שתף קטע נבחר

 

יום הכיפורים של אבטחת המידע

פרשת הסוס הטרויאני חושפת את הבטן הרכה של ארגונים רבים בישראל, המתבססים על מערכות מיחשוב. קשה עד בלתי אפשרי להתגונן מפני סוסים טרויאנים, מספר האיומים גדל כל הזמן והסכנה הגדולה ביותר היא מצד הגורם האנושי

פרשיית הסוס הטרויאני עשויה להירשם כקו פרשת המים של תחום אבטחת המידע הממוחשב. גם אם אומדן הנזקים הראשוני יגלה כי היו מקרים חמורים יותר, החקירה האחרונה חסרת תקדים בהיקפה, והיא חושפת את הבטן הרכה של ארגונים רבים בישראל, המתבססים על מערכות מיחשוב. "הפרסום גורם לתהייה כמה מקרים כאלה לא מדווחים ועד כמה חשוף המגזר העסקי", אומר דורון שקמוני, מנכ"ל חברת האבטחה ForeScout ישראל.

 

עוד בפרשת הסוס הטרויאני:

 

 

"אין לכם פרטיות בכלל - תתגברו על זה", אמר ב-1999 סקוט מק'ינלי, מנכ"ל סאן מיקרוסיסטמס, וקומם עליו את כל ארגוני הפרטיות. מק'ינלי התכוון לכך שצרכנים שיירצו ליהנות מהפירות של חברת המידע, יתבקשו לוותר על זכותם לפרטיות. זאת, בניגוד לתאגידים שיוכלו להרשות לעצמם להשקיע הון במערכות אבטחה משוכללות שישמרו על סודותיהם קרוב לחזה.

 

חשופים בצריח

 

מחקר של "פורסטר" מחודש אפריל גילה כי 47 אחוז מהגולשים לא משתמשים בתוכנות אנטי ריגול. עם זאת, הפרשה האחרונה מרמזת על כך כי גם ארגונים, שלעתים עלולים להינזק הרבה יותר מחשיפת מידע סודי, אינם מודעים כי הם חשופים לגניבת מידע במגוון דרכים שאינן בהכרח מתוחכמות במיוחד.

 

בעוד ארגונים וחברות מרחיבים בהדרגה את כמות המידע הזמינה ברשת הארגונית, נפערים חורים בלתי נראים באבטחת המידע ומזמינים פורצים להיכנס. בשנים האחרונות האיום הגדול אינו עוד התקפות בלתי מזיקות של נערים פוחזים על אתר האינטרנט של הארגון אלא ריגול עסקי ממוחשב.

 

הכשל: בודקים את התקשורת הנכנסת לארגון, ולא את היוצאת

 

שקמוני סבור כי את "האשם" לא ניתן רק לתלות בחוסר הקפדה על נהלי אבטחת מידע אלא גם בכשל מובנה בתורת אבטחת המידע. "אני משוכנע שחלק מהחברות שסבלו מהסוס הטרויאני קבעו נהלי אבטחת מידע, שלא נשמרו במקרה האחרון, אך הבעיה האקוטית היא סוסים טרויאניים, אשר לא בכל המקרים ניתן להתגונן מפניהם. בקהילת אבטחת המידע מזכירים קודים זדוניים כאלה כאיום המרכזי בשנים האחרונות על רשתות ארגוניות.

 

"אמנם, תוכנות האנטי וירוס יודעות להגן על המחשב מפני חלק מהסוסים הטרויאניים, אשר החתימה שלהם מוכרת לחברות האבטחה, ובשנים האחרונות נכנסו לשימוש גם תוכנות לאיתור חדירות (IDS), אך אם תוכנת סוס טרויאני נכתבת מהיסוד במטרה לחדור לארגון מסוים - קשה עד בלתי אפשרי לעצור אותה".

 

הגבול בין האינטרנט לארגון מיטשטש

 

הקונספציה שנכשלה היא התפישה הקובעת גבולות ברורים בין הרשת הארגונית לאינטרנט ומתמקדת בתקשורת הנכנסת לארגון מבלי להקדיש תשומת לב שווה לתקשורת היוצאת מהארגון.

 

"הגבול בין הארגון לאינטרנט קשה מאוד להגנה ואינו עשוי מקשה אחת", אומר שקמוני, "קוד זדוני עשוי לחדור לארגון דרך קישורי VPN (המשמשים עובדים כדי להתחבר למקום העבודה מהבית), כונני Flash ועוד. לפיירוול יש ערך אך הוא בוודאי לא חוסם הכל. הלקח החשוב לכל הארגונים הוא כי חשוב לנטר את תעבורת המידע היוצאת מהארגון".

 

האינטרנט האלחוטי, שחודר בשנים האחרונות גם לארגונים, ומאפשר לעובדים להתחבר לרשת הארגונית מכל מקום, תורם אף הוא לריבוי איומי האבטחה.

 

בעיה נוספת היא החשיפה של הארגון לפרצות דרך חיבורי VPN מאובטחים. למרות השימוש בחיבור מאובטח, הסכנה הגדולה אורבת מכשלים באבטחת המחשב הביתי של העובד. ברגע שפועל במחשב keylogger או תוכנת שליטה אחרת, העובד שמתחבר לרשת הארגונית מביתו מסייע לפורץ להיכנס הפורץ בעזרת שירותיו הטובים. לעתים ניתן לצמצם את הסיכון באמצעות מערכת הרשאות המצמצמת את יכולתם של מחשבים שמתחברים מרחוק לבצע פעולות מסוימות, אם כי לא בכל הארגונים מקפידים על הרשאות מינימליות. במצב זה, למעשה, כל אדם - עובד זמני, שותף או ספק, הנהנה מגישה לרשת הארגונית עלול לסכן את הארגון.

