Data Centric Security RT

Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax.
972-97442444
‫עגול‬-‫סיכום מפגש שולחן‬
‫הגנה על המידע‬
)Data Centric Security(
‫ שחר גייגר מאור‬:‫עריכה‬
Moshav Bnei Tzion P.O.Box 151, 60910 Israel

Tel: (972)-9-7907000 Fax: ( 972)-9-7442444
‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬
‫תוכן‬
‫תקציר המפגש ‪3.....................................................................................................‬‬
‫חינוך קודם לכל! ‪4...................................................................................................‬‬
‫ענישה ‪4................................................................................................................‬‬
‫זכויות הפרט ‪5........................................................................................................‬‬
‫טיפול במידע רגיש אצל גורמי חוץ בארגון ‪5..................................................................‬‬
‫פתרונות טכנולוגיים לזליגת מידע ‪6.............................................................................‬‬
‫תחזוקה ותפעול ‪7....................................................................................................‬‬
‫סיווג החומר‪ :‬איך מסווגים את המידע בארגון? ‪7...........................................................‬‬
‫פתרונות משלימים לזליגת מידע ‪7..............................................................................‬‬
‫טיפול במשתמשי‪-‬על ‪8.............................................................................................‬‬
‫הצפנת ‪9.......................................................................................................... DB‬‬
‫‪Moshav Bnei Tzion P.O.Box 151, 60910 Israel‬‬

‫‪Tel: (972)-9-7907000 Fax: ( 972)-9-7442444‬‬
‫תקציר המפגש‬
‫בשנים האחרונות הגנה על המידע הולכת ותופסת מקום מרכזי בשדה הראיה של מנהל‬
‫אבטחת המידע‪ .‬מצד אחד הארגון תופס יותר אחריות על המידע שאצור אצלו ונזהר מלחשוף‬
‫אותו כלפי חוץ‪ .‬מצד שני הדינמיות העסקית והשינויים התכופים מאלצים את מנהלי מערכות‬
‫המידע לספק נגישות הולכת וגדלה למשאבי הארגון באמצעות פלטפורמות מגוונות מבעבר‪.‬‬
‫את המעבר לתפיסת אבטחה שמתרכזת במידע עצמו כינה ‪ Paul Stamp‬מחברת פורסטר‬
‫בשם "‪ :"Data-Centric Security‬בעוד שאיומים שמקורם מחוץ לארגון "פשוטים" יותר‬
‫לטיפול מכיוון שמקור ההתקפה ברור‪ ,‬מה אפשר לעשות כדי לפקח על משתמשי על בארגון?‬
‫איך מונעים גישה של עובדים לא מאושרים למשאבים הרגישים של הארגון? איך אפשר‬
‫להתמודד עם רשלנות של העובדים בהעברת מידע בתוך הארגון והחוצה? איך שומרים על‬
‫מידע האגור על הדיסק של מחשב נייד או ב ‪ PDA‬של איש המכירות?‬
‫בדיון הזה התרכזנו בטיפול ארגוני בנקודות אלה וניסינו לענות על שאלות לא פשוטות כמו‬
‫אילו כלים אפקטיביים בטיפול בבעיית זליגת המידע בארגון‪ :‬חינוך? הדרכה? הרתעה? ואיך‬
‫הם משתלבים עם פתרונות טכנולוגיים בתחום‪.‬‬
‫איך ניתן לפקח על מידע עסקי שעובר לשותפים עסקיים וספקים? אילו פתרונות יכולים לעזור‬
‫לארגון להגן על נכסיו?‬
‫במפגש ניתן דגש להטמעת פתרונות למניעת זליגת מידע ( ‪ )DLP‬ומספר משתתפים סיפרו על‬
‫הניסיון שלהם בתחום‪ .‬כמו כן דיברנו על הצפנה של אמצעים ניידים וטיפול בבסיסי הנתונים‪.‬‬
‫אולי אותם כדאי להצפין?‬
‫הזכרנו גם פתרונות משלימים ל ‪ DLP‬ובעיקר פתרונות לניהול זכויות יוצרים ( ‪ )DRM‬ולבסוף‬
‫נגענו גם בצורך בטיוב הפיקוח על הרשאות על בארגון והשלכתם על הגנה על מידע‪.‬‬
‫במפגש השתתפו נציגי ‪ 13‬ארגונים גדולים במשק ממספר סקטורים מרכזיים‪ .‬כולם‬
‫מנהלי\אנשי אבטחת מידע בארגונם‪.‬‬

