מנהלים שיחות וידאו במשרד? מישהו נמצא שם אתכם

יש לכם מערכת וידאו-קונפרנס בחברה? תבדקו, אולי היא הוגדרה לא נכון וניתן לפרוץ אליכם בקלות דרכה.

תמונה: flickr, cc-by, dgbury

חדרי הישיבות של ארגונים וחברות רבות כוללים היום ציוד מתקדם לוידאו-קונפרנס, המאפשר לעובדים לנהל שיחות-וידאו עם נמענים רחוקים, לפעמים גם מעבר לים. ציוד זה, שהפך לזול ונפוץ במהלך השנים האחרונות, חוסך כסף רב שהיה מתבזבז על נסיעות ליעדים רחוקים, ועל זמן נסיעה בו העובדים אינם זמינים לעבודה. כמו הרבה חידושים טכנולוגיים העושים את דרכם אל תוך הארגון, גם מערכות וידאו-קונפרנס אינן חסינות בצורה מוחלטת.

מערכות לא מוגנות

מחקר חדש של חברת אבטחת מידע אמריקנית בשם Rapid7 חושף, כי בחברות רבות, כולל משרדי עורכי-דין, חברות גדולות ובמקומות נוספים, מותקנות מערכות הוידאו-קונפרס בצורה כזאת, שעוקפת את מנגנוני ההגנה הרגילים של הארגון, כמו חומת האש. עקיפה זו מאפשרת התקנה מהירה ללא תקלות או עיכובים מצד אחד, אבל מצד שני חושפות את הארגון לריגול מבחוץ על-ידי גורמים זדוניים, שיכולים להתחבר למערכת הוידאו-קונפרנס, לעיתים ללא ידיעת המשתתפים בחדר, ודרכה לראות ולשמוע את המתרחש במקום בו מותקנת המערכת.

אחת מהתובנות המעניינות של המחקר, היא כי גם במקרה בו המערכת היא מערכת יקרה של אחת מהחברות המובילות בתחום, כגון פוליקום (Polycom) או סיסקו, והמערכת כוללת אפשרויות התחברות למערכות ההגנה הקיימות של הארגון ועבודה עימן, חברות רבות בוחרות להתקין את המערכת בצורה חפוזה, כזו שלא תגזול משאבי זמן ואנרגיה מיותרים מצוותי ה-IT, וכך מוצאת את עצמה מערכת הוידאו-קונפרנס מדלגת מעל לחומת האש, ומאפשרת התחברות של חיבורים מרוחקים, גם ללא הגדרות הגנה וסיסמא.

התקנה חפוזה

הרווח המיידי לחברה, בצורה של התקנה מהירה והתחברויות מהירות למוקדי השיחה המרוחקים, בא במחיר יקר, של חשיפת הארגון לפריצה לארגון על-ידי גורמים זדוניים, או מרגלים עסקיים. במסגרת המחקר האמריקני גילתה החברה מאות-אלפי חברות וארגונים שונים שרכשו ציוד יקר, אך הגדרות ההתקנה של מערכות הוידאו-קונפרנס משאירות אותם חשופים לתקיפה. גם אם לקברניטי החברה חשוב שכאשר הם נכנסים לחדר הישיבות, שניתן יהיה להתחבר ולהתחיל שיחת ועידה במהירות רבה, הרי שיש לכך מחיר גבוה לחברה.

בין היתר, טוענת החברה בראיון לניו-יורק טיימס, שהצליחה להתחבר למערכות הוידאו-קונפרנס של חברות, ולקבל מהחדר שבו מותקנת המערכת קלטי וידאו ואודיו, ובחלק מהמקרים הם גם הצליחו להשתלט על המצלמה, כך שהם יכלו לשנות את כיוונה, לעשות זום, ועוד. מחקרים שכאלה, כפי שעשתה Rapid7, מדגישים יותר מאי פעם מדוע חשוב לבצע את כל הליכי ההתקנה וההטמעה של טכנולוגיה בארגון בצורה מסודרת, דרך מחלקות ה-IT, ומדוע על מנהלי חברות לשמוע בעצתם של צוותי ה-IT שלהם בכל הקשור לדרישות להתקנת ציוד כזה או אחר, רכישה של ציוד הנדרש לארגון, ודרישות רבות המתבססות על רצון לעבות את מערכות אבטחת המידע של הארגון יותר מכל דבר אחר.

מידע נוסף על המחקר ומתודולוגית הבחינה תוכלו לקרוא בפוסט הייעודי בבלוג חברת Rapid7.

וידאו: הדוכן של Rapid7 בכנס ה-Black Hat 2011

נדב דופמן-גור

עו"ד העוסק בתחומי דיני הטכנולוגיה, דיני פרטיות וקניין רוחני. מרצה ומנטור לסטארטאפים, ובעל ניסיון רב-שנים בפיתוח ווב (http://about.me/nadavdg).

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה:

נותרו עוד
00
ימים
:
00
שעות
:
00
דקות
:
00
שניות
לכנס המפתחים הגדול בישראל