חוק הבטיחות המקוונת (OSA) הוא אחד החוקים הארוכים והמורכבים ביותר בספרי החוקים של בריטניה. זהו גם אחד השנויים ביותר במחלוקת, המכיל סעיפים שנועדו לאלץ פלטפורמות מקוונות לפקח על תוכן, להציץ לשיחות פרטיות ולאמת את גיל המשתמשים שלהן. האחרון הוא שעורר זעם מצד גורמים שונים כאשר נכנס לתוקף ב-25 ביולי.
למרות ההבטחה להפוך את האינטרנט למקום בטוח יותר, במיוחד עבור ילדים, חוק ה-OSA עלול להפוך אותו למסוכן יותר עבור חברות, אם הוא יוביל לעלייה מתמשכת בשימוש ב-VPN. לכל הפחות, ארגונים עשויים להידרש לעדכן את בקרות האבטחה שלהם ואת מדיניות השימוש המקובלת בהתאם לנוף החדש.
תוצאות לא מכוונות
חוק OSA דורש מכל אתר אינטרנט המציג תוכן פורנוגרפי ליישם בדיקות גיל קפדניות שהן "מדויקות מבחינה טכנית, חזקות, אמינות והוגנות". אתרים אחרים המציגים תוכן "למבוגרים בלבד" - כמו X (לשעבר טוויטר), Reddit, Discord, Telegram Bluesky ו-Grindr - התחייבו גם הם לבדיקות גיל. עם קנסות שעולים ל-18 מיליון ליש"ט, או 10% מההכנסות העולמיות, פלטפורמות רבות המספקות תוכן שנוצר על ידי משתמשים נוקטות בזהירות.
עבור משתמשים רבים, זוהי בעיה. בדיקות גיל עשויות לדרוש מהם להזין כתובת דוא"ל, מספר טלפון, סריקת מסמך זהות, פרטי כרטיס אשראי או תמונה/סרטון של פניהם. בין הספקים שנבחרו לעיבוד מידע זה נמנים פרסונה - חברה אמריקאית - ו-AgeID, שבסיסה בקפריסין. למשתמשים אין ברירה. עליהם להשתמש בספק שנבחר על ידי האתר/הפלטפורמה שהם מנסים לגשת אליהם.
מובן שמשתמשי אינטרנט חוששים לגבי מסירת מידע אישי וביומטרי רגיש במיוחד לספקים שיאחסנו אותו בחו"ל. זו הסיבה שרבים בוחרים להשקיע ב-VPN, בתנאים שלהם.
עלייתו של ה-VPN
נתונים סטטיסטיים שונים מספרים את סיפורם של מה שקרה בימים שלאחר ה-25 ביולי. ספקית ה-VPN פרוטון הרשמות מדווחות שמקורו בבריטניה גדל ביותר מ-1,400% באותו יום ממש. "בניגוד לעליות קודמות, זו נמשכת, והיא גבוהה משמעותית מאשר כאשר צרפת איבדה את הגישה לתוכן למבוגרים", נטען.
בינתיים, חיפושים של Google בתוך המדינה עבור "רשת פרטית וירטואלית" הגיעה ל"שיא הפופולריות" ב-26 ביולי. לפי vpnMentor, חמישה ספקי VPN נכנסו לרשימת 10 האפליקציות שהורדו הכי הרבה בחנות האפליקציות של אפל.
האתגר מנקודת מבט ביטחונית הוא שלא כל שירותי ה-VPN מאובטחים ומודעים לפרטיות כפי שהם מציגים. הם עשויים:
- שתף נתונים עם מדינות עוינות
- השתמש בהצפנה מיושנת או חלשה שהופכת חיבורים לפגיעים להתקפות Man in the Middle
- מכירת נתוני משתמשים לצדדים שלישיים
- צרור תוכנה עם קוד זדוני
- מכילים פגיעויות שניתן לנצל
- סיכון של דליפת/פריצת נתונים, אם הספק נפגע
בקיצור, אם עובד מוריד VPN ברמת צרכן למחשב נייד של עבודה, מחשב נייד אישי המשמש לעבודה או מכשיר BYOD, הדבר עלול להוות סיכון צל משמעותי בתחום ה-IT, שיפגע בניהול נתונים ובמצב האבטחה. זאת מלבד הסיכונים הפוטנציאליים של ביקור באתרים למבוגרים שעשויים להכיל תוכנות זדוניות.
מה לעשות אחר כך?
