מניעת דלף מידע
מה זה דלף מידע?
בעידן שבו המידע נדרש לנוע באופן דינמי בתוך הארגון ומחוצה לו בערוצים רבים ומגוונים, הסיכון שמידע רגיש יזלוג מתוך מערכות הארגון השונות למקורות שאינם מורשים גדל ומתעצם.
מידע רגיש עשוי לכלול מידע רפואי, מידע אישי ומידע עסקי ארגוני, נתוני כרטיסי אשראי, תשלומי לקוחות ועוד.
אירוע אבטחת מידע שבו מבוצעת פעולה כגון העתקה, העברה או צפייה במידע רגיש או מסווג, ללא הרשאה או בשגגה, מכונה אירוע דלף מידע.
בין אירועי דלף המידע הידועים ביותר ניתן למנות את פריצת אתר Ebay במאי 2014, שכתוצאה ממנה נחשפו 145 מיליון חשבונות של משתמשי האתר (כולל שמות, כתובות, תאריכי לידה וסיסמאות). כמו כן, ביולי 2017 דלף מידע אישי של 143 מיליון צרכנים אמריקאים עקב פריצת מערכות חברת Equifax על ידי האקרים.
ישנן אינספור דוגמאות נוספות של זליגת מידע רגיש, הן מחברות ענק עוצמתיות והן מארגונים בסדר גודל בינוני, המדגישות את הצורך של כל ארגון לשמור על שלמות, סודיות וזמינות המידע שברשותו בכל זמן נתון. מידע הוא אחד הנכסים החשובים ביותר של כל ארגון, ולכן על הארגון לפעול במיטב האמצעים העומדים לרשותו על מנת למנוע אירועי דלף מידע, בין היתר כדי למזער את הסיכונים לפגיעה במוניטין ואי עמידה בהוראות החוק והרגולציה.
בהתאם לממצאים העיקריים של סקר הנערך על ידי חברת Verizon Data Breach Investigations Report (DBIR) 2018, אירועי דלף מידע שמקורם בגורם חיצוני זדוני קטנו בשנה האחרונה (~73%) לעומת האירועים שנגרמו על ידי גורם פנים ארגוני (~28%).
מהם הגורמים העיקריים לדלף מידע?
הסיכונים להתרחשות אירוע דלף מידע מושפעים ממספר רב של גורמים שניתן לחלקם לקטגוריות הבאות:
גניבת מידע מהארגון על ידי גורם חיצוני
- גניבת מידע מהארגון ממניעים של ריגול עסקי, תוך שימוש בכלים טכנולוגיים כגון וירוסים וסוסים טרויאניים. לדוגמה פרשיית הסוס הטרויאני שהתגלתה בשנת 2004, כאשר שורה של חוקרים פרטיים שתלו תוכנת ריגול במחשבי חברות פרסום וחברות מסחריות גדולות במטרה לדלות מהם מידע לשם מכירתו למתחרים.
- גניבת מידע מהארגון תוך שימוש בגורם פנימי אנושי המופעל על ידי גורם חיצוני (כלומר הנדסה חברתית). הוצאת מידע מהארגון במקרה דנן עלולה להתבצע באמצעות קישור של מאגר המידע לרשתות חיצוניות, העתקת מידע מתחנות קצה למדיה נתיקה, ואף הוצאת מסמכים בתצורה קשיחה.
- דלף מידע מגורמים חיצוניים לגיטימיים, כגון ספקים, נותני שירות, חברות צד שלישי של הארגון, המחזיקים במידע רגיש – כתוצאה מאי יישום של אמצעי הגנה על המידע, כפי שמיושם בארגון עצמו. לדוגמה, דלף מידע מספקים כגון בתי דפוס, משרדי פרסום, עורכי דין, רואה החשבון והיועצים המשפטיים החיצוניים לארגון, שיש להם נגישות דיגיטלית למידע שבארגון.
זליגת מידע מהארגון בשוגג
- דלף מידע הנובע מתקלה או כשל טכני, טעויות אנוש או חוסר מודעות עובדים. לדוגמה, דלף מידע כתוצאה מטעויות הפצה של דואר אלקטרוני, קיום Metadata בקובצי Office, אובדן מחשבים ניידים המכילים מידע עסקי רגיש, והיעדר היכרות של עובדי הארגון עם נהלים והיבטי רגישות המידע בארגון. דוגמה נוספת – עובד עלול להעתיק תוכן מסמך מסווג למסמך אחר בלי להיות מודע לכך שהתוכן מסווג, ולהוציא את המידע מחוץ לארגון ביודעין או בשוגג.
זליגת מידע מהארגון בזדון – על ידי גורם פנימי
- נוסף על כך, קיים סיכון כי עובד ממורמר, עובד שפוטר או עומד בפני פיטורים, או עובד שעתיד לעבור למתחרים, ינצל לרעה את הרשאות הגישה שלו למידע ויעביר אותו לגורמים חיצוניים.