‫‪Tel: (972)-9-7907000 Fax: ( 972)-9-7442444‬‬
‫חינוך קודם לכל!‬
‫המשתתפים במפגש נשאלו אילו כלים‪ ,‬לדעתם‪ ,‬יהיו אפקטיביים בטיפול בזליג ות מידע‪ .‬רוב‬
‫המשתתפים מסכימים כי חייב להיות תהליך לימודי וחינוכי בארגון לפני או תוך כדי הטמעת‬
‫פיתרון טכנולוגי למניעת זליגת מידע‪ .‬חלק מהמשתתפים אמרו כי הם יעדיפו גישות חינוכיות‪,‬‬
‫הגברת מודעות ואף הענשת עובדים על פני הטמעת פתרונות ‪Data Leak\Loss ( DLP‬‬
‫‪ .)Prevention‬המשתתפים בפורום מסכימים בדר"כ כי קשה יהיה למנוע הרמטית הוצאת‬
‫מידע בלתי מורשה מהארגון ללא תלות בגישות הטיפול שינקטו‪ .‬הנחת העבודה בחלק‬
‫מהארגונים היא שבכל זמן נתון ישנם עובדים שמנסים להוציא באופן פלילי חומר רגיש‬
‫החוצה‪.‬‬
‫אחד הארגונים שיישמו פיתרון טכנולוגי סיפר‪ ,‬כי בארגונו נערך קמפיין גדול של חינוך והכנה‬
‫לקראת הטמעת הפיתרון הטכנולוגי שכלל חלוקת ריחנים לרכב‪ ,‬תחתיות לכוסות‪ ,‬חוברות‬
‫הדרכה ואמצעים נוספים שהכילו מסרים בעניין חשיבות השמירה על המידע בארגון‪ .‬מנהל‬
‫אבטחת המידע בארגון זה מציין‪ ,‬שרוב האירועים שנוטרו במערכות היו אירועים שמקורם‬
‫בחוסר תשומת לב של עובדים (שליחת מיילים עם מידע רגיש‪ ,‬חיבור ‪ DOK‬פרטי לתחנות‬
‫וכו') והוכיחו את הצורך בטיפול באוכלוסיית המשתמשים לפני הכנסת פיתרון טכנולוגי‪.‬‬
‫לדעתו ניתן לצמצם את מספר האירועים למספר נמוך מאוד במידה ומיישמים‪ ,‬בנוסף לפיתרון‬
‫הטכנולוגי‪ ,‬גם תהליך תרבותי בארגון להעלאת המודעות של העובדים וליצירת מחוייבות‬
‫למידע רגיש בעסק‪ .‬אצלם בארגון קיימת מודעות לנושא‪ ,‬כך שאם נפתח פרוייקט שמוגדר‬
‫כרגיש לארגון‪ ,‬נשלחת הודעה למחלקת הביטחון בבקשה לפתוח תיקייה מיוחדת בדומיין על‬
‫שם הפרוייקט‪ .‬בעקבות כך מוגדרים גם חוקים מתאימים במערכת ה ‪ DLP‬וכל המידע‬
‫שמאוחסן בתיקייה הרלוונטית מוצפן ומנוטר אוטומטית‪.‬‬
‫נציג ארגון אחר מסכים עם התהליך הארגוני שחייב להתלוות לפרוייקט הטכנולוגי‪ .‬לדעתו‪,‬‬
‫הסוד להצלחה הוא היכולת של מובילי הפרוייקט לשווק נכון את הפרוייקט לארגון‪ .‬בארגון זה‬
‫מוציאה מחלקת הביטחון מדי פעם דוח עד למנכ"ל ובו פירוט מקרים בעייתים שקשורים‬
‫בדלף מידע‪ .‬הדוחות מחולקים לפי מחלקות כך שכולם יהיו מודעים לבעיות‪ .‬מנהלי המחלקות‬
‫צריכים לספק הסברים לגבי הדרך בה טופל האירוע‪ .‬ע"פ הניסיון שנצבר בארגון זה‪ ,‬מדיניות‬
‫קשוחה שמגובה בטכנולוגיה מתאימה מורידה דרסטית את כמות האירועים שמוגדרים‬
‫כ"טעויות"‪.‬‬
‫ענישה‬
‫אחד האמצעים לאכיפת מדיניות ארגונית הוא ענישת עובדים‪ .‬תחום דליפת המידע שונה‬
‫מתחומים אחרים בכך שחלק גדול מאירועים בו הינם תוצאה של חוסר תשומת לב במקרה‬
‫הטוב או רשלנות במקרה הרע ואין בהם אלמנטים פליליים מכוונים‪ .‬זוהי הסיבה שקשה יותר‬
‫להעניש עובד שטעה בתום לב‪ ,‬גם אם גרם נזק לארגון‪.‬‬
‫נציג אחד הארגונים שטרם הטמיעו פיתרון ‪ DLP‬מציין‪ ,‬שהוא בראש ובראשונה בעד חינוך‪.‬‬
‫מנקודת מבטו כמנהל אבטחת מידע קל להיות האיש הרע‪ ,‬אבל המטרה היא לגרום לעובדים‬
‫להבין איך צריך להתנהג‪ .‬הנציגים שלו יושבים פעם בשנה עם כל עובד כדי להסביר לו את‬
‫חשיבות בטחון המידע ואיך צריך להתנהל עם משאבי הארגון‪ .‬יש שלב נוסף והוא ענישה‪:‬‬
‫כשהיו מקרים בהם הייתה גישה לא מאושרת למידע ארגוני היו פיטורים או מכתבי אזהרה‬
‫לתיק האישי‪ .‬בארגון זה עושים שימוש במערכת של ‪" ,Intelinx‬המאזינה" לתעבורת המידע‬
‫בארגון וניתן לשחזר בה פעולות שנעשו ע"י משתמשים בכל מערכות הארגון‪ .‬מערכת כזו‬
‫הורידה להם את עבירות החיטוט במידע לרמה מינימלית‪.‬‬

