Data Centric Security Rt
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Data Centric Security Rt as PDF for free.
More details
- Words: 3,182
- Pages: 9
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
עגול-סיכום מפגש שולחן
הגנה על המידע )Data Centric Security(
שחר גייגר מאור:עריכה
Moshav Bnei Tzion P.O.Box 151, 60910 Israel Tel: (972)-9-7907000 Fax: ( 972)-9-7442444
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
תוכן תקציר המפגש 3..................................................................................................... חינוך קודם לכל! 4................................................................................................... ענישה 4................................................................................................................ זכויות הפרט 5........................................................................................................ טיפול במידע רגיש אצל גורמי חוץ בארגון 5.................................................................. פתרונות טכנולוגיים לזליגת מידע 6............................................................................. תחזוקה ותפעול 7.................................................................................................... סיווג החומר :איך מסווגים את המידע בארגון? 7........................................................... פתרונות משלימים לזליגת מידע 7.............................................................................. טיפול במשתמשי-על 8............................................................................................. הצפנת 9.......................................................................................................... DB
Moshav Bnei Tzion P.O.Box 151, 60910 Israel Tel: (972)-9-7907000 Fax: ( 972)-9-7442444
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
תקציר המפגש בשנים האחרונות הגנה על המידע הולכת ותופסת מקום מרכזי בשדה הראיה של מנהל אבטחת המידע .מצד אחד הארגון תופס יותר אחריות על המידע שאצור אצלו ונזהר מלחשוף אותו כלפי חוץ .מצד שני הדינמיות העסקית והשינויים התכופים מאלצים את מנהלי מערכות המידע לספק נגישות הולכת וגדלה למשאבי הארגון באמצעות פלטפורמות מגוונות מבעבר. את המעבר לתפיסת אבטחה שמתרכזת במידע עצמו כינה Paul Stampמחברת פורסטר בשם " :"Data-Centric Securityבעוד שאיומים שמקורם מחוץ לארגון "פשוטים" יותר לטיפול מכיוון שמקור ההתקפה ברור ,מה אפשר לעשות כדי לפקח על משתמשי על בארגון? איך מונעים גישה של עובדים לא מאושרים למשאבים הרגישים של הארגון? איך אפשר להתמודד עם רשלנות של העובדים בהעברת מידע בתוך הארגון והחוצה? איך שומרים על מידע האגור על הדיסק של מחשב נייד או ב PDAשל איש המכירות? בדיון הזה התרכזנו בטיפול ארגוני בנקודות אלה וניסינו לענות על שאלות לא פשוטות כמו אילו כלים אפקטיביים בטיפול בבעיית זליגת המידע בארגון :חינוך? הדרכה? הרתעה? ואיך הם משתלבים עם פתרונות טכנולוגיים בתחום. איך ניתן לפקח על מידע עסקי שעובר לשותפים עסקיים וספקים? אילו פתרונות יכולים לעזור לארגון להגן על נכסיו? במפגש ניתן דגש להטמעת פתרונות למניעת זליגת מידע ( )DLPומספר משתתפים סיפרו על הניסיון שלהם בתחום .כמו כן דיברנו על הצפנה של אמצעים ניידים וטיפול בבסיסי הנתונים. אולי אותם כדאי להצפין? הזכרנו גם פתרונות משלימים ל DLPובעיקר פתרונות לניהול זכויות יוצרים ( )DRMולבסוף נגענו גם בצורך בטיוב הפיקוח על הרשאות על בארגון והשלכתם על הגנה על מידע. במפגש השתתפו נציגי 13ארגונים גדולים במשק ממספר סקטורים מרכזיים .כולם מנהלי\אנשי אבטחת מידע בארגונם.
Moshav Bnei Tzion P.O.Box 151, 60910 Israel Tel: (972)-9-7907000 Fax: ( 972)-9-7442444
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
חינוך קודם לכל! המשתתפים במפגש נשאלו אילו כלים ,לדעתם ,יהיו אפקטיביים בטיפול בזליג ות מידע .רוב המשתתפים מסכימים כי חייב להיות תהליך לימודי וחינוכי בארגון לפני או תוך כדי הטמעת פיתרון טכנולוגי למניעת זליגת מידע .חלק מהמשתתפים אמרו כי הם יעדיפו גישות חינוכיות, הגברת מודעות ואף הענשת עובדים על פני הטמעת פתרונות Data Leak\Loss ( DLP .)Preventionהמשתתפים בפורום מסכימים בדר"כ כי קשה יהיה למנוע הרמטית הוצאת מידע בלתי מורשה מהארגון ללא תלות בגישות הטיפול שינקטו .הנחת העבודה בחלק מהארגונים היא שבכל זמן נתון ישנם עובדים שמנסים להוציא באופן פלילי חומר רגיש החוצה. אחד הארגונים שיישמו פיתרון טכנולוגי סיפר ,כי בארגונו נערך קמפיין גדול של חינוך והכנה לקראת הטמעת הפיתרון הטכנולוגי שכלל חלוקת ריחנים לרכב ,תחתיות לכוסות ,חוברות הדרכה ואמצעים נוספים שהכילו מסרים בעניין חשיבות השמירה על המידע בארגון .מנהל אבטחת המידע בארגון זה מציין ,שרוב האירועים שנוטרו במערכות היו אירועים שמקורם בחוסר תשומת לב של עובדים (שליחת מיילים עם מידע רגיש ,חיבור DOKפרטי לתחנות וכו') והוכיחו את הצורך בטיפול באוכלוסיית המשתמשים לפני הכנסת פיתרון טכנולוגי. לדעתו ניתן לצמצם את מספר האירועים למספר נמוך מאוד במידה ומיישמים ,בנוסף לפיתרון הטכנולוגי ,גם תהליך תרבותי בארגון להעלאת המודעות של העובדים וליצירת מחוייבות למידע רגיש בעסק .אצלם בארגון קיימת מודעות לנושא ,כך שאם נפתח פרוייקט שמוגדר כרגיש לארגון ,נשלחת הודעה למחלקת הביטחון בבקשה לפתוח תיקייה מיוחדת בדומיין על שם הפרוייקט .בעקבות כך מוגדרים גם חוקים מתאימים במערכת ה DLPוכל המידע שמאוחסן בתיקייה הרלוונטית מוצפן ומנוטר אוטומטית. נציג ארגון אחר מסכים עם התהליך הארגוני שחייב להתלוות לפרוייקט הטכנולוגי .לדעתו, הסוד להצלחה הוא היכולת של מובילי הפרוייקט לשווק נכון את הפרוייקט לארגון .