העברת קבצים עלולה להפוך לאירוע אבטחה חמור, אז איך תימנעו מכך?

מהרגע שקובץ רגיש עוזב את ערוצי הארגון, אתם כבר לא שולטים עליו. משם, הדרך לדליפת מידע קצרה במיוחד

{ אבטחה וסייבר }
ערן רונן
11.8.25

תמונה: Dreamstime

ישבתם, השקעתם והכנתם מצגת מושקעת ללקוח עם תכנית פעולה מפורטת להשקת מוצר חדש שצפוי לשנות את השוק. ציינתם עלויות, מתחרים וכל פרט חשוב, אלא שהקובץ יצא כבד מדי למשלוח במייל רגיל. מתוך גאווה בעבודה שלכם, בחרתם, כמו רבים בעולם, להשתמש בשירות העברת קבצים חינמי. אך בעוד כלים כאלה מצוינים לשיתוף סרטון חופשה, כשהם משמשים להעברת מידע עסקי רגיש הם הופכים למלכודת.

הבעיה העיקרית אינה ההצפנה של הקובץ, אלא אובדן שליטה מוחלט עליו. מהרגע שהקובץ עלה לשרת חיצוני הארגון מאבד את היכולת לנהל הרשאות, לדעת מי צפה בו ומתי, ובעיקר, הארגון מאבד את האפשרות לבטל גישה במקרה של טעות. הקובץ נכנס ל"חור שחור" של חוסר ודאות, בלי לדעת לאן  או למי יגיע.

אם יש ספק, אין ספק

לכן, אחד הצעדים הראשונים הוא לא להשאיר את שיקול הדעת בידי העובדים. האחריות להגן על תעבורת קבצים צריכה להיות מרוכזת, עם מדיניות ברורה מצד הנהלת ה-IT, אבטחת המידע וה-HR גם יחד. מחלקת ה-IT צריכה ונדרשת לספק פתרונות מאובטחים ונוחים (שירותים פנימיים עם הצפנה, תוקף מוגבל והגדרת הרשאות צפייה), ומנהלי האבטחה צריכים לקבוע הנחיות להעברת מידע – מה מותר, מה אסור, מתי נדרש אישור נוסף ולעקוב אחר ההפרות.

הסיכונים אינם תאורטיים וברחבי העולם כבר יש מקרים מתועדים של נזק אמיתי: בחברה פיננסית אירופית נשלח בטעות ללקוח קובץ אקסל דרך שירות פתוח להעברת קבצים, מבלי לשים לב שהקובץ כלל טאב סמוי עם פרטי כרטיסי אשראי. הקובץ הופץ הלאה והחברה נקנסה במאות אלפי יורו תחת תקנות GDPR.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

חברות רבות משקיעות הון באבטחה, אך נכשלות דווקא בנקודת הקצה: העובד שמחפש דרך מהירה ונוחה לשלוח קובץ גדול ולכן משתמש בתוכנות או באתרים שאינם מאושרים על ידי צוות ה-IT. תופעה זו, המכונה Shadow IT, היא אחד האיומים השקטים והמסוכנים ביותר. ולא רק Shadow IT – גם Shadow Processes: תהליכים לא מתועדים שבהם עובדים מאלתרים פתרונות במקום להשתמש בכלים רשמיים.

הפתרון לבעיה מתחיל במדיניות מקיפה לניהול תעבורת קבצים: נהלים, טכנולוגיה מתאימה, הדרכה ובקרה. מתי העובד פונה לפתרון חיצוני? כשגודל הקובץ חורג ממגבלות המערכת. אם הארגון יספק דרך מוסדרת לשליחה' הדלת לדליפה תיסגר.

כחלק מהפתרון, ניתן וצריך לפעול בשני מישורים: הראשון הוא מתן סיווג לקבצים – חומר ציבורי ניתן לשליחה חופשית, אך מידע מסווג חייב לעבור בערוץ מאובטח. כל חברה צריכה לבנות לעצמה מדרג מסוים אך יחד עם זאת להציע פתרון ארגוני לשליחת קבצים כבדים בצורה מאובטחת, כך שלעובד אין שום תהייה כיצד לעשות זאת. פתרון זה יכול להצטרף למה שאנחנו כבר רואים בארגוני ענק שכוללים לעיתים מערכות מורכבות למניעת דליפת מידע (DLP) הסורקות את כל תעבורת הרשת.

במקביל, על הארגון לוודא שיש לעובד כלי רשמי, נוח ובעיקר כזה שמשאיר את השליטה על הקבצים בידיו. פלטפורמה שכזו צריכה לאפשר מספר יכולות קריטיות:

  • שליטה בגישה: היכולת להגן על כל קובץ באמצעות סיסמה ייחודית והגבלת גישה למשתמשים נבחרים בלבד.
  • הגבלת חשיפה בזמן: הגדרת תוקף אוטומטי לקישור, שמונע גישה לקובץ לאחר זמן קצוב.
  • מניעת הפצה: אפשרות להגביל את מספר ההורדות המותר לכל קובץ.
  • מעקב ובקרה: קבלת חיווי ומעקב מלא אחר זהות המורידים ומועד ההורדה המדויק.
  • יכולת חרטה: אולי היכולת החשובה מכל, האפשרות 'למשוך בחזרה' את הקובץ ולבטל את הגישה אליו באופן מיידי, גם לאחר שכבר נשלח.

בסופו של דבר, טכנולוגיה היא רק חלק מהפתרון. החצי השני הוא תרבות ארגונית. הנחיות ברורות עם מענה נוח ימנעו מהעובדים לחפש קיצורי דרך מסוכנים שבסופו של דבר יובילו לפגיעה בארגון.

בעידן של רגולציות מחמירות כמו GDPR באירופה וחוק הגנת הפרטיות בישראל, אסור להשאיר את נושא העברת הקבצים לשיקול דעת אישי. לעיתים הדלת לדליפת המידע הגדולה הבאה לא נפרצת אלא נפתחת מבפנים.

ערן רונן הוא מייסד JUMBOmail

לאחר הפירצה: היקף דליפת המידע מגוגל נחשף

תגיות: , , , , , ,

Geektime Insider

הבא
הקודם

אירועים קרובים

לכל האירועים

משרות

לצפייה בכל המשרות

משרות פתוחות

לכל המשרות

קטגוריות

זה המקום להכיר את החברות, המשרדים וכל מי שעושה את ההייטק בישראל (ויש גם מלא משרות פתוחות!) #תוכן מקודם

הקודם
הבא