שני מחקרים שנערכו לאחרונה מראים כמה מעט נעשה בארגונים גדולים בכדי לאכוף מדיניות הרשאות קשיחה. המשמעות היא עבודה קלה עבור התוקפים אשר...
כתוצאה מכך יכולים בקלות יחסית להשיג גישה להיקף גדול של מידע רב ערך, ותוך ניצול מספר מזערי של פרצות על עמדות הקצה של המשתמשים.
נמצא כי במרבית המקרים, ניתנות למשתמשים הרשאות גישה למידע רגיש - וזאת ללא כל הצדקה בהינתן תפקידיהם הספציפיים.
בנוסף, נמצא כי הארגונים אינם מבצעים מעקב מספק על גישת המשתמשים למידע.
המחקר הראשון נערך ע"י Ponemon Institute ו-Varonis, ובמסגרתו התבקשו 1000 משתמשי קצה ו-1000 אנשי IT לענות לשאלות בנוגע לדפוסי הגישה שלהם למידע ברשת.
יותר מ-70% מן המשיבים אמרו כי בפועל יש להם גישה אשר לדעתם הם אינם אמורים לראות, ומחצית מתוך אלו ענו כי הם עושים שימוש בהרשאות גישה אלו בתדירות גבוהה.
כ-80% מאנשי ה-IT אמרו כי בארגונם אין הקפדה על הרשאות גישה קשיחות.
המחקר השני נערך ע"י Courion, ובו השתתפו 35,000 מנהלי IT. יותר מ-70% מהם אמרו כי הם חשבו שבארגונם יש מדיניות קשיחה יותר מזו שנמצאה בפועל, וקרוב למחציתם אמרו כי הנהלות ארגוניהם אינן מודעות לרמת ההקשחה של מדיניות הרשאות כלל.
הבעייתיות במדיניות הרשאות בלתי קשיחה באופן מספק היא כפולה: הן בשל האיום הפנימי והן בשל האיום הנשקף מתוקפים חיצוניים אשר עלולים לגנוב את זהותם של משתמשים בארגון ולנצל את הרשאותיהם בכדי להשיג גישה אל מידע ארגוני רגיש.
"המחקר הציף בעיה קשה אשר פעמים רבות מתעלמים ממנה: לעובדים יש בדרך כלל רמת הרשאות גבוהה המספקת להם גישה למידע ארגוני רגיש אשר אינו נדרש עבורם לצורך ביצוע עבודתם; ומכיוון שהגישה אל מידע זה אינה מנוטרת - הרי שהמשמעויות עלולות להיות הרות אסון במקרה של תקיפה העושה שימוש בפרטי החשבון של המשתמש", אומר לארי פונמון, יו"ר Ponemon Institute.
בסקר מנהלי ה-IT טענו רק פחות משליש מן המשיבים כי הם בטוחים שלארגונם יש את היכולת והאמצעים לאתר שימוש בלתי הולם בגישה מורשית.
במרבית המקרים, כאשר אין לארגונים יכולת לאכוף מדיניות ברורה על בסיס מידע הנדרש לעבודת המשתמשים (Need-to-know) ו/או לנטר את גישות המשתמשים למידע ברשת הארגונית, הנטיה היא דווקא להרחיב את רמת ההרשאות - בכדי לא לפגוע בתפוקה ו"לתת לעבוד".
עם זאת, ברור כי ככל שהרשאות הגישה הניתנות לעובדים הינן נרחבות יותר - גדל הסיכון לכך שדליפה קטנה יחסית שמקורה במחשב/משתמש בודד - תתפתח לכדי דליפת מידע רגיש ברמה כלל ארגונית.
לידיעה המלאה - כאן