האיום שמציבות רשתות חברתיות לנכסי המידע והידע של ארגונים וחברות

כמי שעוסק בהיבטים מסויימים של מודיעין תחרותי, אני מתעניין לאחרונה יותר ויותר בפוטנציאל האיסופי הקיים ברשתות חברתיות; ובאמצעים שעל ארגונים לנקוט בכדי להגן על נכסי המידע והידע שלהם. שימוש בלתי אחראי ברשתות חברתיות עלול להביא לדליפת מידע ולחשיפת ארגונים וחברות לסיכון של שימוש זדוני במידע הנחשף. בסדרת הפוסטים החדשה שבבלוג, אדון בהיבטים השונים של סוגייה זו; ואבחן כיצד רשתות חברתיות עשויות להיות מקור לאיסוף מודיעין תחרותי.

השתתפות לא-מושכלת ברשתות חברתיות עלולה להביא לדליפת מידע ולחשוף ארגונים וחברות לסיכון של שימוש זדוני במידע הנחשף. זליגת מידע ארגוני ברשתות חברתיות מהווה פירצה באבטחת המידע הארגונית; ומקורה בדרך-כלל באנשים מתוך הארגון החושפים מידע ללא כוונת זדון. זליגת מידע כזה עלולה להפוך מידע ארגוני פנימי לגלוי בפני הציבור ולסכן את רשתות ומערכות המידע של הארגון. בסדרת פוסטים זו נדון באופן נרחב בהיבטים השונים של סוגייה זו; ונראה כיצד רשתות חברתיות עשויות להיות מקור לאיסוף מודיעין תחרותי.

שימוש בלתי אחראי ברשתות חברתיות עשוי לגרום נזקים לארגונים, מאחר והוא חושף את רשתות ומערכות המידע הארגוניות לפעילות של גורמים זדוניים ועשוי להסגיר מידע רגיש. ככל שהולך ומתפתח השימוש ברשתות חברתיות, גדלה במקביל רמת מורכבות ההתקפות שמבצעים גורמים עויינים, במטרה להשיג מידע ארגוני רגיש באמצעות עובדי הארגון. מכלול איומים זה מכונה "איומים עקביים מתקדמים" (Advanced Persistent Threats – APT), או בשם הנפוץ יותר "ריגול קיברנטי" (Cyber Espionage).

התקפות דרך רשתות חברתיות מבוצעות בעיקר לצורך השגת אינפורמציה רגישה, אך גם לצורך ניצול משאבים ארגוניים לצרכים שונים (לדוגמא, ניצול רוחב-פס של ארגונים); ובמידה פחותה גם  למטרות חבלה בארגון. איסוף המידע מתחלק לשני סוגים עיקריים: מידע שיש בו ערך לכשעצמו ומידע המהווה בסיס לביצוע פעילויות התקפיות, דוגמת חדירות אל רשתות ומערכות המידע הארגוניות.

דלף מידע ארגוני עשוי להתרחש דרך גורמים רבים: שיחות פנים-אל-פנים, אבדן מסמכים, פריצה אל שרתי מחשוב ענן, אבדן מכשירי אחסון מידע ניידים ועוד. מבין כל אלה בולט ערוץ הרשתות החברתיות כאחד המתאגרים ביותר. מדובר בכלי המהווה נקודת תורפה מבחינת בטחון-מידע וזאת מכמה סיבות: ראשית, מידע הנחשף בערוצים אלה נשמר As-Is לתקופות ארוכות (בשונה לדוגמא מחשיפה בשיחה פנים-אל-פנים). שנית, מידע זה נחשף בתפוצה רחבה יחסית. שלישית, הוא נחשף לעתים קרובות מבלי שהגורם החושף מודע לכך שחשף מידע רגיש. רביעית, הוא נחשף לעתים על-ידי גורם שאינו בהכרח זה האוחז במידע (לדוגמא, חבר ברשת חברתית של עובד חברה), כשגם הוא אינו פועל בהכרח בכוונת זדון. חמישית, לארגונים קשה לשלוט על אבטחת המידע בערוץ זה, לאור ריבוי הפלטפורמות המאפשרות גישה אל הרשתות החברתיות.

דלף מידע ארגוני ברשתות חברתיות מתרחש בדרך כלל כתוצאה מחוסר מודעות, העדר תשומת לב ולא בכוונה תחילה; ובדרך-כלל הוא נתפש בהקשרים אלה כמקרי ולא כתוצאה מפעולה יזומה של החושף. עם זאת, בתרחישים מסויימים עובדים עשויים להדליף מידע רגיש דרך רשת חברתית בכוונה תחילה, עם או בלי כוונת זדון. כך לדוגמא, עובד יכול לחשוף בכוונה מידע על מהלך ארגוני אסטרטגי עתידי מתוך התרגשות או סתם כדי להשוויץ. לחילופין, עובד מתוסכל יכול "לסגור חשבונות" עם מנהליו או עמיתיו ולהסגיר מידע אינטימי על-אודותם.

