הקשר בין עולם מערכות המידע הארגוניות וה- Big Data/BI לבין מרחב הסייבר (שני מושגים ש"באופנה" ולכאורה אינם רלוונטיים זה לזה) הינו למעשה לא רק הדוק, אלא גם "דו-כיווני" וקריטי: כך לדוגמה, אגירת כמויות אדירות של מידע למאגר אחד מגדילה מהותית את החשיפה לדלף מידע ומחייבת יישום של שילוב פתרונות אבטחת מידע וסייבר מורכבים. עם זאת, ניתן לנצל את יכולות כלי ה- BI כדי לשדרג את יכולות איתור התקפות סייבר ואירועי אבטחת מידע פוטנציאליים, ולשפר את ההגנה על המידע הקריטי של הארגון. אזי, בשורה התחתונה, BI זה טוב או לא טוב לארגון? זה טוב, אך בתנאי שהגנת הסייבר משולבת בתהליכי ההקמה והתחזוקה השוטפת של מערכות ה- BI.
ה- BI, מתבסס על מאגרי Big Data אמינים ומתוחכמים, והינו כיום כלי אסטרטגי עבור רוב הארגונים. עם זאת, כמו תמיד, דבר כל כך נפלא לא מגיע בחינם, ואחד המחירים שלעיתים לא נלקח בחשבון הינו הסיכון המוגדל לחשיפת מידע רגיש. מטעמי אבטחה, המשמעות המידית של ארכיטקטורת פתרונות ה- BI (המבוססת על "מרכזיות מסיבית" של המידע) הינה, בפשטות: הרבה נתונים רגישים, במאגר אחד, המשמש אוכלוסייה רחבה – סיוט אנשי הסייבר ואבטחת המידע. התוצאה יכולה להיות זליגה של כמויות עצומות של מידע "איכותי", שיבוש המידע באופן העלול לגרום לקבלת החלטות עסקיות שגויות והפרה של דרישות רגולטוריות רלוונטיות (PCI, SOX, HIPAA וכו').
מה אפשר לעשות? להלן כמה מגמות ואמצעי בקרה אשר מומלצים ליישום על מנת למזער את סיכוני ה- BI:
•
טכניקת האבטחה הבסיסית ביותר הינה החלת בקרת גישה לנתונים. משתמשים אמורים לקבל גישה לנתונים על בסיס הצורך לדעת, תוך שמירה על עקרונות ה- least privileges והפרדת הסמכויות. עם זאת, האם בקרת הגישה צריכה להיות מיושמת בתוך מחסן הנתונים, או ב"שכבת ההצגה/הדיווח" (presentation/reporting layer)? זוהי שאלה אשר זכתה לדיון רחב בתעשיית ה- BI וישנם יתרונות וחסרונות לשתי הגישות; בדרך כלל הרבה יותר קשה לתחזק לאורך זמן את מנגנוני בקרת גישה בתוך מחסן הנתונים: הרחבת סכמות מאובטחות והענקה או שלילת הגישה לשדות ספציפיים, לרשומות, לטבלאות או לעמודים בתוך מחסן נתונים מצריכות הרבה מאוד זמן DBA. יותר קל לנהל את הבקרות באמצעות כלי הצגה/דיווח. מאידך, חיסרון משמעותי באסטרטגיה זו מתרחש כאשר המשתמשים עושים שימוש בכלי מצגת ודיווח שונים על מנת לגשת לאותם הנתונים, דבר המחייב ניהול וסנכרון אבטחת המידע על מספר מערכות.
