"הדרך להגנה על המידע הארגוני הרגיש עוברת דרך הצפנתו"

חברת InfoGuard עוסקת ביישום מתודולוגיה ובמגוון פתרונות טכנולוגיים לאבטחת מידע ארגוני. המנכ"ל, עופר דה-פיצ'וטו, מסביר מדוע הצפנת נתונים היא פעולה קריטית עבור כל ארגון

אסף לבנון, בשיתוף InfoGuard
תוכן מקודם
שתפו כתבה במיילשתפו כתבה במייל
"הדרך להגנה על המידע הארגוני הרגיש עוברת דרך הצפנתו"צילום: Shutterstock
אסף לבנון, בשיתוף InfoGuard
תוכן מקודם

כשעופר דה-פיצ'וטו פתח עיתון בנובמבר 2014 וקרא ידיעה על עובד חברת כרטיסי אשראי גדולה שגנב חלק קטן מבסיס הנתונים שלה המכיל מידע רגיש מאוד וניסה לבצע סחיטה - נפל לו אסימון. זה היה השלב שבו הבין מנכ"ל ומייסד קבוצת עידור שלרשימת חברות הבת של קבוצתו יש להוסיף חברה חדשה, כזאת שתסייע לכל ארגון ליישם אבטחת סייבר ראויה ולהגן על המידע הרגיש שלו. זמן קצר לאחר מכן הוא הקים את חברת InfoGuard, כיום ספקית של שירותי תוכנה ופתרונות בתחום ה-Security IT בישראל. החברה עוסקת ביישום מגוון פתרונות טכנולוגיים לאבטחת מידע ארגוני רגיש, ייעוץ והכנה להסמכה לעמידה ברגולציה. בעובדי החברה ניתן למצוא מומחים ויועצים מובילים בתחומי אבטחת המידע וניהול הסיכונים, כולם בעלי היכרות מעמיקה עם תקני אבטחת המידע ISO 27001, ISO 27799, תקנות הגנת הפרטיות ו-GDPR.

"האירוע בחברת האשראי היה טריגר משמעותי עבורי", מספר דה-פיצ'וטו. "הבנתי שאחד הדברים החסרים לארגונים בתהליך ההגנה על המידע שלהם הוא הצפנה ושמירה מאובטחת של מפתחות ההצפנה. אם קובץ פרטי כרטיסי האשראי שגנב העובד היה מוצפן – הנתונים שנגנבו היו חסרי ערך. נושא סיווג המידע הארגוני כרגיש הוא בעייתי מאוד וקשה לקבוע מה נחשב למידע רגיש ומה לא. יש הטועים לחשוב שאין להם מידע רגיש כלל. לא מעט ארגונים אף נרתעים מהצפנת מידע מכיוון שהם חוששים מכשלים בשלבי הפענוח. לכן בשנות קיומה הראשונות של InfoGuard לא היה לנו פשוט לשכנע ארגונים להגן על המידע הרגיש שלהם באמצעות הצפנה, ורובם הסתפקו בהגנה היקפית (Perimeter defense) למניעת גישה לנתונים רגישים. העלאת המודעות לתחום הסייבר שיחקה לטובתנו, וכיום מלאכת השכנוע קלה יותר. במקביל הרחבנו את פעילות החברה לכלל עולם אבטחת המידע, על מנת שנוכל לספק ללקוחות מעטפת מלאה של פתרונות סייבר".

בין שירותי האבטחה שמספקת החברה ניתן למנות ביצוע סקרי סיכונים, מיפוי מידע רגיש תוך שילוב כלים טכנולוגיים המאפשרים את סיווג המידע, אפיון, תכנון ויישום פתרונות אבטחה, מיפוי מערכות מחשוב ומאגרי מידע, כתיבת נוהלי אבטחת מידע, גיבוש מדיניות אבטחת מידע, בניית תוכניות אבטחת מידע מקיפות ומימושן, הקשחת מערכות הפעלה, אבטחת בסיסי נתונים, הטמעת כלי אבטחה, ביצוע בדיקות חוסן לאתרים, אבטחה פיזית, הדרכה וליווי של מנהלים וקצינים של אבטחת מידע. את שירותי הצפנת המידע החברה מבססת על הטכנולוגיה המתוחכמת של חברת האבטחה הצרפתית Thales, המתמחה בתחום.