‫‪Tel: (972)-9-7907000 Fax: ( 972)-9-7442444‬‬
‫בעיות משמעת נפתרות בארגונים אחרים בצורה דומה‪ :‬מנהל אבטחת מידע בארגון עסקי‬
‫מסויים פונה למנהל האישי של עובר העבירה‪ .‬למנהלים לא נעים לקבל מייל שמתואר בו‬
‫אירוע אבטחת מידע שאחד העובדים שלהם היה מעורב בו‪ .‬בדרך כלל המיילים הללו‬
‫מטופלים מאוד מהר‪.‬‬
‫זכויות הפרט‬
‫נקודה חשובה שהועלתה במפגש מתייחסת להיבט החוקתי של ניטור נתונים הקשורים‬
‫לעובדים‪ .‬החקיקה כיום מאוד בעייתית ולא יציבה‪ .‬בעולם הפוליטי בישראל יש כאלה שרוצים‬
‫לטרפד הסכם שנחתם בין ההסתדרות לאיגוד התעשיינים שאומר שהארגון יכול לנטר מיילים‬
‫של עובדים ולגשת לתיבת הדואר של העובד במידה ומדובר במידע שרלוונטי לחברה או שיש‬
‫חשש שעובד זה עושה שימוש לא הולם במשאבי הארגון‪ .‬בכל מקרה הניטור חייב להיות‬
‫"כללי" ולא ישירות מול עובד אלא אם כן הוא מסכים‪ .‬אחד המשתתפים סיפר שאצלם עשו כל‬
‫מה שאפשר כדי להיות מוגנים בתביעה וכל עובד חדש יודע שמנטרים את המידע‪.‬‬
‫טיפול במידע רגיש אצל גורמי חוץ בארגון‬
‫נקודה רלוונטית אחרת לטיפול בזליגת מידע היא הטיפול בגורמי חוץ שבאים במגע עסקי עם‬
‫הארגון‪ .‬יש מידע שיוצא לגורמים חיצוניים והוא רגיש‪ .‬הבעיה הגדולה היא איך מנהלים את‬
‫המידע הזה? ואיך ניתן לצמצם עד כמה שניתן את זליגת המידע העסקי שמתגלגל לספקים‪,‬‬
‫יועצים‪ ,‬אינטגרטורים ושותפים אחרים של הארגון?‬
‫נציג אחד הארגונים סיפר שארגונו הגדיר מספר חברות כשותפות אסטרטגיות לחברה בגלל‬
‫חומר עסקי שהן נחשפות אליו‪ .‬הוא מנסה להגיע פיסית לכל חברה כזו ולראות שהיא‬
‫מתאימה מבחינת אבטחת המידע לסטנדרטים שניתן יהיה לקבל‪ .‬בחברות אלה (ספקים‪,‬‬
‫שותפים וכו') יש מודעות לחשיבות הנושא והוא לא נתקל באי שיתוף פעולה‪ .‬מי שלא מוכן‬
‫לקבל על עצמו קודי התנהגות מינימליים‪ ,‬מסתכן בסגירת הפעילות של החברה מול הארגון‬
‫ולכן משתפים פעולה‪ .‬משתתפים סביב השולחן התעניינו אלו פרמטרים נבדקים אצל‬
‫השותפים העסקיים‪ .‬נציג זה בודק בין השאר מהי מדיניות הסיסמאות? מהי מדיניות הטיפול‬
‫בחומר רגיש? הוא מבקש להגיע לחדר המחשב ולראות איך הוא מנוהל (מי נכנס לחדר? קוד‬
‫גישה? וכדומה)‪ .‬בהתאם לממצאים הוא מוציא הנחיות לאותו גוף שיביאו ל"יישור קו" עם‬
‫מדיניות אבטחת מידע ברמה מקובלת‪.‬‬
‫מנהל אבטחת מידע בארגון אחר טוען שצריך להגיע למצב שמנחים את הספקים ולא יותר‬
‫מזה‪ .‬לשיטתו‪ ,‬הוא לא אמור לבצע סקר סיכונים אצל הספק וגם אין לו את כוח האדם‬
‫לכך‪...‬צריך לבנות על האמינות שלהם‪.‬‬
‫גם משתתפים אחרים מסכימים עם אמירה זו וחלק מהם מעידים שהם נוהגים לתשאל את‬
‫הספקים ולקוות שהם עומדים בפועל מאחורי המילה שלהם‪ .‬המטרה היא לא להכנס לספקים‬
‫"לקרביים"‪ .‬מאוד קל להשאב פנימה‪...‬‬
‫מצד שני כן צריך לפקח על הספקים בגלל שהמידע הארגוני שמגיע אליהם יכול לזלוג מכיוון‬
‫לא צפוי למתחרה‪ .‬כדי לייעל את הטיפול בספקים מקובל לחלק את הספקים למספר רמות‬
‫רגישות‪ .‬יש כאלה שהם מאוד רגישים מבחינת החומר שנחשפים אליו ובהם מושקעת הרבה‬
‫אנרגיה כדי לוודא שהסיכון מצומצם‪ .‬אחד המשתתפים העיד כי בארגונו נהוג לפקח "עד רמת‬
‫החוקים של ה ‪ "FW‬במקרים כאלה‪ .‬מבחינת ארגון זה מהמגזר הפיננסי‪ ,‬ספק שמחזיק‬
‫חומר רגיש שלהם צריך לעמוד באותם סטנדרטים של סקרי סיכונים שהארגון עצמו עומד‬
‫בהם‪.‬‬
‫המשתתפים במפגש ציינו כי יש יתרון גדול בזה שארגונים אחרים כמוהם מפקחים על‬
‫הספקים שלהם‪ .‬ספק כזה שמגיע לעבוד עם ארגון אחר כבר מכיר את שיטת העבודה ואת‬