בארגון זה מוציאה מחלקת הביטחון מדי פעם דוח עד למנכ"ל ובו פירוט מקרים בעייתים שקשורים בדלף מידע .הדוחות מחולקים לפי מחלקות כך שכולם יהיו מודעים לבעיות .מנהלי המחלקות צריכים לספק הסברים לגבי הדרך בה טופל האירוע .ע"פ הניסיון שנצבר בארגון זה ,מדיניות קשוחה שמגובה בטכנולוגיה מתאימה מורידה דרסטית את כמות האירועים שמוגדרים כ"טעויות". ענישה אחד האמצעים לאכיפת מדיניות ארגונית הוא ענישת עובדים .תחום דליפת המידע שונה מתחומים אחרים בכך שחלק גדול מאירועים בו הינם תוצאה של חוסר תשומת לב במקרה הטוב או רשלנות במקרה הרע ואין בהם אלמנטים פליליים מכוונים .זוהי הסיבה שקשה יותר להעניש עובד שטעה בתום לב ,גם אם גרם נזק לארגון. נציג אחד הארגונים שטרם הטמיעו פיתרון DLPמציין ,שהוא בראש ובראשונה בעד חינוך. מנקודת מבטו כמנהל אבטחת מידע קל להיות האיש הרע ,אבל המטרה היא לגרום לעובדים להבין איך צריך להתנהג .הנציגים שלו יושבים פעם בשנה עם כל עובד כדי להסביר לו את חשיבות בטחון המידע ואיך צריך להתנהל עם משאבי הארגון .יש שלב נוסף והוא ענישה: כשהיו מקרים בהם הייתה גישה לא מאושרת למידע ארגוני היו פיטורים או מכתבי אזהרה לתיק האישי .בארגון זה עושים שימוש במערכת של " ,Intelinxהמאזינה" לתעבורת המידע בארגון וניתן לשחזר בה פעולות שנעשו ע"י משתמשים בכל מערכות הארגון .מערכת כזו הורידה להם את עבירות החיטוט במידע לרמה מינימלית. Moshav Bnei Tzion P.O.Box 151, 60910 Israel Tel: (972)-9-7907000 Fax: ( 972)-9-7442444
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
בעיות משמעת נפתרות בארגונים אחרים בצורה דומה :מנהל אבטחת מידע בארגון עסקי מסויים פונה למנהל האישי של עובר העבירה .למנהלים לא נעים לקבל מייל שמתואר בו אירוע אבטחת מידע שאחד העובדים שלהם היה מעורב בו .בדרך כלל המיילים הללו מטופלים מאוד מהר. זכויות הפרט נקודה חשובה שהועלתה במפגש מתייחסת להיבט החוקתי של ניטור נתונים הקשורים לעובדים .החקיקה כיום מאוד בעייתית ולא יציבה .בעולם הפוליטי בישראל יש כאלה שרוצים לטרפד הסכם שנחתם בין ההסתדרות לאיגוד התעשיינים שאומר שהארגון יכול לנטר מיילים של עובדים ולגשת לתיבת הדואר של העובד במידה ומדובר במידע שרלוונטי לחברה או שיש חשש שעובד זה עושה שימוש לא הולם במשאבי הארגון .בכל מקרה הניטור חייב להיות "כללי" ולא ישירות מול עובד אלא אם כן הוא מסכים .אחד המשתתפים סיפר שאצלם עשו כל מה שאפשר כדי להיות מוגנים בתביעה וכל עובד חדש יודע שמנטרים את המידע. טיפול במידע רגיש אצל גורמי חוץ בארגון נקודה רלוונטית אחרת לטיפול בזליגת מידע היא הטיפול בגורמי חוץ שבאים במגע עסקי עם הארגון .יש מידע שיוצא לגורמים חיצוניים והוא רגיש .הבעיה הגדולה היא איך מנהלים את המידע הזה? ואיך ניתן לצמצם עד כמה שניתן את זליגת המידע העסקי שמתגלגל לספקים, יועצים ,אינטגרטורים ושותפים אחרים של הארגון? נציג אחד הארגונים סיפר שארגונו הגדיר מספר חברות כשותפות אסטרטגיות לחברה בגלל חומר עסקי שהן נחשפות אליו .הוא מנסה להגיע פיסית לכל חברה כזו ולראות שהיא מתאימה מבחינת אבטחת המידע לסטנדרטים שניתן יהיה לקבל .בחברות אלה (ספקים, שותפים וכו') יש מודעות לחשיבות הנושא והוא לא נתקל באי שיתוף פעולה .מי שלא מוכן לקבל על עצמו קודי התנהגות מינימליים ,מסתכן בסגירת הפעילות של החברה מול הארגון ולכן משתפים פעולה .משתתפים סביב השולחן התעניינו אלו פרמטרים נבדקים אצל השותפים העסקיים .נציג זה בודק בין השאר מהי מדיניות הסיסמאות? מהי מדיניות הטיפול בחומר רגיש? הוא מבקש להגיע לחדר המחשב ולראות איך הוא מנוהל (מי נכנס לחדר? קוד גישה? וכדומה) .בהתאם לממצאים הוא מוציא הנחיות לאותו גוף שיביאו ל"יישור קו" עם מדיניות אבטחת מידע ברמה מקובלת. מנהל אבטחת מידע בארגון אחר טוען שצריך להגיע למצב שמנחים את הספקים ולא יותר מזה .לשיטתו ,הוא לא אמור לבצע סקר סיכונים אצל הספק וגם אין לו את כוח האדם לכך...צריך לבנות על האמינות שלהם. גם משתתפים אחרים מסכימים עם אמירה זו וחלק מהם מעידים שהם נוהגים לתשאל את הספקים ולקוות שהם עומדים בפועל מאחורי המילה שלהם .המטרה היא לא להכנס לספקים "לקרביים" .מאוד קל להשאב פנימה... מצד שני כן צריך לפקח על הספקים בגלל שהמידע הארגוני שמגיע אליהם יכול לזלוג מכיוון לא צפוי למתחרה .כדי לייעל את הטיפול בספקים מקובל לחלק את הספקים למספר רמות רגישות .יש כאלה שהם מאוד רגישים מבחינת החומר שנחשפים אליו ובהם מושקעת הרבה אנרגיה כדי לוודא שהסיכון מצומצם .אחד המשתתפים העיד כי בארגונו נהוג לפקח "עד רמת החוקים של ה "FWבמקרים כאלה .מבחינת ארגון זה מהמגזר הפיננסי ,ספק שמחזיק חומר רגיש שלהם צריך לעמוד באותם סטנדרטים של סקרי סיכונים שהארגון עצמו עומד בהם. המשתתפים במפגש ציינו כי יש יתרון גדול בזה שארגונים אחרים כמוהם מפקחים על הספקים שלהם .ספק כזה שמגיע לעבוד עם ארגון אחר כבר מכיר את שיטת העבודה ואת
Moshav Bnei Tzion P.O.Box 151, 60910 Israel Tel: (972)-9-7907000 Fax: ( 972)-9-7442444
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
