האיום שמבפנים

מאת רוני רויטמן, מנהל חטיבת אבטחת מידע והסייבר, One1

כיום, קשה לחשוב על חברה שלא נמצאת תחת איומי מתקפות הסייבר, העלולות להשביתה ולגרום לנזקים כספיים ותדמיתיים רבים. כמעט לא עובר יום בו לא מכריזה התקשורת על מתקפת סייבר שבוצעה או מתוכננת להתבצע כנגד חברות מסחריות או גורמים ממשלתיים, כאשר המניעים מאחורי התקפות שכאלה הינם, לרוב, הצהרתיים-אידיאולוגיים. בין אם מדובר בארגון המוחה על עמדה פוליטית כזו או אחרת של מדינה, או קבוצת האקרים הרואה במתקפות הסייבר ככלי המטריד חברות הנמצאות בעין הציבורית – הנזק הנגרם למותקפים ברור וציבורי, כאשר פעילותם מושבתת והלקוחות או האזרחים אינם יכולים לקבל מהם שירותים.

אך לאיומים הפומביים הללו אלו מצטרפים גם איומים  פנים ארגוניים בתחום שיתכן ואינו נמצא על הרדאר של מנהלי החברה – ניהול הרשאות ומעקב אחרי המשתמשים. פרצה עלולה להוות איום גדול יותר, שתוצאותיו הרסניות, כאשר הוא מגיע מהבית, גם אם התוצאות אינן נחשפות לעין הציבור באופן מיידי (ויתכן שלעולם לא).

לרוב החברות במשק אין היום דרך אפקטיבית לעקוב אחרי המשתמשים, לראות כיצד הם מתנהלים בתוך המערכות, אלו שימושים הם מבצעים באפליקציות הארגוניות, האם הם בעלי הרשאות מתאימות ומה תקפן. מחסור בפיקוח הדוק על הרשאות המשתמשים עלול לגרום לכך שמשתמשים אשר בעבר היו בעלי הרשאות למידע ארגוני מסוים נעזרים בהרשאות אלו, שלא בוטלו, גם היום, למרות ששינו תפקיד או שכבר אינם מועסקים בחברה. בנוסף, לחברות רבות אין יכולת לנטר פעולות כמתחייב בידי הוראות רגולטוריות שונות, בין אם בתחומי ה-ERP, או הנפקת חשבוניות במחלקת הכספים של הארגון, למשל. חוסר פיקוח שכזה מהווה פרצה הקוראת לגנב, כמו גם הפרת הוראות רגולטוריות העלולות להביא לסנקציות משפטיות כנגד החברה.

לאחרונה חוותה חברת תקשורת גדולה בחו"ל פרצה שכזו – כתוצאה מאי הגדרת הרשאות רלוונטיות לא נמנעה מהעובדים גישה לנתונים של מחלקת משאבי האנוש, כולל שכר העובדים בחברה כולה.  עובדים בודדים,   שניצלו את ההרשאות שטרם בוטלו, שוטטו במערכות, חשפו את נתוני השכר של חבריהם והפיצו אותם ברחבי החברה בעוד מידע שכזה היה צפוי ממילא לפגוע בחלק מהעובדים, העיתוי שבו התבצעה ההפצה, בעת שהחברה תכננה שינויים ארגוניים, רק העצים את הנזק התדמיתי והכספי שחוותה.

החברות הפועלות בשווקים הפיננסיים (בנקים, חברות ביטוח וכדומה), וכן חברות הפועלות בתעשיות מסויימות, החלו בשנים האחרונות להידרש ליישם נהלים של אכיפת ההרשאות של המשתמשים בארגון, והגברת אבטחת מידע במערכות הקריטיות שלו. הוראות רגולטוריות אלו נגזרות מהרצון להגן הן על הארגון והן על לקוחותיו, שהמידע אודותיהם מאוחסן במחשבי הארגון. לרגולציה זו מצטרפות במקרים רבים גם דרישות מצד הדירקטוריונים ובכירי החברה, המתחילים לחשוש מזליגת מידע למתחרים, מחד, ואי ציות להנחיות הרגולטורים, מאידך. אך לרוב בוחרים הארגונים בפתרונות נקודתיים, המתאימים לחלק מהשווקים שבהם פועלת החברה, אך החיסרון בפתרונות מסוג זה הוא בכך שהם אינם מעניקים מענה כוללני לכל תשתית ה-exchange של החברה, ומציעים פתרונות חלקיים למערכות ה-ERP הארגוניות.

הפיתרון הדרוש לאיטום הרמטי של סכנות אלו הוא כזה המציע מענה רוחבי לארגון – הגנה בפני מתקפות סייבר חיצוניות, וניטור המשתמשים והאפליקציות בארגון. ההתראות אודות נסיונות חדירה מבחוץ, ותנועות חשודות של משתמשים מבפנים, חייבות להימסר בזמן אמיתי, על מנת לחסום את הפרצה (מבחוץ) ולנטרל את המחבל (מבפנים). באין פיתרון שכזה, דומה הדבר למדינה המחזיקה צבא השומר על גבולותיה מפני צבאות המדינות שסביבה, אך אינה מקימה משטרה השומרת על הסדר בתוך גבולותיה.