מוכרחים לדבר על "האויב שבפנים": עובדים גורמים נזק לארגון שלהם מבפנים

דף הבית >> חדשות אבטחה ועולם הסייבר >> מוכרחים לדבר על "האויב שבפנים": עובדים גורמים נזק לארגון שלהם מבפנים
מוכרחים לדבר על "האויב שבפנים" - עובדים הגורמים נזק לארגון שלהם מבפנים
מאת חיים הלפרן, 16.6.15, 19:10חיים הלפרן

ג'רום קרווייה, ניק ליסון, ברדלי אדוארד מנינג ואדוארד סנודן הסבו נזק של מיליארדי דולרים לארגוניהם. עובדים גורמים נזקים לארגון עקב היעדר הגנה מספקת על המידע הארגוני. מה יש לעשות כדי למנוע תרחיש כזה? - למנוע ניצול לרעה של הרשאות.

ייתכן והשמות ג'רום קרווייה (Jerome Kerviel) וניק ליסון (Nick Leeson) ישמעו לכם מוכרים. יחדיו, הם עלו לחברות הפיננסים בהן עבדו סכום עתק של 8.1 מיליארד דולרים. ניק ליסון גרם לפשיטת הרגל של בנק ההשקעות האנגלי ,Baring’s שפעל בהצלחה יותר מ-200 שנים. Societe Generale הצרפתית שבה עבד קרווייה, לעומת זאת, הצליחה לשרוד למרות הנזק העצום, שגרם לה העובד הסורר. גם קרווייה וגם ליסון הורשעו במשפט ויסיימו את הקריירה שלהם מאחורי הסורגים.

ברדלי אדוארד מנינג היה אנליסט מודיעין בעירק עם גישה למסדי נתונים מסווגים. הוא העביר לידי וויקיליקס סרטוני וידאו של הפצצות הצבא האמריקאי בעיראק ואפגניסטן, כרבע מיליון תכתובות דיפלומטיות, וכחצי מיליון דו"חות צבאיים מסווגים. גם מנינג הורשע ונשלח ל-35 שנים בכלא.

אדוארד סנודן היה עובד קבלן בסוכנות לבטחון לאומי (NSA). הוא בחר בקפידה קומץ עיתונאים והעביר להם מידע מסווג אודות תוכניות המעקב הגלובליות, שניהלה הסוכנות, בשיתוף פעולה גופים מסחריים וממשלות באירופה. סנודן עדיין נמצא בגלות ברוסיה ומחפש בימים אלה אחר מקלט חלופי.

ארבעה אנשים בלבד הסבו נזק מצטבר של מיליארדי דולרים וגרמו לדליפת אינספור סודות ממשל. קשה להשלים עם הקלות הבלתי נסבלת, שבה פעלו הארבעה. מנינג בסך הכל צרב על דיסק מידע מודיעיני רגיש של צבא ארה"ב והעתיק אותו למחשבו האישי. אם היתה מערכת לניהול ומעקב אחר גישה לנתונים, אזי מנהלי המערכת וההנהלה היו מיודעים מיידית על כך, שמידע כזה מועתק מהרשת.

קרווייה וליסון זרעו הרס בשווי מיליארדים רק בגלל רשלנות בעמידה בסטנדרטי אבטחה בתוך הארגונים שלהם. לשניהם היתה הרשאה לבצע מסחר ולאשרו בכוחות עצמם, ללא שום מעקב ואכיפה של Segregation of Duties (SoD) – מנגנון המחייב מעורבות של אדם נוסף לאישור פעולה כלשהי.

אדוארד סנודן היה עובד קבלן של ה-NSA ולכן היה יכול לגשת למידע, שלא היה אמון עליו כלל, ועוד מבלי שאיש ידע מכך. כל זה התאפשר, אם כן, עקב ניהול לקוי של הגישה לנתונים מתוך הארגון.

יש להניח, שפרצות בסדר גודל כזה אינן מתרחשות בארגונך, אך הן בכל זאת קורות. לפי הדו"ח האחרון של וריזון, פרצות אבטחת מידע, שמתבצעות מתוך הארגונים, מתגברות בקצב קבוע. אותו דו"ח קובע, ש-88% מהפרצות, שמתבצעות מתוך הארגון, נובעות מניצול לרעה של הרשאות. כלומר, מתן גישה בלתי הולם, שלא לצורך, או על בסיס הרשאות היסטוריות, שאינן רלוונטיות יותר.

