ניהול סיכוני אבטחת המידע של מיקור-חוץ – חלק א'
כתב: צ'אבה קראסנאי, מנהל מוצר Shell Control Box ב-Balabit, המיוצגת בישראל על ידי NessPRO, קבוצת מוצרי התוכנה של נס
בסביבה גלובלית, תחומי האחריות של ה-IT עוברים יותר ויותר למיקור-חוץ , דבר המהווה כלי פופולרי עבור ארגונים המבקשים להפחית עלויות באופן יעיל.
מספר אנשי הצוות של צד שלישי המקבלים גישה ארוכת טווח למערכות קריטיות של ארגונים ולמידע רגיש גדל במהירות, וצדדים שלישיים אלה הופכים חיוניים יותר ויותר לעסקים וליחידות IT רבות. הם יכולים להפעיל תשתיות רשת, לתחזק אתר אינטרנט, לספק שירותי דוא"ל או CRM ולבצע מספר עצום של שירותי IT מגוונים.
בעת אימוץ מיקור-חוץ ככלי לתהליכי ה-IT, מפקיד הארגון בידיהם של גורמים חיצוניים מגוון של מידע רגיש, בין אם מדובר בנתוני לקוחות או נתונים פיננסיים, דבר שיש לו סיכונים רבים.
ספקים חיצוניים מתחילים להבין את התועלת מניטור עובדיהם בעת פעילותם ברשת הלקוח, מאחר שבדרך זו הם יכולים להוכיח מה הם עשו ומה לא.
התקנת כלי לניטור פעילות מאפשרת לספקים חיצוניים להגביר את השקיפות שלהם, והלקוחות יכולים לתת יותר אמון בספקי פתרונות צד שלישי כאשר הפעילות שלהם שקופה ומנטורת. הם יכולים לראות בזמן אמת מי ניגש לנתונים רגישים ומה קורה במערכות ה-IT שלהם.
מהם הסיכונים?
כמעט כל הארגונים והמגזרים מתמודדים עם הבעיה של ניהול פריצות שנגרמו על ידי איומים פנימיים על נכסי מחשב חיוניים. האצלת אחריות לקבלני IT חיצוניים עשויה להיחשב כסיכון גדול עוד יותר של אבטחת מידע, שכן היא עשויה להחליש את בקרות ההגנה ומגדילה את מספרם של ספקים חיצוניים שיש להם הרשאות נרחבות והרשאות גישה כמו לעובדים.
ללא הגנות מובנות מתאימות, המעבר לשימוש במיקור חוץ בתחום ה-IT, יחד עם השיעור הגבוה של תחלופת עובדים במיקור-חוץ, עלול להוביל לעלייה בפגיעות (vulnerability) של ארגונים, החל מאובדן קניין רוחני, ועד לאפשרות של העברת ידע בעל ערך גבוה למתחרה או למקור חיצוני אחר. הדבר מספק הזדמנות לשחקנים זדוניים, שיש להם גישה למידע רגיש אשר יכול לפגוע בארגון ובמוניטין שלו.
המכנה המשותף של פריצות בעלות פרופיל גבוה שאירעו לאחרונה הוא שהן תוכננו בקפידה ולא התגלו במשך זמן מה, בעת שהתוקפים נעו בחופשיות בסביבת ה-IT של הקורבן. לדוגמה, עובד לשעבר בהום דיפו (Home Depot) שהוסמך לקבל גישה למערכות מחשב, ניצל גישה זו לקבלת מידע על כרטיסי אשראי מעסקאות השכרת כלים של הום דיפו.
לגורמים זדוניים בתוך הארגון יש יתרון על פני האקר חיצוני מאחר שכלי האבטחה העיקריים של החברה נועדו לעתים קרובות להגן מפני איומים חיצוניים, לא נגד עובדים שניתן לסמוך עליהם.
לגורמים זדוניים בתוך הארגון יש פוטנציאל לגרום נזק עצום לארגון ויש להם יתרונות רבים על פני תוקף חיצוני. לדוגמה, לעתים קרובות יש להם גישה מועדפת למתקנים ולמידע רגיש, יש להם ידע על הארגון, כיצד התהליכים שלו פועלים, והם יכולים להבחין במיקום נכסים בעלי ערך.
גורמים פנימיים יידעו באיזו דרך, באיזו שעה, והיכן לתקוף וכיצד להסתיר את עקבותיהם לאחר ההתקפה. זו בדיוק הסיבה מדוע הארגון צריך להכיר בצורך לאמצעי אבטחת מידע עבור משתמשים בעלי הרשאות נרחבות (privileged users).