איך אפשר היה למנוע גניבה בשווי של 4.5 מיליארד דולרים
ניהול זהויות מדור 3.0 מציע מתודוליה של של "זהות אחת", אשר יחד עם תהליכי זיהוי ביומטריים מציע פיקוח הדוק יותר על רשימת האנשים המורשים לגשת למשאבים הארגוניים ועל פעולותיהם
חברה השולטת בעולם הפחם הרוסי נהגה לשקול משאיות הנושאות פחם בסיביר, לקראת צאתן לדרך. האקר השתלט על המשקל, וכל פעם שעלתה עליו משאית נהג להפחית כ-2,000 ק"ג ממשקלה, וכך אפשר גניבה בהיקף של 4.5 מיליארד דולרים בפרק זמן של שנתיים.
בדיעבד הסתבר, כי אותו שם משתמש ואותה סיסמה שימשו משתמשים רבים. אילו היה מנגנון תקין לזיהוי המשאיות והמשקל – קרוב לוודאי שהשוד הזה היה נמנע. אבל ניהול זהויות הוא תהליך מורכב, הרלוונטי לא רק למכונות, כי אם בעיקר לבני אדם. אז איך זה מתחיל?
לקוח, ספק או עובד פוטנציאלי מגיעים לפגישה עמכם. דבר ראשון אתם לוחצים ידיים. טקס ההיכרות הקצר הזה מבוסס על אמון הדדי ויציאה מתוך נקודת הנחה, כי האדם שמולנו מציג את עצמו בצורה מהימנה. בשלב הבא אתם מבססים את הזהות של מאן דבעי על תעודת הזהות או הדרכון שלו ומסתמכים על החותמת המוטבעת בתעודה, על תאריך הוצאתה ועל התמונה. גם כאן, כמו בשלב הראשון, מתקיים זיהוי אסימטרי, היות שלאדם הסביר אין דרך אמינה לאמת את התעודה. עד כאן ניהול זהויות מדור 1.0.
ניהול זהויות מדור 2.0 כולל מרכיבי זהות ברמה גבוהה יותר ומתבסס על מידע אישי, כמו תאריך הלידה שלכם או שם חיית המחמד מהילדות, כמו גם על המוניטין שלכם. אולם גם הפרקטיקה שמציע דור 2.0 אינה מספקת על מנת להגן על הזהות. בנוסף, היא מתישה ופוגעת בחוויית הלקוח בגלל הצורך להשיב על עשרות שאלות, לזכור ולהקיש סיסמאות. מתודולוגיה זו אף חושפת את הסיסמאות שלכם בפני כל האקר, מתחיל ושוב אתם מוצאים את עצמכם פגיעים וחשופים.
לכן, היום כבר מדברים על ניהול זהויות מדור 3.0 – מתודולוגיה, המנסה להתמודד עם שני האתגרים המהותיים העומדים בבסיס המנגנון לניהול זהויות: האחד, אימות הזהות – כלומר האם הפרט הטוען לזהות מסוימת אמין? והאם בהכרח מדובר באדם, או שמא ברובוט? האתגר השני נוגע לעובדה, שהזהות שלנו מרוחה היום לאורכה ולרוחבה של הרשת, וכל אדם יכול ללמוד אודותינו כמעט הכל באמצעות מחקר אינטרנטי קצר.
ניהול זהויות מדור 3.0 מציע תפיסה של "זהות אחת". להלן חמש המלצות קצרות, שיסייעו לכם ליישם מתודולוגיה זו בארגון:
- נטרו את הפעילות לא רק של העובדים, אלא גם של הלקוחות, הספקים והשותפים.
- אמצו גישה של "אפס אמון" (Zero Trust), המחייבת אתכם לחשוד בתעבורה הפנים-ארגונית באותה מידה שבה אתם חושדים בתעבורה מבחוץ.
- השתמשו בתהליך הזדהות ואימות ביומטרי, בלתי תלוי, של כל משתמש.
- אפשרו העברת מידע לעובד או ללקוח שהפקיד בידיכם את פרטיו האישיים לגורם צד שלישי רק בתנאי שהינכם משתמשים בפרוטוקולים סטנדרטיים, שהוגדרו מבעוד מועד.
- בקרו ונטרו את התהליכים ברמת המשתמש הבודד, על מנת שתוכלו להסיר כל משתמש לא ראוי מרשימת האנשים המורשים לגשת למשאבים הארגוניים.
כדי ליישם מתודולוגיה זו כדאי להשתמש במוצרים המבססים את תהליכי הזיהוי על טביעת אצבע, או על זיהוי פנים ומייתרים לחלוטין את הצורך בסיסמאות. על גביהם מומלץ להניח שכבה שניה של פתרונות לניהול והתראה בפני אינטראקציות, כמו, למשל, העברת קובץ במייל מאדם א' לאדם ב'. שכבה זו תסייע, לדוגמה, במקרה שבו עובד לקראת פיטורים ישלח למייל האישי שלו קבצים רבים ממערכות המידע של הארגון. המערכת הטכנולוגית תאתר זאת באופן מיידי ותמנע את הגניבה.
* הכותב הוא מנכ"ל חברת יוניקלאוד מקבוצת יוניטאסק, המתמחה בפתרונות לניהול זהויות.
תגובות
(0)