לקראת כנס Smart Finance | פרויקט אבטחת מידע בפלאפון המבוסס על ActiveBase Security
לקראת כנס Smart Finance, שיתקיים ב-23 במאי במרכז הכנסים אווניו בקריית שדה התעופה, חושפת NessPRO, קבוצת מוצרי התוכנה של נס טכנולוגיות, פרויקט אבטחת מידע שבוצע בחברת פלאפון. הפרויקט התבסס על הפתרון הדינמי למיסוך נתונים ActiveBase Security, המשווק בישראל ע"י NessPRO. הפרויקט בוצע ע"י צוותי פלאפון תוך הכשרה, ליווי, ותמיכה של אנשי NessPRO.
פתרון ActiveBase Security מאפשר מעקב והפעלת מדיניות אבטחה אקטיבית על גישה (מורשית ולא מורשית) לבסיס הנתונים. זאת – ע"י הפעלת חוקי הגנה ומיסוך נתונים דינמי, בקרת גישה, הצפנה ומידור של בקשות המשתמשים בזמן אמת. במקביל נשמר תיעוד מפורט של כלל השאילתות. הפתרון מותקן במהירות ובקלות כאשר התקשורת אל בסיס הנתונים עוברת דרכו באופן שקוף לאפליקציה ולבסיס הנתונים, ללא צורך בשינויים באפליקציה, או בשינוי תשתיתי. ActiveBase Security מעניק הגנה על עשרות אפליקציות ובסיסי נתונים בהתקנה בודדה.
במסגרת תהליך ההטמעה של ActiveBase Security יושם בפלאפון, במסגרת הפתרון, גם מנגנון התראות המונע ביצוע פעולות בסביבת היצור, העלולות להוות אירועים בעייתיים בתחום אבטחת המידע. כמו כן יושמו בפלאפון בקרות גישה המספקות מענה לדרישה למידור ומניעת זליגת מידע רגיש. הדבר מתבצע ע"י הגדרת חוקי גישה עבור משתמשים – מורשים ובלתי מורשים.
מיסוך הנתונים מתבצע, בין השאר, ע"י הסתרת מספרי כרטיסי האשראי באמצעות כוכביות. במסגרת הפרויקט הוטמע גם מנגנון תיעוד ובקרה לשמירה ומעקב מפורט של כלל השאילתות המופנות אל בסיסי הנתונים. מנגנון התיעוד והבקרה מהווה מענה לדרישות ועדת גושן. כמו כן הוגדר מנגנון זיהוי פקודות לחסימת ביצוע פעולות לא מותרות.
"ActiveBase Security מאפשר לפלאפון הסתרה ומיסוך של נתונים רגישים כגון סיסמאות,שמות, כתובות, מספרי כרטיסי אשראי וכל מידע נוסף המוגדר אצלנו כרגיש", אמר אלון אופק, מנהל מחלקת תשתיות מרכזיות של חברת פלאפון. "ההסתרה מתבצעת אל מול המשתמשים הלא מורשים במסכי האפליקציה, בכלי הדיווח ובכלי ה-DBA, כולל דו"חות".
"השימוש ב-ActiveBase Security אינו מצריך שינויים ביישומים, בבסיסי הנתונים או בנתונים עצמם, דבר המונע סיכונים לתקלות ולפגיעה בנתונים", אמר יגאל יחיה, מנהל חטיבת התשתיות ב-NessPRO. "המוצר מיירט שאילתות בזמן אמת ודואג לכך שהמידע לא יהיה זמין למי שאינו זקוק לו".
המידור ואבטחת הגישה למידע רגיש באמצעות ActiveBase Security מתבצע עד לרמת השדה. מנגנון בקרת הגישה מאפשר זיהוי בכל שכבות המידע, כולל זיהוי המשתמש, זיהוי המחשב וזיהוי האפליקציה. במקרים מסוימים מתבצעת חסימת שאילתות ופעולות ספציפיות סלקטיביות על בסיס הנתונים גם לגורמים מורשי גישה (לדוגמא: חסימת פקודות DDL\DML). המוצר מבצע גם ניהול עומסים ע"י הגבלת כמות הרשומות המותרת בשליפה, גם ברמת זמני פעילות.
בימים אלו נבחנת בפלאפון הרחבת השימוש ב-ActiveBase כפתרון משלים לדרישות תקן PCI – תקן אבטחת המידע בתחום כרטיסי האשראי. ActiveBase Security עונה הן על הדרישות המחמירות של תקן PCI והן על תקנות הגנת הפרטיות. המוצר מאפשר למנהלי אבטחת המידע בארגון לבצע מיסוך (על פי דרישות סעיף 3.3 בתקן PCI), לחסום, לערבל, להצפין (בהתאם לדרישות סעיף 3.4) ולבצע בקרת גישה למידע הקשור לכרטיסי אשראי בישומים, דו"חות, שאילתות וכלי פיתוח.