שי בליצבלאו, מנכ"ל מגלן: "גופים עסקיים צריכים ללמוד מפרשת ענת קם כיצד להגן על מידע רגיש"

"גופים עסקיים צריכים ללמוד מפרשת ענת קם כיצד להגן על המידע המסחרי הסודי שלהם", כך אמר שי בליצבלאו, מנכ"ל מגלן טכנולוגיות הגנת מידע, בראיון לאנשים ומחשבים. בעקבות חשיפת הפרשה ביום ה' האחרון, ערכו מומחי החברה דיון, בו נבחנו שיטות ההגנה על מסמכים מסווגים או רגישים בקרב לקוחותיהם, ההסתברות לדליפת מידע, וסוגיות הקשורות להערכת איומים.

"קיים איום לדליפת מידע של מסמכים ברמת סיווג מסחרית או ביטחונית גבוהה, בשל שימוש ברכיבים נתיקים", אמר בליצבלאו, "זה יכול להיעשות על ידי צריבה בלתי מורשית; צריבת מידע שלא במודע; שימוש בהתקני זיכרון ניידים; או על ידי עקיפת מערכות הגנה מפני נתיקים. איומים שכאלה מוכרים למומחי אבטחת המידע יותר מ-15 שנים, והם הפכו לאיום ממשי לפני כעשור".

מהו המענה לאיומים אלה?
"מערכות ההגנה המסחריות, המוטמעות גם בסביבות ביטחוניות או מסחריות-רגישות, נסמכות על שתי טכנולוגיות הגנה: מוצרי DLP – מניעת דליפת מידע, ומוצרי EPS – הגנה על תחנות הקצה. לשתי טכנולוגיות ההגנה הללו פותחו עשרות מוצרים מסחריים של חברות בשוק מוצרי אבטחת המידע, ובמקביל לשתי הטכנולוגיות הללו התפתחו שיטות עקיפה". לדברי בליצבלאו, מחקרים שערכו אנשי מגלן הוכיחו פעמים אין ספור, כי לשתי טכנולוגיות ההגנה אין סגירה הרמטית של מערכת ה-IT, והן לא מספקות.

בליצבלאו הסביר, כי מערכות ההגנה למסמכים בפורמט PDF, פאואר פוינט (Power Point), וורד (Word) או אקסל (Excell), המצויות בסביבות ביטחוניות או מסחריות רגישות, חייבות במנגנוני הגנה נוספים. כך, בהיבט זיהוי והרשאות גישה, דרושה שורת נהלים: כל גישה פיזית או לוגית לסביבה המכילה מידע ונתונים רגישים או מסווגים מחייבת ברישום Log; דו"חות מעקב מפורטים; זיהוי והרשאות גישה פיזיות למתקן ולמשרד; וזיהוי והרשאות גישה לוגיות למחשב ולמידע הרגיש או המסווג. בנוסף, חלה חובה על זיהוי משתמש באופן חד-ערכי באחת משלוש השיטות הבאות: כרטיס חכם משולב עם הקשת קוד אישי מזהה; מפתח זיהוי המכיל בתוכו תעודה מזהה, משולב עם הקשת קוד אישי מזהה; או זיהוי ביומטרי עם הקשת קוד אישי מזהה. בכל המקרים, האימות יבוצע מול מחשב מרכזי, ולא ברמת תחנת המשתמש. עוד יש להנחות, כי במחשב שאינו פעיל יותר מחמש דקות רצופות, יופעלו אוטומטית שומר ונעילת מסך. הפתיחה תחייב הקשת סיסמת גישה אישית בשילוב אמצעי הזיהוי האישי. בנוסף, יש לוודא, כי קיים מנגנון ניתוקים משני לנעילת מסך המחשב".

מה לגבי הפצת מידע ומסמכים?
"הפצה של מסמכים צריכה להיות אך ורק בפורמט PDF מוגן, קרי ללא הרשאות כלל – למעט הרשאת הדפסה. אין להפיץ מסמכים בפורמטים אחרים. בנוסף, יש לוודא רישום של ההדפסות, וכן שמסמך אשר יוגדר מראש ברמת סיווג גבוהה במיוחד, יחייב הקשת סיסמת פתיחה או שימוש באחד מאמצעי הזיהוי. הפצה של מסמכים תתבצע על בסיס מנגנון מוגבל ומוגדר מראש, דוגמת רשימת נמענים קבועה, אימות כתובת דואר אלקטרוני – גם ברשת פנימית – טרם שליחת החומר, וכן שימוש בשרתי הפצה על בסיס תקשורת מאובטחת ומוצפנת. יש להקפיד שמשלוח של חומר מסחרי רגיש במיוחד ברשת האינטרנט, יבוצע תמיד באופן מוצפן, באמצעות תוכנה מסחרית העושה שימוש באלגוריתם הצפנה בחוזק מינימלי".

כיצד ניתן לנטר ולעקוב אחר השימוש במסמכים?
"מסמכים מסווגים מסחרית או ביטחונית יכילו מנגנון דיווח על הימצאותם. המנגנון יוטמע באופן אינטגרלי בתוך תוכנת העריכה, ויופעל באופן שקוף למשתמש עם ביצוע פעולת השמירה. הוא ידווח לשרת מרכזי את שם המסמך, נתוניו, מזהה מחשב, כתובת IP, שם משתמש פעיל במחשב, וכן יציג התראה בזמן אמת אם הנתונים שדווחו הם חריגים". המסמכים גם יכילו מנגנון רישום Local Usage Log, שייווצר מקומית על מחשב העבודה בהם נפתחו. ה-LUL יהיה מוסתר, בפורמט מוצפן ומוגן, ויאפשר חקירה לאחור במקרה של דליפת מידע. עוד נדרש להטמיע מנגנון פעולות מורשות, Authorized action mechanism. המנגנון יאפשר לקבוע סט חוקים והגדרות מוקדמות לשימוש בכל מסמך".

"כל הנהלים הללו", סיכם בליצבלאו, "מחייבים מנגנון דיווח בזמן אמת, מבוסס תקשורת פסיבית מתקדמת, היכולה לפעול בערוצים שונים בהתאם לסביבה בו מופעל הקובץ. המידע ייאסף בבסיס נתונים המתעדכן בזמן אמת, ויכלול מנגנון התראות בהתאם לדרגת האירוע. בסיס המידע יאפשר חקירה לאחור, והמידע יועבר לבסיס מרכז התראות מרכזי (SOC) המאויש 24 שעות ביממה".

קצין ביטחון מידע בעבר; המשמש כיום כאיש אבטחת מידע במגזר האזרחי, אמר לאנשים ומחשבים, כי "המקרה של ענת קם מלמד על הצורך והחשיבות בביצוע בדיקות ביטחון חוזרות לאוכלוסיה צעירה, בדיקות שהיום אינן מבוצעת בעיקר בשל בעיות תקציביות. לדעתי זו טעות, שכן במקרה זה, אם היו עושים לה בדיקת ביטחון חוזרת, היו מגלים את הנדרש לגלות אודותיה".

בהיבט הטכנולוגי, אמר הקצין במיל', כי "בגלל בעיות תקציביות, אנו לא מנטרים מספיק את מערכות ה-IT שלנו, עד לרמה של תחנות הקצה. אם הדבר היה נעשה, ניתן היה לגלות את מכלול פעילותה של ענת קם. אין ספק שבתפקידים רגישים בצבא ובמערכות רגישות יש חשיבות רבה לכך. המקרה הזה שוב הוכיח, כי האיום הפנימי הוא החמור מכל".