הרומן "בן המלך והעני" אשר נכתב על-ידי מארק טוויין והתפרסם בשנת 1881 מלמד, כי שימוש בזהות בדויה היה נהוג מאז ומעולם, אך הפך קל יותר לתפעול וניהול בעידן הדיגיטלי, קל משני צידי המתרס - קל יותר לבדות או לגנוב זהות, אך גם קל יותר לנהל זהויות ולהתגונן מפני גניבה או החלפה של זהות.
ניהול זהויות מתחיל משלב ההיכרות ולחיצת היד הראשונית בין שני אנשים זרים. טקס ההיכרות מבוסס על אמון הדדי, תוך נקודת הנחה כי האדם שמולנו הוא אכן מי שהוא אומר שהוא. בשלב הבא, נבסס את הזהות של מאן דבעי על תעודת זהות או דרכון, מתוך הסתמכות על החותמת המוטבעת בתעודה, תאריך הוצאתה והתמונה. בפועל, יש כאן מקרה של זיהוי אסימטרי היות ולאדם הרגיל אין שיטה מדויקת ואמינה לאמת את התעודה. כך למשל, כאשר קטין יציג את תעודת הזהות של אחיו הבגיר בפאב, לא תהיה דרך לברמן לאמת אותה. עד כאן ניהול זהויות מדור 1.0.
ניהול זהויות מדור 2.0 כולל מרכיבי זהות ברמה גבוהה יותר ומתבסס על מידע אישי, כמו מה אני אוהב, מה אני מספר על עצמי, מה אחרים אומרים עלי, מה המוניטין שלי. דור 2.0 מסתמך על סודות וסיסמאות, כגון: תאריך הלידה שלי, שם נעוריה של אמי או שם חיית המחמד שלי מהילדות. אולם הפרקטיקה שמציע דור 2.0 אינה מספיקה על מנת להגן על הזהות שלנו, וכאילו לא די בכך, השיטה הנ"ל, המחייבת אותנו להשיב על עשרות שאלות, לזכור ולהקיש סיסמאות - מתישה, פוגעת בחוויית הלקוח ואף חושפת את הסיסמאות שלנו בפני כל דורש.
אומרים כי אני אינני אני, אז מי אני בכלל?
היציאה לענן מהווה נקודת מפנה בעולם של ניהול זהויות. אדם יכול לשבת היום בביתו ולגשת לאחד מיני עשרות שירותים בענן, אשר בבעלות החברה, ולעשות בהם ככל העולה על רוחו, מבלי שיתבצע מעקב רציני ומדויק אחריו, בין אם הוא עובד החברה או מחוצה לה. אחד הסיפורים המוכרים בתעשייה הוא סיפורה של חברה ממרכז הארץ אשר החזיקה מידע אודות מאגר העובדים שלה בענן, והמאגר נפרץ. הפורצים סחטו עובד ספציפי במשך שנה, כי גילו עליו מידע מפליל במאגר. האדם הנפגע תבע את החברה וניצח במשפט בעוון זהות בלתי מוגנת.
בימינו, האתגרים הגדולים ביותר בניהול זהויות הם שניים: הראשון, אימות הזהות. והקושי כאן מורכב, שכן השאלה שעומדת מאחורי כל דמות דיגיטלית היא לא רק "האם הדמות הזאת היא מי שהיא טוענת שהיא", אלא האם היא בכלל אנושית, או שמא רובוט עומד מאחוריה? תרמית זו רווחת בפוליטיקה, חדשות לבקרים, כפי שהתקשורת אוהבת לבשר לנו. האתגר השני נוגע לעובדה שהזהות שלנו מרוחה היום לאורכה ולרוחבה של הרשת, ביוזמתנו, וכל אדם יכול ללמוד אודותינו, כמעט הכל, באמצעות מחקר אינטרנטי קצר.
5 מדדים לניהול זהות מדור 3.0
על מנת להתגבר על אתגרים אלה ולשפר בצורה ניכרת את ההגנה על הזהות נולדה המתודולוגיה של ניהול זהויות מדור 3.0, המציעה תפיסה של "זהות אחת". חמישה מדדים מייצרים, בצורה פשוטה יחסית, תשתית לאימות הזהות של אדם מסוים, ומונעים גניבת זהות.
- חברות, אשר עד כה ניטרו רק את הפעילות של העובדים שלהן, נדרשות עתה להגדיל את טווח והיקף הבקרה ולנטר גם את פעילות הלקוחות, הספקים והשותפים.