‫‪Tel: (972)-9-7907000 Fax: ( 972)-9-7442444‬‬
‫הדרישות והוא בא מוכן לזה‪ .‬ספק שעובד עם חברה שעושה פיקוח בהחלט נראה שונה ומוגן‬
‫יותר‪ .‬ההתנהגות שלו אחרת לגמרי‪.‬‬
‫הצפנת המסמכים לעבודה מול גורמים חיצוניים היא שיכבת אבטחה נוספת שנועדה לוודא‬
‫שהמידע נחשף רק בפני מי שצריך לראות אותו‪ .‬בחלק מהארגונים מגדירים חוקים שתקפים‬
‫רק למשתמש החיצוני‪ .‬אופציה אחרת היא עבודה עם ‪ OTP‬גם בעת פתיחת מסמכים‬
‫מסויימים מחוץ לארגון‪.‬‬
‫פתרונות טכנולוגיים לזליגת מידע‬
‫אחד הפרקים המרכזיים במפגש הוקדש לפרויקטים ויישום טכנולוגיות למניעת זליגת מידע‪.‬‬
‫בין המשתתפים במפגש יש מספר ארגונים בעלי ניסיון בהטמעת פתרונות ‪ .DLP‬אחד‬
‫המשתתפים סיפר על הנעשה בארגונו (ארגון מהמגזר העסקי) אשר חווה ביומיום מקרים‬
‫רבים של דלף מידע מתוך הארגון החוצה‪ .‬הם החליטו "לתקוף" את הבעיה מכמה זויות‪:‬‬
‫חינוך הארגון לחשיבות הנושא‪ ,‬עבודה בהתאם לחוק תוך כיבוד זכויות העובדים לפרטיות‬
‫והטמעת פתרון טכנולוגי‪ .‬במסגרת בחינת החלופות לפיתרון ניסו את חברת ‪PortAuthority‬‬
‫(עוד לפני שזו נרכשה ע"י ‪ ,)Websense‬אבל הפיתרון שהוצע להם כלל שלוש מערכות‬
‫נפרדות ל ‪ ,GW‬לתחנות הקצה ופיתרון הצפנה‪ .‬לאחר בחינה של פתרונות נוספים אחרים‬
‫ארגון זה החליט לבחור בפיתרון של ‪ .Verdasys‬אחד השיקולים לבחירה הוא בכך שמדובר‬
‫בפיתרון משולב בכלי אחד לזליגת מידע‪ ,‬לחסימת התקנים פריפריאליים והצפנות‪ ,‬מה שמקל‬
‫על האינטגרציה לתוך מערכות הארגון ויכול אף להוזיל עלויות במקרים מסויימים‪ .‬מבחינתם‬
‫מדובר בהטמעה מוצלחת והם מאוד מרוצים מהתוצרים של המערכת‪ .‬בשלב ההרצה של‬
‫הפרוייקט הם בחרו להגביל את מספר האירועים שמדווחים ע"י המערכת למספר נמוך‬
‫והחליטו לבחון מתוכם רק את אלו החמורים ביותר‪.‬‬
‫ארגון אחר מהמגזר העסקי החל תהליך הטמעת פיתרון כבר לפני כ ‪ 4‬שנים בעקבות דלף‬
