ארה"ב: איש ביטחון לשעבר במשטרת הגבולות נאשם בניסיון להרוס בסיס נתונים על טרוריסטים

דגלאס ג'יימס דקהאק, עובד לשעבר של TSA (ר"ת Transportation Security Administration) – מנהלת הביטחון של רשות שדות התעופה והנמלים בארצות הברית – מואשם בכך שניסה לחבל בבסיס נתונים של גוף הביטחון של משטרת הגבולות האמריקנית וכי ניסה להרוס רשימה של חשודים בטרור. גורמי ביטחון אמרו, כי "המקרה מהווה תזכורת ואזהרה לגבי פוטנציאל ההרס של מידע והסכנה בדליפתו על ידי גורמים פנימיים בארגונים".

נגד דקהאק, בן 46, הוגש כתב אישום פדרלי. דקהאק עבד במרכז התפעול של TSA בקולורדו ספרינגס שבמדינת קולורדו, ולאחר שנודע לו באוקטובר אשתקד שהממונים עליו מתכוונים לפטר אותו מתפקידו כמנתח נתונים, הוא פרץ לבסיס הנתונים של מרכז התפעול וניסה לחבל ברשומות ובנתונים של טרוריסטים וחשודים בטרור.

דקהאק היה בעל גישה לנתונים מסווגים, כיוון שבמסגרת תפקידו הוא היה אחראי על תהלכי קבלת נתונים ועדכונם במערך המיחשוב של TSA, לאחר שאלה הגיעו מארגוני ביון וממשטרות במדינות ארצות הברית. בכתב האישום נטען, כי בשבועיים שחלפו בין פיטוריו ועזיבתו את העבודה, החדיר דקהאק קודים זדוניים למערך המיחשוב של TSA, מתוך מגמה להרוס אותו. אם יורשע, הוא צפוי למאסר של עד עשר שנים בכלא פדרלי ולקנס של עד חצי מיליון דולרים.

סלאביק מרקוביץ', CTO של חברת ההזנק הישראלית סנטריגו, הפועלת בעולם אבטחת המידע, אמר בראיון לעיתונות הטכנולוגית בארצות הברית, כי "מקרה זה הוא דוגמה טובה לחשיבות של ניטור הפעילויות של המשתמשים הפנימיים". לדבריו, "ניטור שכזה קריטי וחיוני במיוחד בקרב משתמשי IT בעלי הרשאות מיוחדות. מומחי מיחשוב בעלי ידע פנימי, כגון מנהלי מערכות, מנהלי בסיסי נתונים ומפתחים, עלולים בקלות לעקוף את הגנות אבטחת המידע הרגילות בארגונים רבים".

מרקוביץ' הוסיף, כי "במקרים רבים, הצפנה של התעבורה ברשת יכולה למנוע מכלים לניטור הפעילות ברשת הארגונית מלבצע את פעולתם. כך, מפתחים יכולים לשתול סוגים שונים של נוזקות – קודים זדוניים שיכולים להסב נזק לבסיסי הנתונים, או לזהות 'דלת אחורית' – פרצת אבטחה המאפשרת גישה למידע חסוי ללא צורך באימות זהות. כך, הם יכולים להשיג גישה לחלקים מסווגים באותם בסיסי נתונים ולעשות בהם ככל העולה על רוחם". הוא ציין, כי "בלי ניטור בזמן אמת של כלל המשתמשים בבסיס הנתונים, ארגונים מצויים במצב של עיוורון לגבי פעילויות חשודות שקורות במערכי ה-IT שלהם. אם מנהלי אבטחה מסתמכים רק על שם משתמש וסיסמה, הם עלולים ליצור פוטנציאל מסוכן של דלף מידע".

לדברי פיל נריי, סגן נשיא לאבטחה בגארדיום-יבמ (Guardium-IBM), "נדרש ליצור מכניזם רב-שכבתי להגנה. אם אתה מנטר את הפעילות בבסיס הנתונים, אתה יכול לגלות משתמשים שאינם נוהגים לפי ההרשאות שהונפקו להם, ובכך ליצור התרעה בזמן אמת ולחסום את אותה פעילות אסורה". ואמנם, במקרה של דקאהק, מנהלי אבטחת המידע ואנשי מחלקת החקירות ב-TSA אכן הצליחו לעקוב אחרי הפעילות הבלתי חוקית שלו. עם זאת, בכתב האישום לא פורטו הדרכים שבאמצעותן הדבר נעשה.

מרקוביץ' אמר, כי "על כל דקהאק שנתפס קיימים רבים שלא נתפסים – בארגוני ביון, במוסדות ציבור וממשלה ובארגונים מסחריים ברחבי העולם. הם מצליחים לחדור לבסיסי נתונים מסווגים, להוציא נתונים או להשמיד אותם, ולא להיתפס. לכל היותר, המעשה שלהם מתגלה כאשר זה כבר מאוחר מדי".