כבדהו וחשדהו: איך למזער נזקים של אבטחת מידע בארגון
כ-40% מאירועי אבטחת מידע בחברות נובעים מהתנהגות עובדים: מפיזור ססמאות במערכת או על גבי המכשיר הנייד ועד הוצאה מכוונת של מידע מהארגון • כך ארגונים יכולים למזער את הנזק
- גלובס
- כ"ה כסלו התשע"ו
.
חברות מרבות לבטח את עצמם מפני פריצה וגניבת מידע מבחוץ, אבל ממחקר שערכה אינטל סקיוריטי מתברר, שכ-40% מהמקרים של אובדן מידע קורים בגלל טעות או פעולה מכוונת של עובדים. על-פי מחקר משותף שערכה מעבדת קספרסקי עם B2B International, 73% מהחברות הושפעו מאירועי אבטחה פנימיים, והגורם העיקרי לאובדן נתונים חסויים הוא העובדים (42%). לפי הנזק הממוצע שנגרם על ידי דליפות בעסקים קטנים ובינוניים מגיע ל-80 אלף דולר.
"בתחומים של אבטחת מידע, הסיכויים לדליפה מבפנים היום יותר גדולים יותר מההתקפות מבחוץ", אומר נועם פרוימויביץ, מנכ"ל קספרסקי ישראל. "מדברים על סייבר מבחוץ, והסיכונים מבפנים מקבלים פחות חשיפה - זה גם עניין פוליטי וגם כי זה פחות סקסי".
לא כל עובד הוא אתי אלון, שמעלה בבנק למסחר, או העובדים לשעבר של לאומי קארד שאספו באופן שיטתי נתונים של לקוחות ואז ניסו לסחוט את החברה. הסיכונים מתחילים מהשימוש הבסיסי היומיומי של עובדים במחשבים ניידים, טלפונים סלולריים וטאבלטים. "המכשירים האלה הולכים לאיבוד ונגנבים בהיקפים גדולים. טלפונים סלולריים זה מכת מדינה. ברגע שהטלפון נגנב והוא מכיל בתוכו ססמאות, לא רק לקופת חולים או קוד לכרטיסי אשראי, אלא גם למערכת בעבודה", אומר פרוימוביץ. "תופעת ה'סייבר אמניזיה' גורמת לאפקט שכחה של הססמאות שכל אדם צריך לזכור ואנשים נוהגים לכתוב את הססמאות במכשיר הסלולרי שלהם כדי לא לשכוח".
טעות נוספת היא לאפשר שימוש חופשי של הילדים בטלפון הסלולרי. "את נוסעת לאילת בנסיעה ארוכה ונותנת לילד לשחק את הטלפון. ואז הוא מוריד איזו אפליקציה נגועה - ופתחת את הדלת לתוך הארגון", מוסיף פרוימוביץ. חוסר תשומת לב של עובד מסוים עלול לאפשר לעובד אחר לעשות שימוש לרעה בססמאות הארגון. "אם תסתובבי במשרדים בשקט, ותסתכלי מספיק טוב תראי פתקיות שתלויות ליד המחשבים עם הססמה. אם מישהו רוצה לבוא ולבצע הונאה ולא רוצה להתגלות הוא ישתמש בסיסמה שלך. אנחנו לא מודעים לזה, כי זה חבר לעבודה, אבל הוא עלול להשתמש בססמה שלך ואת בבעיה".
לדברי תומר נורי, סמנכ"ל טכנולוגיות ומומחה אבטחת מידע וסייבר בחברת פתרונות ושירותי ה-IT TEAM, גם אי-הקפדה של הארגון על נוהלי עבודה עלולה לגרום לזליגת מידע: למשל שימוש טריוויאלי בג'ימייל להעביר פרוטוקול של דירקטוריון או בדרופבוקס, משום שהכלים שהארגון מספק אינם מספיקים. "בחלק מהארגונים המדיניות היא לא ברורה או שלא נאכפת. מאוד נוח להשתמש בכלים האלה, כי המשאב חינמי וזמין. אבל תיבת הדרופבוקס היא תיבת פנדורה".
לעתים המידע אינו זולג, אלא נגנב במכוון. בחלק מהמקרים מדובר במניע של נקמה בארגון. למשל איש אדמין או שירות לקוחות בחברה שעוברת מיזוג שיודע שזמנו בחברה קצוב יכול לשתול "הפתעה" במערכת, שתאפשר להחזיר לו את ההרשאות כמה ימים אחרי שעשה טופס טיולים, מה שיאפשר לו להוציא מידע אפילו סתם בשביל לעשות שיימינג לחברה.
