לאן נעלם המידע שלנו?

מי מאיתנו לא חושש שווירוס שיפגע במחשב שלנו? ואולי יפגע בנו דווקא האקר מתוחכם כלשהו, יפרוץ את הרשת ויגנוב לנו מידע?

רובנו כבר מכירים בחשיבות התקנת אמצעי הגנה סטנדרטיים כגון תוכנת אנטי-וירוס עדכנית, FireWall חכם ו- IPS למניעת פריצות לרשת הנדרשים כיום בכל רשת מחשבים של כל עסק ממוצע, וממילא מצויים אצל מרבית הארגונים והחברות במשק.

אך האם אנטי וירוס ו-IPS אכן מספיקים להגנה בפני הסכנות הווירטואליות האמיתיות המרחפות על עתידה הכלכלי של החברה שלנו?

יצרני האנטי-וירוס מפרסמים מעת לעת מספרים עתירי ספרות, המציגים בפנינו את כמות וסוגי הוירוסים החדשים אשר יצאו בשנה החולפת, וכתבות מסעירות לא פחות מספרות לנו על הסגרתו הצפויה של האנלייזר הישראלי מקנדה לארה"ב, בשל האשמתו במרמה וגניבת כסף באמצעות פריצת מערכות מחשוב של חברה פיננסית.

ואולם, כאשר בודקים לעומק את הנתונים האמיתיים, מגלים במהירה כי מספר הוירוסים החדשים לחלוטין שהתגלו בכל שנת 2008 הנו זעום ביותר, וכל השאר היו שינויים מזעריים בוירוסים מוכרים; כמו כן, כל תוכנת אנטי-וירוס ממוצעת מנעה את חדירתם למחשב הביתי או העסקי שלנו.

גם מספר החדירות למחשבי ארגונים ע"י האקרים היה זעום ביותר, והנפגעים העיקריים מהתקפותיהם היו אתרי אינטרנט שונים אשר לא אובטחו כנדרש.

אבל המידע העסקי החסוי ותוכניות עסקיות רגישות של חברות דלפו בכל זאת החוצה למתחרים, כמו גם מידע על לקוחות אסטרטגיים, ומידע הכולל את צנעת הפרט של לקוחות הגיע גם הוא בדרך כלשהי לידיעת הכלל. כיצד זה קורה? הרי החברות השקיעו כסף רב באמצעי אבטחת מידע כמו אנטי וירוס ו-FireWall. אז מדוע, בכל זאת, המידע יוצא מהחברה ?

בכל יום אנו מתבשרים על פיטורי עובדים בחברות השונות. במקרים רבים מדובר דווקא בעובדים בכירים ובעלי ניסיון, המפוטרים לעיתים לטובת גיוס עובדים יקרים פחות.

יש להניח כי לעובדים בכירים אלו קיימת נגישות למידע על לקוחות וספקים, ולעתים גם לתוכניות עסקיות של החברה לדרך ההתמודדות עם המשבר.

מנהלים בכירים אלו, ולעיתים מזומנות גם עובדים מהשורה החוששים שרגע פיטוריהם מתקרב, דואגים לשמור לעצמם עותק מהמידע העסקי של החברה, בתקווה שאילו יגיעו עם מידע כזה למתחרים של החברה, יוכלו להשיג לעצמם מקום עבודה חלופי, ואולי אף לנקום קצת במעביד שפיטר אותם...

את המידע הזה העובדים שומרים לעצמם "בצד" באמצעים טכניים שונים, כגון משלוח המידע בדואר אלקטרוני לכתובת הפרטית, צריבת המידע לתקליטורים, או אחסון ב- disk on key, ואף בזיכרון הקיים בטלפון הסלולארי שלהם. כמובן שגם הדפסת מסמכים והוצאתם מתחומי החברה מתרחשת אף היא לא מעט...

אנשי אבטחת המידע אומרים כבר שנים רבות שרוב עבירות האבטחה נעשות ע"י עובדי החברות, ולא ע"י גורמי חוץ. אמנם קישור רשתות המחשבים לאינטרנט היטה מעט את הכף בשנים האחרונות לטובת אבטחת הרשתות בפני איומים מן האינטרנט – אך דווקא המשבר האחרון, וגלי הפיטורין שמגיעים עימו – מחדדים את העובדה שהאיום הגדול ביותר הוא דווקא מעובדי החברה עצמה.

עד כה התפרסמו מקרים מועטים באופן יחסי של עובדים שגנבו מידע ממעסיקיהם, אבל יועצי אבטחת המידע וחוקרים פרטיים נתקלים במקרים מסוג אלה בתדירות הגבוהה בהרבה מכפי שהם נחשפים במדיה.

בשל רגישות העניין, חברות אינן נוטות לפרסם מקרים של גניבת מידע ע"י עובדים, לרבות כאלו שפוטרו מהחברה, והן בוודאי משתדלות להסתיר כל מקרה של דליפת מידע על לקוחות. החברות מעדיפות "לסגור" את העניינים בשקט, בתוך הבית, אלא שבמקרים רבים אין לחברות הללו כל אפשרות לדעת כי המידע דלף החוצה, או שהן יתקשו לזהות מקרים בהם עובד שפוטר מחק קבצים חשובים מהרשת, או שינה פרטים ברשומות המצויות בבסיס הנתונים.

נושא כאוב שני של מעשים הנעשים ע"י עובדים הינו שינוי ושיבוש מידע ע"י עובדים שקיבלו הודעת פיטורים או מניחים שיקבלו הודעה כזו בקרוב מאוד.

