שוב נתקלתי במחדל אבטחת מידע באחת מהחברות הגדולות במשק אשר עבורה המושג "ביקורת" אינו קיים בלקסיקון ובמדניות האבטחה בפרט.
היום ,כאשר ניגשתי לתמוך בבעית תשתית תקשורת נוכחתי לגלות מדבקות רבות אשר מודבקות באזור העמדה
ועליהן כתוב בבירור את שמות המשתמשים והסיסמאות לכניסה לרשת הארגונית ולהפעלת חלק ממערכות המידע בארגון.
האבסורד בכל הענין הוא שהסיסמא הינה מסוג Complex Password בעלת 6 תווים המורכבים מאותיות גדולות,קטנות, מספרים ותווים אלפא-נומרים.
לאחר בדיקה מעמיקה בארגון הסתבר כי ה-User הינו בעל גישה מורשית לרשת ה-SSL VPN הארגונית ומאפשר חיבור לארגון מכל מקום בעולם.
מניתוח של כשל האבטחה אני מסיק כי:
1.לא קיים מערך הסברה לעלאת מודעות המשתמשים לאבטחת מידע וריגול תעשייתי בפרט.
2.לא מתבצעת הדרכה לבחירת סיסמה נכונה ולכן המשתמשים מתקשים לזכור את הסיסמה ומדביקים אותה על מדבקות .
3.עקב ריבוי הסיסמאות לא קיים מערך לניהול זהויות (IDM).
להלן מאמרים המסביר כיצד ניתן לבחור סיסמה קשה לפיצוח אשר גם ניתן לזכור אותה בקלות:
http://www.microsoft.com/protect/fraud/passwords/create.aspx
http://www.microsoft.com/nz/digitallife/security/create-strong-passwords.mspx
http://ace.alabama.gov/faq_docs/ComplexPassword.pdf
5 הדיברות לשמירת הסיסמה:
http://www.microsoft.com/protect/fraud/passwords/secret.aspx
מנגנון לבדיקת מורכבות הסיסמה:
https://www.microsoft.com/protect/fraud/passwords/checker.aspx?WT.mc_id=Site_Link
כמענה לסוגיה,אחלק את הפתרונות ל-2:
1.שיתוף פעולה מלא מול מחלקת Human Resource הכולל:
א.הקמת מערך הסברה בארגון וביצוע הדרכות על בסיס שוטף.
ב.נוהל אבטחת מידע-יש להוסיף לטופס ה-Clearance נוהל אשר קובע כי כל אדם אשר מתקבל לעבודה יגיע למנהל אבטחת המידע הארגוני(CISO) לפגישה בו יוסברו לו נהלי אבטחת המידע בארגון ובפרט 5 הדיברות לשמירת הסיסמה.
ג.החתמת המשתמש על טפסים אשר בהם הוא מתחייב לשמור על נהלי אבטחת מידע בקפדנות.
2.יישום אבטחת מידע בהיבט הטכני:
1.ניהול זהויות (IDM)-ניהול אוכלוסיית המשתמשים ומחזור החיים שלהם בארגון. עד היום, קליטת עובד חדש בארגון היתה מלווה בשרשרת פעולות אדמניסטרטיביות, החל מהגדרתו בספריית המשתמשים (Active Directory, Novell NDS, Sun One וכיו"ב) וכלה בפתיחת חשבונות עבורו בכל יישום הנדרש לעובד לצורך ביצוע תפקידו.
לעיתים קרובות נדרש אישור של מנהלים מסויימים לפתיחת חשבון ביישום מסויים, ותהליך האישור בוצע ידנית, במסמכים שנעו הלוך ושוב בארגון. בעת שהעובד עבר תפקיד היה צורך לבצע סגירה ידנית של חשבונותיו שאינם רלוונטיים עוד ופתיחת חשבונות חדשים ביישומים אחרים לפי הצורך. במקרה של עזיבה נדרשה פעילות הסרה ידנית מכל יישום ויישום.
