על ידי מתחרה עסקי), מהפכות או אי-סדר שלטוני (תעמולה או "האקטיביזם"), ואף אובדן חיים (נזק לקוצבי לב או לציוד חדרי ניתוח בבתי חולים). מורי מצביע על סיכון אחר, אובדן של נתח שוק, שמתרחש כתוצאה מ"כישלונו של הארגון לאמץ את ה-IoT ולנצל את ההזדמנויות והתועלת שיכולות לצמוח ממנו".

מורי מתייחס לסיכון החיובי של ה-IoT, נקודת מבט שלעתים מתעלמים ממנה במסגרת החשש המוצדק מפני סיכוני האבטחה והפרטיות. אך יש סיבה לכך ששוק ה-IoT מתרחב במהירות, על אף הסיכונים המובנים: הוא מספק תועלות, שלטעמם של פרטים ועסקים רבים, גוברים על הסיכונים הכרוכים בו. לקוחות מעריכים את האופן שבו מכשירי IoT הופכים את חייהם לקלים יותר על ידי צפייה מראש והתייחסות לצרכים ולהעדפות שלהם (לדוגמה, התאמה אוטומטית של טמפרטורת הבית בהתבסס על התנאים בבית ולוחות הזמנים של המתגוררים בו; הכנת כוס קפה בהתאם לטעמו  המדויק של הפרט, והיכולת לנטר את סטטוס ההכנה מרחוק). עסקים שמשתמשים במכשירי IoT במסגרת התהליכים הפנימיים שלהם, או שעובדיהם משתמשים במכשירים כאלה, יכולים ליהנות מיתרון תחרותי על פני מתחרים בעלי זיקה נמוכה יותר לטכנולוגיה, מחיסכון בעלויות באמצעות ייעול וניטור בזמן אמת, קשר אישי ומיידי יותר עם לקוחות, והחזר גבוה יותר על ההשקעה שלהם בשיווק באמצעות מסרים שיווקיים מדויקים יותר המכוונים לקהלים ספציפיים. חברות שמייצרות מכשירי IoT צפויות לראות עלייה בהכנסות כתוצאה מעלייה בדרישה, ואף עשויות לאתר הזדמנויות ליצירת קווים עסקיים חדשים. כולם, פרטים ועסקים כאחד, ירוויחו מההתמקדות הגוברת באבטחת סייבר (וכן, כפועל יוצא מכך, מהאימוץ של סטנדרטים מקובלים ומאמצים עסקיים לזכות באמון הלקוח) שמכשירי ה-IoT ייצרו.

בין אם הסיכון הוא חיובי או שלילי, מדובר בסוגיה מעשית שהביקורת הפנימית צריכה להיות פעילה בזיהוי, הערכה ושיכוך הסיכונים. סטיבן באב, דירקטור ויועץ עצמאי בפירמת Newton Leys Consulting Lts. שבאנגליה, טוען כי ייתכן שההנהלה אינה מודעת באופן מלא לסיכון, אולי משום שהוא אינו מוסבר במונחים עסקיים, וכי המדיניות עוד לא כוללת הגדרה של השימוש ב-IoT. "באופן טיפוסי, ה-IoT נכלל כחלק מאבטחת הסייבר, נושא שזוכה לחשיפה ניהולית גוברת, אך ניתן לעשות יותר בעניין", לדבריו. "כמו כן, ה-IoT מכסה נושאים שבאופן טיפוסי אינם נופלים בתחומם של מחלקות אבטחת המידע".

קורבין דל-קרלו, דירקטור ביקורת פנימית, אבטחת IT ותשתיות בחברת Discover שבאילנוי, מצביע על קבוצה מקצועית נוספת שעליה להתעסק בניהול סיכוני IoT: מפתחי תוכנה (מתכנתים). "הרבה מתכנתים מתמודדים באופן קבוע עם מערכות סגורות", הוא אומר. "ייתכן שהם אינם מודעים למשמעות של הקישוריות. כקו הגנה שלישי, מבקרים צריכים לשוחח איתם ולהביא לתשומת לבם את הסיכון".