עובד שפוטר יכול להניח כי עד שיתגלו מעשיו – מחיקת קבצים או שינוי רשומות – לא ניתן יהיה להתחקות אחר מעשיו ולגלותם, שכן המידע המקורי שנשמר בקלטות הגיבוי, כבר נדרס מאז כמה פעמים במסגרת סבבי הגיבוי בהם ממחזרים את הקלטות מדי מספר שבועות או חודשים. כלומר, מדובר בסוג של פצצת זמן מתקתקת, שהעובד הפגוע משאיר מאחריו כנקמה קטנה על פיטוריו, וכמעט ללא חשש שהדבר יתגלה או שניתן יהיה להעמידו לדין

לאור כל זאת, יש לראות בעובדים כגורם שמהווה את האיום הגדול ביותר על חברה, בפרט בתקופות משבר ופיטורים, העלולים לגרור:

• הוצאת מידע עסקי רגיש ומידע על לקוחות, והעברתו למתחרים
• מחיקה או שינוי מידע במערכות המחשוב

כמובן שניתן להתמודד גם עם איומים מסוג זה ע"י אמצעים טכנולוגיים שונים, החל מחסימת אפשרות להכנסת Disk On Key למחשבים ברשת, מניעת צריבת תקליטורים, חסימת חיבור נגני MP3 וטלפונים סלולאריים למחשב האישי, הגבלת הגלישה באינטרנט והתקנת מערכות למניעת דלף מידע בדואר האלקטרוני. יחד עם זאת, אלו הם אמצעים טכנולוגיים המצמצמים באופן אקטיבי את האפשרות להוציא מידע מסווג מתוך החברה לגורמים מבחוץ, אך בשל מגבלותיהם השונות הם אינם מונעים לחלוטין את האפשרות הזו.

פתרון "האח הגדול"

המגזר הפיננסי בארץ פועל לפי הנחיות ותקני אבטחת מידע של בנק ישראל ושל המפקח על הביטוח, האוכפות על הבנקים וחברות הביטוח לאבטח את הרשתות שלהן ולמגן אותן בפני דלף מידע, ואכן חברות אלו מיישמות אמצעי אבטחה רבים. יחד עם זאת, ניתן ללמוד מהחברות הפיננסיות הגדולות גם דבר נוסף הנדרש ע"י הרגולטור: מרבית החברות מיישמות נהלים ואמצעים שונים המנטרים את פעילות העובדים, ויוצרים רישום של פעולות המשתמשים, אם פעולות ברשת, או רישום של פעולות ושאילתות בבסיסי הנתונים של החברות.

פעולות רישום אלו, הנשמרות לאורך שנים רבות, יוצרים גם את אפקט ההרתעה החשוב, שהרי העובדים מודעים לכך שפעולותיהם מוקלטות, וכי ניתן לשחזר ולאתר ביצוע פעולות חריגות שלהם. כמו כן, רישום כזה, אם מבוצע ונשמר באופן מאובטח – יכול גם לשמש כראייה כנגד העובד בבית משפט – דבר המעצים את אפקט ההרתעה. חשוב לזכור, כי במידה והארגון בוחר ליישם את פעולות הרישום הללו, עליו לדווח על כך לעובדים, בהתאם לחוקים ותקנות בתחום הגנת הפרטיות.

נציין, כי המשבר הפיננסי הנוכחי לא יצר איומי אבטחת מידע חדשים, אלא הוא חוזר ומדגיש את נוכחותו של האיום האמיתי והמיידי כנגד עתידה הכלכלי של כל חברה: המשאב האנושי, נכס הצאן והברזל של כל חברה, הוא גם האיום הפוטנציאלי הגדול ביותר כנגדה.

כמובן שאין צורך להיסחף ולהשקיע כעת סכומים גדולים בהתקנת אמצעי אבטחה יקרים, אלא לשקול לגופם את הסיכונים האמיתיים לעתידה של החברה, ולהתגונן כנגד איומים אלו, ואף לנקוט פעולות פשוטות ביותר שעלותן לחברה הנה מזערית, דוגמת גיבוי מידע של עובד בטרם שמודיעים לו על פיטוריו, שמירת קלטות הגיבוי הללו בנפרד ולאורך זמן וכיו"ב.

מנהלים שימשיכו להסתמך על התקנות אנטי וירוס למיניהם, ויניחו כי בצורה כזו הם מוגנים – עלולים לשלם מחיר כבד. כל מנהל צריך לשקול - מה באמת מסכן את החברה שלו בימי משבר כלכלי ובהתאם, לפעול כנדרש על מנת להגן על החברה ועל נכסי המידע שלה, וזאת כמובן לפני שהחברה תגיע לכותרות בגין נזקי אירועים ישירים או עקיפים שאירעו בשל דליפת המידע או פגיעה בו.

*רו"ח סיגל שפיץ טולדנו הינה מנכ"ל חברת דיס ביקורת ואבטחת מידע, ונפתלי זיגרט, CISSP הינו יועץ אבטחת מידע בחברה.

*חברת דיס ביקורת ואבטחת מידע, מתמחה במתן שירותים מקצועיים ע"י מומחים בתחומי ביקורת פנימית, ניהול סיכונים ואבטחת מידע. החברה אשר הוקמה בשנת 2006 משלבת ידע וניסיון עשיר - הן בפן התהליכי והן בפן הטכנולוגי, ומסייעת לארגונים לשפר ולייעל תהליכים, לחסוך בהוצאות ולמקסם את רמת האבטחה בארגון. על לקוחות החברה בארץ ובעולם נמנים גופים פיננסיים, רשויות מקומיות, חברות ממשלתיות, חברות טלקום ועוד.