מצעד האיוולת: 10 כשלי אבטחה בתעשייה
עובד הניקיון ש"ניקה" את המידע, האורח שנכנס "בטעות" למשרד הלא נכון ומנהל המכירות שפרופיל הרשת החברתית שלו הסגיר פרט אחד יותר מדי - מחקר חדש קובע כי ב-2009 עלתה המוטיבציה של חברות לגנוב מידע מהמתחרים. בעלי עסק? 10 עצות שיעזרו לכם לשמור על המידע קרוב אליכם
במהלך 2009 אירעו מספר מקרים בהם זלג/נגנב מידע רגיש מחברות תעשייתיות וארגונים, מרביתם לא הגיעו לכדי פרסום בכלי התקשורת. לצד זאת, גם נרשמה עליה במוטיבציה לגניבת מידע מחברות, בעיקר לצרכי גניבת זהות אך גם למטרות ריגול תעשייתי וגרימת נזק למוניטין של מתחרים.
חלק מהחברות אשר מצבן הפיננסי הורע בשל המשבר, בחרו לרגל אחר חברות מתחרות, על מנת להתמודד עם תקציבי המחקר שלהן שקטנו באופן משמעותי ועם התחרות שהלכה וגברה בין החברות בשל הקיטון בביקושים. המציאות מלמדת, שהמודעות הגוברת לנושא האבטחה הפיזית והחשש מפני ריגול תעשייתי הביאו חברות להשקיע מיליוני שקלים בשנים האחרונות בנושא, אולם, כפי שנמצא, אין בכך די - יש גם הכרח לאכוף את נהלי האבטחה. לפניכם מספר כשלי אבטחה בחברות תעשייתיות בשנה שחלפה.
מפתחות למשרדי החברה מחולקים ללא כל בקרה:
עובדים מחזיקים באמתחתם מפתחות למשרדי החברה, על אף שלעתים אין בכך כל צורך. היעדר פיקוח על הנושא מאפשר לעובדים בעלי כוונות זדון, להיכנס לחדרים שמאוחסן בהם מידע רגיש, להעתיקו מבלי שאיש יידע על כך ולהעבירו למתחרים, תוך יצירת נזק רב לארגון.
דווקא בחדרים הרגישים, לא הותקן מזהה ביומטרי:
ארגונים רבים הפנימו את הצורך בהכנסת קוד זיהוי ביומטרי שמונע את כניסתם של גורמים לא רצויים לחדר בו מאוחסן מידע רגיש. חרף זאת, במקרים מסוימים, נמצא כי דווקא בחדרים שמטבעם מכילים מידע בעל ערך, לא הותקן קוד זיהוי ביומטרי, עובדה שגם היא תורמת לזליגה של מידע רגיש באמצעות כניסה ללא הרשאה של אחד העובדים או של גורם זר.
עובד הניקיון "ניקה" את המידע:
גניבת מידע מחברות היה יכול להימנע לו היו מבצעים תחקיר או תדרוך בטחוני לעובד או עובדת הניקיון, שצוידו מטבע הדברים בהרשאה מתאימה להיכנס לחדרים שמכילים מידע רגיש. אנשי הניקיון סמכו על כך כי איש לא ישהה בחדר במהלך ביצוע עבודת הניקיון, וכך למשל, מתאפשר לו להעתיק מידע בעל ערך שנמצא על השולחן.
לא תלווה את האורח עד הדלת?
בחלק ממקרים שארעו בשנה החולפת, לא הוקפד על דיווח או על הודעה מראש על אורחים שהגיעו לביקורים בחברה. כמו כן, לא התבצע ליווי של האורח עד ליעדו. במקרים אלה, ה"אורח", שהגיע למטרה של גניבת מידע, סומך על כך שיתקיימו כשלים נוספים במערך האבטחה שאפשרו לו באין מפריע, לשאת עימו מידע אל מחוץ לגבולות החברה.
הש"ג אשם?
שהות במשרדי החברה ללא אישור ופיקוח מזיקה לחברה, הן בהיבט הפיזי של גניבה והן בהיבט של ריגול מסחרי. בחלק מהמקרים נמצא, כי לא הוקפד על מתן אישור כניסה לאורח אל מול הצגה של תעודה מזהה. כמו גם, היו מקרים בהם ניתן היתר כניסה על בסיס נתונים שהוצגו על ידי האורח בלבד, ללא אימות של המארח. גם כשל אבטחה זה, יוצר מצב בו מידע מהותי, עלול לצאת אל מחוץ לגבולות הארגון.
