>> פרשת ענת קם מציפה היבט טכנולוגי חשוב בפרשה, שנוגע לא רק לצה"ל, אלא למעשה לכל ארגון או חברה אזרחיים שמעוניינים לשמור על מידע רגיש: אילו פתרונות טכנולוגיים היו יכולים למנוע את הוצאת המסמכים המסווגים וכיצד למנוע חורי אבטחת המידע מסוג זה.
"כשאנו שומעים על מקרה שבו הודלפו אלפי מסמכים אנו מבינים שיש כאן בעיית אבטחת מידע כלשהי", אומר גיא מזרחי - האקר, יועץ, חוקר ומרצה בתחום אבטחת מידע. "דליפת מידע שכזאת לא אמורה לקרות, וברור שתפקיד מערך אבטחת המידע הוא למנוע דליפת מידע. השאלה היא אם יש באמצעים טכנולוגיים אפשרות למנוע מקרים שכאלה.
"בשוק מוצרי אבטחת המידע יש מוצרי dlp שאחראים על מניעת דלף מידע. תפקידם של מוצרים אלה הוא להחיל את המדיניות הארגונית בנוגע למסמכים מסוגים שונים. יש מוצרים מתקדמים מאוד, שיודעים לעקוב אחרי כל גלגול של מסמך ולמנוע שליחה של מידע מתוך תוכנות או מסמכים שהוגדרו כפנימיים.
"יש הרבה אמצעים טכנולוגיים שמטרתם למנוע דלף מידע, והתחום הזה הולך ומתקדם בשנים האחרונות, אך כל זה לא יכול למנוע מקרים כמו של ענת קם. אני מניח שבמסגרת תפקידה היתה לה גישה לכמות אדירה של מסמכים מסווגים, שחלקם ייצרה בעצמה. היא היתה צריכה להדפיס כמויות גדולות של מסמכים, לראות ולשנות מסמכים שייצרו אחרים. כל מסמך שעבר על צג המחשב של קם היה חשוף לצילום על ידי מצלמה, העתקה בכתב יד, הקראה של התוכן בטלפון וכו'. תוכנות אבטחה לא יכולות למנוע מהדברים האלה לקרות. מסמכים מודפסים אמורים להגיע למגרסה. אין שום אפשרות לוודא שהעובדת אכן גרסה את המסמכים ולא הכניסה לתיק. כדי למנוע בעיות כאלה חיילים ואזרחים אמורים לעבור תהליך סיווג ביטחוני שמנתח את הסיכוי שהאדם יהווה סיכון ביטחוני ביחידה".
להפריד בין הרשת הפנימית לאינטרנט
אופיר לייטנר, שעוסק כיום בפיתוח לסלולר ובעבר עסק באבטחת מידע של מערכות בבנק לאומי, פרטנר ובצבא, אומר כי ניתן למנוע דליפת מידע באמצעים שונים. "קודם כל יש לוודא שבכל המחשבים מותקן אך ורק כונן קורא dvd/cd ולא צורב. בנוסף, יש אפשרות לחסום יציאות usb של המחשבים המותקנים - פיסית, באמצעות מערכת ההפעלה, או באמצעות כלי ניהול הרשאות ושליטה ובקרה שאוכפים מדיניות אבטחת מידע על כל המחשבים המחוברים לרשת הפנימית".
דרך מניעה נוספת אפשרית היא שימוש בעמדות "טיפשות" - (thin client) עמדות עבודה ללא יכולת אחסון מקומית, ללא כוננים וללא יציאות usb.
לגבי העברת מידע באינטרנט, לייטנר אומר כי בצבאות יש הפרדה למעשה בין הרשת הפנימית לבין רשת האינטרנט, כלומר לא ניתן כלל לגשת לאינטרנט ממחשב שמכיל מסמכים רגישים. מה שעשוי למנוע דלף מידע. "בחברות ובגופים שבהם אותם מחשבים משמשים גם לגישה לרשת הפנימית של הארגון וגם לגישה לאינטרנט, יש אפשרות פשוט לשלוח במייל או להעלות לאתר או לשרת מסוים מסמכים רגישים. יש מוצרי אבטחת מידע שונים שיכולים במידת מה למנוע מקרים אלה כגון סורקי מיילים".