הדרישות והוא בא מוכן לזה .ספק שעובד עם חברה שעושה פיקוח בהחלט נראה שונה ומוגן יותר .ההתנהגות שלו אחרת לגמרי. הצפנת המסמכים לעבודה מול גורמים חיצוניים היא שיכבת אבטחה נוספת שנועדה לוודא שהמידע נחשף רק בפני מי שצריך לראות אותו .בחלק מהארגונים מגדירים חוקים שתקפים רק למשתמש החיצוני .אופציה אחרת היא עבודה עם OTPגם בעת פתיחת מסמכים מסויימים מחוץ לארגון. פתרונות טכנולוגיים לזליגת מידע אחד הפרקים המרכזיים במפגש הוקדש לפרויקטים ויישום טכנולוגיות למניעת זליגת מידע. בין המשתתפים במפגש יש מספר ארגונים בעלי ניסיון בהטמעת פתרונות .DLPאחד המשתתפים סיפר על הנעשה בארגונו (ארגון מהמגזר העסקי) אשר חווה ביומיום מקרים רבים של דלף מידע מתוך הארגון החוצה .הם החליטו "לתקוף" את הבעיה מכמה זויות: חינוך הארגון לחשיבות הנושא ,עבודה בהתאם לחוק תוך כיבוד זכויות העובדים לפרטיות והטמעת פתרון טכנולוגי .במסגרת בחינת החלופות לפיתרון ניסו את חברת PortAuthority (עוד לפני שזו נרכשה ע"י ,)Websenseאבל הפיתרון שהוצע להם כלל שלוש מערכות נפרדות ל ,GWלתחנות הקצה ופיתרון הצפנה .לאחר בחינה של פתרונות נוספים אחרים ארגון זה החליט לבחור בפיתרון של .Verdasysאחד השיקולים לבחירה הוא בכך שמדובר בפיתרון משולב בכלי אחד לזליגת מידע ,לחסימת התקנים פריפריאליים והצפנות ,מה שמקל על האינטגרציה לתוך מערכות הארגון ויכול אף להוזיל עלויות במקרים מסויימים .מבחינתם מדובר בהטמעה מוצלחת והם מאוד מרוצים מהתוצרים של המערכת .בשלב ההרצה של הפרוייקט הם בחרו להגביל את מספר האירועים שמדווחים ע"י המערכת למספר נמוך והחליטו לבחון מתוכם רק את אלו החמורים ביותר. ארגון אחר מהמגזר העסקי החל תהליך הטמעת פיתרון כבר לפני כ 4שנים בעקבות דלף מידע רגיש מחוץ לארגון .הם בחרו בפיתרון של PortAuthorityולכלי הוגדרו האזורים לסריקה בתוך משאבי הארגון שקדם לו תהליך ארגוני מקיף .אנשי מחלקת הביטחון עברו בין הגופים שיש להם נגיעה לחומר רגיש והוגדרו נהלים לגבי איפה לשמור את המידע הרגיש ואיך צריך לטפל בו .הכלי יודע לזהות הרבה מאוד פרמטריים חשובים שמקילים על זיהוי פיסות מידע בתעבורה הארגונית וטיפול בהם .בארגון זה ההטמעה הייתה פשוטה יחסית וה - ROIמיידי .מבחינת יכולות המערכת בארגון זה :המערכת יכולה לחסום בפועל מעבר של נתונים ותוכן וכן לבצע ניטור ודיווח למנהלי המערכת ,כל זאת ע"פ דרישת המפעילים .מטבע הדברים גם בארגון זה יש לא מעט התרעות שווא במידה ומשתמשים במדיניות אגרסיבית של יירוטים ודיווחים ויש לקחת זאת בחשבון .בארגון הזה הוגדרו ברוב המקרים חוקים שיתריעו על עבירות ולאו דווקא יבצעו פעולות נוספות כדי לא "לשגע את הארגון". נציג ארגון נוסף מהמגזר העסקי סיפר ,כי גם בארגונו עלתה הדרישה ליישום פיתרון .DLP הפיתרון שנבחר בארגון זה מבוסס על הפיתרון של חברת Onigmaהישראלית (שנרכשה בינתיים ע"י .)McAfeeבארגון זה שמו לב לשתי תופעות שהיוו בעיה אבטחתית חמורה: חלק מהעובדים בארגון נהגו לשלוח מייל לכתובת הפרטית שלהם ( YAHOO ,GMAILאו כל WEB MAILאחר) ובו חומרים עסקיים כדי לעבוד מהבית (בארגון זה ,כמו בארגונים רבים נוספים בישראל ,החיבור לרשת הארגון נעשית דרך טרמינלים שביצועיהם ותהליך ההתחברות הראשוני אליהם הוא איטי ומסורבל) .כלומר ,מנקודת מבטם של העובדים, הסיבה לשליחת המיילים ל WEB MAILהיא קיצור וייעול תהליכים .בעיה אבטחתית נוספת שהתגלתה הייתה הכנסת מדיה נתיקה פנימה לארגון. שתי סיבות אלה הביאו את הארגון להתחיל בהטמעת פיתרון שיתמודד עם שתי בעיות אלה: התעבורה בארגון ובמיוחד יציאת מיילים החוצה נוטרו וחיבורי מדיה נתיקה זוהו ונאסרו
Moshav Bnei Tzion P.O.Box 151, 60910 Israel Tel: (972)-9-7907000 Fax: ( 972)-9-7442444
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
לביצוע :כשמכניסים DOKניתנת התרעה לעובד שהוא עלול לבצע עבירה על ביטחון מידע. העובד יכול ליצור קשר עם מוקד התמיכה ולקבל אישור חד פעמי לחבר את ה .DOKבעיה שארגון זה לא הצליח למצוא לה פיתרון היא שימוש ב BlueToothכדי להוריד קבצים .קשה למצוא פיתון שימנע את הדליפה ולא יפגע בעבודה .ארגון זה בחר להגיע ליעילות של 80% 20%בגישת הטיפול שלהם בבעיות הקשורות לדלף מידע .ידוע להם כי יהיה קשה מאוד למנוע בצורה מוחלטת יציאה לא מאושרת של מידע מהארגון. תחזוקה ותפעול מניסיונם של הארגונים שכן מפעילים יישום DLPבארגון עולה כי התחזוקה השוטפת מחייבת רפרנט בשליש עד חצי משרה ,אשר מעדכן ברמת התקנת התחנות וכן מנהל אבטחת המידע שמגדיר את החוקים שצריך לנטר .כמו כן ,מוגדר ברוב המקרים שאיש ITלא יכול לצפות בדוחות שהמערכת מוציאה אלא רק מי שמוסמך לזה (כדי לא לפגוע בפרטיות של העובדים) .בארגון מסויים הוקמה ועדה מיוחדת לתפעול המערכת :הוועדה מחליטה איזה מידע לחסום ואיזה לנטר בלבד .בוועדה יושבים נציגים של ,IT ,HRכספים ,אבטחת מידע וסמנכ"ל שמלווה אותם. סיווג החומר :איך מסווגים את המידע בארגון? באחד הארגונים שהטמיעו פיתרון DLPבחרו להגדיר בצורה כזו את הפרמטרים לסיווג מידע ,כך שניתן יהיה לזהות מידע רגיש בהמשך :כחלק מתהליך האיפיון ,התבקשו מנהלי יחידות ואגפים לפרט 4פרמטרים עבור המידע הארגוני שרלוונטי אליהם :מה הן מילות מפתח שמאפיינות את המידע? ,באילו תיקיות מאוחסן המידע העסקי שלהם? ,מי הם הספקים שמולם עובדים? ולבסוף ,מי מהעובדים צריך את המידע הרגיש? הנתונים שנאספו איפשרו להרכיב מודלים לתיוג המידע הארגוני לקבוצות רגישו·ת ולהצפין במידת הצורך רק את התיקיות שהוגדרו בניתוח המקדים .היום הוא יודע שכל מייל רגיש יוצא החוצה מוצפן בעיקר בזכות אותו ניתוח מקדים .המערכת מאוד גרנולרית ומאפשרת הגדרות מאוד מפורטות של מה רגיש ומה לא .המערכת גם יודעת להגדיר תיקיות ספציפיות כקריטיות ולתת להן דירוג רגישות. נציג ארגון נוסף שצבר ניסיון ארגוני בתחום העיד כי התהליך הארגוני (לבוא לגופים ולהגדיר מה צריך ומה לא) מאוד מסובך .בהתחלה נוטר חומר שלא היה רלוונטי למערכת .DLP בהמשך ההטמעה הובן בארגון שצריך לשים בתיקיות המנוטרות רק מידע רלוונטי ,אשר מחייב הערכות תהליכית ותרבותית בארגון .מהניסיון של ארגון זה רואים שהמטרה היא להגדיר שמירת מסמך רק בספריה מוצפנת או מנוטרת כברירת מחדל מתוך הבנה שברוב המקרים מדובר על חומר עם ערך ניטורי .אם משאירים לעובדים חופש במיון המידע ,או שהוא צריך לבצע יותר מדי פעולות כדי לאחסן מידע רגיש בתיקייה מתאימה ,מתחילות הבעיות. משתתף אחר סיפר ,כי לפתרונות DLPמסויימים יש יכולת לנטר מסמכים שלא נמצאים בתיקיות המסווגות במידה והמערכת מזהה פרמטרים מסווגים בהם .אם עובד שמר חומר מסווג גם בשולחן העבודה היא תוכל ,למשל ,להוציא התרעה לעובד שהוא שומר מידע רגיש במקום שאינו מיועד לכך. פתרונות משלימים לזליגת מידע בחלק מהארגונים עושים שימוש בפתרונות משלימים לטיפול בבעיות זליגת מידע.
