אשלייה ושמה הגנה על המידע

בשבוע שעבר אירח מועדון CISO שלוש חברות אבטחת מידע, שתיים מהן מצויות, עדיין, בקטגוריה של חברות סטארט-אפ. החברה השלישית, קונטרול דאטה, ניסתה לשכנע את המאזינים בעזרת הדגמות פשוטות ומצגות מקוריות, כי האיום הגדול ביותר על הארגון טמון במנהלי האבטחה. זאת משתי סיבות: בידיהם יש את הטווח הרחב ביותר של המידע, עם כל ההרשאות האפשריות; הסיבה השנייה, היא שהם גם אמורים להיות אחראים לכך שהעובדים של הארגון לא יעשו שטויות וטעויות, שהתוצאה שלהן היא נזק בלתי הפיך לארגון.

נזקים אלו גוברים על כל פתרון טכנולוגי שהומצא עד כה ויומצא במאה הנוכחית. התיזה לפיה האויב מספר אחד של הארגון מבחינת אבטחת מידע, הם העובדים - החלה להישמע כבר לפני כמה שנים, בסקר שערכו CA וחברות אחרות. אז דובר על טעויות וחריגה מנהלי אבטחה. עם השנים, כאשר בעיות הפס הרחב נפתרו, הגישה לאינטרנט נעשתה חופשית מכל מקום ובכל מקום, כולל במקום העבודה - הפך אתגר האבטחה למשימה כמעט בלתי אפשרית. מנהל אבטחת המידע מצא עצמו לפתע, נלחם בכמה חזיתות בו זמנית. חזיתות שונות, במקומות שונים, עם אפיונים שונים. הכלים שהועמדו לרשותו היו מוגבלים, וכך גם הסמכויות.

הסקר של חברת וובסנס, שמתפרסם במהדורה זו, רק מחזק את המגמה. זו בכלל תופעה חברתית, כלל עולמית, שספק אם כלים טכנולוגיים יכולים למצוא לה את הפתרון. על פי הסקר, חלק ניכר מהעובדים בארגונים, הודה כי הוא עושה שימוש אישי באינטרנט בעת העבודה, או שימוש במידע - דרך גישה לאתרים שונים. זאת, למרות שברור להם כי הם מסכנים את המידע בארגון בו הם עובדים.

האצת התופעה המסוכנת על פי אריאל דן, נציג הסניף המקומי של וובסנס, כניסת Web 2.0 לארגונים מאיצה את התופעה. עידן הכפר הגלובלי - שבו אין משמעות למקום הפיסי של העובדים - יוצר אתגרים חדשים בפני המנהלים של היום, בפני הנהלות ומועצות מנהלים. מצד אחד, קיים הצורך הבסיסי להגן על המידע של הארגון, שהוא הנכס העיקרי שבלעדיו אין לו זכות קיום. בחלק מהארגונים שמחזיקים במידע שמוגדר כ"רגיש", יש מעגלי אבטחה, מבוססי רגולציות וחוקים של ממשלות, שמחייבים את הארגון להתנהג בהתאם.

הקלות הבלתי נסבלת של ביצוע פעולות מצד עובדים, שמודעים בוודאות לאפשרות כי הם מסכנים את הארגון ואת המידע הסודי שלהם, מדאיגה עוד יותר את בעלי החברות וחברי דירקטוריונים. החשיפה האישית שלהם לתביעות אישיות ופליליות - גדולה מבעבר, ולכן כאשר מגיעים לדיון תקציבי להקצאת משאבים כדי למנוע זליגת מידע על ידי גורמי פנים, הכיס נפתח והיד מוכנה לרשום את הצ'קים. אלא שלמרבה הצער, ספק אם יש בנמצא פתרונות פלא, כאלו שיכולים למנוע בצורה הרמטית את זליגת המידע, בגלל פעולות של העובדים עצמם.

כחלק ממציאת הפתרון, נכנסים לתמונה ניסיונות חקיקה, שנעשו בישראל באחרונה וגם בעולם, שמאפשרים למנהלים לעקוב אחרי המיילים של עובדים, להאזין לשיחות הטלפון שלהם, ובכלל - לחדור לפרטיות שלהם. כמובן שצעדים אלו אינם מתקבלים כמובן מאליו על ידי העובדים ועל ידי מי שאמונים על חופש הביטוי. חדירה לפרטיות של אדם, ברגע שהיא מותרת אפילו בחלון צר של מקרים, יכולה בקלות רבה להתרחב לממדים שאיש לא רוצה אותם. לכן, עצם המחשבה של התרה חלקית של רמיסת פרטיות העובדים, מסוכנת לכשעצמה.

אז מהו אם כן, הפתרון? הרי אין עוררין שזכותו של מנהל בארגון וגם חובתו, להגן על נכסיו. זכותו לפקח על עובדיו. מצד שני, אין עוררין על אחד הסעיפים המרכזיים בחוקי היסוד של המדינה שלנו, ובמדינות אחרות שבהן יש חוקה: כבוד האדם וחירותו. חסימת אתרים אינה רלבנטית, משום שבאותם ארגונים שבהם העובדים עוסקים בפעולות שעלולות לסכן את הארגון, החיבור לעולם החופשי הוא חלק מכלי העבודה שלהם, כדי לתת שירות ללקוחות.

נכון הוא, שבארגונים פיננסיים, או בארגונים ביטחוניים ורגישים, ישנה הפרדה מוחלטת בין הרשת הפנים ארגונית לבין הרשת החיצונית. אלא שהפתרון הזה אינו יכול להיות ישים בכל מקום, ולכן גם אינו מוצע - אלא כברירת מחדל.

הקושי המרכזי בפתרון המעגל המרובע הזה, הוא בכך שעל כל אחד מהשחקנים בשרשרת הארגונית הפרוצה - העובדים, ההנהלה, ומנהלי ה-IT – לתת אמון בגורם חיצוני לא מוכר. העובדים בטוחים כי מנהלי האבטחה מגנים עליהם, ואם חס וחלילה הם יעשו משהו חריג, מישהו יזהיר אותם על כך.

מנהלי האבטחה, מסנוורים מהכלים והפתרונות הטכנולוגים שהצליחו להכניס לארגון ועסוקים בהטמעתם ובניסיונות אכיפת מדיניות האבטחה, אבל לא מוכנים להודות, כי לחלק גדול מבעיות האבטחה - אין ממש פתרון. ואילו ההנהלה, זו מחפשת כל הזמן שקט תעשייתי, ותפוקות חיוביות כדי להגדיל רווחיות. כך, היא סומכת על אלו ועל אלו, ומשוכנעת שהארגון שלה מוגן הכי טוב מכולם. המציאות האמיתית מתגלית, למרבה הצער, כאשר מתרחשת תקלה חמורה, מערכות נפרצות, או נתונים זולגים. אז, זה כבר מאוחר מדי.