‫מידע רגיש מחוץ לארגון‪ .‬הם בחרו בפיתרון של ‪ PortAuthority‬ולכלי הוגדרו האזורים‬
‫לסריקה בתוך משאבי הארגון שקדם לו תהליך ארגוני מקיף‪ .‬אנשי מחלקת הביטחון עברו בין‬
‫הגופים שיש להם נגיעה לחומר רגיש והוגדרו נהלים לגבי איפה לשמור את המידע הרגיש‬
‫ואיך צריך לטפל בו‪ .‬הכלי יודע לזהות הרבה מאוד פרמטריים חשובים שמקילים על זיהוי‬
‫פיסות מידע בתעבורה הארגונית וטיפול בהם‪ .‬בארגון זה ההטמעה הייתה פשוטה יחסית וה‬
‫‪- ROI‬מיידי‪ .‬מבחינת יכולות המערכת בארגון זה‪ :‬המערכת יכולה לחסום בפועל מעבר של‬
‫נתונים ותוכן וכן לבצע ניטור ודיווח למנהלי המערכת‪ ,‬כל זאת ע"פ דרישת המפעילים‪ .‬מטבע‬
‫הדברים גם בארגון זה יש לא מעט התרעות שווא במידה ומשתמשים במדיניות אגרסיבית‬
‫של יירוטים ודיווחים ויש לקחת זאת בחשבון‪ .‬בארגון הזה הוגדרו ברוב המקרים חוקים‬
‫שיתריעו על עבירות ולאו דווקא יבצעו פעולות נוספות כדי לא "לשגע את הארגון"‪.‬‬
‫נציג ארגון נוסף מהמגזר העסקי סיפר‪ ,‬כי גם בארגונו עלתה הדרישה ליישום פיתרון ‪.DLP‬‬
‫הפיתרון שנבחר בארגון זה מבוסס על הפיתרון של חברת ‪ Onigma‬הישראלית (שנרכשה‬
‫בינתיים ע"י ‪ .)McAfee‬בארגון זה שמו לב לשתי תופעות שהיוו בעיה אבטחתית חמורה‪:‬‬
‫חלק מהעובדים בארגון נהגו לשלוח מייל לכתובת הפרטית שלהם ( ‪ YAHOO ,GMAIL‬או כל‬
‫‪ WEB MAIL‬אחר) ובו חומרים עסקיים כדי לעבוד מהבית (בארגון זה‪ ,‬כמו בארגונים רבים‬
‫נוספים בישראל‪ ,‬החיבור לרשת הארגון נעשית דרך טרמינלים שביצועיהם ותהליך‬
‫ההתחברות הראשוני אליהם הוא איטי ומסורבל)‪ .‬כלומר‪ ,‬מנקודת מבטם של העובדים‪,‬‬
‫הסיבה לשליחת המיילים ל ‪ WEB MAIL‬היא קיצור וייעול תהליכים‪ .‬בעיה אבטחתית נוספת‬
‫שהתגלתה הייתה הכנסת מדיה נתיקה פנימה לארגון‪.‬‬
‫שתי סיבות אלה הביאו את הארגון להתחיל בהטמעת פיתרון שיתמודד עם שתי בעיות אלה‪:‬‬
‫התעבורה בארגון ובמיוחד יציאת מיילים החוצה נוטרו וחיבורי מדיה נתיקה זוהו ונאסרו‬

