יומן אבטחה

בשבועיים האחרונים שני אירועי דלף מידע ממחישים לכאורה את הצורך במערכות DLP (ראשי תיבות של Delef Lemeida Prati), המטפלות בדלף מידע. אני כותב לכאורה כי בשני המקרים מדובר על דלף של כתובות דואר אלקטרוני שדרכן ניתן להקיש כמובן על קהל הלקוחות. המקרה הראשון הוא של אל-על שבטעות שלחה לכל הלקוחות העסקיים דואר אלקטרוני המכיל את כתובות כל הלקוחות. והרשות הטכנולוגית לטכנולוגיות מידע והגנת הפרטיות כבר החלה לחקור (אני תוהה מה לרשות ולסוגיה הזו, הסברים יתקבלו בברכה). המקרה השני דומה מאוד וקרה רק מספר שבועות אחרי לבית ההשקעות מיטב.

ברור שאם אשאל מנהל בארגון מהו מידע רגיש בארגון, רשימת הלקוחות תופיע היכן שהוא ברשימה. היכן? לא במיקום מאוד גבוה, אך היכן שהוא. אי שם מתחת לשכר העובדים, נתונים כספיים, אסטרטגיות שיווק וכדומה. אבל בכל זאת נתון רגיש. אלא שכל מה שדלף זה כתובות דואר אלקטרוני. מי שראה פעם עבודת מודיעין יודע שמודיעין הוא סוג של פאזל. ובפאזל כמו בפאזל, גם החלק הכי בנאלי הוא בעל משמעות אם אתה מצליח למקם אותו במקום הנכון. הבעיה המרכזית של ארגונים היא שפעמים רבות הם מבינים את משמעות המידע רק לאחר שדלף. עד אז זו רק הייתה רשימה של כתובות דואר אלקטרוני. אולי היא הוגדרה נכס רגיש ואולי אף אחד לא חשב שיש משהו מטריד ברשימה של כתובות דואר אלקטרוני, שאינן מוגנות מתוקף חוק הגנת הפרטיות, שאין בהן מידע אישי או התייחסות לעסקים עצמם. שתי האפשרויות סבירות. מה שבטוח הוא שעבור הפלח העסקי אוסף של כל רשומות הדואר האלקטרוני בנקודה אחת הופכת את המידע הכה טריוויאלי לרגיש. אגב, אני לא בטוח אם זו כזו דרמה לנמענים, כמו שזה נזק תדמיתי לאל על, פשוט כיוון שזה נחשף בעיתון.

כך שבפועל מה שעשוי להיות סתם רשימת דיוור בנקודה אחת בארגון יכול להפוך לחומר נפץ במקום אחר בארגון. בהרצאות שאני מעביר על הנדסה חברתית אני מדגים איך מידע לכאורה חסר משמעות - חוברת הדרכה למערכת מידע - יכול לשמש תוקף מיומן לצורך הוצאת מידע עסקי רגיש. כך שמצד אחד כל מידע הוא בעל פוטנציאל להפוך להיות מידע רגיש ביותר ומצד שני הכללות הנן בדיוק הדרך לייצר יותר מדי תחושת אבטחה ופחות מדי אבטחה. בקיצור, זו רשימה בלי פתרונות. רק בעיות. התחלתי בכך שלכאורה זה מסביר מדוע צריך מערכות DLP והלכאורה קיים שם כיוון שבמערכות DLP צריך לומר למערכת מה רגיש. בשביל זה צריך לדעת.