צרות מבית

יונתן קורפל לא מופתע מהמעידה של בלומברג בשמירה על צנעת הפרט

פרשת השבוע עוסקת בחברת בלומברג (Bloomberg), שמעדה בשמירה על צנעת הפרט של לקוחותיה. מדובר בחברה הגדולה בעולם בתחום המידע הפיננסי, שזרועותיה עוסקות בניתוח מידע כלכלי וכוללות מערכות ממוחשבות, ערוץ טלוויזיה, תחנת רדיו ושלוחות בעיתונות המודפסת. היקף פעילותה עומד על מיליארדי דולרים. את עיקר ההכנסות והרווחים שלה מחוללת מערכת ממוחשבת, שמספקת, תמורת תשלום לא צנוע, מידע ממוחשב ומתעדכן למאות אלפי לקוחות ברחבי העולם. התקלה אירעה בליבה של מערכת זו.

מסתבר שמזה זמן רב, עיתונאים ברשת בלומברג צופים דרך קבע בהתנהגות הלקוחות המנויים על השירות של החברה. מעקב אחרי אנשים מסוימים, לאן הם נכנסים ומה הם מבקשים ללמוד, יכול להוליד מסקנות מעניינות. במידע זה נעשה שימוש במאמרים וניתוחים כלכליים רבים. הפרשה יצרה רעש מתגלגל, כאשר חלק מהתהודה הגדולה יש, לדעתי, לייחס לעובדה ששחקנים לא מעטים במדיה המנגחת הם מתחרים של החברה הכול כך מצליחה. סביר להניח שבעוד ימים ספורים תישכח הפרשה ואת הכותרות תמלא מחליפתה התורנית. עד אז ראוי לפחות להפיק לקחים ומשמעויות, מבלי להתעכב אפילו על פרטי האירוע החולף.

ככל שנוקפות השנים גדלה תשומת לב המנהלים לאבטחת מערכות המידע בארגוניהם. אולם, שלא בצדק, היא מתמקדת באיומים שמקורם מחוץ לארגון. בפועל, החשיפה הגדולה היא כלפי פנים, הצרות מתחילות בבית. מי בחברה פנימה מגיע לאיזה מידע? מי מהעובדים נוקט באיזו פעולה? אנשי הטכנולוגיה יגיבו מיד ברפלקס ויסבירו שקיימות מערכות מידור והרשאה. בחלק מהמקרים זה אמנם נכון, אבל גם אז, זה לא פותר את כל הבעיה. כאן עולות השאלות: האם בתוך הארגון פנימה קל לשמור על סודיות הסיסמאות? ומה באשר לנוכחות צד ג' בשעה שמישהו בעל הרשאה גולש?

בעיה גדולה עוד יותר מתקיימת כשבעל היתר גישה מועל בתפקידו. הרי כבר שמענו על חיילת זוטרה מורשית כניסה למערכת מידע שנטלה אלפי מסמכים סודיים. האם קיים מנגנון שיכול לאבחן חריגות של אנשים מורשים? האם מנגנון זה בכלל מופעל ונאכף? האם אנשים לוקחים הביתה מסמכים מסווגים ומתעלמים מאיסורים מפורשים? ידוע, למשל, כמה קל וזול יחסית בארץ לקנות מידע שהושג בדרך לא חוקית ושמקורו במערכות מידע בארגונים מכובדים. לפחות בחלק מהארגונים האלה קיימות לכאורה הגנות לא מעטות, על מערכות המידע שלהן.

מידע שווה כסף, לפעמים סכומי עתק. כסף עלול להטות התנהגות של עובדים, כאלה שגישתם לבסיסי הנתונים לגיטימית לכאורה. כמו בכל נושא, הכול מסתכם בניהול. הבנת הקושי, בחירת הפתרונות האופטימאליים, יצירת אווירה הולמת, אכיפה ובקרה. עבודה סיזיפית ונטולת ברק, לא משהו ששובה לב מנהלים. ביותר מדי ארגונים שאני מכיר מסתפקים בדיבורים על האקרים, מתקפות בינלאומיות ומלחמות בין כוכבים. בינתיים, בתוך אותם ארגונים יש הפקרות מוחלטת. הפגיעות מבית מתרחשות באין מפריע.

תגובות

(9)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. דנדי

    אם כך מוטב אולי שקיפות מלאה של 100% זה לפחות לא יעלה הון וימנע את הביבוז חסר התועלת

  2. הטוחן

    לכל דבר יש מחיר. בשביל מיליארד דולר למשל אפשר לקנות כמעט כל מידע ואם לא אז בשביל טריליון דולר

  3. ב. השם

    כריית מידע אצל מי שמצטבר אצלו מידע עצום היא עסק משתלם ומפתה וכאשר יש כמויות עצומות שלמידע ומחשבים מהירים וחזקים אין אפילו צורך באלוגריתמים מתוחכמים לכריית מידע משמעותי די בכלים סטטיסטיים בסיסיים. זה הפיתוי וגם הסיכון.

  4. רוזי

    זהו אחד האתגרים המשמעותיים שעומדים היום בפני מנהלי אבטחת מידע

  5. סטולי

    בארץ אין הערכה לנוהלים ולא מקפידים שיהיו בכלל ואם הם קיימים אז לא נוהגים לפי הנוהלים. אין משמעת. יהיה טוב......

  6. ע.

    כמה שקורפל צודק. במקום שאני עובד בו זה בדיוק ככה.

אירועים קרובים