 

גם האבטחה הפיזית חשובה נגד ריגול עסקי

 

לא מדובר רק בגישה 'וירטואלית'. "יש לתת את הדעת לספקים החשופים למידע באמצעות מערכות המחשוב, במקביל לבקר את פעילותם של אלה הנגישים באופן פיזי למידע, כגון אנשי תחזוקה ומנקים, הנכנסים לחברה באופן לגיטימי ומבלי שיעוררו חשד", אומרת מירב ורד, מנהלת תחום מתודולוגיה ותקן 7799 (תקן בינלאומי לניהול אבטחת מידע) בחברת סקיוריטרי, המתמחה באבטחת מידע, "חברות מתחרות רבות עושות שימוש נרחב בספקים מתחזים או אף תוך מתן שוחד לספקים קיימים, על-מנת לקבל מידע חסוי. אסטרטגיה זו פופולרית, זולה ויעילה".

 

ורד מציינת, כי בעבר, תורות אבטחת המידע נטו להתמקד בהיבטי המחשוב והתקשורת בלבד, אך כיום, בעקבות סיכוני האבטחה ההולכים ומתרחבים, תורות האבטחה מתמקדות בראייה מתודולוגית כלל-ארגונית, המתייחסות למעגלי אבטחה נוספים, בהם אבטחה פיזית, בדיקת מהימנות עובדים, ואבטחת מידע בקרב ממשקים עסקיים.

 

"המידע הוא הנכס החשוב ביותר בארגון", היא אומרת, "בעולם המודרני משקיעות חברות משאבים רבים במגמה להביא לאבטחה אופטימלית של נכס זה. אבטחה לקויה של המידע עלולה להביא לפגיעה קשה בכושרה העסקי של חברה, ברווחיה, תפעולה או תדמיתה".

 

מה ניתן לעשות ברמה הטכנולוגית?

 

שקמוני מציין, כי בשנים האחרונות נכנסו לשימוש מספר טכנולוגיות נלוות המיועדות לצמצם את הסיכונים, בהן מערכות ניטור והגנה למניעת חדירות (Intrusion Detection System, ובקיצור, IDS), המתריעות במקרים של תעבורת מידע מעוררת חשד. סוג אחר של תוכנות מיועד לפקח על חיבור של אמצעי מדיה נתיקים כמו כונני Flash ותקליטורים, אך מדובר בתחום שנמצא עדיין בחיתוליו".

 

אנשים הם החוליה החלשה

 

למרות זאת, שקמוני מסכים כי במקרים מסוימים הטכנולוגיה לא תוכל לעזור כלל. "אין הגנה טכנולוגית נגד אנשים החושפים את הארגון מבפנים - אם במתכוון או לא. תוכנה תתקשה מאוד להבדיל בין עובד שממלא בטופס את פרטי כרטיס האשראי שלו - לצורך רכישת מוצר באתר מסחר אלקטרוני לבין תוכנה המשתמשת ביציאה של הדפדפן לאינטרנט כדי לשלוח מידע מסווג.

 

"צריך להבין כי תוכנה קטנה שחודרת למחשב אחד ברשת הארגונית עלולה לסכן את כל משאבי הארגון. לעתים, קוד שרץ על מחשב של משתמש מסוים עלול להאזין לתעבורה ברשת ולפלס את דרכו למידע סודי, גם אם אותו משתמש אינו מורשה לצפות במידע זה".

 

"אנשים הם החוליה החלשה בשרשרת אבטחת המידע. יש צורך באכיפת נהלי אבטחה קפדניים כדי למנוע הישנות מקרים כאלה. ההמלצה החשובה ביותר היא בשום פנים ואופן לא להריץ בארגון תוכנה שאינכם בטוחים לחלוטין באמינותה ומוטב לא להריץ תוכנות חיצוניות ללא אישור של מנהל אבטחת המידע ברשת. הבעיה היא שישראלים מסרבים להישמע להוראות".

 

פתרונות קיצוניים 

 

המוּדעוּת לבעיות האבטחה מביאה לכך שחלק מהארגונים חוששים להתחבר לרשתות חיצוניות ללא אמצעי אבטחת מידע נאותים ולכן מעכבים את התחברותם – דבר שפוגע בפעילותם ובעסקיהם.

 

גישה נוספת דוגלת בצמצום סיכוני האבטחה באמצעות מעבר לשימוש בלקוחות רזים בארגון. על פי התפישה הישנה-חדשה הזו, המחשב של העובד אינו אלא מסוף של שרת מרכזי המשמש להרצת יישומים. אי אפשר להתקין על המחשב תוכנות ולא לחבר לו מדיה כמו כונני Flash או תקליטורים. "זו תפישה שעשויה לשפר את האבטחה במידה רבה, אך היא כרוכה בשינוי מהותי בהרגלי העבודה של המשתמשים בארגון", אומר שקמוני.

 

 תגובה חדשה
הצג:
אזהרה:
פעולה זו תמחק את התגובה שהתחלת להקליד
מספר האיומים גדל
פי סי מגזין
מומלצים