Moshav Bnei Tzion P.O.Box 151, 60910 Israel Tel: (972)-9-7907000 Fax: ( 972)-9-7442444
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
דוגמא לכך היא הצפנת מחשבים ניידים .בנושא זה חלוקות הדעות בין המשתמשים לגבי יעילות השימוש בפתרונות הצפנה וכן איך מומלץ לגשת לפרוייקט הצפנה בארגון .שתי הגישות המובילות בתחום בין המשתתפים במפגש הן :הצפנת כל הדיסק הקשיח במחשב מול הצפנת תיקיות מסויימות ע"פ הצורך. לכל גישה יש יתרונות וחסרונות ברורים .כך ,למשל ,הצפנה גורפת של כל הדיסק הקשיח יכולה לגרום לנזק גדול במידה והמחשב ננעל ע"י המשתמש .מצד שני ,קלות העבודה והעובדה שאין צורך "לזכור" לשמור חומר רגיש רק במקומות המיועדים לכך ,מהווים חוזקה משמעותית. אחד המשתתפים לא רואה סיבה להצפין את כל הדיסק .לדעתו ,אפשר להצפין רק את התיקיות הרגישות .שימוש בכלי DLPשיאפשר הצפנה של מידע יכול להקל את העבודה במידה רבה. פתרונות משלימים נוספים לטיפול בדלף מידע באים מעולם ניהול הזכויות ( Rights )Managementונועדו לתת מענה ארגוני להפצת מידע בתוך ומחוץ לארגון .אחד הפתרונות הנפוצים בתחום הוא ה )Rights Management Services( RMSשל מיקרוסופט .בחלק מהארגונים עושים שימוש בכלי זה ובכלים אחרים כדי להשלים עוד שכבת מידע בעיקר ברמת הסיווג של מסמכים רגישים .בחלק אחר מהארגונים כלים אלה מהווים את התווך המרכזי לטיפול בדלף מידע .בשונה מפתרונות " DLPקלאסיים" ,פתרונות RMמעבירים את האחריות על סיווג המידע באופן שוטף ליוצר המידע .גישה זו מהווה חיסרון לדעתם של חלק מהלקוחות מאחר והיא מסרבלת את תהליך יצירת המסמך .לדוגמא :בעת לחיצה על "שמירת מסמך" בעת יצירת מסמך חדש ,נשאל המשתמש איך יש לסווג את המסמך בנוסף לתיקייה שאליה המשתמש מעוניין לשלוח את המסמך לאחסון .בעת הפצת מסמך שהוגדר ע"י יוצר המידע כרגיש הוא ישאל על ידי המערכת מה הם חוקי ההפצה שיבקש לכפות על המסמך הנ"ל :האם לאפשר הדפסה? האם לאפשר העברת המסמך הלאה ע"י המקבלים? זכות קריאה/זכות עריכה וכו' .ישנם פתרונות אשר משתמשים בפלטפורמה שמציע ה RMS וכלים דומים אחרים כדי להקל את תהליך ניהול המידע וסיווגו וכן לאפשר אכיפת חוקים ומדיניות על מסמכים מחוץ לעולם של .Microsoft Officeשתי חברות ישראליות צעירות שפעילות בתחום הן Secure Islands :ו ,Covertixאשר מציעות ניהול חכם של תנועת המסמך בתוך ומחוץ לארגון גם ב PDFובפורמטים אחרים. אחד המשתתפים ,שבארגונו קיימות שתי סביבות עבודה :פנים ארגונית וחיצונית – לאינטראקציה עם גורמי חוץ ,סיפר על פיתרון מעניין שנועד לתת מענה לדלף מידע :הם בנו ממשק בין שתי הסביבות הארגוניות ומי שרוצה להעביר דואר לרשת החיצונית חייב לחתום עליו דיגיטלית ע"י העברת כרטיס העובד שלו .בכל מקרה אחר לא מעבירים דואר .מטרת פיתרון זה היא קבלת אחריות של העובד על התוכן שהוא מוציא מחוץ לארגון. בהקשר הזה הועלתה בפורום שאלה של נציג ארגון נוסף שמקיים הפרדת רשתות משיקולי אבטחת מידע ונותרה ללא מענה :האם ניתן להעביר מסמך מרשת אחת לרשת השנייה בארגון שיש לו כלי DLPולהמשיך לקיים עליו מדיניות שהוגדרה כבר ברשת המסווגת? (זה בהנחה שהוא עבר לרשת הפתוחה ללא גילוי). טיפול במשתמשי-על נקודה קריטית למניעת דלף מידע היא טיפול בהרשאות הארגוניות של משתמשי העל ( )ADMINלמיניהם: אחד המשתתפים סיפר שבהתחלה היו להם כניסות רבות ל DBוהם הבינו שמדובר בבעיה אבטחתית לא פשוטה .כיום יש בקרה על הפעולות של ה DBAsברמה האישית ויש פיקוח של DBAאחד על השני .משתתף אחר סיפר כי בארגונו מקבל כל DBAחדש תדרוך על
Moshav Bnei Tzion P.O.Box 151, 60910 Israel Tel: (972)-9-7907000 Fax: ( 972)-9-7442444
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
הבעייתיות בתחום .משתתף זה מספר על בעיה אחרת שמטרידה את ארגונו :זליגת גישות ה DBAלמערכות שלא קשורות ישירות לתחום הפעילות שלהם בשל הסיעוף בין המערכות הארגוניות ובין ה DBsהשונים.בארגון זה הגדיר מנהל אבטחת המידע התרעה מיוחדת על כל הרשאת DOMAIN ADMINחדשה בארגון .ארגונים אחרים סיפרו כי גם אצלם מקובלת התרעה מהסוג הזה שלאחריה נבחן הצורך הארגוני בעוד משתמש על.
הצפנת DB כיוון הפוך לטיפול ב DBהוא הצפנה שלהם: רוב המשתתפים לא ניסו פיתרון כזה .אחד הארגונים שכן נמצא בתהליכי הטמעה ,מציין שמדובר בתהליך מאוד לא פשוט ,במיוחד פתיחת וסגירת הצפנות בזמן אמת במערכות פרודקשיין .בארגון זה כתבו סקריפט שיודע לערבל מידע פנימי במעבר בין סביבות הטסט לפרודקשיין ,כך שאם יש פרטים מזהים על הנתונים ישנו את הנתונים ויצפינו אותם .הקושי הוא מיפוי ה DBוזיהוי כל הנתונים הרגישים עליו. ארגון אחר ניסה את המוצר של חברת .Sentrigoהמוצר מראה מי פתח שאילתה ב ,DBמי סגר וכו' .חלק מהשיקולים שעלו בין המשתתפים במפגש להטמעת פיתרון זה או אחר הם כמה אחוז CPUהכלי תופס מתוך זמן עיבוד ה .DBהפיתרון של Sentrigoמתחייב לא להשתמש ביותר מאחוז שולי מה .CPUנציג אחד הארגונים שמחוייבים לרגולציה שחייב לעשות אודיט על הפעילות ב DBשלו ,סיפר שהוא לא מצפין את בסיס הנתונים בגלל העלות הכרוכה בכך וכן האובר הד בשימוש במשאבים במערכות מהסוג הזה .כל אחוז שימוש ב CPUזה המון אצלו כי ה DBשלהם עובדים קשה מאוד .בארגון זה בחנו פיתרונות של חברת ,Impervaסנטריגו וגרדיום .לבסוף בחרו באימפרבה בגלל יכולת האודיט שלהם.
