אבטחת מידע היא מכלול האמצעים במערכת ובארגון שתפקידם לוודא שהמידע האצור במערכת הוא מוגן וממודר. המונח המקביל באנגלית הוא Information Security, או בקיצור Security. בעברית מקובל גם המונח במ"מ (בטחון מערכות מחשבים). במאמר זה ננסה לתת קווים מנחים כיצד יש להגן על המידע הממוחשב בארגון, נתייחס אל הנושא בהיבט הניהולי ונסקור עקרונות ומדיניות אשר יש להנהיג בארגון.
נהוג לחלק אבטחת מידע לשלוש קטגוריות עקריות :
1) זמינות הנתונים (המידע המחשבים והתוכנות שבהן נמצא המידע יהיו זמינים לעובדים).
2) אמינות (המידע חייב להיות מדויק ואמין).
> 3) סודיות (המידע יחשף רק למי שרשאי לראותו).
כל הפרה של אחד הכללים הרשומים לעיל יחשב כפגיעה בנתונים.
נתייחס אל אבטחת הנתונים בשני אופנים:
צעדים מניעתיים (למניעת הפרה של אחד הכללים)
צעדים לגילוי (לגילוי איום המפר את אחד הכללים).
ואל ההגנה בשלושה מישורים:
הגנה פיזית (שומרים, אזעקה, מערכות כיבוי אש, מצלמות וכו')
הגנה טכנולוגית (הצפנה, סיסמאות, עידכוני אבטחה וכו')
הגנה מנהלתית ( מדיניות, מודעות, פרוצדורות וכו').
אלה הם שלושה מעגלי אבטחה אשר כל אחד מהם חייב להיות סגור. חשוב לציין כי סך כל ההגנה בארגון שווה לחוליה החלשה ביותר בארגון!!
הגנה פיזית:
בהגנה פיזית יש להתייחס לנושאים הבאים:
הגנה הקפית: גדר - חומה
הגנה כנגד אש (מערכות כיבוי והתרעה)
הגנה כנגד הצפות (מיקום חדר השרתים בקומה אמצעית ולא במרתף, גלאים
נגד הצפות)
הגנה כנגד פורצים (מנעולים, מנעולים עם קוד / הגנה ביומטרית, גדר, פתחים
ממוגנים (סורגים), תאורה ומצלמות במעגל סגור במידת הצורך)
שמירה (בני אדם, כלבים)
שמירה על טמפ' נכונה בחדר מחשב (מזגנים), מניעת לחות / יובש גבוהים מדי
על מנת למנוע פגיעה במחשבים
מערכות לגיבוי חשמל (UPS או גנרטורים).
חשיבות כל אחד מהסעיפים הנ"ל גבוהה ביותר. אי מתן מענה לכל אחד מהם חושף את החברה לאיבוד זמינות הנתונים ו/או פגיעה בהם. לדוגמא חדר השרתים: במידה ולכל עובד / אדם זר יש גישה אל חדר השרתים, הרי שכל אחד יכול להגיע אל השרת המרכזי ולעשות אחת או יותר מהפעולות הבאות:
להוציא אותו משקע החשמל (להלן פגיעה בזמינות הנתונים),
להכניס דיסקט או disk on key ולקחת מידע מהשרת (פגיעה בסודיות הנתונים).
אחת החברות הגדולות דאגה להשקיע כסף רב במיגון (טכנולוגי) של השרת באמצעות הצפנות ואבטוח הנתונים על ידי מערך הרשאות מסודר, אבל קלטות הגיבוי שהכילו את כל המידע הרגיש ביותר של החברה הונחו על השרת, וחדר המחשבים היה פתוח. הקלטות נגנבו על ידי פורץ ולמעשה כל המידע הארגוני נגנב כתוצאה מכך (כולל סודות שמורים של החברה כגון תוכניות לעתיד, פטנטים, קוד תוכנה וכו')
לכן, שמירה על אמצעי הגיבוי והשרתים הינה חלק בלתי נפרד ומשמעותי בשמירת הנתונים בעסק.
הגנה טכנולוגית:
סעיף זה מתייחס להגנה על המידע העובר בקווי התקשורת ומאוחסן בשרתים, שמטרתה בעיקר למנוע דליפת מידע חסוי.
