גם אם אנחנו מוותרים על פרטיות מרצוננו בעידן הפייסבוק והאינסטגרם, פרטיות והגנת המידע היא עדיין זכות וחובה, המציבה דרישות מחמירות מאוד מאתרים וספקי שירותים. הצורך הזה רק יגבר עם כניסתה לתוקף של חקיקת הגנת המידע הכללית האירופית – ה-GDPR.
מושג הפרטיות עבר גלגולים ושדרוגים רבים עם המעבר לעידן הדיגיטלי. הפרטיות שהייתה בעבר לכולנו נראית היום רחוקה מאוד, ולא פעם אנחנו מוותרים עליה בעצמנו באמצעות העלאת תמונות, פוסטים ומאמרי דעות באתרים שונים וברשתות החברתיות. עם זאת עדיין קיימים פרטים אישיים רבים כגון מספר תעודת זהות, מספר כרטיס אשראי, מספר טלפון וקודים סודיים, שחייבים להישמר חסויים במאגרי מידע מוצפנים. כמו כן, אתרים רבים משתמשים ב"עוגיות" (Cookies) – קבצים השומרים בין היתר, מיוזמת האתר, מידע אישי על המשתמש כגון שם, הרגלי גלישה והמושגים שהוא מחפש.
GDPR – החקיקה שמחמירה את הגבלות השמירה על הפרטיות
הצורך להקפיד על הגנת פרטיות התעצם עם אישור החקיקה החדשה באיחוד האירופי, GDPR (חקיקת הגנת המידע הכללית). החוק החדש, החל על כל גוף שמספק שירותים או מוכר מוצרי חומרה, מגביל את אפשרויות המעקב אחר דפוסי הגלישה של המשתמשים.
חקיקת ה-GDPR, שנכנסת לתוקף במאי 2018, מחייבת הסכמה אקטיבית של הגולש לאיסוף מידע לגביו, בניגוד למצב שקיים היום שבו חברות אוספות נתונים על משתמשים לצורכי פילוח קהלי יעד ופרסום ללא אישורם ואף ללא ידיעתם. אחד העקרונות שקובע החוק הוא "הזכות להישכח" – גופים המחזיקים במידע אודות משתמשים יחויבו למחוק את המידע ברגע שהמשתמש משנה את הסכמתו או מפסיק את השירות.
בכל ארגון ממוחשב קיים פוטנציאל ניכר לזליגת מידע עקב מתקפה על המערכת תוך ניצול פגיעויות כגון מערכת הפעלה ויישומים שלא הותקנו בהם כל עדכוני האבטחה, שימוש בסיסמאות ברירת המחדל, שימוש בקוד לא בטוח ואף חדירת וירוסים וסוסים טרויאנים. מדי שנה חל גידול של כ-19% במספר מתקפות הסייבר, והסיכון להתקפת סייבר הוא כה מוחשי עד שאנליסטים של Gartner צופים שעד 2022 הערכת הסיכונים הכרוכים בקשרים עסקיים עם ארגון מסוים תייחס לדירוגי בטיחות הסייבר של הארגון מידת חשיבות זהה לזו של דירוג האשראי של הארגון.
זליגת נתונים המאוחסנים במאגרי מידע היא הפרה בוטה של הנאמר כיום בפרק 7 בחוק הישראלי להגנת הפרטיות: "בעל מאגר מידע, מחזיק במאגר מידע או מנהל מאגר מידע, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע".
איך מגנים על נתונים ועדיין ממשיכים לעבוד?
כל ארגון חייב להתמודד עם הסתירה שבין הצורך למנוע סיכוני אבטחה לבין הרצון שלא לשבש את העבודה השוטפת. מסיבה זו, סריקה רצופה של כלל תשתית ה-IT לשם אבחון חולשות אבטחה היא משימה מאתגרת לכל ארגון, ללא קשר לגודלו.
משימה קשה ומורכבת אף יותר היא ביצוע מבדקי חדירה (penetration tests) – מבדקים כוללים ופולשניים, הכרוכים בסיכון לאובדן מידע ומעריכים את הסיכון מזוויות שונות כדי לתת ראייה כוללת על איומים מבית ומחוץ.
עקב כך מוותרים רבים מהארגונים על גישה פרואקטיבית של סריקה, אבחון ובירור של פגיעויות המהוות שער למתקפות סייבר. ארגונים כאלו מסתפקים בשיטות ריאקטיביות כגון שימוש בתכנת אנטי-וירוס, חומות אש (firewalls) ומערכות לגילוי חדירות (intrusion detection).