דוגמה נוספת לאובדן מידע היא סכסוך על זכויות יוצרים - עובד שמפתח אפליקציה מסוימת חתום על חוזה שכל דבר שיפתח במהלך העבודה שייך לארגון. אבל לפעמים העובד מפתח כלי מאוד חכם שמניב הרבה ההכנסות והוא חושב לעזוב את החברה ולפתח חברה על בסיס הכלי הזה ושואב מידע החוצה, לשעת הצורך.
לדברי נורי, לעתים הגניבות נעשות בידי בעלי הרשאות בכירים - שומרי הסף, שכולם סומכים עליהם ולא בודקים אותם. "גניבה שקטה לוקח זמן לגלות. למשתמשים הפנימיים יש כל התשתיות לבצע את המהלך שלהם. ויש להם זמן ואמון. ומעבר לכך הארגונים פשוט לא מסתכלים על זה".מנטרים התנהגות עובדים
איך ארגונים יכולים לבטח את עצמם מפני זליגת מידע או הוצאה מכוונת של מידע מהארגון? אחת הטכנולוגיות היא לבודד בין משתמשים לשרתים. לדברי אלון גולדפיז, סמנכ"ל פורטינט ישראל, "רוב הרשתות הן שטוחות - לכל משתמש ברשת יש גישה ברשת. פקיד בארגון יכול להשיג את הססמה של שרת הכספים ולהגיע אליה. הרעיון הוא לשים מוצר אבטחת מידע שיפריד באופן פיזי על היכולת של עובדים בארגון להגיע למחלקות שלא רלוונטיים להם. בלי הפרדה, האקרים משתלטים לעל העמדה של הפיקד או מנהל ה-IT ומשם הם מגיעים לכספים".
הכלי החדש ביותר מנטר את ההתנהגות של העובד. "חוץ מהצפנה ומידור של המידע, היום מערכות הולכות לבחינה של אנומליה של התנהגות של המשתמש", אומר פרוימוביץ. "אם עובד נוהג לעבוד מ-9:00 עד 17:00 ופתאום רואים כניסות למערכת אחרי 17:30, זה שינוי בדפוס התנהגות שצריך להדליק נורה אדומה. דוגמה נוספת היא אדם שגר בתל-אביב ועושים לוג אין למחשב שלו שלוש פעמים ביום מאילת. המרדף הזה הוא כמו חתול ועכבר".
דרך נוספת היא לבצע מעת לעת שינויים בחברה כדי להפר את השגרה שמאפשרת לאנשים לבצע הונאות. למשל להחליף בין האנשים שמורשים לבצע העברות כספים.
- זה עלול ליצור מרמור.
"נכון. ויגידו שזה פוגע בעבודה. וצריך ליצור איזון בין הפגיעה בעבודה לניסיון לאבטח את המידע. ככל שהגופים יותר גדולים יש יותר מודעות ונכונות להשקיע באמצעים האלה. הסיכון שבזליגת המידע הוא לא רק כספי, אלא גם תדמיתי".
משה רז, סמנכ"ל בחברת אייטי גרופ, להגנת מידע וסיכול איומי סייבר, אומר שמאז מקרה אתי אלון, בנקים מחייבים את העובדים לצאת לשבועיים רציפין של חופשה מהעבודה כדי לחשוף הונאות אם מתבצעות.
- אז אי אפשר לסמוך על אף אחד?
"אם עובדים בצורה מסודרת לסמוך הוא אחד הפרמטרים, אבל צריך לגבות. בבנק לא יהיו סורגים? את הבנקאים אנחנו מעבירים מבחני נאמנות, אז למה אני צריך שהכסף יהיה בכספת? צריך להבין שמידע של ארגון זה הכסף שלו והוא צריך לשמור עליו כמו על נכס פיזי".
תגובות
{{ comment.number }}.
הגב לתגובה זו
{{ comment.date_parsed }}
{{ comment.num_likes }}
{{ comment.num_dislikes }}
{{ reply.date_parsed }}
{{ reply.num_likes }}
{{ reply.num_dislikes }}
הוספת תגובה
לכתבה זו טרם התפרסמו תגובות