המחשב שניסו "להרוג" – רק כי ידע יותר מדי

כשארגונים חושבים על דליפת מידע, הם נוטים לדמיין מתקפת סייבר מתוחכמת שמגיעה מבחוץ, אך בפועל, אחד ממקרי דליפת או אובדן המידע החמורים שנחשפו לאחרונה לא התחיל בפריצה, אלא בגישה שנותרה פתוחה יותר מדי זמן. עובד לשעבר בחברת קמעונאות קוריאנית הצליח להיכנס למערכות הארגון גם לאחר שסיים את עבודתו, לאסוף מידע רגיש על מיליוני לקוחות ורק אז להבחין שהמעקב אחריו מתהדק.

בשלב הזה הוא כבר לא ניסה לפרוץ מערכות או להרחיב את הגישה שלו, אלא עשה מה שניתן בניסיון להעלים עקבות – קבצים נמחקו, המחשב ניזוק פיזית, ולבסוף אותו מחשב הושלך לנהר, וכל זאת בניסיון למנוע גילוי של מה שכבר התרחש.

המקרה ממחיש מציאות חדשה שבה ארגונים מגלים באיחור שהמידע שלהם (ושל הלקוחות שלהם) ממשיך להיות נגיש, מועתק או נמחק, גם כשנדמה להם שההרשאות סגורות והעובד עזב את הארגון בצורה מלאה

החקירה הפורנזית שבאה לאחר מכן הצליחה לשחזר את המידע, אך גם חשפה אמת מטרידה בהרבה, שכן הנזק לא נגרם בגלל תחכום טכנולוגי יוצא דופן, אלא בגלל חוסר שליטה בסיסי על מי ניגש למידע, מאיפה ומתי.

אומנם המקרה הזה חריג בעוצמתו, אך לא במהותו – הוא ממחיש מציאות חדשה שבה ארגונים מגלים באיחור שהמידע שלהם (ושל הלקוחות שלהם) ממשיך להיות נגיש, מועתק או נמחק, גם כשנדמה להם שההרשאות סגורות והעובד עזב את הארגון בצורה מלאה.

האיום האמיתי לא נראה כמו מתקפת סייבר

בשנים האחרונות הושקעו משאבים רבים בהגנה מפני איומים חיצוניים, כשארגונים חיזקו רשתות, הקשיחו גישה והטמיעו מערכות אבטחה מתקדמות. אלא שבפועל, רוב אירועי דליפת ואובדן מידע אינם תוצאה של מתקפה מתוחכמת, אלא רצף של פעולות יומיומיות שמתרחשות בתוך הארגון עצמו.

ברוב המקרים אין כוונה זדונית. הרי כולנו שמענו על עובדים ששולחים קובץ רגיש בטעות, מעלים מסמכים לאחסון ענן פרטי, משתמשים בכלי SaaS או בכלי בינה מלאכותית כדי לעבוד מהר יותר, או פשוט שוכחים לבטל הרשאות לאחר שינוי תפקיד או עזיבה. גם אובדן של מחשב נייד או טלפון, או מחיקה שגויה של נתונים, עלולים להפוך במהירות לאירוע אבטחתי עם השלכות כבדות.

הגורם המשותף לכל התרחישים הללו הוא חוסר נראות. מנמ"רים ומנהלי IT בארגונים רבים אינם יודעים מי ניגש למידע רגיש, אילו קבצים מועתקים או נמחקים, ומה קורה לנתונים אחרי שהם יוצאים מהמחשב הארגוני. בעידן של עבודה מרחוק, הכולל מכשירים ניידים ושימוש גובר בכלים דיגיטליים חיצוניים, המידע זורם מהר יותר מהיכולת לפקח עליו.

למציאות הזו נוסף בשנים האחרונות גם גורם סיכון חדש: שימוש לא מפוקח בכלי בינה מלאכותית וצ'טבוטים – עובדים מזינים מסמכים, קודים, מידע על לקוחות ומידע רגיש פנימי לכלי AI חיצוניים, לעיתים בתום לב מוחלט. ברגע שהמידע הוזן, הוא יצא מגבולות הארגון, ולא תמיד ברור היכן הוא נשמר, מי נחשף אליו והאם ניתן למחוק אותו. זו אינה דליפה קלאסית, אלא אובדן שליטה שקט ומתמשך.

תיקון 13 והאכיפה משנים את כללי המשחק

על הרקע הזה נכנס לתוקף תיקון 13 לחוק הגנת הפרטיות, שמחייב ארגונים ובעלי אתרים לדעת בפועל מה קורה עם המידע האישי שהם מחזיקים. לא עוד הצהרות כלליות או מסמכים תיאורטיים, אלא דרישה לשליטה אמיתית עם גב של חוק ברור: מי ניגש למידע, היכן הוא נשמר, לאן הוא מועבר ואילו מנגנוני בקרה קיימים.

ההבדל המרכזי הוא שהפעם מדובר גם באכיפה. רשויות הפיקוח החלו להטיל קנסות על ארגונים ואתרים שלא עומדים בדרישות, גם ללא אירוע פריצה דרמטי או הדמיית תקיפות וירטואליות. חוסר תיעוד, היעדר בקרה או שליטה חלקית בלבד על מידע אישי כבר נחשבים להפרה, עם השלכות כלכליות משמעותיות ופגיעה קשה במוניטין העסקי.

כאן גם מתגלה הפער: החוק מניח שהארגון יודע מה קורה עם המידע שלו, בעוד שבפועל רבים אינם מודעים לזרימות המידע האמיתיות. בלי כלים טכנולוגיים מתאימים, קשה מאוד לעמוד בדרישות הרגולציה, במיוחד כשהמידע עובר דרך מכשירים מרוחקים, שירותים חיצוניים וכלי AI. ולכן, המקרה של המחשב שנזרק לנהר ממחיש עד כמה גילוי מאוחר עלול להיות יקר, כי גם אם המידע שוחזר והראיות נאספו, הנזק כבר נגרם. לכן האתגר האמיתי אינו תגובה לאירוע, אלא מניעה מראש.

פה נכנסים לתמונה פתרונות שממוקדים במידע עצמו: מערכות שמספקות נראות מלאה על פעילות משתמשים, מתייגות מידע לפי רגישות, מזהות פעולות חריגות ומתריעות או חוסמות בזמן אמת, גם כאשר העובד כבר לא בארגון, גם כשהמכשיר מחוץ לרשת, וגם מול שירותים וכלי AI חיצוניים. פתרונות מסוג זה, בהם שירות ה-DLP מבית סייפטיקה (Safetica), מאפשרים לארגונים לצמצם סיכונים עוד לפני שהם הופכים לכותרת או לקנס.

דליפת ואובדן מידע אינם בעיות תיאורטיות ואינם תרחישים עתידיים. הם מתרחשים כאן ועכשיו, כתוצאה משילוב של טעויות אנוש, טכנולוגיה מתקדמת וחוסר שליטה יומיומי. בעידן של אכיפה רגולטורית, עבודה מבוזרת ובינה מלאכותית, שליטה במידע אינה מותרות אלא תנאי בסיסי לפעילות תקינה. ארגונים שלא ידעו לענות על השאלה הפשוטה "מי עושה מה עם המידע שלנו" עלולים לגלות את התשובה מאוחר מדי – גם אם האירוע כבר הסתיים והנזק כבר נגרם.

הכותב הוא מנהל מוצר סייפטיקה בקומסקיור