אבל גישה זו בעייתית: התעלמות מסיכוני אבטחה אינה מעלימה אותם אלא להפך- ככל שפרצות האבטחה נשארות לא מטופלות זמן רב יותר, גדל הסיכון שניסיונות הפריצה יתגברו וישתכללו. לכן עדיף תמיד לנטרל את הסיכון ולסגור את הפרצה לפני שהיא מתגלה ע"י תוקפים.
לעתים קרובות מבוצעות מתקפות סייבר שתוצאתן אובדן נתונים וחשיפה עקב שימוש בפגיעויות אבטחה ידועות – בשרתים, תשתיות אינטרנט, תחנות עבודה, ציוד היקפי ועוד. כך, למשל, פרצה שאפשר היה למנוע אותה בקלות – שימוש במערכת ההפעלה המיושנת Windows XP – הובילה בשנת 2015 למתקפת סייבר מסיבית על יעדים בפיליפינים ובטאיוואן, שאפשרה לתוקפים לגנוב מידע, למחוק קבצים, לעצור שירותים ועוד.
הערכת פגיעויות – הדרך האופטימלית להגנה פרואקטיבית על פרטיות המידע
שירות מבוסס ענן להערכת פגיעויות וחדירות לארגון (Vulnerability Assessment) נועד לסייע לארגון לאתר את בעיות האבטחה החמורות ביותר הקיימות בכל רגע נתון, וכך למקד את מאמצי תיקון הבעיות. השירות קל מאוד לתפעול וכולל עשרות אלפי בדיקות המתעדכנות מדי שבוע. תדירות הסריקות והיקפן ניתנים לבחירת המשתמש, ואפשר לבצע סריקות מחזוריות או לפי דרישה וכן סריקות מהירות או מעמיקות – כל זאת ללא התקנת תוכנה או חומרה בארגון וללא שום השקעה.
פורטל המשתמש הידידותי, המציע אפשרויות מיון מגוונות, מאפשר לבצע סיווג, הקבצה ותעדוף של הסיכונים, כך שסיכונים השייכים לאותו סיווג יטופלו יחד ללא קשר למספרם. על התהליך להביא בחשבון הן את חומרת הפגיעות שאובחנה והן את רגישותו של נכס המידע עבור הארגון.
כך אפשר לסווג אירועים לפי דרגת חומרה, לבצע הסלמה (אסקלציה) של טיפול באירוע אבטחה מצוות אחד לאחר ועוד. שירות כזה של הערכת פגיעויות אינו מחליף את אמצעי האבטחה הריאקטיביים כגון חומת אש ותכנת אנטי-וירוס, אלא משלים טכנולוגיות אלו ומסייע מאוד למנהלי אבטחה לעבור מגישה ריאקטיבית לגישה פרואקטיבית. כמו כן, דוחות שירותי הערכת הפגיעויות משמשים כנתונים ראשוניים לתכנון מבדקי חדירה.
חלופות חינמיות וזולות – על איכות נמוכה משלמים
כמו בתחומי מחשוב רבים נוספים, גם בתחום סריקת הפגיעויות קיימות חלופות חינמיות וזולות. אבל כידוע, "זול יוצא יקר". תוכנות זולות או חינמיות אינן כוללות את כל עדכוני האבטחה ואפשרויות התמיכה שלהן מוגבלות. השימוש בתוכנות כאלו עלול להביא למספר גבוה של אירועים המדווחים בטעות כאירועי אבטחה (false positive) וגרוע מכך, אירועי אבטחה המדווחים כ"אירועים תמימים" (false negatives), בייחוד כשמדובר בנפח גבוה של אירועים.
ולכן נשאלת השאלה – איך מתחילים לטפל באלפי דיווחים על פגיעות המתקבלים לאחר סריקה, בהתחשב במגבלות הזמן וכוח האדם? כיצד יכולים צוותי האבטחה וה-IT לקבוע אלו פגיעויות קריטיות ועל אלו אפשר לדלג?
השימוש בשירות הערכת הפגיעויות מונע את ההתמודדות הזו, ובנוסף מסייע לארגונים לעמוד בדרישות הרגולציה האירופאית והישראלית שמציבות כעת תקנות ה-GDPR, וכל זאת במחיר רכישה ובעלויות אחזקה נמוכים, כך שיחס העלות-תועלת שלו גבוה מאוד.