הגשר מעל תהום שמירת המידע

זוהי שיחת הטלפון שכל מנהל אבטחת מידע מפחד ממנה: השעה היא 3 לפנות בוקר. הטלפון מצלצל והמשוחח מהעבר השני של הקו מודיע למנהל אבטחת המידע שבארגון שתחת אחריותו התרחש אירוע אבטחת מידע, ומאות אלפי רשומות הגיעו לגורמים בלתי מורשים. גרוע מכך, האירוע התרחש אצל אחד מספקי מיקור-החוץ של הארגון, כאשר באותה נקודת זמן אין למנהל אבטחת המידע שלו כלל מושג מהי מדיניות אבטחת המידע של אותו ספק, מה גם שעל פי החוק, האחריות על שמירת הנתונים היא של אותו מנהל.

מסקר שערכה חברת הייעוץ הבינלאומית Protiviti ברבעון השני של השנה הנוכחית בקרב 340 מנהלי אבטחת מידע ומערכות מידע עולה כי הסיכוי שתסריט כזה יתרחש אינו נמוך כפי שאנחנו אולי מקווים שיהיה. אנחנו שומעים חדשות לבקרים עדויות לכשלי אבטחת מידע, בין היתר בחברות הגדולות ביותר. כך, למשל, פרשת דליפת התמונות מהענן של אפל (Apple), הפריצה לשרתי סוני (Sony) וגניבת פרטי לקוחות וכרטיסי אשראי ממנה, הידיעה כי נגנבו תוכניות כיפת ברזל ועוד רבים.

מהסקר עולות מספר נקודות שכל ארגון צריך לשאול את עצמו היכן הוא ביחס אליהן:

מחויבות הדירקטוריון לתחום אבטחת המידע ושמירת הפרטיות היא מפתח להצלחה ביישום מערכי ההגנה – בסקר נמצא כי בשלוש מתוך ארבע מועצות מנהלים יש את ההבנה והידע בתחום אבטחת המידע והמחויבות הדרושה לכך.

לארגונים אין ביטחון גבוה שיוכלו למנוע את התקפת הסייבר הבאה ולמנוע דליפת מידע – בעוד שיש להנהלה הבכירה מודעות גבוהה לתחום אבטחת המידע והצורך בביצוע פעולות לצמצום הסיכון, עדיין אין להן את הביטחון שהפעולות אשר בוצעו אכן ימנעו את התקפת הסייבר ודליפת המידע מארגונם. על כן, רואים את הצורך ביישום תהליכים להתמודדות עם אירועי אבטחת מידע שהתממשו (IR – ר"ת Incident response planning).

לא כל המידע שווה ברגישותו – ארגונים רבים יותר הגיעו למסקנה שלא ניתן לאבטח את כל המידע שלהם באותה רמת רגישות. זאת, על בסיס המסקנה אליה הגיעו לפיה לא כל המידע שווה ברגישותו ויש להגדיר את רמת הרגישות ולהשקיע יותר משאבים בהגנה על מידע שהוגדר כרגיש.

רבים מהארגונים עדיין לא מוכנים להתמודדות עם אירוע אבטחת מידע במידה שכזה יתרחש בהם – לארגונים רבים, יותר מ-40%, אין תוכנית להתמודדות עם אירוע סייבר או דליפת מידע ורק מחצית מאלה שיש להם תרגלו אותה בפועל, על מנת לבחון את תקינותה ואת תפקוד הצוות באירועים כאלה.

יש מגמת שיפור

מהסקר עולה עוד כי ארגונים מבינים את הצורך והחשיבות במדיניות אבטחת מידע כתובה ורק לאחד מתוך שלושה מהם אין מדיניות שכזו. ארגונים פועלים לעיגון המדיניות לא רק בגלל הצורך בשמירה על המידע, אלא גם עקב החשיפה המשפטית הקיימת לארגון.