Moshav Bnei Tzion P.O.Box 151, 60910 Israel Tel: (972)-9-7907000 Fax: ( 972)-9-7442444
עגול-סיכום מפגש שולחן
הגנה על המידע )Data Centric Security(
שחר גייגר מאור:עריכה
Moshav Bnei Tzion P.O.Box 151, 60910 Israel Tel: (972)-9-7907000 Fax: ( 972)-9-7442444
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
תוכן תקציר המפגש 3..................................................................................................... חינוך קודם לכל! 4................................................................................................... ענישה 4................................................................................................................ זכויות הפרט 5........................................................................................................ טיפול במידע רגיש אצל גורמי חוץ בארגון 5.................................................................. פתרונות טכנולוגיים לזליגת מידע 6............................................................................. תחזוקה ותפעול 7.................................................................................................... סיווג החומר :איך מסווגים את המידע בארגון? 7........................................................... פתרונות משלימים לזליגת מידע 7.............................................................................. טיפול במשתמשי-על 8............................................................................................. הצפנת 9.......................................................................................................... DB
Moshav Bnei Tzion P.O.Box 151, 60910 Israel Tel: (972)-9-7907000 Fax: ( 972)-9-7442444
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
תקציר המפגש בשנים האחרונות הגנה על המידע הולכת ותופסת מקום מרכזי בשדה הראיה של מנהל אבטחת המידע .מצד אחד הארגון תופס יותר אחריות על המידע שאצור אצלו ונזהר מלחשוף אותו כלפי חוץ .מצד שני הדינמיות העסקית והשינויים התכופים מאלצים את מנהלי מערכות המידע לספק נגישות הולכת וגדלה למשאבי הארגון באמצעות פלטפורמות מגוונות מבעבר. את המעבר לתפיסת אבטחה שמתרכזת במידע עצמו כינה Paul Stampמחברת פורסטר בשם " :"Data-Centric Securityבעוד שאיומים שמקורם מחוץ לארגון "פשוטים" יותר לטיפול מכיוון שמקור ההתקפה ברור ,מה אפשר לעשות כדי לפקח על משתמשי על בארגון? איך מונעים גישה של עובדים לא מאושרים למשאבים הרגישים של הארגון? איך אפשר להתמודד עם רשלנות של העובדים בהעברת מידע בתוך הארגון והחוצה? איך שומרים על מידע האגור על הדיסק של מחשב נייד או ב PDAשל איש המכירות? בדיון הזה התרכזנו בטיפול ארגוני בנקודות אלה וניסינו לענות על שאלות לא פשוטות כמו אילו כלים אפקטיביים בטיפול בבעיית זליגת המידע בארגון :חינוך? הדרכה? הרתעה? ואיך הם משתלבים עם פתרונות טכנולוגיים בתחום. איך ניתן לפקח על מידע עסקי שעובר לשותפים עסקיים וספקים? אילו פתרונות יכולים לעזור לארגון להגן על נכסיו? במפגש ניתן דגש להטמעת פתרונות למניעת זליגת מידע ( )DLPומספר משתתפים סיפרו על הניסיון שלהם בתחום .כמו כן דיברנו על הצפנה של אמצעים ניידים וטיפול בבסיסי הנתונים. אולי אותם כדאי להצפין? הזכרנו גם פתרונות משלימים ל DLPובעיקר פתרונות לניהול זכויות יוצרים ( )DRMולבסוף נגענו גם בצורך בטיוב הפיקוח על הרשאות על בארגון והשלכתם על הגנה על מידע. במפגש השתתפו נציגי 13ארגונים גדולים במשק ממספר סקטורים מרכזיים .כולם מנהלי\אנשי אבטחת מידע בארגונם.
Moshav Bnei Tzion P.O.Box 151, 60910 Israel Tel: (972)-9-7907000 Fax: ( 972)-9-7442444
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
חינוך קודם לכל! המשתתפים במפגש נשאלו אילו כלים ,לדעתם ,יהיו אפקטיביים בטיפול בזליג ות מידע .רוב המשתתפים מסכימים כי חייב להיות תהליך לימודי וחינוכי בארגון לפני או תוך כדי הטמעת פיתרון טכנולוגי למניעת זליגת מידע .חלק מהמשתתפים אמרו כי הם יעדיפו גישות חינוכיות, הגברת מודעות ואף הענשת עובדים על פני הטמעת פתרונות Data Leak\Loss ( DLP .)Preventionהמשתתפים בפורום מסכימים בדר"כ כי קשה יהיה למנוע הרמטית הוצאת מידע בלתי מורשה מהארגון ללא תלות בגישות הטיפול שינקטו .הנחת העבודה בחלק מהארגונים היא שבכל זמן נתון ישנם עובדים שמנסים להוציא באופן פלילי חומר רגיש החוצה. אחד הארגונים שיישמו פיתרון טכנולוגי סיפר ,כי בארגונו נערך קמפיין גדול של חינוך והכנה לקראת הטמעת הפיתרון הטכנולוגי שכלל חלוקת ריחנים לרכב ,תחתיות לכוסות ,חוברות הדרכה ואמצעים נוספים שהכילו מסרים בעניין חשיבות השמירה על המידע בארגון .מנהל אבטחת המידע בארגון זה מציין ,שרוב האירועים שנוטרו במערכות היו אירועים שמקורם בחוסר תשומת לב של עובדים (שליחת מיילים עם מידע רגיש ,חיבור DOKפרטי לתחנות וכו') והוכיחו את הצורך בטיפול באוכלוסיית המשתמשים לפני הכנסת פיתרון טכנולוגי. לדעתו ניתן לצמצם את מספר האירועים למספר נמוך מאוד במידה ומיישמים ,בנוסף לפיתרון הטכנולוגי ,גם תהליך תרבותי בארגון להעלאת המודעות של העובדים וליצירת מחוייבות למידע רגיש בעסק .אצלם בארגון קיימת מודעות לנושא ,כך שאם נפתח פרוייקט שמוגדר כרגיש לארגון ,נשלחת הודעה למחלקת הביטחון בבקשה לפתוח תיקייה מיוחדת בדומיין על שם הפרוייקט .בעקבות כך מוגדרים גם חוקים מתאימים במערכת ה DLPוכל המידע שמאוחסן בתיקייה הרלוונטית מוצפן ומנוטר אוטומטית. נציג ארגון אחר מסכים עם התהליך הארגוני שחייב להתלוות לפרוייקט הטכנולוגי .לדעתו, הסוד להצלחה הוא היכולת של מובילי הפרוייקט לשווק נכון את הפרוייקט לארגון .בארגון זה מוציאה מחלקת הביטחון מדי פעם דוח עד למנכ"ל ובו פירוט מקרים בעייתים שקשורים בדלף מידע .