•
הגידול העצום במכשירים ניידים ואימוץ מדיניות BYOD, שתיהן מהוות השפעה גדולה על אבטחת המידע בסביבת BI: משתמשים מצפים לקבל גישה ניידת לכל משאבי המידע, והחברות מצאו כי יותר כלכלי לאפשר לעובדים גישה באמצעות המכשירים הניידים הפרטיים שלהם - מחשבים, טלפונים וטאבלטים. ארגונים רבים כבר יישמו, או מתכננים להטמיע פתרונות BI ניידים, ולפי Gartner לחלק הולך וגדל של משתמשים, הגישה הניידת ממכשירים פרטיים תהיה הדרך הבלעדית בה הם יצרכו BI. משמעות הגישה הזאת הינה הוצאת ה- BI מחוץ לגבולות הבטוחים של הארגון/הרשת הפנימית (בדומה למה שקורה בשירותי ענן ו- SAAS), תוך ערבוב המידע העסקי הרגיש של הארגון והמידע האישי בתוך מכשירי העובדים. בשיטה זו, המידע הרגיש חשוף הרבה יותר לאיבוד או לחשיפה בפני גורמים עוינים. לסיכונים אלו קיימים פתרונות טכנולוגים רבים, ביניהם: מנגנוני בקרת גישה ביומטרית, הצפנת המידע הרגיש ויצירת סביבה מופרדת ומאובטחת למידע הארגוני אשר מאוחסן במכשירים הניידים. עם זאת, יש להקפיד על יישום פתרונות אלו מבעוד מועד ולא כאשר ה- BI וערוצי הגישה הניידת אליו מוטעמים וקיימים כבר מספר שנים בארגון. בנוסף, על מנת למזער את החשיפה לדלף מידע, החברות צריכות לשקול גם תהליך הסרת זיהוי נתונים (data de-identification) במערכות ה- BI: תהליך בלתי הפיך של הסרת פרטי זיהוי אישי (PII) כגון שמות, מספרי טלפון, מספרי ביטוח לאומיים ומספרי כרטיסי אשראי. למטרה זו, טכניקה נפוצה הינה שיטת ה- tokenization - תהליך פופולרי בתעשיית כרטיס האשראי הכרוך בהחלפת המידע הרגיש ב-"אסימונים" הממופים לנתונים בתוך מסדי נתונים חיצוניים אחרים. לפיכך, רק האסימונים נחשפים בפני משתמשי ה- BI, ונדרשות הרשאות נוספות על מנת לגשת לנתונים האמתיים.
•
הפתרונות הנ"ל יהיו יותר אפקטיביים אם הם יושמו תחת מדיניות סייבר מקיפה עבור BI. מדיניות זו צריכה לכלול, בין היתר, את התחומים הבאים:
o סיווג נתונים – איזה מידע BI נחשב רגיש ואילו אמצעים נדרשים על מנת להגן עליו.
o סיווג משתמשים/תפקידים – הגישה לנתוני BI צריכה להינתן על בסיס תפקיד.
o הרשאות אפליקטיביות/"סטנדרטי זכאות" (entitlement standards) – כיצד מורשים יישומי ה- BI לגשת לנתונים ולבצע פעולות ספציפיות לגביהם.
o העברת נתונים – היכן נדרשת הצפנת נתונים על מנת לאפשר גישה למשתמשים והעברת קבצים.
o אחסון נתונים – היכן מותר לאחסן נתונים ויישום מדיניות שמירת נתונים לטווח ארוך.
כאמור, עולם ה- BI יוצר סוגיות אבטחת מידע מורכבות יותר, אך ניתן להשתמש בו גם כדי לשפר את כלל הגנת הסייבר של הארגון. ניתן לאסוף, לנתח ולעבד כמויות גדולות של מידע ונתוני מערכות אבטחה אנליטיות, כדי לזהות בזמן אמת ולמנוע איומי סייבר ופרצות אבטחה. בענף האבטחה המכוונת, ה- BI מציע מספר יתרונות; כך לדוגמא, ניתוח Big Data יכול להציג מידע לאנליסטים לגבי כתובות IP המשויכות לאנשים בעלי גישה לרשתות מסוימות ולעזור בזיהוי ניסיונות חדירה בלתי מורשים. כמו כן, ניתוח נתונים יכול גם לספק מידע רב על סביבת ה- IT ובכך לשדרג משמעותית את היכולות הקורלטיביות של מערכות ה- SIEM/SOC בתחום האפליקטיבי. בנוסף, בתחום הסייבר, משמעות האנליזה (analytics) הינה איתור איומים אשר טרם זוהו, וה- Big Data הינו הכלי האפקטיבי ביותר להשגת מטרה זו.
למומחי BDO ניסיון רב הן בתחום ה- BI והן בתחום הגנת הסייבר; שילוב הידע משתי הדיסציפלינות האלו וההיכרות מעמיקה עם הרגולציה ועם תהליכי העבודה והמידע של ארגונים רבים בארץ, מאפשר להם להציע שירותי "מומחה" ויעוץ אינטגרטיביים ומקיפים לארגונים אשר מעוניינים ביישום BI מאובטח ובניצול ה- Big Data לצורכי הגנת סייבר.
הירשם לניוזלטר
Please fill out the following form to access the download.