איך שומרים על רמת אבטחה גבוהה – וגם על הפרטיות?
מאת: גון קמני, מנהל חטיבת אבטחת המידע והסייבר בווי אנקור מקבוצת חילן
בזמן האחרון מדובר רבות על הממשק הטבעי הקיים בין אבטחת מידע להגנת הפרטיות. תקנות ה-GDPR האירופיות החדשות, שייכנסו לתוקף בעוד שלושה ימים (ב-25 במאי), מגדירות רגולציה מקיפה, שעניינה הגנת הפרטיות. יחד עם זאת, כשפורטים את הדרישות לפרטים טכניים ולצורת יישום, רבות מהן נענות על ידי מערכות ותהליכים שבמהותם שייכים לעולם אבטחת המידע. למשל, הגנה מפני גישה לא מורשית לנתוני לקוחות – חלק מהמענה יינתן בתצורת פיתוח מאובטח.
תומר גרשוני, מנהל אבטחת המידע במוצרי מיקרו פוקוס (Microfocus), שווי אנקור היא שותפה מובילה שלה, הסביר בכנס InfoSec 2018 של אנשים ומחשבים, שהתקיים באחרונה, על תהליך הפיתוח המאובטח משלב התכנון ועד ליישום המלא. מדובר בתהליך המבוסס על Privacy by Design. זהו תהליך מובנה, שכולל שבעה שלבים של טיפול מול הארגון, שמבטיחים פיתוח מערכות ומוצרים, שבהם הגנת הפרטיות טבועה ומשולבת באופן טבעי ואינטגרלי. התהליך מזכיר את תהליכי הפיתוח המאובטח (SDLC), אך הדגש הניתן הוא, כאמור, על שמירה על פרטיות פרטי הלקוחות שבהם המערכת מיועדת לטפל.
ברצוני להסביר על הקשר בין אבטחת המידע והסייבר לדרישות הגנת הפרטיות. לא רבות מדובר בכך, אולם אחד התוצרים הנלווים של היכולת לספק בטחון ואבטחה הוא פגיעה מסוימת בפרטיות. ניתן לראות זאת, לדוגמה, בתהליך הסטנדרטי ביותר של הזדהות באתר אינטרנט מאובטח. על מנת לזהות בוודאות מרבית את המשתמש, בעלי האתר יעדיפו לדעת עליו מבעוד מועד פרטים ונתונים רבים ככל שניתן. מאידך, בהיבטי הגנת הפרטיות, יעדיף המשתמש שלבעלי האתר לא יהיה כלל מידע פרטי לגביו, או לחלופין, שיישמר מינימום המידע הנדרש לשם זיהוי מאובטח. מעניין בהקשר זה לבחון את התפתחות השימוש בביומטריה, שהיא אחד האלמנטים השנויים במחלוקת בעולם ההזדהות המאובטחת.
בעידן המידע, שבו אנחנו נמצאים, נוצרות כמויות אדירות של נתונים וכן פריטי מידע חדישים, שלא היו קיימים בעבר. למשל, מידע ממחשבי רכב – להיכן נסעתי, מה המוזיקה ששמעתי בדרך, כמה זמן עצרתי בכל מקום וכדומה, או מידע מאפליקציות בטלפון הסלולרי – מיילים, אנשי קשר, פרטי בנק ועוד ועוד.
מערכת ArcSight SIEM
מערכות מרכזיות לניהול אירועי אבטחה ומערכות תגובה לאירועים, כגון ArcSight SIEM החדישה, מאפשרות למנהלי הגנת הפרטיות (בארגונים המעטים שבהם אויש תפקיד זה) ולמנהלי האבטחה לבקר, למפות, לעקוב ובהתאם לכך גם להגביל ולדווח לגבי כל גישה או פעולה בכל פריט מידע של לקוחות הארגון. המודולים החדשים של מערכת ArcSight מאפשרים הצפנה של המידע המאוחסן במערכת, מאפשרים ביצוע פעולות אנליטיקה וחיפוש מתקדם, וכן יכולת איתור התנהגות חריגה בכל הקשור לגישה לנתוני לקוחות.
תהליך ההגעה לרמת אבטחה גבוהה מחייב טיפול במגוון רחב מאוד של מערכות, תהליכים ואנשים. לצורך כך הרחיבה באחרונה חטיבת אבטחת המידע והסייבר של ווי-אנקור את פעילותה והיא מספקת מגוון מערכות אבטחת ענן, מערכות הגנה על תחנות קצה ועוד. שילוב מספר מערכות שנותנות מענה לתהליכים ארגוניים שונים מאפשר צמצום החשיפות הקיימות למידע הלקוחות הרגיש שבידי הארגון ומאפשר בקרה, הגבלה וניטור.
אסיים בציטוט של שריג-צור, מנכ"ל ווי-אנקור: "בעידן שבו מייסד ווטסאפ (WhatsApp) פורש מפייסבוק (Facebook) במחאה על הטיפול בפרטי המשתמשים, נקל להבין שיש התפתחות משמעותית באופן שבו מתייחסים למידע הפרטי של המשתמשים והלקוחות, וכן באבחנת ובהגדרת מהות וסוג המידע הפרטי. מגוון היצרנים, שותפינו לפעילות התשתיות והאבטחה, מספקים פתרונות מתקדמים בתחום זה, כגון מנגנוני הגנת הפרטיות בפתרונות הגיבוי של מערכות קומוולט (Commvault)".