הדוחות מחולקים לפי מחלקות כך שכולם יהיו מודעים לבעיות .מנהלי המחלקות צריכים לספק הסברים לגבי הדרך בה טופל האירוע .ע"פ הניסיון שנצבר בארגון זה ,מדיניות קשוחה שמגובה בטכנולוגיה מתאימה מורידה דרסטית את כמות האירועים שמוגדרים כ"טעויות". ענישה אחד האמצעים לאכיפת מדיניות ארגונית הוא ענישת עובדים .תחום דליפת המידע שונה מתחומים אחרים בכך שחלק גדול מאירועים בו הינם תוצאה של חוסר תשומת לב במקרה הטוב או רשלנות במקרה הרע ואין בהם אלמנטים פליליים מכוונים .זוהי הסיבה שקשה יותר להעניש עובד שטעה בתום לב ,גם אם גרם נזק לארגון. נציג אחד הארגונים שטרם הטמיעו פיתרון DLPמציין ,שהוא בראש ובראשונה בעד חינוך. מנקודת מבטו כמנהל אבטחת מידע קל להיות האיש הרע ,אבל המטרה היא לגרום לעובדים להבין איך צריך להתנהג .הנציגים שלו יושבים פעם בשנה עם כל עובד כדי להסביר לו את חשיבות בטחון המידע ואיך צריך להתנהל עם משאבי הארגון .יש שלב נוסף והוא ענישה: כשהיו מקרים בהם הייתה גישה לא מאושרת למידע ארגוני היו פיטורים או מכתבי אזהרה לתיק האישי .בארגון זה עושים שימוש במערכת של " ,Intelinxהמאזינה" לתעבורת המידע בארגון וניתן לשחזר בה פעולות שנעשו ע"י משתמשים בכל מערכות הארגון .מערכת כזו הורידה להם את עבירות החיטוט במידע לרמה מינימלית. Moshav Bnei Tzion P.O.Box 151, 60910 Israel Tel: (972)-9-7907000 Fax: ( 972)-9-7442444
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
בעיות משמעת נפתרות בארגונים אחרים בצורה דומה :מנהל אבטחת מידע בארגון עסקי מסויים פונה למנהל האישי של עובר העבירה .למנהלים לא נעים לקבל מייל שמתואר בו אירוע אבטחת מידע שאחד העובדים שלהם היה מעורב בו .בדרך כלל המיילים הללו מטופלים מאוד מהר. זכויות הפרט נקודה חשובה שהועלתה במפגש מתייחסת להיבט החוקתי של ניטור נתונים הקשורים לעובדים .החקיקה כיום מאוד בעייתית ולא יציבה .בעולם הפוליטי בישראל יש כאלה שרוצים לטרפד הסכם שנחתם בין ההסתדרות לאיגוד התעשיינים שאומר שהארגון יכול לנטר מיילים של עובדים ולגשת לתיבת הדואר של העובד במידה ומדובר במידע שרלוונטי לחברה או שיש חשש שעובד זה עושה שימוש לא הולם במשאבי הארגון .בכל מקרה הניטור חייב להיות "כללי" ולא ישירות מול עובד אלא אם כן הוא מסכים .אחד המשתתפים סיפר שאצלם עשו כל מה שאפשר כדי להיות מוגנים בתביעה וכל עובד חדש יודע שמנטרים את המידע. טיפול במידע רגיש אצל גורמי חוץ בארגון נקודה רלוונטית אחרת לטיפול בזליגת מידע היא הטיפול בגורמי חוץ שבאים במגע עסקי עם הארגון .יש מידע שיוצא לגורמים חיצוניים והוא רגיש .הבעיה הגדולה היא איך מנהלים את המידע הזה? ואיך ניתן לצמצם עד כמה שניתן את זליגת המידע העסקי שמתגלגל לספקים, יועצים ,אינטגרטורים ושותפים אחרים של הארגון? נציג אחד הארגונים סיפר שארגונו הגדיר מספר חברות כשותפות אסטרטגיות לחברה בגלל חומר עסקי שהן נחשפות אליו .הוא מנסה להגיע פיסית לכל חברה כזו ולראות שהיא מתאימה מבחינת אבטחת המידע לסטנדרטים שניתן יהיה לקבל .בחברות אלה (ספקים, שותפים וכו') יש מודעות לחשיבות הנושא והוא לא נתקל באי שיתוף פעולה .מי שלא מוכן לקבל על עצמו קודי התנהגות מינימליים ,מסתכן בסגירת הפעילות של החברה מול הארגון ולכן משתפים פעולה .משתתפים סביב השולחן התעניינו אלו פרמטרים נבדקים אצל השותפים העסקיים .נציג זה בודק בין השאר מהי מדיניות הסיסמאות? מהי מדיניות הטיפול בחומר רגיש? הוא מבקש להגיע לחדר המחשב ולראות איך הוא מנוהל (מי נכנס לחדר? קוד גישה? וכדומה) .בהתאם לממצאים הוא מוציא הנחיות לאותו גוף שיביאו ל"יישור קו" עם מדיניות אבטחת מידע ברמה מקובלת. מנהל אבטחת מידע בארגון אחר טוען שצריך להגיע למצב שמנחים את הספקים ולא יותר מזה .לשיטתו ,הוא לא אמור לבצע סקר סיכונים אצל הספק וגם אין לו את כוח האדם לכך...צריך לבנות על האמינות שלהם. גם משתתפים אחרים מסכימים עם אמירה זו וחלק מהם מעידים שהם נוהגים לתשאל את הספקים ולקוות שהם עומדים בפועל מאחורי המילה שלהם .המטרה היא לא להכנס לספקים "לקרביים" .מאוד קל להשאב פנימה... מצד שני כן צריך לפקח על הספקים בגלל שהמידע הארגוני שמגיע אליהם יכול לזלוג מכיוון לא צפוי למתחרה .כדי לייעל את הטיפול בספקים מקובל לחלק את הספקים למספר רמות רגישות .יש כאלה שהם מאוד רגישים מבחינת החומר שנחשפים אליו ובהם מושקעת הרבה אנרגיה כדי לוודא שהסיכון מצומצם .אחד המשתתפים העיד כי בארגונו נהוג לפקח "עד רמת החוקים של ה "FWבמקרים כאלה .מבחינת ארגון זה מהמגזר הפיננסי ,ספק שמחזיק חומר רגיש שלהם צריך לעמוד באותם סטנדרטים של סקרי סיכונים שהארגון עצמו עומד בהם. המשתתפים במפגש ציינו כי יש יתרון גדול בזה שארגונים אחרים כמוהם מפקחים על הספקים שלהם .ספק כזה שמגיע לעבוד עם ארגון אחר כבר מכיר את שיטת העבודה ואת
Moshav Bnei Tzion P.O.Box 151, 60910 Israel Tel: (972)-9-7907000 Fax: ( 972)-9-7442444
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
הדרישות והוא בא מוכן לזה .ספק שעובד עם חברה שעושה פיקוח בהחלט נראה שונה ומוגן יותר .ההתנהגות שלו אחרת לגמרי. הצפנת המסמכים לעבודה מול גורמים חיצוניים היא שיכבת אבטחה נוספת שנועדה לוודא שהמידע נחשף רק בפני מי שצריך לראות אותו .בחלק מהארגונים מגדירים חוקים שתקפים רק למשתמש החיצוני .אופציה אחרת היא עבודה עם OTPגם בעת פתיחת מסמכים מסויימים מחוץ לארגון. פתרונות טכנולוגיים לזליגת מידע אחד הפרקים המרכזיים במפגש הוקדש לפרויקטים ויישום טכנולוגיות למניעת זליגת מידע. בין המשתתפים במפגש יש מספר ארגונים בעלי ניסיון בהטמעת פתרונות .DLPאחד המשתתפים סיפר על הנעשה בארגונו (ארגון מהמגזר העסקי) אשר חווה ביומיום מקרים רבים של דלף מידע מתוך הארגון החוצה .הם החליטו "לתקוף" את הבעיה מכמה זויות: חינוך הארגון לחשיבות הנושא ,עבודה בהתאם לחוק תוך כיבוד זכויות העובדים לפרטיות והטמעת פתרון טכנולוגי .