המתכון של קוקה קולה, פרטים רפואיים אישיים, פטנט סודי, פרטי אשראי. מה משותף לכולם? ממש לא כדאי שהם ידלפו, ועליהם להישמר חסויים בהחלט.
דליפת מידע בארגון היא אחת מהסכנות המרכזיות ביותר בהתמודדותן של חברות, והיא נמצאת בראש סדרי העדיפויות של מקבלי ההחלטות.
בדיוק בשביל זה קיימת מערכת DLP – Data Leakage Prevention, מערכת למניעת דליפות. דליפות מידע יכולות להיות בטעות, על ידי מייל שכותב לאדם הלא נכון, קובץ שהופץ במערכת הלא נכונה, או אפילו בכוונה תחילה לגורמים זדוניים, ממניעים של כסף. מדריך זה יעזור לכם להבין מספר כללים ודגשים בנוגע למערכת מניעת דליפת המידע, ואיך לעשות זאת בצורה האופטימלית עבור העסק שלכם.
ידע הוא כוח, ודליפה היא כוח רשע
מידע הוא כוח אדיר, אך בידיים הלא נכונות עלול לגרום לנזק אדיר. תארו לעצמכם מה היה קורה אם פפסי היו שמים ידיים על המתכון הסודי של קוקה קולה.
מעבר לאיבוד יתרון תחרותי שעלול להיגרם באמצעות הדליפה, עלול להיגרם נזק כספי חמור, וכמובן נזק תדמיתי שיפגע במוניטין. דוגמאות נוספות הן קמפיין פרסומי שיפול לידיים המתחרות, פרטי אשראי שיפלו לידיו של האקר, מידע בטחוני שידלוף אל האויב, או אפילו תמונות פרטיות שיופצו ויכולות לגרום לנזק אדיר. נשאלת השאלה איך אפשר להגן על הנתונים, למנוע דליפה, ובמידה ובכל זאת דלף מידע, לאתר זאת במהירות וביעילות.
חוק וסדר
מניעה של דליפת מידע מעוגנת בחוק בסדר הדין הפלילי בארץ. קיים חוק להגנת הפרטיות, ולצידו מספר תקנות שמטרתן היא למנוע דליפה של מידע. החוק חל על מאגרי מידע שעולים על 10,000 פרטים. תופתעו לשמוע שאפילו מספר רישיון נהיגה נחשב פריט מידע רגיש, שמוגן על ידי החוק.
אז מה עושים?
הבנו את הסכנות הטמונות במידע שידלוף, ואנחנו יודעים שנעשה הכול על מנת למנוע זאת.
מערכת DLP, הלוא היא Data Leakage Prevention היא הפתרון המושלם. המערכת לזליגת המידע תסווג את המידע לרמות סיווג שונות, ותאבטח אותו במידה המתאימה.
בין אם המידע דלף בכוונה זדונית או בטעות, המערכת תחסום זאת באופן מיידי.
איך הקסם קורה?
המערכת לזליגת המידע תסווג את המידע לרמות שונות, החל מ”בלמ’ס” (בלתי מסווג) ועד מסווג ביותר. זאת כמובן, על ידי שיעור רמת נזק שעלול להיגרם במידה ויתגלו. על ידי הגדרה מראש של רמות הסיווג נוכל לדעת היכן כדאי להשקיע את המשאבים, ולתעדף את אבטחת המידע. כמובן שההגנה תתקיים על מידע מכל הסוגים, טקסט, שמע, וידאו. המערכת תהיה מותאמת לתחום בו היא עוסקת, ותשמור על החוקים המוגדרים- למשל בתחום הצבאי, רפואי, פרסומי. כמובן שיש להטמיע את השימוש במערכת לעובדי החברה, וליצור מדיניות של אבטחת מידע, על מנת שאנשי החברה ידעו שהם תחת פיקוח. על ידי הטמעה מצוינת, עובדי החברה ירצו לשתף פעולה לצורך האינטרס המשותף – שמירה על ביטחון המידע.
החפרפרת
גורמים זרים שמנסים לגשת למידע הוא לא דבר מפתיע או מחדש. אבל מה קורה כאשר עובד החברה מדליף מידע בזדון לגורמים חיצוניים? העובד רשאי לגשת למידע באופן חופשי, ונשאלת השאלה האם המערכת תוכל לזהות את השימוש החשוד. אתם יכולים להירגע, שכן מערכת המניעה לדליפת מידע תומכת בזיהוי חפרפרת, ומתריעה במידה ומאתרת עובד שעושה שימוש חשוד במידע באופן שלא תקין, למשל העברתו לכונן USB.
כמו כפפה ליד
מערכת למניעת דליפת מידע משתנה כמובן מגוף לגוף, בהתאם לצרכים הארגוניים, הדרישות, רמת הסיווג, והנזק הפוטנציאלי שעלול להתרחש במידה וידלוף מידע. הסביבה התפעולית משתנה מארגון לארגון, והמפתח למערכת מניעת דליפת מידע יעילה, יהיה התאמה מדויקת לפעילות החברה.
