שי בליצבלאו, מגלן: "אין סגירה הרמטית של מערכות IT בארגונים"

"כדי להתמודד עם הסכנה לדליפת מידע פותחו שיטות רבות להגנה על מסמכים מסווגים ורגישים. אולם, בסופו של יום, ההאקרים לסוגיהם הצליחו לפתח שיטות עקיפה לשתי הטכנולוגיות העיקריות – למניעת דליפת מידע ולהגנה על תחנות הקצה. מחקרים שערכנו הוכיחו אין ספור פעמים, כי לשתי טכנולוגיות ההגנה הללו אין סגירה הרמטית של מערכת ה-IT, והן לא מספקות", כך אמר שי בליצבלאו, מנכ"ל מגלן טכנולוגיות הגנת מידע, בראיון לאנשים ומחשבים.

"המקרה של ויקיליקס (Wikileaks) מזכיר את מקרה ענת קם בישראל", הוסיף. "בשני המקרים ההתחלה דומה: גניבת כמות אדירה של מסמכים דיגיטליים והעברתם לגורם אחר. למזלה של ישראל, ענת קם בחרה להעביר את החומר לעיתונאי ולא להעלות אותו לאתר אינטרנט ציבורי". לדבריו, "דליפת חומרים מסווגים, כפי שקרתה בפרשות ויקיליקס וענת קם, יכולה להתרחש בכל גוף, ולגרום לנזקים מגוונים לארגונים. גופים עסקיים צריכים ללמוד מפרשת הדליפה לוויקיליקס כיצד להגן על המידע הרגיש שלהם. מדובר על איומים המוכרים למומחי אבטחת המידע בעולם זה יותר מעשור".

מהן שיטות ההגנה המקובלות להגנה על מסמכים מסווגים?

"לצד טכנולוגיות ההגנה של מוצרי DLP – מניעת דליפת מידע, ומוצרי EPS – להגנה על תחנות הקצה, יש עוד הרבה מה לעשות. מערכות ההגנה למסמכים בפורמט PDF, פאואר פוינט (Power Point), וורד (Word) או אקסל (Excel) שמצויות בסביבות ביטחוניות או מסחריות רגישות חייבות במנגנוני הגנה נוספים. לדוגמה, בהיבט של זיהוי ואימות, דרושה שורת נהלים: כל גישה פיזית או לוגית לסביבה המכילה מידע ונתונים רגישים ומסווגים מחייבת ברישום Log; יש ליצור דו"חות מעקב מפורטים; יש לבצע זיהוי והרשאות גישה פיזיים למתקן ולמשרד, לצד זיהוי והרשאות גישה לוגיים למחשב ולמידע הרגיש והמסווג.

בנוסף, חלה חובה על זיהוי משתמש באופן חד ערכי באחת משלוש השיטות הבאות: כרטיס חכם משולב עם הקשת קוד אישי מזהה; מפתח זיהוי המכיל בתוכו תעודה מזהה, משולב עם הקשת קוד אישי מזהה; או זיהוי ביומטרי עם הקשת קוד אישי מזהה. בכל המקרים, האימות יבוצע מול מחשב מרכזי ולא ברמת תחנת המשתמש. עוד יש להנחות, כי במחשב שאינו פעיל יותר מחמש דקות רצופות, יופעלו אוטומטית שומר ונעילת מסך. הפתיחה תחייב הקשת סיסמת גישה אישית בשילוב אמצעי הזיהוי האישי. בנוסף, יש לוודא שקיים מנגנון ניתוקים משני לנעילת מסך המחשב".

ומה לגבי הפצת מידע ומסמכים?

