הרשאות לקבצים

קבצים ומסמכים הם הפורמט השכיח ביותר במידע הארגוני, אך אבטחת הגישה למידע הזה מאופיינת באתגרים ייחודיים. ככלל, קבצים ומסמכים משתייכים לקטגוריה שנקראת מידע בלתי מובנה (Unstructured Data). בקטגוריה זו נכלל כל המידע שאינו מאורגן בבסיסי נתונים ואין לו בהכרח מבנה מוגדר מראש. לדוגמה: כל המסמכים, המיילים, המצגות, התמונות, ההקלטות, הקבצים הסרוקים, ואפילו נתונים שנאספים מהתקנים ומכשירים שונים ברשת – כל אלה נשמרים בפורמטים שונים, במקומות שונים בארגון ובענן, ותחת מנגנונים לא אחידים של בקרות הרשאה.

מבחינה כמותית, קיימת בעולם הסכמה שהיקף הנתונים הללו תופס בממוצע כ-80% מכלל המידע הארגוני. מדובר בנתח העיקרי של המידע בכל ארגון, שלרוב אינו זוכה למנגנוני ניהול הרשאות הדוקים מספיק.

בפרקטיקה, המידע הרגיש, שעבורו צריך לאכוף מידור מיוחד, נגיש לא רק באפליקציות ארגוניות אלא בעיקר בקבצים. הקושי נוצר כאשר הקבצים נוצרים ו-“מתפזרים” במקומות שונים במערכות הארגוניות: בתיקיות ושיתופי רשת, וגם באתרי שיתוף ידע, כמו הפורטל הארגוני. למעשה, בכל המקומות האלה קיימת סיבוכיות גבוהה יחסית של מנגנוני הרשאות (הרשאות בהורשה, חסימת הרשאות, הרשאות אפקטיביות מחושבות ועוד). לצורך העניין, פתרונות ניהול זהויות “מסורתיים” לרוב לא מסוגלים לטפל כראוי בתחום זה ללא השלמה מכלים ייעודיים.

יוצא, אם כך, שמערכות לניהול זהויות מטפלות לרוב רק בהרשאות לחלק קטן מאוד (כ-20%) מסך המידע שקיים בכל ארגון, ולא מטפלות בעולם ההרשאות למידע הבלתי מובנה.

יש פתרון

מערכות ניהול ובקרת הרשאות למידע (DAG – ר”ת Data Access Governance) משלימות את תמונת ההרשאות הארגונית. במערכות אלה, בשונה ממערכות שעוסקות בהרשאות לאפליקציות ארגוניות, הדגש הוא על ניהול ובקרת הרשאות למקומות שבהם הנתונים מאוחסנים, ומתן מענה לשאלות כגון: מה בדיוק מותר למשתמשים לעשות ואיפה? איזה חומר נחשב רגיש? מי מורשה לגשת אליו? מיהם באמת הבעלים על המידע? האם הרשאות אינן מנוצלות לרעה? והאם קיימת הלימה לכללי הארגון?

יש לציין שמערכות DAG מייצרות תמונת הרשאות ארגונית מדויקת, נתונים על השימוש בפועל והמלצות לשיפור מערכי ההרשאות בארגון. הן יכולות לסרוק, למפות ולהצביע על המיקומים השונים שבהם מסתתר מידע רגיש במהותו, ולתייג אותו למטרת ניהול מדויק יותר. כך, למשל, ניתן לאתר את כל הקבצים שקשורים לפוליסות ביטוח, או את כל הקבצים שמכילים מידע על כרטיסי אשראי, חומר רפואי וכן הלאה.

הדבר מאפשר להצביע על אנומליות והפרות של כללי מידור, כמו, לדוגמה, רופא מתחום האורתופדיה שברשותו הרשאת עדכון לקבצי מטופלים ממרפאת הפסיכיאטריה בבית החולים (מחלקה שאינה רלוונטית לתחום עיסוקו).

הרלוונטיות של ההרשאות ניתנת לבחינה גם באמצעות ניטור דפוסי השימוש של המשתמשים. כך, אם משתמש עם הרשאות כתיבה לתיקיה מסוימת לא ביצע עדכון לכל קובץ שהוא כבר מעל לשנה, אלא רק קרא תוכן של קבצים – המערכת תוכל להצביע על כך ולהמליץ על הורדת רמת ההרשאה לקריאה בלבד.

ניתן לזהות גם ניצול לרעה של הרשאות: קיימים מקרים רבים שבהם משתמשים מסוימים זוכים להרשאות גבוהות במסגרת תפקיד מנהלי. אין זה אומר שהם רשאים לפתוח כל קובץ ולעיין בכל המידע שזמין להם. עם מערכת DAG, ניתן לאתר מצבים של גישה בפועל למידע (רגיש או אחר) תוך ניצול לרעה של סמכות והרשאות.

לסיכום, מערכת DAG מאפשרת לא רק להציג תמונת הרשאות מדויקת לתחום שבו הסיבוכיות גבוהה מהרגיל, אלא גם לאתר חשיפות אבטחה ולסייע בהסרת הרשאות מיותרות.