השאלה שכל ארגון צריך לשאול את עצמו

אחד הסיפורים החמים בכותרות באחרונה עסק בניסיון הסחיטה בלאומי קארד – מקרה שזכה לשלל אזכורים, ביניהם "איום הסייבר הגדול ביותר שהיה בישראל". סיפור זה מצטרף לשורה של פרסומים עולמיים בנושא, החל מהעובד לשעבר ב-CIA שחשף מידע מודיעיני רגיש ב-ויקיליקס (Wikileaks) וכלה בעובד אינטל (Intel) שגנב מסמכים בשווי מאות מיליוני דולרים.

האירועים הללו, המתרחשים בחברות גדולות ומכובדות, שללא ספק משקיעות משאבים רבים באבטחת המידע, צריכים לעורר שאלות לא רק אצל הלקוחות שלהם, אלא אצל כל נושא משרה בחברה שיש בה מידע רגיש, ובארגונים בכלל (ארחיב על כך בהמשך). בראש ובראשונה צריכות להישאל השאלות: האם יש לחברה הגנה מספקת מפני תרחישים כאלה? האם עובדים יכולים לקחת מידע מהחברה מבלי שהדבר יימנע או לפחות יתגלה מבעוד מועד?

האם מתקפת סייבר היא רק מתקפה חיצונית?

טרור הסייבר זכה לחשיפה משמעותית בישראל, בעיקר בשל איומים חוזרים ונשנים מצד האקרים כמו ההאקר הסעודי המפורסם, שמאיימים חדשות לבקרים לפגוע באתרים ישראליים. חברות רבות משתמשות באמצעי מיגון מהטובים ביותר: פיירוולים, הפרדת שרתים, פרוטוקולים מאובטחים, סקרי אבטחת מידע ובחינה תקופתית של איומים חיצוניים.

עם זאת, האם ניתן דגש מספיק חזק מצד החברות לאיומי הסייבר הפנימיים, למשל מצד עובדי החברה? האם אותה הצהרה שהעובדים חותמים עליה, ובה הם מתחייבים לשמור על סודיות המידע, היא הגנה מספקת? כנראה שלא. כבר יותר מעשור טוענים מומחי אבטחת מידע כי הסיכון הגדול ביותר לחברות בתחום זה הוא הסיכון הפנימי. המקרים האחרונים שפורסמו בתקשורת מוכיחים שוב שעובד בעל יצר נקמה נגד מעבידיו, גם אם הוא זוטר יחסית, יכול להוות סכנה משמעותית – בין אם הוא פועל על דעת עצמו ובין אם הוא נעזר בגורם חיצוני שמעסיק אותו.

האם יש כלים למניעת או גילוי מתקפת סייבר פנימית?

בנקים וחברות אשראי באירופה ובעולם המערבי פועלים בסטנדרטים מאוד גבוהים בכדי למנוע איומי סייבר פנימיים. הכלים המקובלים כיום בשוק מחולקים לשתי קטגוריות עיקריות: כלים מניעתיים וכלים מגלים.

הכלים המניעתיים – פשוטם כמשמעם, הם מונעים נגישות למידע רגיש או העתקתו על ידי כך שהם מונעים את האפשרות להשתמש בהתקני העברת מידע, לבצע פעולות העתקת מידע ומנהלים הרשאות. בישראל, הרגולציה בנושא זה המוטלת על מערכת הבנקאות מתקדמת יחסית, ומערכות המידע של הבנקים מנותקות לחלוטין מהעולם. יחד עם זאת, בחברות אחרות, שאינן כפופות לרגולציה, לא קיימת בהכרח הפרדה כזו ולא תמיד נאכפים כלים מניעתיים.

הכלים המגלים – אלה הם כלי ניטור שמזהים פעילות חריגה, בין אם בהעתקת קבצים שסומנו רגישים ובין אם פעילות חריגה בבסיסי הנתונים. יתרה מכך, יש בשוק תוכנות ניטור רבות שיכולות "להתיישב" על בסיסי נתונים רגישים, כגון ספר ראשי של פקודות יומן, מאגרי מידע רגישים של לקוחות וכדומה, לסמן כל פעילות חריגה ולדווח עליה להנהלה בזמן אמת. למשל: עובד שמבצע פעולה שאינה במסגרת תפקידו, עובד שמבצע פעולה ולאחר מכן מבטל אותה ופעולות שמבוצעות בתאריכים חריגים כגון ימי שבתון או חגים.

האם רק בנקים או חברות אשראי צריכים לדאוג?

כאמור, התשובה היא לא. המקרה בלאומי קארד צריך להדאיג לא רק את הנהלות חברות האשראי או הבנקים בישראל, אלא למעשה כל חברה שמחזיקה מידע רגיש, בין אם הוא על לקוחותיה, ספקיה, עובדיה או על החברה עצמה. מידע רגיש יכול להיות מספרי כרטיסי אשראי, אבל גם מידע רפואי שהחברה מחזיקה על לקוחותיה, מסמכים משפטיים או כל קובץ אישי. כמו כן, חשוב לציין שהמקרה חושף את הנהלות החברות לתביעות נזיקין ואחרות מצד גורמים שעשויים להיפגע מדליפת מידע רגיש מסוג זה.

הכותב הוא מנהל בכיר בפירמת PwC Israel, שנמצא ברילוקיישן ב-PwC London, והינו חלק מצוות המתמחה בביקורת מערכות מידע, סייבר וסיכונים רגולטוריים עבור בנקים וחברות אשראי.