במסגרת בחינת החלופות לפיתרון ניסו את חברת PortAuthority (עוד לפני שזו נרכשה ע"י ,)Websenseאבל הפיתרון שהוצע להם כלל שלוש מערכות נפרדות ל ,GWלתחנות הקצה ופיתרון הצפנה .לאחר בחינה של פתרונות נוספים אחרים ארגון זה החליט לבחור בפיתרון של .Verdasysאחד השיקולים לבחירה הוא בכך שמדובר בפיתרון משולב בכלי אחד לזליגת מידע ,לחסימת התקנים פריפריאליים והצפנות ,מה שמקל על האינטגרציה לתוך מערכות הארגון ויכול אף להוזיל עלויות במקרים מסויימים .מבחינתם מדובר בהטמעה מוצלחת והם מאוד מרוצים מהתוצרים של המערכת .בשלב ההרצה של הפרוייקט הם בחרו להגביל את מספר האירועים שמדווחים ע"י המערכת למספר נמוך והחליטו לבחון מתוכם רק את אלו החמורים ביותר. ארגון אחר מהמגזר העסקי החל תהליך הטמעת פיתרון כבר לפני כ 4שנים בעקבות דלף מידע רגיש מחוץ לארגון .הם בחרו בפיתרון של PortAuthorityולכלי הוגדרו האזורים לסריקה בתוך משאבי הארגון שקדם לו תהליך ארגוני מקיף .אנשי מחלקת הביטחון עברו בין הגופים שיש להם נגיעה לחומר רגיש והוגדרו נהלים לגבי איפה לשמור את המידע הרגיש ואיך צריך לטפל בו .הכלי יודע לזהות הרבה מאוד פרמטריים חשובים שמקילים על זיהוי פיסות מידע בתעבורה הארגונית וטיפול בהם .בארגון זה ההטמעה הייתה פשוטה יחסית וה - ROIמיידי .מבחינת יכולות המערכת בארגון זה :המערכת יכולה לחסום בפועל מעבר של נתונים ותוכן וכן לבצע ניטור ודיווח למנהלי המערכת ,כל זאת ע"פ דרישת המפעילים .מטבע הדברים גם בארגון זה יש לא מעט התרעות שווא במידה ומשתמשים במדיניות אגרסיבית של יירוטים ודיווחים ויש לקחת זאת בחשבון .בארגון הזה הוגדרו ברוב המקרים חוקים שיתריעו על עבירות ולאו דווקא יבצעו פעולות נוספות כדי לא "לשגע את הארגון". נציג ארגון נוסף מהמגזר העסקי סיפר ,כי גם בארגונו עלתה הדרישה ליישום פיתרון .DLP הפיתרון שנבחר בארגון זה מבוסס על הפיתרון של חברת Onigmaהישראלית (שנרכשה בינתיים ע"י .)McAfeeבארגון זה שמו לב לשתי תופעות שהיוו בעיה אבטחתית חמורה: חלק מהעובדים בארגון נהגו לשלוח מייל לכתובת הפרטית שלהם ( YAHOO ,GMAILאו כל WEB MAILאחר) ובו חומרים עסקיים כדי לעבוד מהבית (בארגון זה ,כמו בארגונים רבים נוספים בישראל ,החיבור לרשת הארגון נעשית דרך טרמינלים שביצועיהם ותהליך ההתחברות הראשוני אליהם הוא איטי ומסורבל) .כלומר ,מנקודת מבטם של העובדים, הסיבה לשליחת המיילים ל WEB MAILהיא קיצור וייעול תהליכים .בעיה אבטחתית נוספת שהתגלתה הייתה הכנסת מדיה נתיקה פנימה לארגון. שתי סיבות אלה הביאו את הארגון להתחיל בהטמעת פיתרון שיתמודד עם שתי בעיות אלה: התעבורה בארגון ובמיוחד יציאת מיילים החוצה נוטרו וחיבורי מדיה נתיקה זוהו ונאסרו
Moshav Bnei Tzion P.O.Box 151, 60910 Israel Tel: (972)-9-7907000 Fax: ( 972)-9-7442444
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
לביצוע :כשמכניסים DOKניתנת התרעה לעובד שהוא עלול לבצע עבירה על ביטחון מידע. העובד יכול ליצור קשר עם מוקד התמיכה ולקבל אישור חד פעמי לחבר את ה .DOKבעיה שארגון זה לא הצליח למצוא לה פיתרון היא שימוש ב BlueToothכדי להוריד קבצים .קשה למצוא פיתון שימנע את הדליפה ולא יפגע בעבודה .ארגון זה בחר להגיע ליעילות של 80% 20%בגישת הטיפול שלהם בבעיות הקשורות לדלף מידע .ידוע להם כי יהיה קשה מאוד למנוע בצורה מוחלטת יציאה לא מאושרת של מידע מהארגון. תחזוקה ותפעול מניסיונם של הארגונים שכן מפעילים יישום DLPבארגון עולה כי התחזוקה השוטפת מחייבת רפרנט בשליש עד חצי משרה ,אשר מעדכן ברמת התקנת התחנות וכן מנהל אבטחת המידע שמגדיר את החוקים שצריך לנטר .כמו כן ,מוגדר ברוב המקרים שאיש ITלא יכול לצפות בדוחות שהמערכת מוציאה אלא רק מי שמוסמך לזה (כדי לא לפגוע בפרטיות של העובדים) .בארגון מסויים הוקמה ועדה מיוחדת לתפעול המערכת :הוועדה מחליטה איזה מידע לחסום ואיזה לנטר בלבד .בוועדה יושבים נציגים של ,IT ,HRכספים ,אבטחת מידע וסמנכ"ל שמלווה אותם. סיווג החומר :איך מסווגים את המידע בארגון? באחד הארגונים שהטמיעו פיתרון DLPבחרו להגדיר בצורה כזו את הפרמטרים לסיווג מידע ,כך שניתן יהיה לזהות מידע רגיש בהמשך :כחלק מתהליך האיפיון ,התבקשו מנהלי יחידות ואגפים לפרט 4פרמטרים עבור המידע הארגוני שרלוונטי אליהם :מה הן מילות מפתח שמאפיינות את המידע? ,באילו תיקיות מאוחסן המידע העסקי שלהם? ,מי הם הספקים שמולם עובדים? ולבסוף ,מי מהעובדים צריך את המידע הרגיש? הנתונים שנאספו איפשרו להרכיב מודלים לתיוג המידע הארגוני לקבוצות רגישו·ת ולהצפין במידת הצורך רק את התיקיות שהוגדרו בניתוח המקדים .היום הוא יודע שכל מייל רגיש יוצא החוצה מוצפן בעיקר בזכות אותו ניתוח מקדים .המערכת מאוד גרנולרית ומאפשרת הגדרות מאוד מפורטות של מה רגיש ומה לא .המערכת גם יודעת להגדיר תיקיות ספציפיות כקריטיות ולתת להן דירוג רגישות. נציג ארגון נוסף שצבר ניסיון ארגוני בתחום העיד כי התהליך הארגוני (לבוא לגופים ולהגדיר מה צריך ומה לא) מאוד מסובך .בהתחלה נוטר חומר שלא היה רלוונטי למערכת .DLP בהמשך ההטמעה הובן בארגון שצריך לשים בתיקיות המנוטרות רק מידע רלוונטי ,אשר מחייב הערכות תהליכית ותרבותית בארגון .מהניסיון של ארגון זה רואים שהמטרה היא להגדיר שמירת מסמך רק בספריה מוצפנת או מנוטרת כברירת מחדל מתוך הבנה שברוב המקרים מדובר על חומר עם ערך ניטורי .אם משאירים לעובדים חופש במיון המידע ,או שהוא צריך לבצע יותר מדי פעולות כדי לאחסן מידע רגיש בתיקייה מתאימה ,מתחילות הבעיות. משתתף אחר סיפר ,כי לפתרונות DLPמסויימים יש יכולת לנטר מסמכים שלא נמצאים בתיקיות המסווגות במידה והמערכת מזהה פרמטרים מסווגים בהם .אם עובד שמר חומר מסווג גם בשולחן העבודה היא תוכל ,למשל ,להוציא התרעה לעובד שהוא שומר מידע רגיש במקום שאינו מיועד לכך. פתרונות משלימים לזליגת מידע בחלק מהארגונים עושים שימוש בפתרונות משלימים לטיפול בבעיות זליגת מידע.