עופר דה-פיצ'וטו

כל השירותים הללו מבוצעים תוך יישום מתודולוגיית העבודה שבנה הצוות, המחולקת לשלושה שלבים: בתחילה החברה מבצעת סקר סיכוני אבטחת מידע וסייבר משולב עם בדיקות חדירה ללקוח, כך שתתקבל תמונת מצב עדכנית אודות אבטחת המידע בארגון, יאותרו הסיכונים הקיימים ויינתן ללקוח דוח ממצאים מסודר (כולל תוכנית עבודה שנתית עם תיעדוף נכון לטיפול בממצאים). בשלב השני מתבצעת הגנה על דרכי הגישה למידע באמצעות יישום מדיניות ארגונית והתקנת מוצרי טכנולוגיה המספקים הגנה היקפית וחוסמים את הפרצות שאותרו. בשלב השלישי מוגן המידע עצמו בגיבוי שוטף, הצפנה של מידע המסווג כמידע רגיש בארגון ושמירה מאובטחת של מפתחות ההצפנה. "אנו מאמינים שהדרך להגנה על המידע הארגוני הרגיש עוברת דרך הצפנתו. שכשרוצים לשמור על מידע בצורה חזקה במיוחד – מגבים ומצפינים. זו מתודולוגיית ההגנה שלנו. לא חייבים לשמור על כל המידע באותה מידה של הגנה, לכן גם תהליך של סיווג ולו גם ראשוני בלבד הוא תהליך הכרחי", אומר דה-פיצ'וטו. "כל ארגון שיממש את שלושת השלבים האלו - בין שהוא עובד On Prem ובין שבענן - יבטיח את עצמו מאוד מפני פגיעה מסיכוני סייבר". כדוגמה הוא מביא לקוח של InfoGuard ממקסיקו: חברת אבטחת מידע שקיבלה משימה להגן על המידע של חברת פארמה מקסיקנית גדולה. "מנכ"ל חברת הפארמה היה בטוח שהכל מוגן ושאין כל בעיה", נזכר דה-פיצ'וטו. "כדי לקבל את תמונת המצב האמיתית שכרנו - באישור הלקוח ובידיעת החברה כמובן - האקר צעיר. המשימה שלו היתה לנסות לפרוץ למערכת של חברת הפארמה. לאחר שבוע הוא חזר אליי עם מידע רב שהצליח להוציא מהשרתים. מנכ"ל החברה נדהם. כמובן שסייענו לחברת אבטחת המידע ששכר לסגור את כל הפרצות".

זה שכיח שלקוחות מבקשים שינסו לחדור להם למערכת?
"מאות לקוחות כבר הזמינו מאיתנו שירותים דומים. בדיקות חדירה זה אל"ף–בי"ת בתהליך בדיקת החשיפה של מערכת מידע לפריצות סייבר, זו מתודולוגיית אבטחה בסיסית. אנחנו מקבלים פניות רבות לבצע סקרי סיכוני אבטחת מידע המלווים בבדיקות חדירה מסוגים שונים בהתאם לאופי המערכות הנבדקות. זה כלי יעיל גם מכיוון שניתן לספק אותו ללקוחות מרוחקים בחו"ל ללא צורך להגיע אליהם פיזית. יש לנו כיום מאות לקוחות שביצעו את השלב הראשון בבדיקת המוכנות שלהם להגנה מפני מתקפות סייבר, אך עדיין מעטים מדי מממשים טכנולוגיית הצפנה למידע הרגיש שלהם ומבצעים הגנה היקפית בלבד, שאני סבור שאיננה מספיקה.

"רוב הלקוחות של InfoGuard הם גם ה'אוהדים' שלה. אוהדים מאמינים בך, סומכים עליך ונשארים איתך לאורך זמן. זה אחד מהסודות שלנו", מסכם דה-פיצ'וטו. "הרבה מהלקוחות שלנו מגיעים מפה לאוזן והרבה מאוד מהם ממשיכים ועובדים איתנו לאורך זמן".

בשיתוף InfoGuard

למידע נוסף