העובד גורס שאין צורך לגרוס:
שאננות עלולה לגרום במקרים רבים להתרופפות של אכיפת נהלי גריסת המסמכים. נמצא כי בחלק מהמקרים, עובדים נטו להקטין ראש, ולא גרסו את המסמכים שמכילים מידע רגיש מיד בתום השימוש בהם. דפים "מסווגים" הממתינים לגריסה במשך מספר ימים, מאפשרים לגורמים זרים לעשות בהם שימוש מזיק.
אלוהים נמצא גם בסניפים הקטנים:
במקרים רבים נוטים במטות של חברות להזניח את האבטחה בסניפיהן מתוך תפיסה מוטעית כי לא נמצאים בהם נתונים חשובים. הוכח, כי גישה לארכיון בסניפים יכולה לשמש את המתחרים או גורמים אחרים שמעוניינים במידע על הלקוחות ולכן קיימת חשיבות לאבטח ולערוך מעקב אחר האבטחה בסניפי החברה.
ריבוי הרשאות - בעוכרי הארגון:
למרות חשיבותו של נושא הפרדת התפקידים והמודעות הרבה אליו, הרי שארגונים רבים אינם מקיימים ומיישמים אותו במערכות הממוחשבות המותקנות בארגונם. ריבוי ההרשאות המאפשר לעובדים להיחשף למידע רגיש וחוסר הפיקוח עליהן, מביאים להגדלת הסיכון בארגון שלא מעדכן את ההרשאות באופן שוטף. כך, עובדים חשופים למידע שאינו בהכרח נחוץ להם לביצוע תפקידם. עובדה זו מאפשרת לעובדים לעשות מגוון פעולות אשר אינן עולות בקנה אחד עם הגדרת תפקידם ובכלל זה מעילה בכספי הארגון או שימוש לרעה במידע כנגד הארגון או עמיתיו.
העובד "סוגר חשבון" עם חברו, באמצעות המעביד:
גל הפיטורים שפקד את המשק בשנת 2009, הביא עימו סוג חדש של איומים על ארגונים. במהלך שנת 2009 התרחשו מספר מקרים של עובדים שפוטרו עקב המשבר הכלכלי וכנקמה, עשו שימוש במידע האגור במחשבים ובכלל זה גם בנתונים אישיים על עמיתיהם לעבודה, איתם "רצו לסגור חשבון". דפוס פעולה זה מתאפשר לאור העובדה כי החברה שאיפשרה לעובד גישה לשרתיה באמצעות חיבור מחשבו הפרטי בבית, שכחה לבטל את ההרשאה לאחר פיטוריו ואפשרה לו כאמור, לעשות שימוש במידע הרגיש אליו היה חשוף.
הריגול הגיע גם לפייסבוק:
הרשתות החברתיות הפכה להיות כר נוח וקל לריגול תעשייתי. המתחרים העסקיים של החברה רואים מבעד לכרטיסים השונים של העובדים בפירמה את הקשרים החברתיים והעסקיים של החברה, התפתחותה העסקית, לקוחותיה החדשים וכדומה. המציאות מלמדת, כי גורמים שהיו מעוניינים לעשות באינפורמציה המופיעה ברשתות שימוש לצורכיהם, נדרשו להיות ערניים. כך, למשל, היה מקרה בו מנהל מכירות בחברה גדולה, פתח כרטיס ברשת "לינקד־אין" (המהווה רשת עסקית במהותה). זה ציין בפרופיל היכן הוא עובד ועם מי, מהם הפרויקטים בהם הוא מטפל בימים אלה ואפילו מי הלקוחות שלו. בשלב כלשהו הוצע לו לעשות "רילוקיישן" למדינה אחרת - צעד שהביאו לעדכן את חבריו ברשת. לכאורה, מדובר במידע אישי, אך עבור המתחרים, מדובר במידע עתיר חשיבות שכן הם הסיקו מהם הפרויקטים עליהם עמלה הפירמה בה עבד מנהל המכירות לרבות אופן הפריסה הגיאוגרפית שלהם.
הכותב הוא שותף בחברת אלקלעי מונרוב המתמחה בבקרה ובניהול סיכונים וחבר הנהלת האיגוד הישראלי לביקורת ואבטחת מערכות מידע ISACA