מאבטח אישי לכל קובץ

בתחילת השבוע פורסם בכלי התקשורת שחיילת בשירות סדיר נעצרה לאחר שבביתה נמצאו מסמכים מסווגים ממשרדי המועצה לביטחון לאומי, ובהם גם מסמכים בנושא האיראני. על פי החשד, החיילת העתיקה את המסמכים לדיסק-און-קי והעבירה אותם למחשב שלה. צה"ל, כמו הרבה ארגונים גדולים, ניצב בפני אחד מאתגרי האבטחה הגדולים ביותר: הגורם האנושי.

כאן עולה שאלה מרכזית, המהווה תת תחום בעולם האבטחה: מי הבעלים של המידע? בדרך כלל החלוקה היא כזאת: יש בעלים של הארגון, מישהו שקיבל סמכות; ישנו המשתמש, העובד שמבצע פעולות שונות על המידע הארגוני על פי הרשאות מראש; ויש את האדמיניסטרטור, זה שמגבה ומאחסן. התפיסה השלטת כיום היא של הפרדת רשויות, כאשר העובד הוא עצמאי בשטח ולכאורה, אם יש לו את ההרשאות הנכונות, הוא יכול לעשות ככל העולה על רוחו במידע. יש כמובן מנגנוני מעקב אבל הם מסורבלים ולא תמיד יעילים. ברחבי העולם הולכת ומתפשטת התפיסה שיש להפסיק את הפרדת רשויות הזו, בגלל שאלות של פרטיות העובדים, וחסמים נוספים.

החלום הרטוב של כל מנהל אבטחה הוא הצמדת "שומר ראש" סמוי לכל קובץ וכל פיסת מידע בארגון. שומר שלא ייתן לעובדים לבצע את המשימה שלהם באותו רגע וידאג שכל מי שצריך לדעת על ניסיון הפריצה למידע או העתקה לא חוקית יידע זאת בזמן אמת, וכך בעלי הסמכות באותו ארגון יפעלו בהתאם.

על הרעיון הזה חשבו לפני כמה שנים היזמים אלון סמע וצחי קאופמן, כאשר החלו לפתח את התוכנה שלהם – CXSENSE – שמהווה סוג של שומר אישי לדטה-בייס הארגוני. התוכנה יודעת לעקוב, לבקר ולשלוט על המידע הקריטי של הארגון – צבאי או אזרחי – בכל שלב ובכל מקום, במיוחד כאשר המידע נמצא מחוץ לגבולות הארגון. קאופמן, ה-CTO של החברה, אומר שבבסיס התפיסה שעמדה מאחורי פיתוח התוכנה נמצאת הקריטיות של הגורם האנושי בארגון, על כל הרגישויות שלו.

"גם במקרה של ענת קם וגם בסיפור החדש על החיילת – המעשים  בוצעו על ידי אנשים מורשים לכאורה, שעברו את כל הבדיקות, אבל בכל זאת הם יכלו לגרום נזק", אומר קאופמן. המערכת של החברה שלו, קוורטיקס, נועלת בצורה הרמטית את כל המידע הארגוני, כך שמי שיצליח להעתיק או להעביר אותו במייל, לא יצליח לפתוח את הקבצים, ובנוסף יתבצעו פעולות ניטור שגרתיות שיאפשרו למנהלי הארגון לאתר מיד את הפריצה.. מדובר בפיתוח ישראלי חדשני שככל הנראה לא קיים בעולם, ואף נרשמו עליו פטנטים.

קוורטיקס הוקמה ב-2007 ופעלה במשך כשנה כחממה במסגרת תוכנית המדען הראשי. ב-2008 יצאה לעצמאות והיא פועלת בעזרת השקעות של אנג'לים. מאחורי אלון סמע, המנכ"ל, וצחי קאופמן, שנים רבות של ניסיון בתחום הטכנולוגי. עד היום הושקעו בחברה 2 מיליון דולרים וכעת היא נמצאת בשלב הפיילוטים לשוק הישראלי, בטרם הפריצה לעולם הרחב. "מדובר בפתרון שקוף, מבוסס שרת-לקוח, כאשר עיקר הפעילות שלו מבוססת על מנוע חוקים, שהוא זה שקובע איך ועל מה להגן", מסביר קאופמן. "הנקודה המרכזית היא שאת החוקים האלו קובע בעל הארגון, וזו עוד נקודה ייחודית למוצר שלנו: אנחנו מחזירים את השליטה על המידע לבעליו, בעל הארגון, ולא חולקים את האחריות עם גורמים נוספים".

עד כאן הכל טוב ויפה, אבל גם קאופמן יודע שהמציאות היא הרבה יותר מסובכת, מורכבת מפסיפס של התרחשויות, והדבר האחרון שמנהל אבטחת מידע בארגון רוצה להיות הוא השוטר הרע או זה שרודף אחרי עבריינים. ולכן נכנס כאן עניין החוקים וההרשאות שנכתבים על ידי הארגון: "בטרם אנו מטמיעים את המערכת, מתבצעת עבודה משותפת שלנו ושל הארגון שלומדת את הארגון, עוקבת אחרי התהליכים ומכינה למעשה את התשתית לאותו מנוע חוקים", אומר קאופמן, "ההטמעה תמיד תהיה בהדרגתיות, במחלקות קטנות. העובדים מקבלים הסברים. כאשר המערכת מאתרת פעולה זו או אחרת הם מיודעים בצורה מנומסת ועדינה או בכל דרך אחרת שהארגון יבחר", מסביר קאופמן. לדבריו, "כבר מהשלב הראשון העובד יודע שהוא לא יכול לעשות עם המידע כל מה שהוא רוצה ומן הסתם הוא נזהר יותר".

המערכת יודעת גם לטפל ביחסים שבין ארגונים ללקוחות, ספקים וגורמי חוץ אחרים שמטבע הדברים מורשים לגשת לדטה-בייס הארגוני אבל אפשר להגביל אותם במה הם יכולים לראות ומה לא.

קאופמן וסמע מודים שאין מדובר במוצר זול. ארגון שיחליט להטמיע את המערכת יצטרך להיפרד מעשרות אלפי דולרים, אולם מול הסיכונים והנזקים הפוטנציאלים שבדליפת מידע, על אחת כמה וכמה מידע רגיש בגופים ביטחוניים, נראה שלא יהיה קשה לשכנע את בעלי המידע לצרף לשורותיהם מאבטח אישי סמוי לכל פיסת מידע שהם מייצרים.