לשפוך אור על הסיכונים

בעבור באב, תפקידה של הביקורת הפנימית ביחס ל-IoT "קשור כולו לנראות וסיכון – לסייע לצוותי ניהול סיכונים להדגיש כי הסיכון הוא אמיתי, לכמת את החשיפה ולהביאה לתשומת הלב של ההנהלה", הוא אומר.

גם דל-קרלו טוען טיעונים דומים. "עלינו לקרוא תיגר על נשאים של איומים", הוא מסביר. "עלינו להיות ערוכים להמליץ על פעולות שיכולות להביא לשיפור האבטחה. עלינו להיות מוכנים לשאול שאלות על איומים שקשורים לספקים". דל-קרלו מוסיף כי סביר להניח שספקים אינם מייצרים לבדם את המכשירים שהם מספקים. הוא מטיל ספק בכך שספקים יודעים מי הם הגורמים שמייצרים את החלקים שנרכשים כחלק משרשרת האספקה שלהם. "האם הם בודקים את החלקים האלה על מנת לוודא שהם עומדים בדרישות האבטחה שלנו?" הוא שואל.

פיטר רייס ג'נקינס, ארכיטקסט פלטפורמת Watson IoT ב-IBM, מחזק את הצורך באבטחה לאורך כל תהליך הייצור. "אני רוצה שהמקרר שלי יהיה מאובטח באותה המידה שמכשיר ממשלתי מאובטח", הוא אומר.

ארגונים שעושים שימוש במכשירי IoT צריכים שתהיה להם אסטרטגיה להטמעתם בחברה. מ. ג'. ויידיה, מנהל ב-EY באטלנטה, מציין כי למרות שפונקציית הביקורת הפנימית אינה לוקחת חלק בהגדרת האסטרטגיה הזו, "רכיב זה מהותי לכך שניתן יהיה לוודא כי האסטרטגיה מוטמעת בצורה טובה, מנקודת מבט של ניהול סיכונים".

צעד ראשון פרודוקטיבי עבור מבקרים פנימיים בהתייחסותם ל-IoT הוא הערכת הסיכונים שנובעים מהשימוש ב-IoT בארגונים שלהם. הסיכונים שונים בין חברה לחברה, כתלות במערכות ה-IoT הקיימות בעסק והתהליכים העסקיים שבהם הן תומכות. לאחר שזיהוי הסיכונים הושלם, הביקורת הפנימית יכולה לוודא כי קיימות בקרות ממגרות-סיכונים מתאימות, הפועלות ביעילות ולוקחות בחשבון את ההקשר שבו פועלות מערכות ה-IoT.

בבחינת ההקשר כאמור, חשוב לזכור שדבר אינו מתקיים בריק. דל-קרלו מספר על מקרה שאירע בשנת 2015 בכנס "הכובע השחור" בארה"ב (העוסק באבטחת מידע), במסגרתו האקרים קיבלו על עצמם אתגר להשתלט מרחוק על רכב שהיה מחובר לאינטרנט. הגישה שלהם הייתה פשוטה יחסית. יצרן הרכב לא הטמיע הגנה באמצעות סיסמה על הרכיבים במערכת השמע של הרכב שהיו מחוברים לאינטרנט. "המעצבים חשבו שמערכת השמע של הרכב אינה כרוכה במידע רגיש, ולכן לא ראו צורך באבטחתו", מסביר דל-קרלו. "הם צדקו לגבי מערכת השמע עצמה, אך נקודת הגישה שבמערכת זו אפשרה חדירה לשאר חלקי הרכב". ההקשר הוא הכול.

תחומי פעילות

התמודדות עם האתגרים הקשורים ל-IoT היא אתגר עצום שדורש עבודת צוות כלל-ארגונית. עם זאת, אפילו המסעות הארוכים ביותר מתחילים בצעד ראשון, וברוח זו – קיימות מספר פעולות ראשוניות שדרכן הביקורת הפנימית יכולה לגשת לנושא.

