ברט הרטמן, ה-CTO של RSA: "כל ארגון בעולם חווה יותר מ-140 אירועי אבטחת מידע פנימיים בשנה"

"מנהלים לא מודעים מספיק לסכנה שטמונה באיום הפנימי. מחקר שערכנו העלה שכל ארגון בעולם חווה בשנה האחרונה יותר מ-140 אירועי אבטחת מידע פנימיים, בזדון או במכוון. לא משנה מה סיבת האיום הפנימי – הוא שם והוא אמיתי, גם אם אינך יודע עליו"; כך אמר ברט הרטמן, CTO של RSA, חטיבת האבטחה של EMC, בראיון בלעדי לאנשים ומחשבים. הרטמן ביקר השבוע בארץ, ולאנשים ומחשבים נודע כי הגיע לבחינת טכנולוגיות אבטחה של חברות הזנק ישראליות, המועמדות לרכישה. הרטמן סירב להתייחס לכך.

הרטמן ציטט מחקר של IDC, בחסות RSA, שבחן את אירועי האבטחה שנגרמו מפנים, שלא עקב נוזקות שהגיעו מהרשת. 400 המנכ"לים, הסמנכ"לים והמנמ"רים בארגוני הענק  שהשתתפו במחקר, הודו שחוו בשנה האחרונה (מאוגוסט 2008) 6,244 מקרי אובדן מידע עקב טעויות עובדים, 5,830 מקרי החדרת נוזקות ורוגלות על ידי עובדים, ו-5,794 נזקים שנגרמו ממשתמשים שהגיעו למידע למרות שלא היו מאושרים לכך. "הנתונים מזעזעים: בסך הכל דווחו 57,485 אירועי אבטחה פנימיים ב-12 חודשים", אומר הרטמן, "וזאת בהנחה שהנשאלים דיווחו על כל האירועים ולא הסתירו. זה מביא לקביעה שכל ארגון חווה יותר מ-140 אירועי אבטחה פנימיים בשנה, יותר מעשרה אירועים בכל חודש". עלותו הממוצעת של נזק אבטחה פנימית לארגונים, הוא אומר, עמדה על 800,000 דולרים.

רוב המשתתפים, מציין הרטמן, הודו שאינם מודעים ומשקיעים מספיק בנושא: "52% מהם נטו לחשוב שלא בצדק, שתקלות אבטחה פנימיות נעשו במקרה ובשוגג, רק 19% האמינו שזה בכוונה, ו-26% חשבו שזה משולב. אולם כשהם נדרשו לדרג את האיומים, 82% לא ידעו האם התקלות נעשו במכוון או לא. הם לא היו מודעים לשילוב הבעייתי של עובדים בסניפים מרוחקים, עובדים זמניים, יכולות הגישה למידע של ספקים, יועצים, וגורמי חוץ. והכי חשוב, הם לא מודעים לפוטנציאל הכספי והתדמיתי שבאיום הפנימי". לדבריו, "לא משנה מה סיבת האיום הפנימי, הוא שם והוא אמיתי – גם אם אינך יודע עליו".

מה משמעות הנתונים?
"קיימת היערכות כושלת מצד מרבית המנהלים, המעניקים עדיפות גבוהה יותר להגנה מפני התקפות פנימיות מכוונות, במקום להשקיע במניעת אירועי אבטחה מקריים מבפנים, שהם שכיחים יותר ובעלי פוטנציאל גבוה יותר לגרום לנזקים.

יש גם נקודת אור. כמעט 40% מהארגונים מתכננים להגדיל את הוצאותיהם בהפחתת סיכוני אבטחה פנימיים בשנה הקרובה, ורק כ-6% מתכננים להפחית את הוצאות.

אין פתרון אחיד להתמודדות עם התופעה. נדרש פיתרון כולל כדי להבין יותר טוב את פרופיל הארגון וכיצד לפקח על האיומים. מעסיקים תופסים את העובדים שלהם כאמינים, ולא מתייחסים לעובדה שביזור העובדים הגלובלי והשילוב המורכב בין עובדים, יועצים, שותפים ועובדי מיקור חוץ – גורמים לכך שמדובר באיום חמור".

הסטארט-אפ הישראלי סאיוטה הוקם ב-2001, ופעל באבטחת בנקאות מקוונת. את הדחיפה הרצינית קיבלה סאיוטה ב-2006, כשרשות התקינה הפיננסית בארה"ב, FFIC, קבעה שמגזר הבנקאות יחוייב לעמוד ברגולציות עוד באותה שנה. מייד לאחר מכן נרכשה סאיוטה על ידי RSA, שבעצמה נרכשה ב-2006 על ידי ענקית האחסון EMC. סאיוטה בהרצליה הפכה למרכז המו"פ של RSA, ומונה 300 עובדי פיתוח. מאז נרכשה, הגדילה סאיוטה את מכירותיה פי 3: מ-24 מיליוני דולרים ב-2006, ל-93 מיליוני דולרים ב-2008. "רוב הבנקים בעולם ובישראל הטמיעו את הפתרון שלנו למניעת הונאות וזיהוי ואימות חד-חד ערכי, המספק ניהול סיכונים מושכל", מצהיר הרטמן. לדבריו, החברה פועלת בשלושה תחומים: אימות זהויות המשתמשים, הגנה על התוכן הארגוני וניהול אירועי אבטחת מידע. "הכל מתחיל ונגמר ברגולציות, והן מנוע הצמיחה העיקרי שלנו. לארגונים אין ברירה אלא להמשיך ולהשקיע בתחום, גם במשבר הכלכלי. לקוחות פונים אלינו, ולא להיפך", הוא מסביר, "אנו משרתים רבע מיליארד משתמשים בארגונים, וחסכנו להם 1.7 מיליארד דולרים במניעת נזקי אבטחה. מוצרינו מונעים 90% מניסיונות ההונאה בארגונים".

מהן מגמות העתיד בעולם האבטחה?
"יותר שירותים מבוססי ענן, וגידול בפרויקטי וירטואליזציה. שתי מגמות ענק אלו תספקנה הרבה עבודה לחברות האבטחה, בשל הסיכונים הטמונים בהן. אנו ב-RSA במצב טוב, כי EMC היא הבעלים של VMware, ומוצרינו פועלים במשולב. זה יהיה האתגר הבא של מנהלי האבטחה הארגוניים: ליצור סביבת ענן וירטואלית ובטוחה, עם מערכות שליטה ובקרה המדווחות על תקלות אבטחה, ומונעות אותן בצורה פרואקטיבית".

חווה דעתך על המתחרים.
"סימנטק (Symantec) ומק'אפי (McAfee) מתמקדות באבטחה לתחנות הקצה. אנו פועלים בצד השני – ביצירת מדיניות אבטחה ובהגנה על מרכזי המיחשוב. ל-CA וליבמ (IBM) יש היצע מוצרים נרחב, אולם אנו משלבים את המוצרים בצורה קלה ויעילה יותר מהם. בסופו של יום, ארגונים לא רוצים לראות מוצרים של ספקיות אבטחה רבות".