מי מרחרח לכם בתוך הרשת?

משפט סיני עתיק אומר שכאשר שמים למישהו כוח בידיים, סביר להניח שבסופו של דבר הוא ינצל אותו. סקר בנושא אבטחת מידע שנערך בחודשים האחרונים מצא כי למעלה מ-60% מהנשאלים הודו כי בשלב מסוים בעבודתם הם נגשו למידע שלא היה רלוונטי לתפקידם. אז מי באמת מרחרח לכם ברשת?

משפט סיני עתיק אומר שכאשר שמים למישהו כוח בידיים, סביר להניח שבסופו של דבר הוא ינצל אותו. השבוע פורסמו תוצאות סקר בנושא אבטחת מידע אשר נערך על-ידי חברת Cyber-Ark הישראלית. הסקר, אשר במסגרתו נשאלו קרוב ל-400 אנשי IT בארצות הברית ובבריטניה, כלל מספר שאלות הנוגעות לנושאי אמון, אבטחת מידע וסיסמאות בארגונים.

לפי תוצאות הסקר, כ-67% מהנשאלים הודו כי בשלב מסוים בעבודתם הם ניגשו למידע שלא היה רלוונטי לביצוע תפקידם. מעבר לכך, קרוב ל-41% הודו כי הם השתמשו בגישת ה-Admin שלהם בצורה מכוונת על-מנת להגייע למקומות המכילים מידע רגיש או חסוי. כמו כן, כ-65% מהנשאלים ציינו כי הם יכולים לעקוף כל מנגנון הגנה שייושם בארגון על-מנת לנטר גישה לקבצים או לאפליקציות שונות ברשת.

בסקירה ראשונה של תוצאות הסקר, המספרים הגבוהים יחסית גרמו לי לפקפק באמינותו, שכן לא ממש ברור לי איזה איש IT היה מספיק טיפש להשתמש בהרשאות שלו שלא לצורך ואחר-כך ללכת ולהודות בזה במסגרת סקר (לא שבאמת אפשר לעשות עם זה משהו). מצד שני, אם מדובר בסקר שנערך בבריטניה ובארצות הברית, מה זה אומר לגבי המספרים בישראל?

מה קורה בישראל?

התוצאות שאנו מביאים כאן אמנם אינם מבוססים על סקר שנערך אי-פעם, אך אין הרבה אנשים שיוכלו להתווכח כי המוח הישראלי ידוע בתור אחד שינסה תמיד לקמבן\לתחמן\להשיג יתרון תחרותי כמעט בכל מחיר, כי הרי זה לא באמת לא בסדר אם לא תפסו אותך. אם אנחנו הולכים לפי התיאוריה הזאת, הרי שמספר אנשי ה-IT אשר עושים שימוש "בלתי-מורשה" בהרשאות שלהם לצורך שימושים אישיים הוא גבוה באופן משמעותי מאלו המצויינים בסקר.

בשנים האחרונות בהם ביקרתי בתור יועץ בארגונים גדולים וקטנים בארץ, ראיתי איך בכל מקום, אנשי IT מצליחים למצוא דרכים כיצד לעקוף את המדיניות הארגונית ולהריץ תוכנת שיתוף קבצים כאשר הארגון חוסם זאת לכולם, להגדיל לעצמם את תיבת הדואר ולהוריד מגבלות על שליחת קבצים ובמקרה אחד אף הגדיל אחד ממנהלי הרשת להתגאות בכך שהוא הצליח לאתר את קובץ המשכורות של החברה והציג אותו בפני.

הסכנה הגדולה ביותר היא מבפנים

עוד מימי קדם אנו יודעים שבכל ארגון, עסק (או צבא), הסכנות הגדולות ביותר אורבות מבפנים. לאנשי ה-IT הארגוניים יש את הכוח הגדול ביותר בארגון מאחר והם צריכים את האפשרות לגשת לכל קובץ ותיקייה, לכל משתמש ותיבת דואר ולכל אפליקציה הקיימת בארגון, על-מנת שיוכלו לספק למשתמשים את התמיכה שהם צריכים לקבל.

מצד אחד, הציפייה של הארגון מעובדיו הוא שהם ידעו לנצל בחוכמה את הכוח שהארגון מניח בידיהם ויעשו זאת בעיקר לצרכי הארגון. מצד שני, בחלק לא קטן מהמקרים, הארגון נותן לחתול לשמור על השמנת. כלומר, הגוף הממונה על יישום הנחיות אבטחת המידע הוא אותו גורם IT המנצל זאת לצרכים האישיים שלו.

בשנים האחרונות חודר לארץ הטרנד של הקמת גוף אבטחת מידע עצמאי הכפוף ישירות למנכ"ל הארגון ומחזיק בידיו את המפתחות לחלק גדול מהחומרים הרגישים בארגון, כך שגוף ה-IT המטפל בתחזוקה השוטפת יעבוד תחת סוג מסוים של פיקוח ואף על פי שמבנה מסוג שכזה לא מחסל את הסכנה לחלוטין אלא רק מצמצם אותה במעט, אין ספק שזהו צעד בכיוון הנכון.

מה עושים כשעובד עוזב?

בחברות הבינאלומיות הגדולות, כאשר עובד עוזב או מועזב, הוא מקבל כמות זמן מוגבלת (בדקות בדרך כלל) לארוז את חפציו ולבלות את 30 היום שנשארו לו בחברה בביתו, ללא גישה לאף משאב השייך לחברה. אותן חברות אף מעדכנות את גופי אבטחת המידע בארגון על פיטורי העובד לפני ההודעה עצמה על-מנת שאלו יוכלו לטפל בביטול כל הרשאות הגישה של העובד בעוד הוא נמצא בשיחת הפיטורין.

אכזרי? אין ספק. פותר את הבעייה לחלוטין? לא ממש. אם ננסה לחשוב לרגע מה יקרה בישראל כשניסים מאבטחת מידע יקבל הודעה שמחר עומדים להודיע לאריק שהוא מסיים את תפקידו בחברה, סביר להניח שכולנו נגיע לאותו התסריט. אריק עדיין יקבל פרק זמן מספיק גדול על-מנת להשתמש בכל אותן הרשאות שיש לו (לפני שיחת הפיטורין) על-מנת לנצל אותן ולגרום לארגון נזק רב.

מספר קטן של נשאלים בסקר אפילו הודה שבמידה והוא ידע שמפטרים אותו ביום למחרת הוא היה משנה את הסיסמאות למסד הנתונים הראשי, לוקח איתו את כל הדו"חות ומסמכי הפיתוח והמחקר שהוא רק יכול ואפילו דואג לקחת איתו גם את הסיסמא של המנכ"ל.

אז באיזה גישה אתם הייתם נוקטים? איזה פתרון אתם מציעים לבעיה? נשמח לשמוע מה אתם חושבים בנושא…

יניב פלדמן

לשעבר העורך הראשי של גיקטיים ומייסד שותף של האתר. יזם, טכנולוג, כלכלן בהשכלה והיסטוריון חובב. התחביב האהוב עליו הוא מציאת פתרונות מסובכים לבעיות פשוטות במיוחד.

הגב

9 תגובות על "מי מרחרח לכם בתוך הרשת?"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
trackback

[…] This post was mentioned on Twitter by מורן בר. מורן בר said: RT @bizgeek: פוסט חדש: מי מרחרח לכם בתוך הרשת? http://bit.ly/aJDpzj […]

trackback

[…] משפט סיני עתיק אומר שכאשר שמים למישהו כוח בידיים, סביר להניח שבסופו של דבר הוא ינצל אותו. סקר בנושא אבטחת מידע שנערך בחודשים האחרונים מצא כי למעלה מ-60% מהנשאלים הודו כי בשלב מסוים בעבודתם הם נגשו למידע שלא היה רלוונטי לתפקידם. אז מי באמת מרחרח לכם ברשת? לכתבה המלאה […]

אורן
Guest

"בשנים האחרונות בהם ביקרתי בתור יועץ בארגונים גדולים וקטנים בארץ, ראיתי איך בכל מקום, אנשי IT מצליחים למצוא דרכים כיצד לעקוף את המדיניות הארגונית ולהריץ תוכנת שיתוף קבצים כאשר הארגון חוסם זאת לכולם, להגדיל לעצמם את תיבת הדואר ולהוריד מגבלות על שליחת קבצים ובמקרה אחד אף הגדיל אחד ממנהלי הרשת להתגאות בכך שהוא הצליח לאתר את קובץ המשכורות של החברה והציג אותו בפני"

מה זה איש IT ש"מצליח לעקוף" את החסימות בארגונו?? הרי הוא זה שמבצע אותן.

כל הכתבה כתובה בצורה חובבנית ומגוכחת, וסליחה מהכותב המהולל.

יניב פלדמן
Guest

הי אורן,

כמו שציינתי בפסקה שבחרת לצטט, אנשי ה-IT עוקפים את המדיניות שנקבעה בארגון. זה נכון שמי שמיישם את אותה מדיניות הם אנשי ה-IT (וכך בעצם הם מאפשרים לעצמם לעקוף אותה) אך המדיניות עצמה בדרך כלל לא נקבעת על-ידי האנשים המבצעים אלא על-ידי דרג גבוה יותר.

יניב.

יניב
Guest

ארגונים קטנים לעולם יהיו חשופים, כיוון שזה כמעט בלתי אפשרי לאכוף את כל החוקים.
לכן, גם כשמפטרים , צריכים לדעת לעשות זאת בצורה היפה, והנכונה. קל לדבר מלעשות, אבל חובה למנהל לדעת שגם פיטורין יש לעשות בצורה מכובדת.

בנוסף, אם יש CTO, או מנהל טכנולוגי שאינו זוטר, הוא זה שיכול לדעת יום לפני על הפיטורין מבלי ליידע את העובד, וכך למנוע ממנו מלהגיע למידע רגיש במיוחד.

זה עוד ייתרון לטכנולוגיות SaaS (תוכנה כשירות), כיוון שהכוח יורד מאיש ה-IT. לכל אחד את הסיסמא שלו, ואין ממש צורך ב-IT – את כל תחזוקת המערכת ה-vendor עושה עבור הלקוחות באופן גורף, כולל האבטחה.

גיל פרוינד
Guest

להעביר את האחריות לענן היא לטמון את הראש בחול. אם אינך סומך על העובדים בתוך האירגון, מדוע לסמוך על עובדים שכלל אינם בארגון?

דודי
Guest

נא צרו איתי קשר [email protected] ע"מ שאוכל להמליץ לכם איך להגן על הרשת הארגונית שלכם מפני תקיפות סייבר,גניבת זהויות , phishing ועוד

trackback

[…] שימוש בהרשאות יולי 20 אבטחה כפי שפורסם באתר ביזגיק, לפי סקר שפורסם לאחרונה מרבית בעלי ההרשאות בחברות […]

trackback

[…] וזעף כתבה של יניב פלדמן הותירה אותי כועס. לא על הכותב, אלא על המצב אותו הוא […]

wpDiscuz

תגיות לכתבה: