פרשת ענת קם - משמעויות מעשיות למנמ"ר

מעבר לשימוש בפתרונות טכנולוגיים, כדאי לנצל את האירוע, כטריגר לבחינה מחודשת של מה שקורה כיום בארגון בתחום אבטחת המידע הפנימי. במסגרת זאת אנו מציעים:

• לבחון את המדיניות הקיימת ביחס לשמירת מידע חסוי ורגיש ובאופן מיוחד ביחס לקליטת עובדים שאמורים לטפל במידע זה.

• לבדוק את הנהלים הקיימים, ולבחון באיזה מידה הם אכן היו מונעים את היווצרות אירוע מסוג זה בארגון.

• לבחון את מערך הפתרונות הקיימים בארגון. במסגרת זאת כדאי לבחון גם את הפתרונות הטכנולוגיים שהזכרנו למעלה, ולראות אם יש מקום לעבות את מה שקיים.

• כדאי וחשוב לנצל את האירוע לצורכי הסברה ורענון הנהלים בארגון, כדי להגביר את הסיכויים שמה שכבר קיים, אכן ינוצל וימומש בפועל.

• בקרות תקופתיות ובמיוחד שימוש בגורמי חוץ שיבחנו את עמידות הארגון לרגול תעשייתי או גניבת מידע ממורשים.

לדעתנו, לא ניתן למנוע באופן מוחלט דליפת מידע מארגונים, במיוחד כשמדובר בהוצאת מידע על-ידי מורשים. כן ניתן לצמצם את הסיכויים והיקף הנזק, על-ידי שורה של צעדיים ניהוליים ושימוש מושכל בפיתרונות טכנולוגיים. ביחד עם זה, יש לזכור את היבטי התקציב שיש להתחשב גם בהם ולא פחות חשוב - היבטי פרודוקטיביות, שכן הכבדה יתרה על התפעול השוטף, עלולה להביא לנזק גדול יותר מהעלמות מידע זה או אחר. לכן בשורה הסופית - בחינה ענינית והגדרת מידע רגיש ואופן הטיפול בו, ניהולית וטכנולוגית, שיעשו בראיה כוללת, הם הצעדים המעשיים שאנו ממליצים לכל מנמ"ר לעשות.

הפרשה מעוררת כמה תהיות על הגבולות והמגבלות של מערכות האבטחה בארגונים בכלל, שכן אם הדבר קרה בצה"ל, קרוב לוודאי שזה יכול לקרות בכל ארגון ציבורי ועסקי. ביחד עם זה, נדגיש כי היום יותר מתמיד, ניסיון מלא להגן על המידע, הוא קרוב לוודאי בלתי-אפשרי. הקלות היחסית שבה ניתן להדפיס מסמכים ולהוציא אותם פיזית מהארגון או היכולת לצלם מסמכים עם מצלמה סלולרית מתקדמת, חושפים טפח מהאיומים למידע הארגוני, וזאת עוד לפני שהגענו לטכנולוגיה.

בצד הטכנולוגי, יש היום קשת רחבה של אמצעים ושיטות, אשר יכולים לצמצם באופן ניכר את הסיכוי להישנותם של מקרים דומים. בין השאר נזכיר את:

• הצפנה וקידוד המידע - יסייעו לשמור את המידע מאובטח, בכל המקרים שהוא אינו נחשף לעין הקוראים. יש היום מנגנונים אוטומטיים ורצוי להרבות בכך.

• הקשחת ההגנה על מחשבי הארגון ובמיוחד כאלה שעוסקים במידע חסוי ורגיש. צעדים אלה יכללו בין היתר: שימוש בכונני תקליטורים רגילים ולא בצורבים (אם אפשר רצוי לבטל גם את אלה), וביטול היכולת להשתמש ביציאות ה-USB לחיבור אמצעי אחסון נתיקים כמו דיסק און קי. שימוש בעמדות קצה רזות, יזכה לעוד נקודות, במקרה זה.

• מעבר לשימוש במסמכי PDF, מספק הגנה טובה יותר על המידע. כך למשל, ניתן לאסור דרכם אפשרות להדפסת המסמך או העתקת המידע שבתוכו או לחלופין להגן עליו באמצעות סיסמא.

• חסימת היציאה או בקרה הדוקה על מסמכים שיוצאים מהדואר הארגוני ובמיוחד כאלה שמופנים לתאי דואר באינטרנט.

• הגדרת הרשאות חכמה אשר תקבע מי יכול לעשות מה במידע. למשל, מי יכול להעתיק את המידע, מי יכול לערוך ולשנות אותו, עבור מי המידע יהיה זמין לקריאה בלבד וכו'. כמו-כן, כחלק מכך, צריך לדאוג גם לאימות מאובטח של המשתמש, כך שהמערכת תוודא שבאמת מי שעומד מאחורי המחשב הוא זה שבעל ההרשאה הנכונה. אימות זה כדאי שיבוצע באמצעות שילוב של כרטיס חכם או רכיב זיהוי ביומטרי והקלדת סיסמא אישית.

• נעילה אוטומטית של המחשב וניתוק רכיבי הרשת לאחר פרק זמן מוגדר.

• שימוש במערכות התראה שיעירו את תשומת ליבם של מומחי האבטחה בארגון על פעילות חריגה במידע יכולות גם כן לסייע.

• תיעוד ורישום הפעולות שנעשות עם התכנים הארגוניים. כולל שם המשתמש של מי שניגש למידע, כתובת ה-IP שלו, סוג הפעילות שביצע וכולה. תיעוד שכזה יוכל לעזור בעתיד בחקירה של מקור ההדלפה, במקרה שזו תתרחש.

חשוב לציין כי בשוק ישנם פתרונות רבים ומגוונים בתחום וכדאי לעקוב וללמוד אודותם. כאן סקרנו בעיקר את הפעולות שיש לבצע על-מנת למנוע פגיעה במידע הארגוני על-ידי גורם פנימי, אך כדאי לזכור כי לא פחות קריטי וחשוב להגן מפני גורמים עוינים חיצוניים שיכולים לפגוע במידע. המלצות נוספות ניתן למצוא במאמר שפרסמנו השבוע בבמה המקצועית של שי בליצבלאו מחברת מגלן טכנולוגיות הגנת המידע.

עוד הרחבות על אבטחה בארגונים, הכוללות בין היתר התייחסות לחידושים ולמגמות העיקריות בתחום זה, יישומים ופתרונות, היבטים כלכליים, דגשים חשובים והאתגרים בתחום, ניתן למצוא בקשת רחבה של תחקירים שהוצאנו בשנתיים האחרונות. תקציר מתוך אחד התחקירים הרלוונטיים שהוצאנו לאחורנה ניתן למצוא בתקציר: הפיתרון - הצפנה.