ביטחון מידע | מניעת מידע

מניעת מידע

מניעת מידע מהיריב תמנע ממנו הערכה נכונה של מצבנו, ומתן תגובה בהתאם.

מניעת מידע נעשית על ידי משמעת עצמית של החברים בארגון, קביעת סיווג ביטחוני למסמכים, לשיחות, לאמצעים ולמתקנים. השמדת מידע מסווג על ידי גריסת מסמכים, הצפנה של רשתות תקשורת, ומניעת גישה של חברי הארגון למקומות בהם מידע עשוי לזלוג, על פי עקרון המידור - אדם נחשף רק למידע אותו הוא חייב לצורך עבודתו, אך לא מעבר לכך (ללא קשר לרמת סיווגו הביטחוני בארגון). כך יכול להווצר מצב שבו רק ראש הארגון יודע על כלל פעולות הארגון, ולעיתים גם הוא ממודר לכלל המידע.

משמעת עצמית

בכל ארגון האמון על שמירת סודיות, בין אם מסיבות ביטחוניות או כנגד מודיעין עסקי, נדרשת בראש ובראשונה משמעת מחברי הארגון. בארגונים רבים מוחתמים חברי הארגון על "הצהרה לשמירת סודיות" Non-Disclosure Agreement, ובקיצור NDA. זהו הסכם סודיות, המלווה בדרך־כלל בתשלום קנסות כספיים לחברה אליה מובטחת הסודיות במקרה ויתפס החותם על ההסכם משתף אחרים במידע המוכרז כסודי.

בנוסף להחתמת עובדי הארגון על הצהרה זו, מוחתמים עליה גם ספקים של הארגון שניתנת להם גישה למידע אודות הארגון.

במערכת הביטחון הישראלית קיימים הסכמים וחוזים דומים הנושאים עמם עונשים פליליים במקרה שהם מופרים.

השמדת מידע מסווג

השמדה של מידע מסווג נחלקת לשני מישורים, מידע מודפס כגון מסמכים כתובים או קלסרי מידע, ומידע מגנטי כגון זה על דיסקים קשיחים, דיסקים צרובים, או קלטות גיבוי ודיסקטים.

השמדה של מסמכים כתובים מתבצעת בדרך כלל באמצעות גריסתם. המגרסות הזולות יותר חותכות את הדפים במאונך בלבד, דבר המקל מאוד על חיבור הדפים מחדש. מגרסות מסוג יקר יותר חותכות את הדפים בשני הכיוונים לשבבים קטנים מאד, אך גם אלה ניתנים לשחזור על ידי אנשים מנוסים בטכניקות כמו התאמת החתכים על הנייר תחת מיקרוסקופ. קיימות חברות המבצעות שחזור דפים גרוסים במחיר לפי מטר. כאשר נדרשת אבטחת מידע ברמה גבוהה, נעשה צעד להשמדה של הניירת גם אחרי שנגרסה - למשל שריפתה או הלבנתה.

השמדה של מידע מגנטי חשובה לא פחות - דיסקטים או דיסקים הנזרקים לזבל יכולים להוות מקור רב למידע עבור יריבים. לפיכך קיימת גם גריסה של מדיה מגנטית לפני זריקתה. דיסקטים או דיסקים קשיחים שלא רוצים לגרוס עוברים פרמוט נוסף ולפעמים אף מחיקה מגנטית לאחר מכן כדי לא להשאיר זכר למידע שהיה עליהם במקור.

הצפנת רשתות תקשורת

ארגון השומר על סודיותו היה מעדיף תמיד לחסום כל רשת תקשורת שיש לו מגישה לאינטרנט. למרות זאת, לפעמים הדבר לא אפשרי - לעיתים העובדים צריכים גישה לדוא"ל ולאינטרנט, ופעמים אחרות נדרשת היכולת לעבוד מרחוק. במקרים כאלה דואגים בארגונים המודעים יותר לחשיבות ביטחון המידע כי אלה יהיו מוצפנים. דואר אלקטרוני ניתן להצפנה על ידי תוכנות שונות, והתקשרות מהבית נעשית על ידי Virtual Private Network - VPN, המגינה בהצפנה כפולה על המידע העובר בין רשת הארגון למחשב העובד בבית.

מניעת גישה

בארגונים רבים נחסמת הגישה החוצה לדברים העשויים לסכן את אבטחת המידע בארגון. לרוב נחסמים שרתי דואר חיצוניים, אתרי ותכנות הורדות, ויישומוני Java כי אלה עשויים לשתול במחשבי הרשת תוכנות עוינות, וגישה לצ'אטים למיניהם כדי למנוע זליגה בשוגג של מידע תוך שיחה בזמן העבודה על המחשב. על עובדי מערכת הביטחון הישראלית נאסרת גם הנסיעה למדינות ערב.

סיווג כח אדם

במסגרות ביטחוניות ורגישות רבות, ישנה דרישה לביצוע תחקיר ביטחוני, שמטרתו להכיר את המועמד לשירות ואת סביבתו, וכך לאתר או למנוע אינטרסים וגורמים עוינים שרוצים להיכנס למערכת, וכן לאתר אנשים שמהם עלול לזלוג מידע בקלות, למשל עקב עבר פלילי.

מועמד שמקבל את הסיווג הביטחוני יכול לעסוק ולהיחשף למידע מסווג הנחוץ לו, מאחר שקיבל את האישור לכך לאור התחקיר הביטחוני שביצע. מועמד שלא יקבל את הסיווג הביטחוני הנדרש, לא יאושר לעסוק בתפקיד הרגיש.

אבטחת מבצעים, אמצעים ומתקנים

קביעת סיווגם של מבצעים, אמצעים ומתקנים בהתאם למידת התועלת שהיריב יכול להפיק מחשיפתם. נקיטת אמצעי מגן לדליפה של מטרות, כוחות ומועדים של המבצעים, לפני ביצועם, על ידי קביעת סיווג ביטחון לפקודת המבצע, הוספה של נספח ביטחון לפקודה והקפדה על שמירתו הקפדנית.