פריצה כפי שדווחה לאחרונה בידי חברת התקשורת AT&T ממחישה כיצד מדיניות האבטחה לבדה היא בבחינת "נמר של נייר" במידה ואין היא מלווה ב. . .
"שיניים" טכנולוגיות האוכפות אותה, כך מדגישים מומחי אבטחת מידע.
ב-12 ביוני דיווחה AT&T כי עובדים בלתי מורשים של אחד מספקי השירות שלו נכנסו למידע אישי של לקוחות החברה בתחום הרשת האלחוטית. המידע שנחשף כלל מספרי ביטוח לאומי (מקביל לתעודת זהות בישראל) ורישומי שיחות. החברה לא מסרה את היקף הרשומות שנחשפו, אך מדובר במספר גבוה מספיק אשר בגינו היה עליה לדווח על התקרית לגורמי הרגולציה בקליפורניה. ב-AT&T ציינו כי פעילות זו לא נעשתה ממניעים פליליים, הגם "שהפרה את מדיניות הפרטיות הנוקשה והנחיות האבטחה שלנו". בתגובה להצהרה זו, מציינים מומחי אבטחה כי במידה ובחברה סמכו רק על המדיניות בכל הנוגע לספקים, אז מדובר בטעות חמורה.
המומחים מציינים כי קיימות דרכים מגוונות בעזרתן ניתן להגביל את גישת השותפים העסקיים או הספקים לרשת הארגונית. אלו, כוללות, בין היתר:
1) קיימות אפליקציות אשר ניתן לשלוט במידת הגישה אליהן, כך שרק משתמשים בעלי נתוני גישה מתאימים יוכלו לצפות במידע הרגיש שמאוחסן בהן.
2) שימוש בכלים לזיהוי אנומליות, דוגמת תוכנה העוקבת אחר היקף הרשומות אליהן נכנס ספק במהלך שעה, ומתריעה במידה ויש חריגה מגבול מסוים.
3) בקרות גישה אשר מבוססות על התפקיד של אותו אדם ברשת. כך, ניתן להגביל גישה למידע לקוחות אך ורק למשתמשים בעלי הרשאות לראות אותו.
4) ניטור ורישום גישה למסד הנתונים היא דרך נוספת לחשוף פריצה. יש להגדיר בתוכנה שמירת קובץ Log שיכיל מידע באשר למי יצר שדה, מי צפה בו ומי שינה אותו.
5) חלופה אחרת היא לאחסן את המידע הרגיש בסגמנט נפרד, כך שספק שירות המבצע משימה סטנדרטית, לא יוכל להיחשף לאותו מידע.
6) ניטור הדוק של משתמשי הרשת דורש מהחברה לבצע את המשימה הקשה של זיהוי כלל חיבורי האינטרנט בהם נעשה שימוש בתור נקודות גישה פוטנציאליות. ברגע שאותן נקודות ידועות, תוכנה ייעודית יכולה לבצע מעקב אחר המשתמשים ברשת ולהגביל אותם לנתיבים מאושרים לגישה למידע ולאפליקציות.
על מנת להתמודד עם הסיכונים הטמונים בגישת ספקים וגורמי צד ג' לרשת הארגונית, נדרש לערוך סקר סיכונים מקצועי. סקר זה צריך לכלול גם מיפוי של נכסי המידע של הארגון, רמת הפגיעות של מערכת המידע בארגון ושל הגורם האנושי. על בסיס סקר זה, ניתן לגבש המלצות אופטימליות בדבר פתרונות ממוקדים המתועדפים לפי פוטנציאל הנזק לארגון. הדבר ניתן לביצוע במסגרת סקר סיכונים ותהליכים מלא או במסגרת פרויקט ניהול סיכונים יעודי. אם ברצונך לשמוע פרטים נוספים, אנא צור עימנו קשר.
לידיעה המלאה- כאן