זיהוי מדיניות

כאשר מתייחסים לנושאים הקשורים באבטחה בארגון, אחד הצעדים הראשונים הוא לקבוע האם קיימת מדיניות והאם היא עדכנית. אין הרבה ארגונים שיש להם מדיניות ספציפית בנושא IoT, אך רבים מתייחסים לנושא במסגרת מדיניות ה-BYOD ("Bring your own device" – "הבא את המכשיר האישי שלך") שלהם. באב מסביר שלרוב, מדיניות BYOD מכסה רק כמות מצומצמת של מכשירים שנכנסים בקטגוריית ה-IoT. הוא מוסיף כי "הרבה מהמכשירים מגיעים דרך העובדים, אך כמות לא פחותה של מכשירים נרכשו על ידי הארגון. מתוכם, רבים ייפלו מחוץ לגבולות הגזרה של מערכות המידע והאבטחה בארגון, כך שהסיכונים הגלומים בהם עלולים להישאר חבויים".

מורי מוסיף כי למעסיק הקודם שלו (העיר אוסטין שבטקסס) לא הייתה מדיניות-על שבמסגרתה ניתן להתייחס ל-IoT, אבל הייתה מדיניות שהתייחסה לשימוש בכוננים ניידים, החסנים ניידים (מכשירי דיסק און קי) ומכשירים ניידים אחרים כגון טלפונים ומחשבים ניידים.

מגבלות האבטחה של ה-IoT מציבות בפני הביקורת הפנימית הזדמנות לשחק תפקיד משמעותי באמצעות עבודה עם צוות אבטחת הסייבר ופונקציות ה-IT, הייעוץ המשפטי והשמירה על סודיות ומתן ייעוץ בעניין פיתוח מדיניות IoT. יהיה צורך לבחון ולעדכן נהלים קיימים ביחס לשימוש בסיסמאות, בטלאי תוכנות ובניטור מערכות כך שניתן יהיה לשבץ את סוגיית ה-IoT במסגרתם. עוד ייתכן שיהיה צורך בנהלים חדשים או עדכניים בעניין סגמנטציה והרשאות גישה. יש צורך להבהיר מהם המכשירים והשימושים המותרים, ולזהות בבירור את ההשלכות לא רק עבור העובדים אלא גם עבור שותפים עסקיים, ספקים ולקוחות בעלי חיבור לרשת של החברה.

בדיקת מצאי

קשה לאכוף מדיניות IoT ללא הבנה ברורה של כמויות וסוגי מכשירי ה-IoT הקיימים בארגון. באב ומורי מסכימים כי סביר להניח שרשימות מצאים, אם קיימות כאלו, לא יציגו את התמונה המלאה. ייתכן שחלק מהרשימות מכסות מכשירים שהארגונים קנו, אך לא יכללו את המכשירים הצרכניים שמביאים איתם העובדים למקום העבודה.

לאחר שהושג המידע הנדרש ביחס למצאי, ניתן להטמיע בקרות מתאימות. החברה של דל-קרלו, "דיסקאבר", שמה בעדיפות גבוהה את ההגנה על הרשת שלה. "יש לנו איסור כללי נגד מכשירים שאינם מטעם החברה", הוא אומר. "אנו לא מאפשרים להם להתחבר לרשת שלנו. יש לנו רשת 'אורחים' שאליה אנשים יכולים לחבר את המכשירים הפרטיים שלהם; כל שיוכלו להשיג באמצעות רשת זו הוא גישה לאינטרנט". דיסקאבר אף מתקינה תוכנות הדמיה בעלות מערכת הגנה היקפית קפדנית על המכשירים שהיא מספקת על מנת למדר מידע. מחשבים ניידים מוצפנים וניתן לבצע מחיקה של המידע עליהם בשליטה מרחוק. למרות זאת, מציין דל-קרלו, "מדי יום, בקרות אלו חוסמות מאות ניסיונות חדירה של תוקפים ברמות תחכום שונות. ללא מוכנות מתמדת למתקפות, יש סבירות נמוכה שארגון יוכל לעצור כל אחד מניסיונות התקיפה האלה".