‫‪Tel: (972)-9-7907000 Fax: ( 972)-9-7442444‬‬
‫לביצוע‪ :‬כשמכניסים ‪ DOK‬ניתנת התרעה לעובד שהוא עלול לבצע עבירה על ביטחון מידע‪.‬‬
‫העובד יכול ליצור קשר עם מוקד התמיכה ולקבל אישור חד פעמי לחבר את ה ‪ .DOK‬בעיה‬
‫שארגון זה לא הצליח למצוא לה פיתרון היא שימוש ב ‪ BlueTooth‬כדי להוריד קבצים‪ .‬קשה‬
‫למצוא פיתון שימנע את הדליפה ולא יפגע בעבודה‪ .‬ארגון זה בחר להגיע ליעילות של ‪80%‬‬
‫‪ 20%‬בגישת הטיפול שלהם בבעיות הקשורות לדלף מידע‪ .‬ידוע להם כי יהיה קשה מאוד‬
‫למנוע בצורה מוחלטת יציאה לא מאושרת של מידע מהארגון‪.‬‬
‫תחזוקה ותפעול‬
‫מניסיונם של הארגונים שכן מפעילים יישום ‪ DLP‬בארגון עולה כי התחזוקה השוטפת‬

‫מחייבת רפרנט בשליש עד חצי משרה‪ ,‬אשר מעדכן ברמת התקנת התחנות וכן מנהל‬
‫אבטחת המידע שמגדיר את החוקים שצריך לנטר‪ .‬כמו כן‪ ,‬מוגדר ברוב המקרים שאיש ‪ IT‬לא‬
‫יכול לצפות בדוחות שהמערכת מוציאה אלא רק מי שמוסמך לזה (כדי לא לפגוע בפרטיות‬
‫של העובדים)‪ .‬בארגון מסויים הוקמה ועדה מיוחדת לתפעול המערכת‪ :‬הוועדה מחליטה איזה‬
‫מידע לחסום ואיזה לנטר בלבד‪ .‬בוועדה יושבים נציגים של ‪ ,IT ,HR‬כספים‪ ,‬אבטחת מידע‬
‫וסמנכ"ל שמלווה אותם‪.‬‬
‫סיווג החומר‪ :‬איך מסווגים את המידע בארגון?‬
‫באחד הארגונים שהטמיעו פיתרון ‪ DLP‬בחרו להגדיר בצורה כזו את הפרמטרים לסיווג‬
‫מידע‪ ,‬כך שניתן יהיה לזהות מידע רגיש בהמשך‪ :‬כחלק מתהליך האיפיון‪ ,‬התבקשו מנהלי‬
‫יחידות ואגפים לפרט ‪ 4‬פרמטרים עבור המידע הארגוני שרלוונטי אליהם‪ :‬מה הן מילות‬
‫מפתח שמאפיינות את המידע?‪ ,‬באילו תיקיות מאוחסן המידע העסקי שלהם?‪ ,‬מי הם‬
‫הספקים שמולם עובדים? ולבסוף‪ ,‬מי מהעובדים צריך את המידע הרגיש? הנתונים‬
‫שנאספו איפשרו להרכיב מודלים לתיוג המידע הארגוני לקבוצות רגישו·ת ולהצפין במידת‬
‫הצורך רק את התיקיות שהוגדרו בניתוח המקדים‪ .‬היום הוא יודע שכל מייל רגיש יוצא‬
‫החוצה מוצפן בעיקר בזכות אותו ניתוח מקדים‪ .‬המערכת מאוד גרנולרית ומאפשרת הגדרות‬
‫מאוד מפורטות של מה רגיש ומה לא‪ .‬המערכת גם יודעת להגדיר תיקיות ספציפיות‬
‫כקריטיות ולתת להן דירוג רגישות‪.‬‬
‫נציג ארגון נוסף שצבר ניסיון ארגוני בתחום העיד כי התהליך הארגוני (לבוא לגופים ולהגדיר‬
‫מה צריך ומה לא) מאוד מסובך‪ .‬בהתחלה נוטר חומר שלא היה רלוונטי למערכת ‪.DLP‬‬
‫בהמשך ההטמעה הובן בארגון שצריך לשים בתיקיות המנוטרות רק מידע רלוונטי‪ ,‬אשר‬
‫מחייב הערכות תהליכית ותרבותית בארגון‪ .‬מהניסיון של ארגון זה רואים שהמטרה היא‬
‫להגדיר שמירת מסמך רק בספריה מוצפנת או מנוטרת כברירת מחדל מתוך הבנה שברוב‬
‫המקרים מדובר על חומר עם ערך ניטורי‪ .‬אם משאירים לעובדים חופש במיון המידע‪ ,‬או‬
‫שהוא צריך לבצע יותר מדי פעולות כדי לאחסן מידע רגיש בתיקייה מתאימה‪ ,‬מתחילות‬
‫הבעיות‪.‬‬
‫משתתף אחר סיפר‪ ,‬כי לפתרונות ‪ DLP‬מסויימים יש יכולת לנטר מסמכים שלא נמצאים‬
‫בתיקיות המסווגות במידה והמערכת מזהה פרמטרים מסווגים בהם‪ .‬אם עובד שמר חומר‬
‫מסווג גם בשולחן העבודה היא תוכל‪ ,‬למשל‪ ,‬להוציא התרעה לעובד שהוא שומר מידע רגיש‬
‫במקום שאינו מיועד לכך‪.‬‬
‫פתרונות משלימים לזליגת מידע‬
‫בחלק מהארגונים עושים שימוש בפתרונות משלימים לטיפול בבעיות זליגת מידע‪.‬‬

