דורון סיון, MadSec: "לא התגלו עקבות של מידע שדלף לרשת או ל-Darknet"

"בבדיקות שבוצעו בחדר הסייבר של MadSec לא התגלו עקבות של מידע שזלג לאינטרנט או ל-Darknet", כך אמר דורון סיון, מנכ״ל החברה, בראיון לאנשים ומחשבים. לדבריו, "לקוחות לאומי קארד יכולים להתנחם בעובדה הזו".

סיון אמר את הדברים בעקבות הפרשה שבמסגרתה נעצרו שמונה בני אדם – שבעה עובדים לשעבר של לאומי קארד ואדם נוסף שחשוד שסייע להם. על פי החשד, אחד העובדים העתיק קבצים ממחשבי החברה, שהכילו מידע על לקוחות, וחלק מהחשודים ניסו לסחוט באמצעות זאת מחברת האשראי מיליוני שקלים. לפי ההערכות, נאספו פרטי מידע על כשני מיליון לקוחות.

לדברי סיון, "חדר הסייבר של MadSec סורק את כל הרשתות הפעילות ב-Darknet ויתריע בזמן אמת מפני חשיפות נוספות הקשורות בפרשה".

הוא ציין כי "לצערנו, לא ניתן למנוע פשיעה ב-100%, אולם מערכות ההגנה והניטור אמורות היו להתריע על זליגת המידע מהארגון בזמן האירוע".

"הגורם האנושי – החוליה החלשה במערך האבטחה"

"גניבת המידע וניסיון הסחיטה בלאומי קארד מלמדים שגם בארגונים שהקימו שכבות הגנה רבות מסביב להם ויישמו את הטכנולוגיות המתקדמות ביותר – הגורם האנושי נשאר החוליה החלשה במערך האבטחה של הארגון", כך אמר צביקה פרידלנדר, מנהל חטיבת אבטחת מידע בבינת תקשורת ומחשבים.

הוא ציין בראיון לאנשים ומחשבים כי "הגורם האנושי יכול להיות עובד שמזיק לארגון בכוונה תחילה, כמו במקרה שבו מדובר היום. אלא שבאותה מידה יכול להיות מקרה בו עובד שנפל קורבן להתקפה חיצונית פותה לבצע פעולה מסוימת, כמו פתיחת לינק שמכיל וירוס או נוזקה. אלה מאפשרים להאקר לבצע חדירה לתוך הארגון תחת זהותו של העובד וללא ידיעתו".

"ארגונים מבצעים השקעות רחבות ביישום של מערכות טכנולוגיות להגנה על ה-IT של הארגון מפני חדירה חיצונית", אמר פרידלנדר. "אולם, עדיין עליהם לשפר בתחום של אימון וחינוך העובדים בכללי 'עשה' ו-'אל תעשה'. הכללים האלה יכולים למנוע חדירה חיצונית לארגון", אמר פרידלנדר. הוא הוסיף כי "ארגונים נדרשים בנוסף לקחת בחשבון את הגורם האנושי, בהיבט של בניית מערכת הרשאות חזקה. ביכולתה ליצור חומות פנימיות בתוך הארגון ולמנוע מעובדים להיכנס למערכות או למידע רגיש, שאינו נחוץ להם כדי לבצע את תפקידם".

צביקה פרידלנדר, ראש חטיבת אבטחת מידע בבינת תקשורת ומחשבים

פרידלנדר הוסיף כי "סביר להניח שהעובדים החשודים שביצעו את גניבת המידע הכירו את מערכי ההגנה של הארגון ואת האמצעים להגנה ולבקרה שהוא נוקט בהם. כך, לדוגמה, ארגונים יודעים לחסום הוצאת מידע דרך הרשת של הארגון באמצעות מערכות למניעת זליגת מידע (DLP) ומערכות אלה יודעות לתחקר אחורה גלישה של עובדים ברשת של הארגון. ארגונים יודעים בנוסף ליישם חסימה או בקרה על הוצאת מידע מהארגון באמצעות מדיה נתיקה – דיסק און קי, דיסק חיצוני ועוד. לכן, סביר שהעובדים הכירו את המערכות בשימוש בארגון ומצאו שיטה להוצאת המידע הקריטי בדרך שתבצע מעקף למערכות הקיימות".

"מכאן נולד הצורך בטכנולוגיה מסוג נוסף, ששמה במרכז את ההגנה על המידע עצמו, ולא את מניעת הפריצה אליו או מניעת הוצאתו מהארגון. הטכנולוגיה הזו – מערכות Next Generation DLP – קובעת שתמיד ייתכנו פרצות ולכן, מידע שהוא רגיש או קריטי לארגון ואסור שידלוף החוצה יעבור הצפנה כאשר הוא מוצא מחוצה לו. בין אם המידע יצא בדרך מכוונת או דלף שלא במתכוון, בתהליך היציאה שלו יתקבל קובץ מוצפן לחלוטין, כזה שלא ניתן לעשות בו שימוש מחוץ לארגון".

שקיפות בענן

"היבטים נוספים שארגונים נדרשים לטפל בהם ונוגעים לאפשרויות העברת מידע מחוץ לארגון הם שקיפות של פעולות העובדים בענן ואכיפה של מדיניות ובקרות לפעולות של עובדים דרך הרשת הארגונית בשירותי ענן ציבוריים, דוגמת Office 365 ,Dropbox או Google Drive. מדובר בפרצה שניתן להעביר דרכה מידע מחוץ לארגון, בין אם בכוונה לפגוע בו או תוך שימוש תמים ביישומים אלה על ידי עובדים. כאן נדרש שהנראות של פעולות המשתמשים בענן תהיה גדולה יותר לארגון. קיימות טכנולוגיות ייעודיות שיודעות למפות את שימושי הענן של המשתמשים בארגון ולזהות בהן חריגות".

פרידלנדר סיכם באמרו כי "כאשר אנחנו מדברים כיום על הגנת סייבר כוללת לארגון, ומניעת דליפות מידע בפרט, אנחנו מזהים את הצורך בשינוי הגישה לכל נושא הגנת הסייבר. במקום גישה ריאקטיבית, תגובתית, שמניחה שאם רק אפרוס מספיק הגנות ברשת הארגונית ניתן יהיה למנוע כל פריצה, צריכה להיות גישה פרו-אקטיבית, שמניחה שהפריצה כבר התרחשה או תתרחש בארגון ושכעת נדרש לצמצם נזקים ולהגן על המשאבים הקריטיים ביותר שלו".