"הפצה של מסמכים צריכה להיות אך ורק בפורמט PDF מוגן, קרי: ללא הרשאות כלל, למעט הרשאת הדפסה. אין להפיץ מסמכים בפורמטים אחרים. בנוסף, יש לוודא רישום של ההדפסות וכן שמסמך שיוגדר מראש ברמת סיווג גבוהה במיוחד יחייב הקשת סיסמת פתיחה או שימוש באחד מאמצעי הזיהוי. הפצה של מסמכים תתבצע על בסיס מנגנון מוגבל ומוגדר מראש, דוגמת רשימת נמענים קבועה, אימות כתובת דואר אלקטרוני – גם ברשת פנימית – טרם שליחת החומר, וכן שימוש בשרתי הפצה על בסיס תקשורת מאובטחת ומוצפנת. יש להקפיד שמשלוח של חומר מסחרי רגיש, במיוחד באינטרנט, יבוצע תמיד באופן מוצפן, באמצעות תוכנה מסחרית העושה שימוש באלגוריתם הצפנה בחוזק מינימלי".

כיצד יבוצעו הניטור והמעקב אחר השימוש במסמכים?

"מסמכים מסווגים מסחרית או ביטחונית יכילו מנגנון דיווח על הימצאותם. המנגנון יוטמע באופן אינטגרלי בתוך תוכנת העריכה ויופעל באופן שקוף למשתמש עם ביצוע פעולת השמירה. הוא ידווח לשרת מרכזי את שם המסמך, נתוניו, מזהה מחשב, כתובת IP ושם משתמש פעיל במחשב, וכן יציג התראה בזמן אמת, אם הנתונים שדווחו הם חריגים. המסמכים גם יכילו מנגנון רישום LUL (ר"ת Local Usage Log), שייווצר מקומית על מחשב העבודה שבהם אלה נפתחו. ה-LUL יהיה מוסתר, בפורמט מוצפן ומוגן, ויאפשר חקירה לאחור במקרה של דליפת מידע.

עוד נדרש להטמיע מנגנון פעולות מורשות Authorized action mechanism. המנגנון יאפשר לקבוע סט חוקים והגדרות מוקדמות לשימוש בכל מסמך. כל הנהלים הללו מחייבים מנגנון דיווח בזמן אמת, מבוסס תקשורת פסיבית מתקדמת, שיכולה לפעול בערוצים שונים, בהתאם לסביבה שבה מופעל הקובץ. המידע ייאסף בבסיס נתונים המתעדכן בזמן אמת ויכלול מנגנון התראות בהתאם לדרגת האירוע. בסיס המידע יאפשר חקירה לאחור, והמידע יועבר לבסיס מרכז התראות מרכזי (SOC), המאויש 24 שעות ביממה".

אילו צעדים יכול לנקוט בעל עסק קטן כדי להגן על עצמו מפני חשיפת מידע פנים ארגוני?

"ארגוני SMB יכולים לעשות מגוון פעולות: הרשאות גישה למידע, אפילו ברמת המחשב הבודד – דבר שיכול להיעשות אפילו אם מדובר בעסק ממש קטן וללא שרתים; בדיקת ביטחון לעובדים בהליך הקליטה – דבר שיש המון חברות בשוק האזרחי שעושות אותו; הצפנת מידע בספריות לפי משתמש; ובחינת איומים וסיכונים ברשתות מידע. ההיבט החשוב מכל הוא ביצוע בדיקות חדירה מבוקרות על ידי מומחים המבצעים סימולציות ברמות תוקף האיום הרלוונטי".

מה לגבי הצפנת מיילים אישיים?

"ההצפנה של מייל ברמה הביתית היא פשוטה, אוטומטית ושקופה למשתמש לאחר התקנת התוכנה. מדובר בהתקנה פשוטה ביותר. לפעולה שכזו אין השלכות ביטחוניות מהותיות וכן אין משמעות מבחינת עומס תעבורה, כי ה-'תוספת' של ההצפנה היא זניחה.

מדובר בדרך פעולה שבעתיד כולם יאמצו לעצמם כתקן, כפי שכיום, אנטי-וירוס נחשב לדבר ברמת הבסיס והוא טריוויאלי, בעוד שלפני עשר שנים הדבר היה שונה. בני בן התשע מצפין דואר אלקטרוני כהליך שבשגרה. זה הליך פשוט, יעיל ובעיקר מוגן".