‫‪Tel: (972)-9-7907000 Fax: ( 972)-9-7442444‬‬
‫דוגמא לכך היא הצפנת מחשבים ניידים‪ .‬בנושא זה חלוקות הדעות בין המשתמשים לגבי‬
‫יעילות השימוש בפתרונות הצפנה וכן איך מומלץ לגשת לפרוייקט הצפנה בארגון‪ .‬שתי‬
‫הגישות המובילות בתחום בין המשתתפים במפגש הן‪ :‬הצפנת כל הדיסק הקשיח במחשב‬
‫מול הצפנת תיקיות מסויימות ע"פ הצורך‪.‬‬
‫לכל גישה יש יתרונות וחסרונות ברורים‪ .‬כך‪ ,‬למשל‪ ,‬הצפנה גורפת של כל הדיסק הקשיח‬
‫יכולה לגרום לנזק גדול במידה והמחשב ננעל ע"י המשתמש‪ .‬מצד שני‪ ,‬קלות העבודה‬
‫והעובדה שאין צורך "לזכור" לשמור חומר רגיש רק במקומות המיועדים לכך‪ ,‬מהווים חוזקה‬
‫משמעותית‪.‬‬
‫אחד המשתתפים לא רואה סיבה להצפין את כל הדיסק‪ .‬לדעתו‪ ,‬אפשר להצפין רק את‬
‫התיקיות הרגישות‪ .‬שימוש בכלי ‪ DLP‬שיאפשר הצפנה של מידע יכול להקל את העבודה‬
‫במידה רבה‪.‬‬
‫פתרונות משלימים נוספים לטיפול בדלף מידע באים מעולם ניהול הזכויות ( ‪Rights‬‬
‫‪ )Management‬ונועדו לתת מענה ארגוני להפצת מידע בתוך ומחוץ לארגון‪ .‬אחד הפתרונות‬
‫הנפוצים בתחום הוא ה ‪ )Rights Management Services( RMS‬של מיקרוסופט‪ .‬בחלק‬
‫מהארגונים עושים שימוש בכלי זה ובכלים אחרים כדי להשלים עוד שכבת מידע בעיקר‬
‫ברמת הסיווג של מסמכים רגישים‪ .‬בחלק אחר מהארגונים כלים אלה מהווים את התווך‬
‫המרכזי לטיפול בדלף מידע‪ .‬בשונה מפתרונות ‪" DLP‬קלאסיים"‪ ,‬פתרונות ‪ RM‬מעבירים את‬
‫האחריות על סיווג המידע באופן שוטף ליוצר המידע‪ .‬גישה זו מהווה חיסרון לדעתם של חלק‬
‫מהלקוחות מאחר והיא מסרבלת את תהליך יצירת המסמך‪ .‬לדוגמא‪ :‬בעת לחיצה על‬
‫"שמירת מסמך" בעת יצירת מסמך חדש‪ ,‬נשאל המשתמש איך יש לסווג את המסמך בנוסף‬
‫לתיקייה שאליה המשתמש מעוניין לשלוח את המסמך לאחסון‪ .‬בעת הפצת מסמך שהוגדר‬
‫ע"י יוצר המידע כרגיש הוא ישאל על ידי המערכת מה הם חוקי ההפצה שיבקש לכפות על‬
‫המסמך הנ"ל‪ :‬האם לאפשר הדפסה? האם לאפשר העברת המסמך הלאה ע"י המקבלים?‬
‫זכות קריאה‪/‬זכות עריכה וכו'‪ .‬ישנם פתרונות אשר משתמשים בפלטפורמה שמציע ה ‪RMS‬‬
‫וכלים דומים אחרים כדי להקל את תהליך ניהול המידע וסיווגו וכן לאפשר אכיפת חוקים‬
‫ומדיניות על מסמכים מחוץ לעולם של ‪ .Microsoft Office‬שתי חברות ישראליות צעירות‬
‫שפעילות בתחום הן‪ Secure Islands :‬ו ‪ ,Covertix‬אשר מציעות ניהול חכם של תנועת‬
‫המסמך בתוך ומחוץ לארגון גם ב ‪ PDF‬ובפורמטים אחרים‪.‬‬
‫אחד המשתתפים‪ ,‬שבארגונו קיימות שתי סביבות עבודה‪ :‬פנים ארגונית וחיצונית –‬
‫לאינטראקציה עם גורמי חוץ‪ ,‬סיפר על פיתרון מעניין שנועד לתת מענה לדלף מידע‪ :‬הם בנו‬
‫ממשק בין שתי הסביבות הארגוניות ומי שרוצה להעביר דואר לרשת החיצונית חייב לחתום‬
‫עליו דיגיטלית ע"י העברת כרטיס העובד שלו‪ .‬בכל מקרה אחר לא מעבירים דואר‪ .‬מטרת‬
‫פיתרון זה היא קבלת אחריות של העובד על התוכן שהוא מוציא מחוץ לארגון‪.‬‬
‫בהקשר הזה הועלתה בפורום שאלה של נציג ארגון נוסף שמקיים הפרדת רשתות משיקולי‬
‫אבטחת מידע ונותרה ללא מענה‪ :‬האם ניתן להעביר מסמך מרשת אחת לרשת השנייה‬
‫בארגון שיש לו כלי ‪ DLP‬ולהמשיך לקיים עליו מדיניות שהוגדרה כבר ברשת המסווגת? (זה‬
‫בהנחה שהוא עבר לרשת הפתוחה ללא גילוי)‪.‬‬
‫טיפול במשתמשי‪-‬על‬
‫נקודה קריטית למניעת דלף מידע היא טיפול בהרשאות הארגוניות של משתמשי העל‬
‫(‪ )ADMIN‬למיניהם‪:‬‬
‫אחד המשתתפים סיפר שבהתחלה היו להם כניסות רבות ל ‪ DB‬והם הבינו שמדובר בבעיה‬
‫אבטחתית לא פשוטה‪ .‬כיום יש בקרה על הפעולות של ה ‪ DBAs‬ברמה האישית ויש פיקוח‬
‫של ‪ DBA‬אחד על השני‪ .‬משתתף אחר סיפר כי בארגונו מקבל כל ‪ DBA‬חדש תדרוך על‬