למעשה מערכת ה-IDM מאפשרת הגדרת פרופילי הרשאות המשותפים למספר משתמשים בארגון והקפדה על כך שכל אחד מן העובדים בארגון יהיה משויך לפרופיל אחד או יותר. פרופילים אלה הנגזרים, בדרך כלל, מן התפקידים בארגון (ולכן מכונים Roles) הינם אבני בניין יסודיות להענקת הרשאות: משתמש משויך לפרופיל, פרופיל מקבל סט של הרשאות והגבלות קרי מיקום התחברות,זמן התחברות וכו'.
תפיסה זו נחשבת היום כתפיסה המובילה בעולם ניהול הגישה והיא אף מוגדרת בתקן בינלאומי הדן בהרשאות גישה (Role Based Access Control, ANSI 359-2004).
עם זאת, הטמעת IDM בארגון, עם כל התועלת שהיא מניבה, היא תהליך פרוייקטלי ארוך ולא פשוט כלל וכלל. יש לתכנן היטב פרוייקט IDM, לאפיין את הצרכים והנהלים בצורה זהירה ורק לאחר מכן לעבור לשלב היישום. הטמעת מערכת IDM אורכת בממוצע בין 12 ל-36 חודשים ומערבת מספר גדול של אנשי צוות בפרוייקט.
2.יישום מערך Single Sign On)SSO) אשר:
א.מקל את הקושי לזכור מספר סיסמאות למערכות שונות.
ב.מונע בזבוז זמן בהקלדה חוזרת של סיסמאות.
ג.מצמצם עלויות של צוותי המחשוב עקב ירידה בכמות הפניות בנושא סיסמה.
ד.מחייב בהגדרת Accont Policy ו-Audit Policy ה.מאפשר אכיפת מדניות סיסמאות מרכזית.
3.הטמעת מערכת SEIM/SOC אשר מאפשרת בזמן אמת ולעיתים מבעוד מועד, הקמה של לוגיקה קורלטיבית בין האירועים השונים, באופן המאפשר זיהוי מהיר של פוטנציאל חדירתי מזיק. בנוסף ליכולות אלה, המערכת נותנת מענה רגולטיבי, בכך שהיא מבצעת רישום מדויק של אירוע אבטחת מידע בנקודה אחת.
דוגמה למערכות מעולות אך יקרות הן ArcSight ו -enVision
מערכת IDM לדוגמה,מסוגלת ליצור קשר ישיר בין שמות המשתמש ביישומים השונים (שמות לוגיים) לבין זהותו האמיתית (הפיזית) וע"י כך מאפשרת פיקוח וביקורת יעילים יותר (Audit). לדוגמא, אם ישנו חשד שעובד ששמו EliC ביישום CRM אשר ניגש למערכת בשעות חריגות, היום ישנה בעיה לדעת מיהו אותו EliC. מערכת IDM תאפשר לי מיד לדעת כי EliC במערכת ה-CRM הוא אלי כהן ממחלקת כספים היושב בקומה חמישית ומדווח לשמואל דוד ותספק לי עוד שלל פרטים אודותיו.
השילוב בין מערכת ה-IDM למערכת ה-SEIM/SOC תאפשר תגובה לאירוע האבטחה(Security Incident) בזמן אמת ותחקיר מלא של האירוע .
אם שואלים אותי,בסופו של דבר-הכל מתחיל ומסתיים בחינוך המשתמשים!
יש משהו בזה, אבל ... הבעיה מושרשת עוד מצה"ל, ואני עד לעניין גם לפני כמה שנים טובות שגם במשטרה... הקוד חירום רשום על הדלפק, הקוד של האזעקה ממול על הקיר,. והכל גלוי...
השבמחקהיום שום חברה לא לומדת עד שהיא לא מקבלת בראש מאיזו פריצה או שימוש לא חיובי במערכות שלהם, ומה עוד... אני חושב , שאין צורך לפתוח לכל אחד גישה למחשב, ואם באמת הוא צריך גישה... יוזר פשוט עם מינימום אלמנטים וזהו ....
מי שיש לו בעיות ורואים שמזלזל באבטחת המידע, פשוט מסירים את ההרשאות, פשוט וקל.