טרם התקנת המערכת, עלינו להיעזר באיש מקצוע ולבצע סקירה מקדימה של הסביבה הממוחשבת, להבין מה התהליכים הנלווים לפיתרון שהצענו, להבין מה האיומים הפוטנציאלים, ולהגדיר מטרות וחזון למערכת החדשה. עלינו להגדיר מהו המידע הרגיש עליו ברצוננו לשמור, ומה הסכנות שעומדות בפנינו. בסופו של דבר, רק התאמה מקצועית ומדויקת היא זו שתעזור לנו לישון בשקט בלילה בידיעה שהמידע שלנו מאובטח.
מישהו לרוץ איתו
כלל חשוב לכל מי שניגש להתקין מערכת למניעת דליפת מידע, הוא לשים לב שהאדם שהתקין את המערכת עבורו ימשיך ללוות אותו בהמשך הדרך.
הכוונה היא שצרכי הארגון הם דינאמיים ומשתנים לאורך השנים, לכן היינו רוצים לבצע התאמות בקלות במערכת ושינוים במידת הצורך. בנוסף כדאי לוודא שיש תמיכה טכנית מסודרת, ולעבוד מול איש קשר אחד שמכיר את צרכי הארגון, וירכז את כל המידע והבקשות אצלו.
היזהרו מאנשי המקצוע שמתקינים ובורחים, וחפשו את אנשי המקצוע שילוו אתכם ליווי מקצועי לאורך השנים.
בפן הטכנולוגי
מערכת המידע נעזרת בטכנולוגיה בשם PreciseID, שהיא טכנולוגיית דור שלישי לזיהוי מידע.
הטכנולוגיה הזאת מייצרת טביעות אצבע עבור כל נתון בכל מערכת. גם אם זה נתון במערכת ניהול מסמכים, בשרתי הקבצים, או ברשימות בארכיון החברה, הוא יקבל טביעת אצבע ייחודית. ממש כמו ברקו שהוא יחיד ומיוחד לכל נתון. באופן זה, היא מסוגלת לאתר את הנתונים בכל מקום ובכל מצב, גם אם עברו שינוי או מניפולציה מסוימים.
למשל, פרטי אשראי של לקוח מסוים קיבלו מהמערכת טביעת אצבע ייחודית. במידה והמידע יתגלגל, המערכת תוכל לזהות שהוא שייך ללקוח מסוים, וליישם את ההגנה על הנתונים. אפשר להיות בטוחים, כי המערכת מכסה מגוון רחב של נתונים, כמו תוכניות, עיצובי מוצר, קמפיינים, וקוד מקור. המערכת מחלקת את הנתונים השונים לסוגים, בהתאם לרמת הסיכון, או הקטגוריה אליו הוא משתייך.
באמצעות הטכנולוגיה הזו, יכולות להתקיים מערכות מניעה לדליפת מידע ברמה גבוהה, שמתאימה לדרישות הארגון, ומבטיחות את אבטחת המידע.
ניטור ושיטור
מערכת מניעת לדליפת מידע מספקת ניטור לכל הנתונים והמידע. הכוונה שאם המידע הגיע בדרך כלשהי לנקודות קצה, שרתים, הועבר לדיסקונקי או לכונן, נשלח באימייל, דובר בצ’אט של החברה, או הודפס, המערכת תעלה על זה. המערכת סורקת את כל התקשורת העסקית הן באופן פנימי והן באופן חיצוני. נשמע קצת כמו האח הגדול? שימו לב. למנהלי המערכת גישה מלאה לכל הנתונים שנעשה בהם שימוש, מי העביר אותם, לאילו משתמשים ובאיזה אופן.
ערך מוסף
קיימים גורמים שונים ומגוונים בשוק שמציעים שירותים של מערכת למניעת דליפת מידע, ולכל בעל מקצוע היתרונות והחסרונות שלו. כדאי לבצע סקר שוק בין הגורמים השונים, ולברר לא רק את המחיר הנקוב, אלא גם מה החבילה כוללת. כמובן שלכל מערכת יש את הייחוד שלה, ואת הערך המוסף שהיא נותנת ללקוחותיה. מערכות רבות יציעו מנוע לניתוח נתונים שעובד יחדיו עם מערכת לאבטחת מידע. חלקן יוסיפו פרוטוקול שמאפשר זיהוי תקשורת, ואף סיווג אוטומטי של מידע לפי חומרה, רגולציה, וסיכונים.
לסיכום
מערכת למניעת דליפת מידע היא מערכת בעלת חשיבות רבה שאין לוותר עליה. רק מערכת מקצועית, שתותאם אישית לעסק, תנטר את המידע, ותתריע ברגע האמת, תבטיח לכם שהמידע שלכם מוגן במאת האחוזים. לצד המערכת, יש לבצע פעילויות פנים ארגוניות, על מנת לחזק את ביטחון המידע בקרב העובדים.