התשובה הטבעית להגנה היא הקמת גדרות. מטרתן של גדרות היא להכיל בפנים את כל האנשים הטובים והמשאבים הדורשים הגנה, ולהשאיר בחוץ את כל הגורמים והאנשים המזיקים. גם בתחום אבטחת המידע, גדרות (כלומר, חסימת הגישה מהאינטרנט למערכות הארגוניות) היו שיטת ההגנה המועדפת.
אך הן אינן יעילות כשכולם משתפים את כולם במידע, והרשתות השונות כמעט חופפות זו את זו, אך בכל זאת רוצים לשמור חלק מהמידע קרוב לחזה. הן גם אינן מגינות מפני מצב בו מישהו מוציא נכסים החוצה.
מגוון פתרונות ניתנו לבעיה. המוצר של חברת Covertix הוא תוכנה המתלבשת על המידע, למשל קובץ מסוים, וחוסמת אותו כך שלא משנה היכן הוא נמצא - אם ברשת הארגונית או מחוץ לה - הוא מוגן.
גם היום, עם רגע הוצאת המסמך מן הארגון ניתן להצפין או לנעול אותו, ולתת את הסיסמה לפתיחתו רק למי שאמור לקבל אותה. אלא שפתרון כזה תלוי בעובד עצמו - עליו מוטלת המשימה להצפין את הקובץ. "אי אפשר לסמוך על המשתמש ברמה כזו", אומר אלון סמיה, מנכ"ל קוברטיקס. "הארגון רוצה ליישם מדיניות אבטחה קבועה". לכן, דרושה חסימה במסמך עצמו לפי פרמטרים שנקבעו על-ידי הארגון.
הפתרון הוא סדרת הרשאות מותנות שמקודדת לתוך הקובץ על-ידי מנהל האבטחה של הארגון, בדומה ליתר הרשאות ביטחון המידע. כך, כאשר מבקשים לפתוח את הקובץ ממחשב שנמצא מחוץ לארגון, רכיב התוכנה של קוברטיקס יודע "להסתכל מסביב", לשים לב שהוא אינו בתוך הרשת הארגונית, ולדרוש מהמשתמש סיסמה. זאת, אף אם העובד ששלח את הקובץ לא טרח לנעול או להצפין אותו מבעוד מועד.
ניתן להגדיר את ההרשאות לפי הסביבה או המשתמש אצלם נוצר הקובץ. למשל, ניתן להגדיר כי מסמכים על לפטופ ייפתחו רק כאשר הוא מחובר לרשת הארגונים המאובטחת, וכך נפתרת הדאגה אם הוא אובד. כאשר מעבירים קבצים לשותפים, ניתן להגדיר כי הם יהיו פתוחים לשבועיים ולאחר מכן יינעלו, כדי להתמודד עם מצב שבו שותפים לשעבר ישתמשו במידע שנשלח אליהם בעבר.
לפעמים, ההגבלה תלויה אפילו בתוכן המסמך, שיכול להשתנות גם אחרי שהוא יוצא מהארגון.
Covertix הוקמה על ידי אלון סמיה, המשמש גם כמנכ"ל, שכיהן בעבר בתפקידי פיתוח עסקי וניהול פרויקטים בתחומי אבטחה ובמוסדות הזקוקים לאבטחה, ועל-ידי צח קאופמן, המשמש כסמנכ"ל הטכנולוגיה. בעברו מילא תפקידי ניהול מוצר בכירים ברדוור, Kovado, ו-Kerenix.
החברה הוקמה במסגרת חממת שדה בוקר (איריס ונצ'רס) מקבוצת מעיין. יש לה שיתוף פעולה עם IBM, וכן עם חברות נוספות בתחום אבטחת מידע והפצת מוצרי התוכנה.
מקום לשיקול דעת
"הצורך במוצר הגיע על רקע שתי מגמות", אומר קאופמן, "האחת היא החקיקה, והשנייה היא הריגול התעשייתי. במישור החוקי, דווקא חוק סרבנס אוקסלי נמצא בדעיכה, אך נחקקו שני חוקים חדשים להגנת מידע, אשר צפויים לחולל שוק שיפורי הגנה של 3 מיליארד דולר. המטרה היא למנוע גניבת זהויות, שהיא מכה בארה"ב.
"חוק אחד גורס כי אם איבדת מידע מזהה על לקוחות, אתה צריך להודיע להם ולפצות אותם, אלא אם המידע מוצפן. עוד חוק עוסק בכרטיסי אשראי ומגדיר מהי ההגנה הדרושה לנתון במייל, מה קורה כשהוא נמצא במאגר מידע, ולמי מותרת הגישה".
סביבה חוקית כזו מעוררת פחד, וסמיה משתדל להרגיע: "אני אומר ללקוחות -אנחנו לא כאן כדי להגביל אתכם, אלא דווקא לתת לכם ביטחון כן לעשות עסקים, כן לשתף מידע, וגם להוריד עלויות".
*סדרת הגבלות כאלה לא הופכת את העבודה לבלתי אפשרית?
קאופמן: "הכול תלוי במה שקובע מנהל אבטחת המידע המרכזי. אנחנו יכולים למשל לקבוע שכן יינתן חופש פעולה לעובד, אבל המערכת תיתן אזהרות ודיווח.
"לדוגמה, כשעובד עומד לשלוח קובץ הוא יקבל התראה כי עליו להצפין אותו, ושהדבר נרשם בדו"חות החברה, אבל אנחנו סומכים על שיקול הדעת של העובד ולא מכריחים אותו להצפין את המסמך. כך, יש לו חופש פעולה במקרים חריגים, אבל למערכת עדיין יש שליטה.
"בכל מקרה, הרעיון הוא לא להגן על כל קובץ, אלא רק על 1% מהמידע המוגדר 'אדום' - כזה שאם קורה לו משהו, מישהו מאבד את משרתו. אולי גם על עוד 14% שהם מידע 'כתום', לצורך העניין. על יתר המידע נחמד להגן, אבל לא חובה. אנחנו פתרון הגנה לארגונים גדולים, לא פתרון שהוא מוצר צריכה". *
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל
קוד האתי
המופיע
בדו"ח האמון
לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה
אוטומטית ולא יפורסמו באתר.
כתבות
ני"ע
