הילה מלר, CA: "מנהלי אבטחת מידע הולכים ומשתלבים בליבת העסקים של החברה"

"שוק אבטחת המידע משתנה ורואים יותר ויותר מנהלי אבטחת מידע משתלבים בליבה העסקית של החברה, בפרויקטים שהיא מבצעת. הם מתקרבים לצד של הלקוחות ומבינים שאבטחת מידע לא יכולה לפגוע בחוויית המשתמש ולא יכולה לגרום לאיטיות. הם חייבים לספק אבטחת מידע במהירות החדשנות העסקית של הארגון", כך אמרה הילה מלר, מנהלת האסטרטגיה של CA באירופה לתחום אבטחת המידע.

מלר דיברה בכנס infosec 2014 של אנשים ומחשבים, שנערך ביום ה' האחרון במרכז הכנסים אבניו בקריית שדה התעופה. השתתפו בכנס מאות מומחים ואנשי אבטחת מידע והנחה אותו פלי הנמר, יזם ומנהיג אנשים ומחשבים.

לדבריה, "אנשי אבטחת המידע צריכים פתאום לדבר בשפה אחרת, במונחים עסקיים. השינוי הזה מחייב את מנהלי אבטחת המידע להיות מכוונים יותר לצדדים העסקיים ופחות לצדדים האופרטיביים הטכניים של עולם אבטחת המידע".

היא עמדה על פן נוסף בו מרגישים, לדבריה, שינוי בשוק, בכל הקשור לאבטחת מידע. "זהות המשתמש נהיית מרכיב חשוב במעגלי אבטחת המידע, מאחר שהארגונים מחויבים, בגלל צרכים עסקיים ותחרותיים, להיפתח לעולם החיצון, לענן, למוביליטי, ל-BYOD, לרשתות החברתיות", אמרה מלר. "כשעובדים בארגון פתוח, זהות המשתמש היא מרכיב האבטחה המרכזי. פיירוולים פחות חשובים והגנה על תחנות קצה פחות חשובה, כי רוצים לאפשר למשתמשים את הכול".

"מרכיב חשוב בשרשרת אבטחת המידע הוא לדעת מי המשתמש ומה הרקע שלו", הוסיפה. "ניתן לקבל בעזרת הידע הזה החלטות מושכלות, למשל האם לפתוח או לסגור גישה, או באיזו רמה לספק אותה".

מלר דיברה גם על האינטרנט של הדברים וציינה ש-"מדובר בדבר חדש שעלינו להתכונן אליו. אנחנו, ב-CA, כבר לא מסתכלים רק על משתמשים אנושיים אלא גם רואים שחלק גדול מזרימת המידע מגיע מ-API, כלומר – מרכיבים חכמים שמתחברים לרשת. בעולם הזה אי אפשר לבנות אסטרטגית אבטחת מידע כוללת שמתייחסת רק לצד האנושי של הסיפור, חייבים לכסות גם את ה-API".

"קיימות טכנולוגיות שיודעות לנהל ולאבטח מפניו", אמרה. "ל-CA, לדוגמה, יש מוצר שיודע לנתח את כל תעבורת ה-API בארגון, שמאפשר לטפל בהרשאות הגישה ובכך למנוע סיכונים שקשורים לחשיפת הארגון החוצה באמצעות API."

המקרה של Target
ישי ורטהיימר, דירקטור אבטחת מידע ב-KPMG סומך חייקין, סיפר על אירוע חמור בתחום שהתרחש בארצות הברית בסוף השנה שעברה: האקרים נכנסו למחשב של חברה קטנה המספקת מקררים לכמה מסניפי רשת המרכולים הענקית Target והצליחו דרכם להגיע לסיסמאות גישה לרשת עצמה. באמצעות הסיסמאות הללו הם התחברו לקופות ומשכו בזמן אמת כל את נתוני הפס המגנטי בכל העברה של כרטיס אשראי שבוצעה בהן. בדרך זו הם גנבו 40 מיליון פסים מגנטיים שאפשרו לשכפל את הכרטיסים. לאחר מכן הם מכרו את אותם הכרטיסים ברשת והרוכשים יכולים היו לצאת למסעות קניות על חשבון הלקוח או, אם הוא שם לב לבעיה, על חשבון חברת כרטיסי האשראי.

יצוין כי בנוסף ל-40 מיליון הכרטיסים נגנבו באותה הפריצה 70 מיליון פרטים אישיים של לקוחות Target. לדברי ורטהיימר, "מלבד היקף הפריצה, מה שחמור במקרה הזה הוא שחברת אבטחת המידע זיהתה שיש בעיה, אך המנהלים לא התייחסו לכך, רק לאחר כחודש, כשמומחי הונאות בחנו את הנתונים ולאחר שאחד מהם הדליף זאת לבלוגר, החברה החלה להגיב, אך זה היה כבר מאוחר מדי".

"האם הפריצה הייתה מתוחכמת?", שאל והשיב: "תלוי את מי שואלים. אנשי אבטחת מידע יאמרו שזו פריצה בנאלית, אבל היא הוכיחה שוב שמתקפה ממוקדת מצליחה".

לדבריו, "המסקנה מהמקרה הזה היא שכמו שהבנקים מגנים על הכספומטים שלהם, סוחרים חייבים לאבטח את נקודות הקצה שלהם. אם זה היה קורה, לא הייתה בעיה. זה לא קורה מאחר שמדובר בהוצאה גדולה לאותם סוחרים ומאחר שאם מישהו משלם להם בכרטיס אשראי גנוב – לא הם נושאים בנזק אלא חברת האשראי, ולכן אין שום סיבה שהם יוציאו כסף.  כאן צריך להיכנס הרגולטור ולחייב אותם לעשות זאת".

לסיכום, אמר ורטהיימר, "המקרה של Target מוכיח כי ההנהלה חייבת לקבל תמונה אמינה של סיכוני אבטחת המידע ושכדאי להתייחס לנושא ברצינות. בנוסף, לפעמים עדיף פשוט לא להחזיק מידע מסוכן, כגון מספרים של כרטיסי אשראי".