מוכרחים לדבר על "האויב שבפנים" - עובדים הגורמים נזק לארגון שלהם מבפנים
מאת
חיים הלפרן, 16.6.15, 19:10
ג'רום קרווייה, ניק ליסון, ברדלי אדוארד מנינג ואדוארד סנודן הסבו נזק של מיליארדי דולרים לארגוניהם. עובדים גורמים נזקים לארגון עקב היעדר הגנה מספקת על המידע הארגוני. מה יש לעשות כדי למנוע תרחיש כזה? - למנוע ניצול לרעה של הרשאות.
ייתכן והשמות
ג'רום קרווייה (
Jerome Kerviel) ו
ניק ליסון (
Nick Leeson) ישמעו לכם מוכרים. יחדיו, הם עלו לחברות הפיננסים בהן עבדו סכום עתק של 8.1 מיליארד דולרים.
ניק ליסון גרם לפשיטת הרגל של בנק ההשקעות האנגלי
,Baring’s שפעל בהצלחה יותר מ-200 שנים.
Societe Generale הצרפתית שבה עבד
קרווייה, לעומת זאת, הצליחה לשרוד למרות הנזק העצום, שגרם לה העובד הסורר. גם
קרווייה וגם
ליסון הורשעו במשפט ויסיימו את הקריירה שלהם מאחורי הסורגים.
ברדלי אדוארד מנינג היה אנליסט מודיעין בעירק עם גישה למסדי נתונים מסווגים. הוא העביר לידי וויקיליקס סרטוני וידאו של הפצצות הצבא האמריקאי בעיראק ואפגניסטן, כרבע מיליון תכתובות דיפלומטיות, וכחצי מיליון דו"חות צבאיים מסווגים. גם
מנינג הורשע ונשלח ל-35 שנים בכלא.
אדוארד סנודן היה עובד קבלן בסוכנות לבטחון לאומי
(NSA). הוא בחר בקפידה קומץ עיתונאים והעביר להם מידע מסווג אודות תוכניות המעקב הגלובליות, שניהלה הסוכנות, בשיתוף פעולה גופים מסחריים וממשלות באירופה.
סנודן עדיין נמצא בגלות ברוסיה ומחפש בימים אלה אחר מקלט חלופי.
ארבעה אנשים בלבד הסבו נזק מצטבר של מיליארדי דולרים וגרמו לדליפת אינספור סודות ממשל. קשה להשלים עם הקלות הבלתי נסבלת, שבה פעלו הארבעה.
מנינג בסך הכל צרב על דיסק מידע מודיעיני רגיש של צבא ארה"ב והעתיק אותו למחשבו האישי. אם היתה מערכת לניהול ומעקב אחר גישה לנתונים, אזי מנהלי המערכת וההנהלה היו מיודעים מיידית על כך, שמידע כזה מועתק מהרשת.
קרווייה ו
ליסון זרעו הרס בשווי מיליארדים רק בגלל רשלנות בעמידה בסטנדרטי אבטחה בתוך הארגונים שלהם. לשניהם היתה הרשאה לבצע מסחר ולאשרו בכוחות עצמם, ללא שום מעקב ואכיפה של
Segregation of Duties (SoD) – מנגנון המחייב מעורבות של אדם נוסף לאישור פעולה כלשהי.
אדוארד סנודן היה עובד קבלן של ה-
NSA ולכן היה יכול לגשת למידע, שלא היה אמון עליו כלל, ועוד מבלי שאיש ידע מכך. כל זה התאפשר, אם כן, עקב ניהול לקוי של הגישה לנתונים מתוך הארגון.
יש להניח, שפרצות בסדר גודל כזה אינן מתרחשות בארגונך, אך הן בכל זאת קורות. לפי
הדו"ח האחרון של וריזון, פרצות אבטחת מידע, שמתבצעות מתוך הארגונים, מתגברות בקצב קבוע. אותו דו"ח קובע, ש-88% מהפרצות, שמתבצעות מתוך הארגון, נובעות מ
ניצול לרעה של הרשאות. כלומר, מתן גישה בלתי הולם, שלא לצורך, או על בסיס הרשאות היסטוריות, שאינן רלוונטיות יותר.
לא לכל עובד אמורה להיות הרשאה לגשת לכל פיסת מידע בארגון. אולם, ללא כלים לניהול הרשאות ואכיפת הגישה למידע קשה לדעת מי עושה מה ומתי, מהיכן וכיצד, וחשוב מכל – האם הוא אמור היה לעשות כן מלכתחילה.
חברות מכל גודל ומגזר צריכות להבין למי מהעובדים אמורה להיות גישה, לאיזה סוגי מידע, באילו אופנים וכלים ובאילו פרמטרים של טווח שעות, מחלקה או מיקום גיאוגרפי. ארגונים מוכרחים לקבוע איזה מידע יוגדר כרגיש, לבחון ולאשר כל בקשה להרשאת גישה, לנטר בזמן אמת מי ניגש למידע ולאתר גישות לא מאושרות. לשם כך צריך לעקוב בזמן אמת אחר דפוסי הגישה של עובדי הארגון למידע, להיות מסוגלים לבצע אבחון לאחר מעשה ולאבחן כל העת אילו כלי אכיפה ופרוטוקולים נעקפו ועל ידי מי.
השלבים להגנה על המידע הארגוני הם ברורים: יש להתחיל בחיסול הרשאות ישנות. זו איננה רק דרך לניקוי הקבצים, אלא שלב קריטי בהפחתת גורמי סיכון פנימיים. ניהול מורחב של ההרשאות בשילוב סיווג הרגישות של המידע מוסיפים רמה נוספת של אבטחה ועמידה בסטנדרטים, בכך, שהם מבטיחים, שרק לעובדים המורשים תהיה גישה ויכולת לשנות מידע רגיש. לאחר מכן יש לוודא, שכל בקשת גישה תואמת לפרמטר אבטחה ולהשיג יכולת להגיב בזמן אמת כאשר אין כך הדבר.
ישנה גם חשיבות רבה לביצוע בחינה תקופתית של הגישה למידע – מעין "בחינת פתע" תקופתית, שתציג מי ניגש לאיזה מידע, ועקב כך תאפשר שינויים ורענונים בהרשאות הגישה לפי הצורך. במקביל, שליטה פנימית חזקה בעזרת
SoD תחזק עוד יותר את המחסומים בפני פריצת מידע מתוך הארגון.
המקרים, שתוארו לעיל מלמדים, שפריצות מידע פנימיות אולי לא מתרחשות באותה תדירות של פריצות מבחוץ, אולם הנזק, שהן מסבות, עלול להביא
לקריסת הארגון כולו, ואפילו לסכן את הביטחון הלאומי. עם זאת, הדרך לפתרון ומניעה היא קלה ופשוטה. כדי לממש מערך הגנה ומניעת פרצות אבטחה מתוך הארגון, יש להביט למציאות בעיניים ובתור התחלה - להודות בקיומו של "האויב שבפנים".
מאת: חיים הלפרן, יוני 2015.
מנהל חטיבת אבטחת מידע וסייבר ב-
One1.
קרדיט צילום תמונה עליונה: חזי רגב, רגב-ארט
.jpg?id=21387156)