לא לכל עובד אמורה להיות הרשאה לגשת לכל פיסת מידע בארגון. אולם, ללא כלים לניהול הרשאות ואכיפת הגישה למידע קשה לדעת מי עושה מה ומתי, מהיכן וכיצד, וחשוב מכל – האם הוא אמור היה לעשות כן מלכתחילה.

חברות מכל גודל ומגזר צריכות להבין למי מהעובדים אמורה להיות גישה, לאיזה סוגי מידע, באילו אופנים וכלים ובאילו פרמטרים של טווח שעות, מחלקה או מיקום גיאוגרפי. ארגונים מוכרחים לקבוע איזה מידע יוגדר כרגיש, לבחון ולאשר כל בקשה להרשאת גישה, לנטר בזמן אמת מי ניגש למידע ולאתר גישות לא מאושרות. לשם כך צריך לעקוב בזמן אמת אחר דפוסי הגישה של עובדי הארגון למידע, להיות מסוגלים לבצע אבחון לאחר מעשה ולאבחן כל העת אילו כלי אכיפה ופרוטוקולים נעקפו ועל ידי מי.

השלבים להגנה על המידע הארגוני הם ברורים: יש להתחיל בחיסול הרשאות ישנות. זו איננה רק דרך לניקוי הקבצים, אלא שלב קריטי בהפחתת גורמי סיכון פנימיים. ניהול מורחב של ההרשאות בשילוב סיווג הרגישות של המידע מוסיפים רמה נוספת של אבטחה ועמידה בסטנדרטים, בכך, שהם מבטיחים, שרק לעובדים המורשים תהיה גישה ויכולת לשנות מידע רגיש. לאחר מכן יש לוודא, שכל בקשת גישה תואמת לפרמטר אבטחה ולהשיג יכולת להגיב בזמן אמת כאשר אין כך הדבר.

ישנה גם חשיבות רבה לביצוע בחינה תקופתית של הגישה למידע – מעין "בחינת פתע" תקופתית, שתציג מי ניגש לאיזה מידע, ועקב כך תאפשר שינויים ורענונים בהרשאות הגישה לפי הצורך. במקביל, שליטה פנימית חזקה בעזרת SoD תחזק עוד יותר את המחסומים בפני פריצת מידע מתוך הארגון.

המקרים, שתוארו לעיל מלמדים, שפריצות מידע פנימיות אולי לא מתרחשות באותה תדירות של פריצות מבחוץ, אולם הנזק, שהן מסבות, עלול להביא לקריסת הארגון כולו, ואפילו לסכן את הביטחון הלאומי. עם זאת, הדרך לפתרון ומניעה היא קלה ופשוטה. כדי לממש מערך הגנה ומניעת פרצות אבטחה מתוך הארגון, יש להביט למציאות בעיניים ובתור התחלה - להודות בקיומו של "האויב שבפנים".

מאת: חיים הלפרן, יוני 2015.
מנהל חטיבת אבטחת מידע וסייבר ב-One1.
 
קרדיט צילום תמונה עליונה: חזי רגב, רגב-ארט
 
גנבה



 
 
Bookmark and Share


 


לוח מודעות
יזמים? יש לכם רעיון מבריק? נפתחה ההרשמה למחזור הראשון של TLV Generator. ההרשמה - כאן

חנות המוצרים המובילה מסין -Chinabuy בעברית ובמחירי מבצע מטורפים

ניוזלטר שלישי של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר שני של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר ראשון של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

מחפש מחקרים? מאות מחקרים עדכניים מהשנה האחרונה מצויים כאן

מחפש תוכנות חופשיות? תוכל למצוא משחקים, תוכנות לפרטיים ותוכנות לעסקים, תוכנות לצילום ותמונות, הכל בחינם.


מעוניין לבנות ולתפעל אתר אישי או עסקי מקצועי? לחץ כאן.

לוח אירועים וכנסים של עולם ההיי-טק - כאן.
 