לייטנר טוען שאין כלי ממוחשב שיכול למנוע הוצאה של מסמכים מודפסים (שהודפסו ברשות) או הדלפת המידע בעל פה. "לא מדובר כאן בבעיות שנובעות ממחשוב - שהרי אותן בעיות היו קיימות גם בעידן של מכונות הכתיבה ואף כתיבת מסמכים ידנית. הגורם האנושי הוא המכריע כאן ויש לשים דגש על בחירת אנשים אמינים לתפקידים בהם יהיו חשופים למסמכים רגישים.
אריק אליאס, מנכ"ל safeway, חברה המתמחה בפתרונות אבטחת מידע מבית 013 נטוויז'ן, אומר שכדי למנוע תופעות מעין אלה יש להתייחס לשני נושאים עיקריים: האחד - הגורם האנושי, והשני - יכולות טכנולוגיות למניעת זליגת מידע.
אליאס סבור שבניתוח רשת מחשבים צה"לית מסווגת ביותר אנו יוצאים מנקודת הנחה שניטרלו את כל יכולות המחשבים האישיים לשימוש בהתקנים חיצוניים כדוגמת usb ודיסקים. בנוסף, כל מסמך עובר ניתוח אוטומטי של רמת סיווג המסמך, ובדיקה האם הוא מורשה להדפסה או להורדה להתקן חיצוני.
לדברי אליאס, הטכנולוגיה המובילה במניעת דלף מידע המוטמעת כיום במרבית המגזרים היא מוצר ישראלי לשעבר בשם פורט אותוריטי שנמכר ב-2006 לחברת וובסנס האמריקאית.
בכל הקשור לגורם האנושי, אליאס אומר שהטיפול בו יכול להתבצע על ידי הדרכות ביקורות ורענון נוהלים. "ניתן היה למנוע מקרה כגון זה שלפנינו על ידי יצירת מנגנון המחייב אישור של שני אנשים בהוצאת מסמך מרמת סיווג מסוימת".
נוחות השימוש מסכנת את אבטחת המידע
איתן כספי, עורך הבלוג הביטחוני הישראלי "לא בטוח" (security.caspi.org.il), שעוסק באבטחת מידע, אומר כי פרשת קם מהווה מקרה מיוחד שאבטחת מידע לא היתה יכולה לעזור במניעתו כי המידע זלג על ידי מי שכנראה היתה מורשת לטפל בו. "אבטחת מידע נועדה למנוע סוגי גישות שונים למי שלא מורשים להיחשף אליהם, אך אם היתה לה גישה מלאה אליהם, כולל העתקה למדיה נתיקה (דיסק-און-קי), הרי שבמקסימום מערכות אבטחת המידע מבחינה טכנולוגית היו צריכות לכל הפחות לתעד את הגישה לקבצים ואת ההעתקה שלהם. אם מדובר היה במסמכי נייר, הרי ששם הבעיה קשה יותר ולאבטחת מידע אין הרבה מה לעשות לאחר שהמידע נמצא על נייר".
אבי וייסמן, מנכ"ל שיא סקיוריטי ויו"ר הפורום הישראלי לאבטחת מידע, אומר הבעיה העיקרית של אבטחת מידע היא המתאם ההפוך בינה לבין נוחות התפעול השוטף של המידע. "ככל שהנהלים והטכנולוגיות והביקורות קשים יותר - כך התפעול היומיומי נעשה קשה עד בלתי אפשרי. צה"ל מנסה לא להביא את צרכני המידע למצב שבו הם נדרשים לעמוד בגזירות שהם אינם מסוגלים באמת לעמוד בהם".
שי בליצבלאו, מנכ"ל מגלן טכנולוגיות הגנת מידע, מאמין שהפתרון טמון בפתרונות טכנולוגיים "תפורים" (כאלה שצריך לפתח אותם) ולאו דווקא במוצרי מדף הקיימים. "פתרון הוא לפתח כלי אינטגרלי תפור. למשל כלי שבכל פעם שמשתמש שומר את המסמך הוא נותן התרעה מי שמר את המסמך ומתי. צריך לפתח את הכלים האלה, בוודאי בסביבה ביטחונית".
*dlp - data leak / loss prevention - מוצרים טכנולוגיים שנועדו למנוע דלף מידע
מומחים לאבטחת מידע: יש לפתח כלים טכנולוגיים למניעת הדלפות ביטחוניות
מאת גיא גרימלנד
11.4.2010 / 6:59