מארק וויר, מנהל אזורי בבריטניה ואירלנד ב-Check Point Software, טוען שרוב הארגונים כבר אוסרים על שימוש בכלי VPN אישיים הן במכשירים של BYOD והן במכשירים ארגוניים. אך לאור העלייה האחרונה בשימוש, הוא מייעץ לצוותי אבטחה לרענן את המדיניות ולבדוק אם חסרות כאלה.
"ארגונים צריכים לאמץ כלים שיכולים לזהות מערכות IT צלליות ולזהות משתמשים קשורים. במקומות בהם כלים כאלה כבר קיימים, יש להקדיש תשומת לב מיוחדת לניטור השימוש האישי ב-VPN, לצד סיכוני אבטחה ותאימות פוטנציאליים אחרים", הוא אומר ל-ISMS.online.
"חשוב גם להפעיל קמפיין חינוכי כדי להעלות את המודעות למדיניות זו בקרב קהילת משתמשי הקצה. יחד, גישה משולשת זו של אכיפת מדיניות, אימוץ טכנולוגיה וחינוך משתמשים, יכולה לסייע בהתמודדות יעילה עם העלייה בשימוש אישי ב-VPN."
צ'אד קרייגל, מנהל מערכות ניהול אבטחת המידע של Deepwatch, טוען כי חברות צריכות גם לעדכן את מערכות ניהול אבטחת המידע שלהן (ISMS) בשלושה תחומים: ניהול נכסים (מעקב אחר VPNs); בקרת נכסים (MFA וגישה מותנית); ומדיניות שימוש מקובלת (לקבוע ש-VPNs לא מנוהלים אינם יכולים לגשת למידע רגיש).
"ממשל חייב להתייחס לכלי פרטיות כחלק מהנוף, לא כפרצות. התפקיד הוא לאכוף את מעקות הבטיחות גם כאשר התנועה מנסה להחשיך. משמעות הדבר היא: אחסון נתונים וגיאוגרפיה כדי לשמור על התנועה בתוך שיפוט מאושר. שימור נתיב ביקורת באמצעות ניטור נקודות קצה ו-DLP, גם אם התנועה עוברת מנהרה. ויישור מדיניות שבו פרטיות ותאימות אינן ערכים מתחרים אלא שני צדדים של אותו מטבע", הוא אומר ל-ISMS.online.
"תחשבו על זה כמו בקרת תנועה אווירית: נוסעים יכולים להעריך פרטיות, אבל מטוסים עדיין מגישים תוכניות טיסה. הממשל צריך לאזן בין חופש תנועה לבין נראות מלאה - אחרת, אתם טסים בעיוורון."
ברנדון טרבט, מנהל ה-IT והאבטחה של Menlo Security, רוצה לראות את זהות המשתמש מופרדת מאינטראקציות בפלטפורמה.
"הפתרון אינו להגביל כלי פרטיות - אלא ליישם ארכיטקטורות אבטחה שיכולות לשמור על תאימות והגנה על נתונים מבלי לפגוע בפרטיות המשתמש", הוא אומר ל-ISMS.online. "משמעות הדבר היא לקרב את בקרות האבטחה והפרטיות לתוכן עצמו, באמצעות טכניקות כמו רינדור מרחוק וסביבות ביצוע מבודדות. ארגונים יכולים להשיג הן תאימות רגולטורית והן פרטיות משתמשים על ידי הבטחה שהחלטות אבטחה מתקבלות על תוכן מחוטא ומוערך סיכונים ולא על תעבורת משתמשים גולמית."
בסופו של דבר, כל סוג של עדכון ממשל חייב לקחת בחשבון את האופן המשתנה שבו עובדים נוטים לגשת למידע רגיש כיום, טוען קרישנה וישנובות'לה, סגן נשיא אסטרטגיית המוצר של זימפריום.
"ממשל חייב לעבור את המיקוד הישן ברשתות ובמחשבים שולחניים. הסיכונים האמיתיים הם במכשירים ניידים ובאפליקציות שאנשים משתמשים בהן מדי יום", הוא אומר ל-ISMS.online. "VPN אולי מסתיר תעבורה, אבל הוא לא מתקן אפליקציה שמדליפה נתונים או משתמשת בהצפנה חלשה. התשובה פשוטה: בדוק את האפליקציות לאיתור בעיות אבטחה והגן עליהן במכשיר. בדרך זו, הפרטיות נשמרת, והתאימות לא אובדת."