יש לתת את הדעת לנושאים הבאים:
סיסמאות
הרשאות גישה לתוכנות ונתונים
הצפנת מידע בדיסקים מיילים וכו'
חתימה אלקטרונית
הצפנת מידע בקוי התקשורת
גיבויים ומדיניות גיבויים (כתבה בנושא פורסמה בגיליון דצמבר של 'חשבשבות' )
חומת אש ( firewall). מאמר בנושא זה יפורסם בגיליון הבא.
מערכות IDS / IPS (לגילוי ומניעת חדירות מחשוב לארגון),
אנטי וירוס והגנה כנגד "קוד עוין" כגון תוכנות ריגול, פרסומות, סוסים טרויאנים
כרטיסים חכמים המשמשים לבקרת גישה
מערכות ניתור שינויים במידע ושמירת לוגים
קנייה והתקנה של תוכנות מאושרות ועל פי תקנים בארגון.
הגנה מנהלתית:
נושא זה הינו חשוב ביותר, פירצה כאן יכולה לבטל את כל ההגנות שהוזכרו עד כה, חלק ניכר מההתקפות המוצלחות לאחרונה היו התקפות של הנדסה חברתית, כלומר מציאת החוליה החלשה ביותר בארגון - אנשים, וביצוע מניפולציות שונות לגניבת המידע ו/או שיבושו.
לכן עלינו להתייחס לנושאים הבאים:
מדיניות של סיסמאות (לא לרשום / למסור סיסמאות, להחליף אותן מידי תקופה,
לא לדבר על סודות החברה במקומות ציבוריים)
מדיניות גלישה באינטרנט באירגון
הפרדת תפקידים באירגון (לעיתים יש ליצור מצב ובו רק שני עובדים יחד יוכלו
לבצע פעולה מסוימת. לדוגמא, בבנק לכל עובד יכול להיות מפתח, אך רק שני
המפתחות יחד יוכלו לפתוח את הכספת)
Need to know עובד יודע רק מה שהוא חייב לתפקידו
סבב תפקידים (לגילוי הונאות) הוא נושא חשוב: עובד אשר מבצע מעילות לרוב
לא יקח חופשים ולא יעדר מהעבודה. במידה ופעם בתקופה מתבצע
סבב תפקידים, תתגלה ההונאה. פעולה פשוטה כזו יכלה לגרום לגילוי ההונאה
בבנק למסחר הרבה קודם, ולצמצם את מידת הנזק (הבנק פשט רגל) שנגרמה
לבנק וללקוחות
מדיניות השמדת מדיות ישנות
מדיניות גריסת חומר ומסמכים
הכנת תוכניות "התאוששות מאסון" ו "תוכניות המשכיות עסקית"
כנסים, מודעות, פרסומים בנושאי אבטחה בארגון לעידוד המודעות
מדיניות לגבי שימוש במצלמות בארגון (סלולרים עם מצלמות יצרו בעיית
אבטחה בארגונים רבים)
קביעת מדיניות שימוש במיילים ובפקסים בארגון
ציות לחוקים ותקנות. מאמר בנושא זה פורסם בגיליון הקודם של 'חשבשבות'
מדיניות התקנת תוכנות (אנו עדים למקרה האחרון של ריגול תעשייתי לכאורה
שבו הושתל סוס טרויאני במחשבי החברות, ישנו חשד כי התוכנה הושתלה על
ידי משלוח דיסק "פרסומי" לחברות, עובד התקין את הדיסק על מנת לראות
מצגת וכך הותקנה התוכנה (סוס טרויאני) במחשבי החברות. מדיניות נכונה של
התקנת תוכנות יכולה למנוע מצבים דומים.
לדוגמא, אדם המתחזה למנהל המחשוב בארגון או לאדם מטעמו מתקשר אל עובד/ת (בעיקר באירגונים גדולים) ואומר לו/ה כי יש וירוס ברשת אשר משבש את את פעילותו של מחשב המנכ"ל (ליצור הפחדה). המתחזה מבקש את סיסמת הגישה למחשב שלה בכדי ל"הסיר את הוירוס". במידה ואין נהלים מסודרים למקרים כאלו, ברוב המקרים העובד יתן את הסיסמא שלו וההמשך ברור.
נושא ההגנה המנהלית הינו חשוב ועיקרו הוא חינוך, מודעות ומדיניות ברורה בחברות.
כל אמצעי שהוזכר הוא נושא רחב וראוי לכתבה בפני עצמה.
יש להבין כדי לשמור על "אבטחת המידע בארגון" דרוש הרבה יותר מתוכנתFirewall.
נכתב ע"י אורי שמאי, מנהל System