הספרות האקדמית והמקצועית הבוחנת את סוגיית דלף המידע הארגוני באמצעות רשתות חברתיות אינה מפותחת יחסית. הסוגייה החלה זוכה לתשומת לב משמעותית רק משנת 2009 ואילך, בעקבות סדרת אירועי דלף מידע שהתרחשו בסמיכות יחסית באותה השנה. סקרים שנערכו בשנתיים האחרונות על ידי גורמי אבטחה וביון ממחישים את הפוטניאל המסוכן של אתרים אלה, בכל האמור לדלף מידע. כך לדוגמא, המכון לבטחון מחשבים (CSI) כלל את "השימוש לרעה של פרופיל ברשתות חברתיות" כסכנה חדשה בסקר סיכונים שערך בשנת 2009. חברת Verizon, במחקר משותף עם השירות החשאי האמריקני משנת 2010, ציינה שרשתות חברתיות מהווים פוטנציאל מסוכן לפרצות אבטחה. סקר האיומים של חברת סימנטק גלובל סקיורטי לשנת 2009 ציין, כי התקפות APT המבוצעות דרך רשתות חברתיות מהוות אמצעי לאיסוף מידע רגיש על ארגונים ועובדיהם. ואחרון, דו"ח של חברת Sophos Security משנת 2010, טען, כי רשתות חברתיות הפכו להיות אחד המקורות המשמעותיים ביותר דרכן מידע דולף, בין היתר למטרות של גניבת זהות.

עם זאת, חרף ההכרה הגוברת של ארגונים בסכנות שמהוות רשתות חברתיות להגנה על מידע רגיש, ולמרות שארגונים רבים חוסמים גישה לרשתות חברתיות ממקום העבודה, סקר שנערך בשנת 2010 על ידי החברה לאתיקה ארגונית (SCCE) והאגודה לבריאות ולרווחה (HCCA) האמריקניים הראה, כי מחצית מכל המעסיקים בארצות-הברית חסרים מדיניות המסדירה את השימוש ברשתות חברתיות ממקום העבודה. זאת למרות העובדה שכרבע מהם העמידו לדין עובדים על שימוש כזה. מחקר אחר, של חברת Security Art הראה, כי מרבית התאגידים הגדולים בארצות-הברית מעדיפים להשקיע את תקציבי אבטחת מידע שלהם ברכישת תוכנות והטמעתן בשכבת הגנה ההיקפית, אך נכשלים ביצירת מנגנוני הגנה בתהליכים העסקיים ולרוב אינם מבצעים אנליזה חותכת של התהליכים שבהם המידע מעובד ושל ניתוח נקודות הכשל בהם. במילים אחרות, המחקר טען, כי ארגונים משקיעים משאבים רבים במיגון נגד התקפות חיצוניות, אך אינם מודעים לכך שפרצות מידע רבות נובעות מתוך הארגון עצמו, כלומר מעובדיו או ספקיו, במתכוון ושלא במתכוון, בידיעתם ושלא בידיעתם.

מודעות פרסומת

One comment on “האיום שמציבות רשתות חברתיות לנכסי המידע והידע של ארגונים וחברות

  1. גיא נירי
    25/10/2011 at 7:49 pm #

    זאת אכן בעיה קשה אשר נובעת בראש ובראשונה מהתעלמות החברה עצמה. למרות שלא ניתן לעצור לחלוטין את דלף המידע, אשר חלקו, כפי שציינת, נעשה בלא כוונת מזיד, הרי שבידי החברה מספר כלים פשוטים יחסית על מנת לצמצם באופן ניכר את התופעה ואם הפירוט מטה מזכיר לכם צבא, אתם לא טועים.

    הגדרת גבולות – על החברה להגדיר מהו המידע הרגיש שהיא בעליו.

    מידור – לא כולם חייבים לדעת הכל. יש מידע שניתן לחשוף אותו בשלבים ולגורמים מוגדרים. ניתן להגדיר רמות סיווג שונות ולחשוף אותן לקבוצות/ שותפי סוד בארגון.

    הגברת מודעות – מידע המוגדר כרגיש חייב להיות מוצג באופן כזה. החברה צריכה לציין בפירוש שמדובר במידע רגיש ויש להמנע מהפצתו בכל אמצעי. החברה צריכה למנות גורם שזה בדיוק יהיה תפקידו – הגדרת מידע רגיש.(בד"כ בכיר כנע"ת).

    מודעות כללית- מרגע הגיוס ובאופן רציף לאורך כל תקופת השירות בחברה (ועבור בעלי תפקידים מסויימים גם תקופה לאחר מכן) יש לפעול בדרכי הסברה והגברת מודעות ועירנות לכוונות ויכולות זליגת מידע רגיש. דוגמא: בפגישת הכנה ליציאה לכנס או תערוכה יש להגדיר בבירור על מה לא מדברים.

    אכיפה – במקרה של דלף יש לאתר את מקורו ולטפל בכך. במקרה של דלף מכוון ניתן להעמיד לדין משמעתי/פלילי ולידע את כל שאר העובדים אודות המקרה. דוגמא: חברה שעובד בה פעל לסחור במידע הרגיש שלה וניצל את מעמדו ונגישותו למידע על מנת להתחרות בחברה הגישה תלונה במשטרה והעובד עמד לדין פלילי.

    גורמי אכיפה – דווקא כאן, כשמדובר על נכסי צאן הברזל של החברה אין שום גורם שאחראי על כך. תחום אבטחת המידע מגביל עצמו בד"כ לתחום הטכני, קרי תוכנות. המודיעין פועל לאיסוף מודיעין אצל המתחרים אבל לא מוסמך ומוכשר לזהות פרצות בארגון שלו. החברה צריכה למנות גורם שיהיה אחראי על התחום. אותו גורם יפעל להגביר את המודעות, לאתר כשלים ואכיפה.

    גיא נירי

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s

%d בלוגרים אהבו את זה: