נתן הרשקוביץ הוא איש המקצוע שאחראי על אחד מצמתי המידע הכלכליים החשובים ביותר במדינת ישראל. הרשקוביץ הוא מנהל מערכות המידע של הרשות לניירות ערך, הגוף שמקבל ראשון את המידע הרגיש ביותר, אותו מעבירות החברות הציבוריות בישראל, ודואג לשחרר אותו בצורה הנכונה ובתזמון המדויק ביותר, למאות אלפי המשקיעים בארץ ובעולם.
בכנס ה-ITאירוע דליפה של טיוטת תשקיף בורסאי, או העתקים של דו"חות כספיים שיגיעו לידי משקיעי בורסה מסוימים רגע לפני הפרסום הרשמי, הוא תרחיש מפחיד שמטריד באופן תמידי את מנוחתו של הרשקוביץ. אירוע מסוג זה, עשוי לגרום לאסון אמיתי עבור הרשות, לחברה הציבורית אשר סודותיה הודלפו, ולמשקיעי החברה הנאמנים שהיו מודעים לנתונים החשובים מאוחר יותר ממשקיעים אחרים. כמובן שאירוע דליפה של מידע מסחרי מסווג שכזה עשוי לגרום לפגיעה קשה באמינותם ויכולת פעולתם של המוסדות הפיננסים בישראל בכלל. הרשקוביץ יהיה אורח בפאנל "סכנות מבית" בכנס ה-IT של TheMarker ובזק בינלאומי, פאנל שיעסוק באיום על נכסי הארגון, איום שמגיע דווקא מבפנים.
לדברי הרשקוביץ, כדי להתמודד עם איומי דליפה של מסמכים חשובים, אשר מגיעים מדי יום אל 130 עובדי רשות ני"ע, הנהיגה הרשות כללי אבטחת מידע נוקשים ביותר. למרות שעובדי הרשות עוברים מבחני מהימנות קפדניים, עדיין אסור להם להכניס אל משרדי החברה אמצעי אחסון מגנטים, וגם אסור להם להפעיל את מחשבי הארגון בשעות עבודה לא מקובלות. במידה ומסיבה כלשהי יעבור אחד העובדים על האיסור, וינסה לחבר התקן USB כלשהו אל המחשב או לנסות ולשמר מידע על אמצעי אחסון חיצוני אחר, הוא ייווכח שמערכת אבטחה ייחודית תמנע ממנו לשמור את החומרים. במקרה הנפוץ יותר, אם וכאשר ינסה עובד לשלוח מידע המסווג כחסוי דרך רשת האינטרנט, יקבל לפני ביצוע הפעולה אזהרת ביטחון ממערכות האבטחה של הרשות.
"אנחנו לא חוסמים את האפשרות של העובדים לשלוח חומרים חסויים החוצה", אומר הרשקוביץ, שמתפקד גם כמנהל האבטחה של הרשות לניירות ערך. "העובדים שלנו צריכים לשלוח מסמכים חסויים מחץ לארגון, ואנחנו חייבים להוציא באופן שוטף חומר פיננסי חסוי לארגונים אחרים כדוגמת משרד המשפטים. אנחנו רק רוצים להודיע לעובדים שהמערכת מודעת לעובדה שהם שולחים את החומר המסווג החוצה, ומבקשת מהם לבדוק שוב שהם לא עושים משהו שגוי. במקרה של חומר מסווג כדאי תמיד לבדוק שוב שזה באמת אותו מסמך שהתכוונו להוציא, ושמדובר בנמען שאליו התכוונו לשלוח את החומר ולא כתובת דואר שאולי סומנה בטעות בתוכנת הדואר".
ומה עם פרטיותם של העובדים? האם מישהו שאל אותם האם הם מוכנים שמערכת כלשהי תבדוק את הטקסטים בהודעות הדואר האלקטרוני שלהם, שתנטר את פעילותם באינטרנט או שתאזין לשיחות שלהם בתוכנת המסרים המיידים?
"אנחנו לא גוף דמוקרטי", אומר הרשקוביץ, "אנחנו פשוט מאמינים בפתרון האבטחה הנכון ומיישמים אותו. כל עובד של הרשות, חותם על האיסור להוציא חומרים מסווגים החוצה. ניטור הפעילות ברשת היא רק אמצעי אחד שנועד לבדוק שהאיסור הזה אכן נאכף".
אבל מה קורה אם המערכת מגלה חומרים רגישים ואישיים שאותם כתב העובד אך לא כאלו שאסורים על פי החוק? לדוגמה קורות חיים ששולח אחד העובדים שבדיוק רוצה לחפש מקום עבודה חליפי?
"אנחנו בפירוש לא מחפשים מילים מסוימות, קורות חיים או פרטים אישיים. אנחנו גם לא עוקבים אחרי תכנים כללים כלשהם. אנחנו פשוט משווים את תכני המסמכים החסויים שלנו עם הטקסטים שיוצאים ממחשבי העובדים אל הרשת. ברגע שהמערכת מגלה שיש תאימות כלשהי בין חומר חסוי לבין חומר שיוצא החוצה, היא מתריעה על כך בפני העובד, בפני מנהל האבטחה ובפני מנהל המחלקה".
"העובד רשאי כמובן להמשיך את הפעולה ולהוציא את המסמך, אך הוא יודע שהמנהלים שלו מודעים להעברת המידע. אנחנו מסוגלים לעלות גם על מידע שעובד ושונה לפני שנשלח, ואפילו על מסמכים חסויים ששינו פורמט או כווצו ונשמרו כסוג קובץ אחר", הוסיף.
מנהל מערכות המידע ברשות ני"ע: "אנחנו לא גוף דמוקרטי, פשוט מאמינים בפתרון האבטחה הנכון ומיישמים אותו"
רפאל פוגל
29.1.2007 / 18:50