כשל האבטחה הגדול שרוב הארגונים מתעלמים ממנו
רוני וולקן, מנכ"ל חברת שורו, מתריע על כך, שארגונים בארץ ובעולם שמזניחים את תחום גריעת החומרה, הכוללת מידע דיגיטלי, מסתכנים כיום בקנסות ובתביעות
בציוד מחשוב ישן שיצא מכלל שימוש טמונים מאגרים של מידע רגיש, שעלולים להיחשף אם הארגון לא מוחק אותו בצורה מקצועית. למעשה, ארגונים רבים, לרבות הגדולים והמתקדמים בעולם, משקיעים מיליוני דולרים בשנה באבטחת סייבר, אך מזניחים בצורה זו או אחרת פרצת אבטחה קונוונציונאלית אך לא פחות גדולה, הטמונה בחומרה שיצאה מכלל שימוש, כולל שרתים, התקני אחסון, ציוד תקשורת, מחשבים שולחניים, טאבלטים וניידים, טלפונים סלולריים, מדפסות, מכונות צילום, סורקים, מכשירי פקס ועוד.
לראיה, בנקים וחברות ביטוח בישראל כפופים כיום לרגולציה ענפה ומחמירה, שמחייבת אותם להיפטר באופן שיטתי מחומרה ישנה שהם מתכוונים להשבית, כמו למשל, תקנות GDPR של האיחוד האירופי, FACTA, FINRA, GLBA ועוד. למרות זאת, לרוב המוסדות הפיננסיים בארץ אין תוכנית גריעה רשמית ומסודרת של התקני חומרה שעומדת ברגולציה. כך, לדוגמה, אין בקרה פרטנית אחר כל התקן והתקן ואין רישום מסודר של כל שלב בתהליך עד לסיומו. מסתבר שהמצב אינו טוב יותר בחו"ל.
על חומרת המצב תעיד העובדה, שארגונים בארץ ובעולם מתחילים לשלם את המחיר הכרוך בהזנחת הנושא הן בקנסות והן בתביעות ענק. לדוגמה, משרד האוצר האמריקני הטיל לראשונה קנס בגובה של 60 מיליון דולר על תאגיד הפיננסים מורגן סטנלי בעקבות ליקויים בתהליך גריטת המידע מציוד המחשוב של החברה.
הקנס החריג בגובהו נבע, כך על פי הודעת משרד האוצר האמריקני, מכך שהבנק לא ניהל ביעילות ובמקצועיות את תהליך גריטת ציוד המחשוב, אשר כלל דיסקים רבים שהכילו מידע רגיש על לקוחות. בנוסף, החברה הואשמה בניהול סיכונים לקוי בעת עבודתה עם קבלני משנה ונותני שירותים בתחום, וכן בליקויים באופן השמירה והתיעוד של המידע על לקוחות החברה המצויים בהתקני אחסון דיגיטליים.
הבנק לא הצליח להוכיח כי ננקטו צעדים סבירים להגנה על נתונים רגישים של הלקוחות. במילים אחרות, אמנם טעויות עלולות להתרחש, אך על הארגון להוכיח כי הוא מנהל ומיישם תהליכי עבודה מסודרים ומתועדים היטב בכל הקשור לגריעת התקנים הכוללים מידע רגיש.
בישראל הוגשה לאחרונה תביעה בסך 1.5 מיליארד שקלים נגד קופות החולים מאוחדת וכללית ובתי החולים הלל יפה בחדרה וברזילי באשקלון, בטענה כי לא מחקו בצורה מקצועית ציוד רפואי שמכרו ולטענת התובעים דלף מידע רגיש של עשרות אלפי מטופלים.
צוות של חוקרי אבטחת סייבר חשף, כי ביותר מ-100 התקני זיכרון מסוג USB משומשים שנמכרו באתר אי-ביי נמצא מידע עסקי ואישי רגיש שלא נמחק באופן מקצועי על ידי החברה שהציעה אותם למכירה.
"האירועים הללו מעלים לסדר היום את החשיבות הרבה של גריטת חומרה מקצועית, מחיקת מידע מקצועית ותיעוד מסודר ומפורט הן ברמת התהליך והן ברמת המספר הסידורי של כל התקן והתקן המכיל מידע", אומר רנה ג'רבי, מומחה IT Asset Disposal) ITAD) בחברת שורו, המתמחה בגריעת חומרה בארגונים גדולים. "ללא תיעוד מסודר לא ניתן להוכיח כי ננקטו הפעולות הדרושות, ומבחינת החוק תהליך השמדת המידע מעולם לא התרחש. די אפילו בדיסק אחד הכולל מידע רגיש שיגיע לידיים הלא נכונות בשביל להיתבע".
רוני וולקן, מנכ"ל שורו, מוסיף, כי "ארגונים רבים סבורים בטעות, כי פרמוט הוא הפתרון המקצועי למחיקת מידע, אך למעשה הוא אינו מוחק את המידע באופן מלא, אלא מקשה על הגישה לקבצים על ידי דחיסתם. איש מחשבים מקצועי יכול לשחזר בקלות את המידע שפורמט. נדרשת, אם כן, מחיקה דיגיטלית או השמדה פיזית בתקנים מקצועיים מוכרים.
"בעולם גוברת ההכרה, כי מידע דיגיטלי המצוי בחומרה ישנה שלא טופלה באופן מקצועי הוא בבחינת פרצת אבטחה מסוכנת, והגיעה העת למצות את הדין עם ארגונים שלא מיישמים את הרגולציה בתחום ומסכנים את לקוחותיהם. הקנסות והתביעות שהוטלו לאחרונה הן סנוניות ראשונות בגל צפוי של מהלכים שיחייבו ארגונים לסתום את פרצות האבטחה הגלומות בחומרה ישנה שלא טופלה באופן מקצועי", מסכם וולקן.