נמצא שקיימת מגמת שיפור – ארגונים רבים דואגים יותר לכתיבת מדיניות סיווג מידע או נמצאים בתהליך כזה. המדיניות הזאת מסווגת את המידע הארגוני על פי רמות רגישות, כגון: רגיש, סודי או ציבורי.

כאמור, יותר מ-40% מהארגונים אינם ערוכים למקרה של כשל אבטחת מידע ולא ידעו לתת את המענה המיטבי כשכשל כזה יקרה. אלה ארגונים שאין ברשותם מדיניות ברורה של פעולה במקרה של התרחשות אירוע אבטחת מידע. נתון זה טופס חשיבות יתר לאור ריבוי מתקפות הסייבר המתרחשות בימים אלה.

המציאות מלמדת שלרוב, ניהול מערך אבטחת מידע מתבסס על טיפול נקודתי באירועים קיימים, והמשאבים הקיימים לפעילות מונעת מוגבלים. מסת המידע בארגונים גדלה מיום ליום וקיים קושי מאתגר למניעה ולטיפול מקיף בניהול אבטחת המידע. יש צורך ביישום מערכות ממוחשבות לניטור, הצפנה וניהול נתונים, כמו גם להערכת הסיכון, שתאפשר השקעת משאבים נכונה יותר במקום שאכן צריך זאת.

על פי חוקי הגנת פרטיות הנתונים, כמו HIPAA וחוק הגנת הפרטיות, חברות אחראיות על כל המידע שברשותן, כולל זה שהספקים שלהן או צדדים שלישיים נחשף אליו. אולם, עיון בנתוני המחקר מעלה שיותר משליש מהנשאלים אינם מודעים לקיום מערכת לניטור או כל אמצעי שבאמצעותו מפקחת החברה, וכן לאופן הטיפול במקרים בהם חלה הפרה של הסכמים בכל הקשור לניהול המידע על ידי צד שלישי. בפועל, ישנם פערים משמעותיים ומהותיים לארגונים בנושא הסכמי התקשרות עם ספקים, הצפנת נתונים, סיווג נתונים רגישים, יישום מדיניות אבטחת מידע והשמדת מידע ישן.

מה המצב בארץ?

ישראל ידועה במספר הסטארט-אפים המצויים בה ומפתחים פתרונות לתחומי אבטחת המידע והסייבר. אולם, נראה שהחברות בישראל פועלות על פי מדיניות של "יהיה בסדר" במקום להשקיע את הדרוש בגיבוש מדיניות וביצוע סקרי סיכונים בתחום. כשזה כבר נעשה, יש כאלה שיאמרו שזה לאט מדי ומעט מדי. כך, לדוגמה, מבדיקה שנערכה עולה כי רק לחצי מהחברות בישראל יש מדיניות אבטחת מידע כתובה, לעומת שליש ברחבי העולם, ויותר מ-70% מהן לא אוחזות בתוכנית לטיפול באירוע אבטחה. ללא הרגולציה בישראל למגזרי פעילות שונים, כגון ביטוח ובנקים, שם פורסמו חוזרים בנושא שעל הגופים המפוקחים לעמוד בהם, המצב היה גרוע אף יותר.

ארגונים שמבצעים סקרי סיכונים ומודעים לסיכונים הקיימים יכולים להיערך בצורה טובה יותר לאיומים בתחום אבטחת המידע והסייבר. ארגון שישכיל לפעול בתחום – הן באיתור הסיכונים והן ביישום פעולות אקטיביות לגילוי, מניעה והתמודדות עימם – יקטין משמעותית את חשיפתו בכלל ובפרט לתביעה משפטית. תביעה שכזו עלולה להיות מוגשת נגד הארגון בגין הכשל באבטחה אפקטיבית לשמירה על פרטיות המידע שמצוי אצלו.

הכותב הינו סגן נשיא האיגוד הישראלי לביקורת ואבטחת מערכות מידע ISACA ישראל, ושותף בחברת הייעוץ אלקלעי מונרוב AlMo