שי זנדני, נשיא ISACA ישראל ומנכ"ל סייטג'יק: "למרות מתקפות הסייבר – אסור לשכוח את גורם האיום הפנימי"
זנדני מנה כמה דרכים להתמודדות עם הסכנות שטומן איום פנימי שכזה ● רוב הדרכים הללו קשורות לבקרות, שחשיבותן עלתה, בעיקר מול מתקפות סייבר פנימיות, ולנהלי עבודה מוקפדים יותר במספר רמות ארגוניות
"גניבת נתוני כרטיסי אשראי הפכה למגמה ברחבי העולם במהלך השנים האחרונות", כך אמר שי זנדני, נשיא ISACA ישראל ומנכ"ל סייטג'יק. הוא אמר את הדברים בעקבות פרשת הגניבה וניסיון הסחיטה לכאורה מלאומי קארד.
"אחת השיטות הנפוצות ביותר לגניבת כרטיסי אשראי", סיפר זנדני, "היא שימוש ב-POS Malware – תוכנה זדונית שיושבת על נקודת המכירה בחנות ומשכפלת נתוני כרטיסים בעת סליקתם. מגמה מובילה אחרת היא PII-Theft – גניבת פרטי זיהוי בלעדיים של אנשים. לאחר גניבת הנתונים, ההאקרים הפיננסיים לרוב מציעים אותם למכירה בפורומים ושווקים שחורים, כאשר פרט זיהוי פשוט (שם מלא, מספר תעודת זהות וכו') נסחר תמורת כמה עשרות סנטים וכרטיס אשראי או פרטי חשבון בנק שווים כמה עשרות דולרים. כשמדובר במיליוני פריטים שכאלה, שנגנבו בשנה האחרונה, הרווח להאקרים יכול להסתכם במאות מיליוני דולרים. פריטים אלה, כשהם חשופים בידיים זרות, יכולים לשמש פושעים פיננסיים לביצוע הונאת כרטיסי אשראי, הונאת בנק ולמשיכת מזומן מחשבונות".
כעת גם ישראל הצטרפה למגמה העולמית: על פי החשד, עובד לשעבר בחברת לאומי קארד גנב ממאגרי המידע שלה פרטים של כשני מיליון כרטיסי אשראי, ודרש מהחברה תשלום כופר של מיליוני דולרים, אחרת ידליף את המידע לרשת. זנדני מדגיש כי "הדבר מדגים את החשיבות של זיהוי ותיעדוף איומי הסייבר של חברות: גופים רבים נערכים למתקפה מבחוץ, אך לא נערכים מספיק לתרחיש בו גורם פנימי מוציא את המידע החוצה. הסיבה לכך – מקורה בעובדה שבבואנו לבחון את האיומים והתוקפים הפוטנציאליים השונים על הנכסים של הארגון, ניתן לצייר תמונה ברורה ומלאה יותר אודות תוקפים חיצוניים והכלים בהם הם יכולים להשתמש. התמונה שונה בתכלית כשמדובר בתוקף פנימי, אשר מעצם היותו מתוך הארגון מהווה פוטנציאל נזק גבוה לעין ערוך, עקב החשיפה הרבה והבלתי אמצעית שלו לרשתות, מערכות ונכסי הארגון".
באשר להתמודדות עם הסכנות שטומן איום פנימי שכזה מפרט זנדני כמה דרכים להתמודד. רובן קשורות לבקרות, שחשיבותן עלתה, בעיקר מול התקפות סייבר פנימיות, ולנהלי עבודה מוקפדים יותר במספר רמות ארגוניות: "ראשית, ברמת הגיוס ושימור העובדים, חברה צריכה להציב קריטריונים ברורים וגבוהים, ולהעמיד את המועמדים לעבודה במבחנים משמעותיים כדי לעמוד על קנקנם, אך גם לשמר תהליכים אלה לאורך חיי העובד בתוך הארגון, שהרי גם חייהם של העובדים משתנים, לאורך זמן, כולל – פיתויים, צרכים כספיים, ומירמור המתפתח תוך כדי העבודה בארגון לעיתים לאורך שנים".
שנית מציין זנדני: "ברמת נהלי ובקרות אבטחת המידע, גופים צריכים להגיע להכרה שסיכוני סייבר קיימים גם בתוך החברה ולא רק מחוצה לה, ולגבש נהלים מתאימים. בין היתר הם צריכים לקבוע מיהם בעלי התפקידים שיהיו חשופים למאגרי המידע, ולאילו שכבות מידע (הפרדת סמכויות – Segregation of Duties), כיצד מזדהים העובד החשופים למידע והאם ישנם כלי ניטור ובקרה שיזהו פעולות לא שגרתיות (Anomalies Detections) שמבצעים עובדים, וחורגות מקריטריונים ונהלי העבודה השוטפים".
לסיום, הוא מדגיש כי "על חברות לבצע התאמות של סביבה העבודה הפיסית כמו למשל להקשיח מחשבי קצה ולמנוע אפשרות של חיבור התקנים חיצוניים, ולהקפיד על נהלים ברורים של ביטול זכויות פריוילגיות לעובדים שעזבו – ובמיוחד אלה שפוטרו"
תגובות
(0)