לוח האירועים המלא לגולשים מצוי כאן.

24-25/1/17 - יריד חדשנות אורבנית של השלטון המקומי

15-16.2.17 - GLOBAL INVESTOR SUMMIT OurCrowd    

6-7.3.17 - BrainTech 2017 

22.3.17 - GEMIC - TLV

29/3/17 - Telco2017 - תערוכת מוקדים טלפוניים  

25-29/6/17 - Cyber Week 2017  

 

הכי ניצפים 

דירוג הסמאטרפונים הטובים ביותר בעולם לדצמבר 2016 עפ"י Business Insider - כאן

מה כן מקדם אתרים ועסקים באינטרנט? לא העלוקות שחיות סביב גוגל ופייסבוק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק א': בזק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק ג' - ההפסד הצרכני - כאן

כמה מפסידים בביצועים של הפס הרחב במעבר ל"שוק הסיטונאי"? - הרבה - כאן

מה שלא מספרים לכם: כיצד בזק תמרנה את מחירי השוק הסיטונאי עד 2018 - כאן

למה מבלבלים את המוח לציבור בנושא המכונה "שוק סיטונאי"? - כאן

למה בכלל צריך להחליף / לרכוש נתב במעבר ל"שוק סיטונאי"? - כאן

התרגיל לחיסול "השוק הסיטונאי" כבר כמעט מוכן, קוראים לו Vectoring - כאן

כל מי שכביכול "נטש את בזק" ב"שוק סיטונאי" יחזור לבזק תוך שנה-שנתיים - כאן

הפלופ הבא של "השוק הסיטונאי" שירות SLU (שבלעדיו הנוטשים יחזרו לבזק) - כאן

ביבי נתניהו הקשיב לקריאת Telecom News: פיטר לאלתר את אבי ברגר - כאן

חי בסרט: סמנכ"ל הכלכלה במש' התקשורת בטוח שהתכנית שחיבר תצא לפועל - כאן

מכרז התדרים ל-LTE הסתיים (בחלוקת תדרים) בדיוק כמו שהחל: בפלופ - כאן

חשיפת המספרים מאחורי משבר האנטנות: בשנה האחרונה פורקו 721 אנטנות - כאן

איך אני יודע כמה מגהרץ יש בחיבור LTE? מי ספק הסלולר המהיר בישראל? - כאן

חשיפת המחדל המדהים המוסתר מהציבור של הרס רשתות הסלולר - כאן

חשיפת מה שאילנה דיין לא פרסמה ב"ערוץ 2" על תעלולי השר משה כחלון - כאן

20 המובילים ומקבלי הצל"ש בשנת 2015 בעולם התקשורת וההייטק הישראלי - כאן

האם נטפליקס זקוקה לרישיון כדי לפעול, לשדר ולמכור שירותים בישראל? - כאן

איך רבע מיליון לקוחות נפלו בפח ועברו להסדר המכונה בטעות "שוק סיטונאי" - כאן

ההגנה המושלמת על הגלישה ניידת והנייחת ועל הפרטיות מפני כל תוקף - כאן

מבחן דרך: חיבור VPN - האם זו ההגנה המושלמת על הגלישה ועל הפרטיות? - כאן

איגוד האינטרנט התקין מערכת המסכנת את חברות האינטרנט וגולשי האינטרנט - כאן

TLV Generator נולד - התכנית שהופכת כל רעיון למוצר (MVP) תוך 120 יום - כאן

20 המובילים ומקבלי הצל"ש בשנת 2016 בעולם התקשורת וההייטק הישראלי - כאן
 
זרקור חברות
 
MediaVenus
 
TLV-Generator
 
 
Telecom Experts
 
NordVPN
 
עדן אימון עסקי
 
כמה זה? השוואת מחירים
 
TLV-Generator
 
ChinaBuy
 
טלי וייס
 
 
 
Slideshare Linkedin Twitter
Youtube Instagram Facebook
Google+ live Zappix
Bitly Vimeo Pinterest
אנדרואידאנדרואיד-ברקוד אפל ברקודאפל

 
 מפת הביטקוין   מהירות גלישה Your IP שירותנט
לייבסיטי - בניית אתרים