- אימוץ נקודת מבט של Zero Trust, פירושה שאם עד היום סמכנו בעיניים עצומות על כל התעבורה הפנים-ארגונית וחשדנו רק במידע שמגיע מבחוץ, הרי שמהיום יש לחשוד גם בתעבורה פנים-ארגונית ולבצע תהליכי אישור מוסדרים.
- שימוש בתהליך הזדהות ואימות ביומטרי של כל משתמש. תהליך זה מכונה הזדהות בלתי-תלויה, שכן אינה תלויה בדבר והיא וודאית.
- האצלת סמכויות לביצוע פעולות מטעם גורם המחזיק בזהות המלאה של פלוני לגורם צד שלישי, זאת בתנאי ששני הגורמים מחזיקים בהסכם לשיתוף מידע חתום מראש.
- בקרה ברמת המשתמש הבודד, כמו מחיקת משתמש מסוים מרשימת העובדים המורשים לקבל גישה למשאבים הארגוניים, או מחיקה של לקוח מרשימת הלקוחות של החברה, בהתאם לבקשתו. דרישות אלה מתיישבות עם תקנות ה- GDPR.
מונעים גניבה בהיקף של 4.5 מיליארד דולר
אז איך מטמיעים ניהול זהויות דור 3.0? יש היום בשוק מוצרים טכנולוגים, אשר מנהלים זהויות באמצעות חלוקת הרשאות ותהליכי הזדהות. אלה מבוססים על זיהוי באמצעות טביעת אצבע או זיהוי פנים ומייתרים את הצורך בסיסמאות. זוהי שכבת ההגנה הראשונה והיא הפיירוול החדש ובדומה לזה המקורי, מהווה חיץ בין המשתמש הבודד לבין מערכות המידע הארגוניות. על גביה, מומלץ להניח שכבה שנייה של פתרונות לניהול האינטראקציה עם גורמים אחרים, כמו למשל העברת קובץ במייל מאדם א' לאדם ב'. פתרון כזה יכול להיות שימושי למשל במקרה בו עובד לקראת פיטורין שולח למייל האישי שלו קבצים רבים ממערכות המידע של הארגון, ראה מקרה ענת קם. המערכת הטכנולוגית תעלה על זה באופן מיידי שכן העובד מנסה לעשות פעולה מרוכזת בפרק זמן נתון וכך מעלה את ציון הסיכון שלו.
כשמדברים על ניהול זהויות מכוונים לזהות של בני אדם אבל לא רק. גם זהות של מכונה ניתן לגנוב. לדוגמא, חברה רוסית השולטת בכל עולם הפחם הרוסי, נהגה לשקול משאיות הנושאות פחם בסיביר, לקראת צאתן לדרך. האקר מהמאפיה הרוסית השתלט על המשקל וכל פעם שעלתה משאית על המשקל נהג להפחית כ- 200 ק"ג ממשקלה, וכך איפשר גניבה בהיקף של 4.5 מיליארד דולר, בפרק זמן של שנתיים. אילו לאותו בקר היה מנגנון הזדהות המותאם לדור 3.0 השוד הזה היה נמנע.
ניהול זהויות 3.0 הוא המפתח לשמירה על כל הנכסים שלנו ובלעדיו הדבר דומה לריצה ברחבי תל-אביב, לאחר שהשלכנו את מפתחות הבית שלנו, כאשר אנו צועקים בקול רם מהי כתובת המגורים שלנו. יחד עם זאת, האימוץ של מתודולוגית ניהול זהויות בארץ איטית בהשוואה לאירופה ולארה"ב. וודאי תורמת לכך הגישה הישראלית של "סמוך עלי", "יהיה בסדר" ו"אנחנו יודעים הכל". בנוסף, השוק המקומי עדין מתבסס על מתודולוגית הגנה של בדיקות חדירה ורק עכשיו מתחיל להתעורר ולהתוודע למתודולוגית ניהול זהויות מדור 3.0. ההגנה על הזהות היא קריטית בעולם בו אנו חיים, שהרי המתגוננים חייבים להצליח במשימתם ב-100% מהזמן בעוד שהתוקפים - גם אם יצליחו רק פעם אחת -עלולים לגרום לנזק רב.
אריה גליקמן- הכותב הוא מנכ"ל חברת Unicloud, מקבוצת Unitask, המייצגת את הפתרונות המובילים בעולם לניהול זהויות ואימות משתמשים.