‫‪Tel: (972)-9-7907000 Fax: ( 972)-9-7442444‬‬
‫הבעייתיות בתחום‪ .‬משתתף זה מספר על בעיה אחרת שמטרידה את ארגונו‪ :‬זליגת גישות ה‬
‫‪ DBA‬למערכות שלא קשורות ישירות לתחום הפעילות שלהם בשל הסיעוף בין המערכות‬
‫הארגוניות ובין ה ‪ DBs‬השונים‪.‬בארגון זה הגדיר מנהל אבטחת המידע התרעה מיוחדת על‬
‫כל הרשאת ‪ DOMAIN ADMIN‬חדשה בארגון‪ .‬ארגונים אחרים סיפרו כי גם אצלם מקובלת‬
‫התרעה מהסוג הזה שלאחריה נבחן הצורך הארגוני בעוד משתמש על‪.‬‬
‫הצפנת ‪DB‬‬
‫כיוון הפוך לטיפול ב ‪ DB‬הוא הצפנה שלהם‪:‬‬
‫רוב המשתתפים לא ניסו פיתרון כזה‪ .‬אחד הארגונים שכן נמצא בתהליכי הטמעה‪ ,‬מציין‬
‫שמדובר בתהליך מאוד לא פשוט‪ ,‬במיוחד פתיחת וסגירת הצפנות בזמן אמת במערכות‬
‫פרודקשיין‪ .‬בארגון זה כתבו סקריפט שיודע לערבל מידע פנימי במעבר בין סביבות הטסט‬
‫לפרודקשיין‪ ,‬כך שאם יש פרטים מזהים על הנתונים ישנו את הנתונים ויצפינו אותם‪ .‬הקושי‬
‫הוא מיפוי ה ‪ DB‬וזיהוי כל הנתונים הרגישים עליו‪.‬‬
‫ארגון אחר ניסה את המוצר של חברת ‪ .Sentrigo‬המוצר מראה מי פתח שאילתה ב ‪ ,DB‬מי‬
‫סגר וכו'‪ .‬חלק מהשיקולים שעלו בין המשתתפים במפגש להטמעת פיתרון זה או אחר הם‬
‫כמה אחוז ‪ CPU‬הכלי תופס מתוך זמן עיבוד ה ‪ .DB‬הפיתרון של ‪ Sentrigo‬מתחייב לא‬
‫להשתמש ביותר מאחוז שולי מה ‪ .CPU‬נציג אחד הארגונים שמחוייבים לרגולציה שחייב‬
‫לעשות אודיט על הפעילות ב ‪ DB‬שלו‪ ,‬סיפר שהוא לא מצפין את בסיס הנתונים בגלל העלות‬
‫הכרוכה בכך וכן האובר הד בשימוש במשאבים במערכות מהסוג הזה‪ .‬כל אחוז שימוש ב‬
‫‪ CPU‬זה המון אצלו כי ה ‪ DB‬שלהם עובדים קשה מאוד‪ .‬בארגון זה בחנו פיתרונות של‬
‫חברת ‪ ,Imperva‬סנטריגו וגרדיום‪ .‬לבסוף בחרו באימפרבה בגלל יכולת האודיט שלהם‪.‬‬

‫‪Tel: (972)-9-7907000 Fax: ( 972)-9-7442444‬‬

Data Centric Security RT

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Data Centric Security RT

Uploaded by

Copyright:

Available Formats

Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax.

‫עגול‬-‫סיכום מפגש שולחן‬

‫ שחר גייגר מאור‬:‫עריכה‬

Moshav Bnei Tzion P.O.Box 151, 60910 Israel

‫‪Moshav Bnei Tzion P.O.Box 151, 60910 Israel‬‬

‫‪Moshav Bnei Tzion P.O.Box 151, 60910 Israel‬‬

‫חינוך קודם לכל!‬

‫‪Moshav Bnei Tzion P.O.Box 151, 60910 Israel‬‬

‫טיפול במידע רגיש אצל גורמי חוץ בארגון‬

‫‪Moshav Bnei Tzion P.O.Box 151, 60910 Israel‬‬

‫פתרונות טכנולוגיים לזליגת מידע‬

‫‪Moshav Bnei Tzion P.O.Box 151, 60910 Israel‬‬

‫מניסיונם של הארגונים שכן מפעילים יישום ‪ DLP‬בארגון עולה כי התחזוקה השוטפת‬

‫סיווג החומר‪ :‬איך מסווגים את המידע בארגון?‬

‫פתרונות משלימים לזליגת מידע‬

‫‪Moshav Bnei Tzion P.O.Box 151, 60910 Israel‬‬

‫‪Moshav Bnei Tzion P.O.Box 151, 60910 Israel‬‬

‫‪Moshav Bnei Tzion P.O.Box 151, 60910 Israel‬‬

You might also like