Moshav Bnei Tzion P.O.Box 151, 60910 Israel Tel: (972)-9-7907000 Fax: ( 972)-9-7442444
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
דוגמא לכך היא הצפנת מחשבים ניידים .בנושא זה חלוקות הדעות בין המשתמשים לגבי יעילות השימוש בפתרונות הצפנה וכן איך מומלץ לגשת לפרוייקט הצפנה בארגון .שתי הגישות המובילות בתחום בין המשתתפים במפגש הן :הצפנת כל הדיסק הקשיח במחשב מול הצפנת תיקיות מסויימות ע"פ הצורך. לכל גישה יש יתרונות וחסרונות ברורים .כך ,למשל ,הצפנה גורפת של כל הדיסק הקשיח יכולה לגרום לנזק גדול במידה והמחשב ננעל ע"י המשתמש .מצד שני ,קלות העבודה והעובדה שאין צורך "לזכור" לשמור חומר רגיש רק במקומות המיועדים לכך ,מהווים חוזקה משמעותית. אחד המשתתפים לא רואה סיבה להצפין את כל הדיסק .לדעתו ,אפשר להצפין רק את התיקיות הרגישות .שימוש בכלי DLPשיאפשר הצפנה של מידע יכול להקל את העבודה במידה רבה. פתרונות משלימים נוספים לטיפול בדלף מידע באים מעולם ניהול הזכויות ( Rights )Managementונועדו לתת מענה ארגוני להפצת מידע בתוך ומחוץ לארגון .אחד הפתרונות הנפוצים בתחום הוא ה )Rights Management Services( RMSשל מיקרוסופט .בחלק מהארגונים עושים שימוש בכלי זה ובכלים אחרים כדי להשלים עוד שכבת מידע בעיקר ברמת הסיווג של מסמכים רגישים .בחלק אחר מהארגונים כלים אלה מהווים את התווך המרכזי לטיפול בדלף מידע .בשונה מפתרונות " DLPקלאסיים" ,פתרונות RMמעבירים את האחריות על סיווג המידע באופן שוטף ליוצר המידע .גישה זו מהווה חיסרון לדעתם של חלק מהלקוחות מאחר והיא מסרבלת את תהליך יצירת המסמך .לדוגמא :בעת לחיצה על "שמירת מסמך" בעת יצירת מסמך חדש ,נשאל המשתמש איך יש לסווג את המסמך בנוסף לתיקייה שאליה המשתמש מעוניין לשלוח את המסמך לאחסון .בעת הפצת מסמך שהוגדר ע"י יוצר המידע כרגיש הוא ישאל על ידי המערכת מה הם חוקי ההפצה שיבקש לכפות על המסמך הנ"ל :האם לאפשר הדפסה? האם לאפשר העברת המסמך הלאה ע"י המקבלים? זכות קריאה/זכות עריכה וכו' .ישנם פתרונות אשר משתמשים בפלטפורמה שמציע ה RMS וכלים דומים אחרים כדי להקל את תהליך ניהול המידע וסיווגו וכן לאפשר אכיפת חוקים ומדיניות על מסמכים מחוץ לעולם של .Microsoft Officeשתי חברות ישראליות צעירות שפעילות בתחום הן Secure Islands :ו ,Covertixאשר מציעות ניהול חכם של תנועת המסמך בתוך ומחוץ לארגון גם ב PDFובפורמטים אחרים. אחד המשתתפים ,שבארגונו קיימות שתי סביבות עבודה :פנים ארגונית וחיצונית – לאינטראקציה עם גורמי חוץ ,סיפר על פיתרון מעניין שנועד לתת מענה לדלף מידע :הם בנו ממשק בין שתי הסביבות הארגוניות ומי שרוצה להעביר דואר לרשת החיצונית חייב לחתום עליו דיגיטלית ע"י העברת כרטיס העובד שלו .בכל מקרה אחר לא מעבירים דואר .מטרת פיתרון זה היא קבלת אחריות של העובד על התוכן שהוא מוציא מחוץ לארגון. בהקשר הזה הועלתה בפורום שאלה של נציג ארגון נוסף שמקיים הפרדת רשתות משיקולי אבטחת מידע ונותרה ללא מענה :האם ניתן להעביר מסמך מרשת אחת לרשת השנייה בארגון שיש לו כלי DLPולהמשיך לקיים עליו מדיניות שהוגדרה כבר ברשת המסווגת? (זה בהנחה שהוא עבר לרשת הפתוחה ללא גילוי). טיפול במשתמשי-על נקודה קריטית למניעת דלף מידע היא טיפול בהרשאות הארגוניות של משתמשי העל ( )ADMINלמיניהם: אחד המשתתפים סיפר שבהתחלה היו להם כניסות רבות ל DBוהם הבינו שמדובר בבעיה אבטחתית לא פשוטה .כיום יש בקרה על הפעולות של ה DBAsברמה האישית ויש פיקוח של DBAאחד על השני .משתתף אחר סיפר כי בארגונו מקבל כל DBAחדש תדרוך על
Moshav Bnei Tzion P.O.Box 151, 60910 Israel Tel: (972)-9-7907000 Fax: ( 972)-9-7442444
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
הבעייתיות בתחום .משתתף זה מספר על בעיה אחרת שמטרידה את ארגונו :זליגת גישות ה DBAלמערכות שלא קשורות ישירות לתחום הפעילות שלהם בשל הסיעוף בין המערכות הארגוניות ובין ה DBsהשונים.בארגון זה הגדיר מנהל אבטחת המידע התרעה מיוחדת על כל הרשאת DOMAIN ADMINחדשה בארגון .ארגונים אחרים סיפרו כי גם אצלם מקובלת התרעה מהסוג הזה שלאחריה נבחן הצורך הארגוני בעוד משתמש על.
הצפנת DB כיוון הפוך לטיפול ב DBהוא הצפנה שלהם: רוב המשתתפים לא ניסו פיתרון כזה .אחד הארגונים שכן נמצא בתהליכי הטמעה ,מציין שמדובר בתהליך מאוד לא פשוט ,במיוחד פתיחת וסגירת הצפנות בזמן אמת במערכות פרודקשיין .בארגון זה כתבו סקריפט שיודע לערבל מידע פנימי במעבר בין סביבות הטסט לפרודקשיין ,כך שאם יש פרטים מזהים על הנתונים ישנו את הנתונים ויצפינו אותם .הקושי הוא מיפוי ה DBוזיהוי כל הנתונים הרגישים עליו. ארגון אחר ניסה את המוצר של חברת .Sentrigoהמוצר מראה מי פתח שאילתה ב ,DBמי סגר וכו' .חלק מהשיקולים שעלו בין המשתתפים במפגש להטמעת פיתרון זה או אחר הם כמה אחוז CPUהכלי תופס מתוך זמן עיבוד ה .DBהפיתרון של Sentrigoמתחייב לא להשתמש ביותר מאחוז שולי מה .CPUנציג אחד הארגונים שמחוייבים לרגולציה שחייב לעשות אודיט על הפעילות ב DBשלו ,סיפר שהוא לא מצפין את בסיס הנתונים בגלל העלות הכרוכה בכך וכן האובר הד בשימוש במשאבים במערכות מהסוג הזה .כל אחוז שימוש ב CPUזה המון אצלו כי ה DBשלהם עובדים קשה מאוד .בארגון זה בחנו פיתרונות של חברת ,Impervaסנטריגו וגרדיום .לבסוף בחרו באימפרבה בגלל יכולת האודיט שלהם.
Moshav Bnei Tzion P.O.Box 151, 60910 Israel Tel: (972)-9-7907000 Fax: ( 972)-9-7442444
Related Documents
Data Centric Security Rt
November 2019 33
Data Security
June 2020 10
Data Security
June 2020 9
Data Warga Rt 01.docx
November 2019 24
Data Pemuda Rt 04.docx
December 2019 14