דוגמאות לרגולציה בנושא מניעת דלף מידע
- חוק הגנת הפרטיות ותקנות אבטחת מידע המבוססות על חוק הגנת הפרטיות.
- GDPR– הרגולציה האירופית שנכנסה לתוקף ב-25 במאי 2018.
- ההנחיות רשם מאגרי המידע.
- רגולציה פיננסית (הוראות המפקח על הבנקים, רשות שוק ההון, ביטוח וחיסכון).
- רגולציה ביטחונית בארגונים ביטחוניים\צבאיים.
כיצד ניתן להוריד את רמת הסיכון לדלף מידע בארגון?
ראשית, על הארגון לענות על שורה של שאלות מהותיות, לדוגמה:
- מהו המידע הקיים בארגון?
- כיצד הארגון מגדיר מידע רגיש ומהם רמות הרגישות השונות (לקבוע נוהל סיווג ותיוג מידע)?
כך למשל, הנוהל האמור ימפה ויגדיר מהו הסיכון של מידע אישי לסוגיו; מהו הסיכון של מידע עסקי לסוגיו; מהו הסיכון של מידע פיננסי ומסחרי לסוגיו; מהו הסיכון של מידע טכנולוגי, כולל קניין רוחני, וכדומה.
- היכן המידע מאוחסן?
- מהם הערוצים שדרכם המידע עלול לדלוף?
- ולבסוף – כיצד למזער את הנזקים אם וכאשר יתרחש אירוע של דלף מידע?
במה להתמקד בעת ביצוע ביקורת בנושא מניעת דלף מידע?
- מדיניות ונהלים – יש לבחון האם הוגדרו ומיושמים בארגון מדיניות ונוהלי אבטחת מידע בנושאי סיווג מידע, הפרדת סמכויות, זיהוי עובדים שחשופים למידע רגיש, גילוי וניהול אירועי דלף מידע, הדרכות, החלפת סיסמאות, בקרה שוטפת על הרשאות גישה תוך עדכונים עקב מעבר תפקיד או פרישה, נוהל באשר לעובדים העומדים בפני פיטורין, וכן נוהל בדבר אובדן/גניבת סלולרי או מחשב נייד המאפשר גישה.
- סקר דלף מידע – מומלץ לבצע סקר דלף מידע מקיף על ידי גורם מומחה חיצוני ובלתי תלוי, במטרה לסקור את כלי אבטחת המידע שבהם הארגון עושה שימוש ולבחון את התאמתם לצורכי האבטחה העסקיים בארגון ושיטת העבודה הנהוגה בו. הסקר יאפשר לזהות את רמת התאימות בין כלי אבטחת המידע השונים ואופן הפעלתם אל מול הסיכונים לדלף מידע.
- מערך הרשאות – יש לבחון כיצד מיושם מערך הרשאות וסמכויות במערכות המידע בארגון והאם הוא עומד בעקרון "הצורך לדעת" (Need to Know), תוך הגבלת הגישה למידע לבעלי התפקידים הזקוקים לו בלבד. כמו כן יש לבחון עמידה בעקרון הפרדת התפקידים. לדוגמה: עובדים הנחשפים למידע מסווג מתוקף תפקידם, עובדים הנחשפים למידע רגיש בסביבות "נמוכות" (כגון סביבת בדיקות, סביבת פיתוח) וגורמים חיצוניים (עובדי קבלן וכדומה). בנוסף, יש לבחון אילו בקרות מפצות יושמו על מערך ההרשאות, כגון הפצת דוחות חריגים על פעילות המשתמשים במערכות ובדיקתם.
- טכנולוגיה – יש לבחון את הכלים הטכנולוגיים שהוטמעו בארגון לשליטה ומניעת דלף מידע בכל פעילות הארגון. פתרונותDLP – Data Leakage Prevention מאפשרים לשלוט ולהגביל את הוצאת הנתונים בנקודות הקצה בארגון. כך למשל, מערכות ה-UTM (Unified Threat Management) נחשבות לדור הבא של חומות האש (Firewalls), וכוללות יכולות סינון דואר אלקטרוני, סינון תכנים ובקרת יישומים.
- מודעות עובדים – יש לבחון האם התוכנית להגברת המודעות של העובדים כוללת הסברה מספקת בנושאי אבטחת המידע הארגוני וחשיבות מניעת דלף המידע. לעובדים שמודעים לסכנות, לחוקים ולתקנות יש סיכון קטן יותר ליפול בשגגה לידי עברייני רשת.
- שילוב אבטחת מידע בתהליכי משאבי אנוש – יש לבחון האם בקרות אבטחת מידע רלוונטיות שולבו גם בתהליכי משאבי אנוש, למשל: החתמת עובד חדש על נספח שמירת סודיות והנחיות אבטחת מידע, הבהרה לעובדים כי מבוצעים תהליכי ניטור ובקרה באופן תדיר אחר אירועי אבטחת מידע ודלף מידע מהארגון.