 חינוך ההנהלה

בלי קשר למידת המודעות של ההנהלה לסיכוני IoT, נראה כי קיים קונצנזוס ביחס לעובדה שתוספת בהיבט החינוכי תועיל לארגונים. מורי טוען כי לעתים ההנהלה מודעת למונחים הכלליים שעומדים מאחורי ה-IoT, אך אין לה הבנה מעמיקה די הצורך של ההזדמנויות והאיומים הגלומים בנושא. לטעמו, לביקורת הפנימית יש תפקיד ברור והוא לסייע להנהלה להבין את הסיכונים ולנהל אותם.

ויידה מסכים כי חינוך הוא חשוב, "החל מרמת הדירקטוריון ועד לרמה הטקטית, לא רק בתחום ה-IT, לא רק בקרב מנהלים, לא רק ברמת פיתוח המוצר ולא רק ברמת הייצור, אלא לכל רוחבו של הארגון".

בחינת האבטחה

ג'נקינס מונה מספר שלבים בסיסיים אך הכרחיים שמבקרים יכולים לבחון. "ביחס להרשאות, כאשר מכשיר חדש מצטרף לענן בפעם הראשונה, יש לוודא שהמנגנון שבאמצעותו התבצע החיבור הוא מוצפן". הוא גם ממליץ לוודא כי הענן עצמו מאובטח, הסיסמאות המוצפנות שמורות הרחק מנתוני ההזדהות הקשורים אליהן, ושהנתונים שזורמים מהמכשירים ואליהם מוצפנים. ג'נקינס מוסיף: "עדכוני תוכנה ישירות דרך הרשת (‘over-the-air’) נחוצים על מנת לשמר את עדכניות המכשיר. ודאו כי תהליך זה מתבצע באופן מאובטח".

השגת שליטה ב-IoT

נראה כי לא ניתן לדון ב-IoT בלי להזכיר את הסיכונים הכרוכים בנושא. אך טאלי מדגיש כי לא מעט מכשירי IoT משמשים לאבטחה. הם קיימים על מנת להפחית סיכונים. "ניקח לדוגמה סנסורים מבניים בגשרים", הוא מציין, "סנסורים אלה מזהירים מפני משקלים גבוהים מדי ולחצים. הם מחוברים למערכות בקרת תנועה שיעצרו את התנועה מלעלות על הגשר. חיישני פחמן חד-חמצני המחוברים לרשת פועלים באופן דומה. כל מטרת השימוש בהם היא הפחתת סיכונים".

אך מרבית העוסקים בתחומי הביקורת הפנימית ואבטחת המידע עשויים לטעון כי מטרת המכשיר אינה מדאיגה אותם, אלא החיבוריות שלה והיעדר האפשרות לאבטח באופן מוחלט את הארגון, את נכסיו או את האנשים המשתמשים במערכות שלו. דל-קרלו מסכים, אך אינו נותן לחשש זה לעצור אותו. "אנחנו לא יכולים פשוט לוותר. אני עובד עבור בנק. אנחנו נמצאים היכן שהכסף נמצא – במלוא מובן המילה. עלינו להקפיד על רמת האבטחה הגבוהה ביותר".

אם כן, האינטרנט של הדברים מהווה עבור מבקרים פנימיים הזדמנות לקחת על עצמם תפקיד שבדרך אינו אופייני להם: סנגוריה. הם יכולים לעמוד לצדם של משתמשים אישיים וארגוניים של מכשירי IoT. "הטמעת אבטחה בתוך מכשירי IoT היא משימה קשה ותובענית אך חיונית", אומר ג'נקינס. "החברות שמייצרות את המכשירים טוענות שהן עומדות במשימה בהצלחה. אך האם כך הדבר? תפקידם של המבקרים הפנימיים הוא לגרום להם להוכיח זאת".