המידע נגנב או אבד בעת העברתו לסביבת בדיקות?

"ארגונים רבים בעולם ובישראל מעבירים את הנתונים השמורים במערכות המידע שלהם לסביבות פיתוח או בדיקות מבלי לייחס תשומת לב לכך שהם יוצרים בעיית אבטחה חמורה כאשר הם מעבירים נתונים מסביבת הפרודקשן המאובטחת לסביבת בדיקות ופיתוח עם פוטנציאל לאיבוד הנתונים ואובדן פרטיות המידע", כך אמר ניל ריצ'רדס, דירקטור פתרונות בחברת Compuware, בזמן ביקורו בישראל והשתתפותו בכינוס בנושא הגנה על פרטיות המידע, שערכה חברת מטריקס, נציגת Compuware בישראל.

ריצ'רדס הציג פתרון של Compuware המסייע לארגונים להגן על המידע הרגיש שלהם בסביבת בדיקות. "הכלים של Compuware מבצעים פעולות להגנה על הנתונים בשיטות שונות המתאימות למהות הפעילות המבוצעת עם הנתונים כגון: הצפנה של הנתונים, מיסוך ויצירת נתונים שונים".

לדבריו, סקר שנערך בקרב למעלה מ-2,500 מומחי IT גילה כי 45% אמרו שנתונים שהועברו לסביבת בדיקות או פיתוח נגנבו או אבדו, 15% אמרו כי הם לא בטוחים אם אבדו נתונים בזמן העברתם לסביבת בדיקות או פיתוח. 60% מן המשיבים אמרו כי חברות מיקור חוץ מטפלות במידע חי בזמן העברת המערכות לסביבת בדיקות או פיתוח.

נתונים נוספים שהציג ריצ'רדס: 64% מן הארגונים משתמשים במידע חי כאשר הם מעבירים את המערכות שלהם לסביבת בדיקות ו-60% משתמשים בנתונים חיים כאשר הם מעבירים את המערכות לסביבת פיתוח. על-פי הסקר, 63% מן המידע שעובר לסביבת בדיקות ופיתוח הוא דוחות אודות לקוחות, 45% מן הנתונים הם רשימות של לקוחות, 28% הם נתונים על עובדים ו-26% מן הנתונים בעלי פוטנציאל החשיפה הם נתוני אשראי, חובות ותשלומים.

"כאשר מבצעים שינויים ובדיקות במערכות הנתונים חשופים יותר משום שסביבות אלו מאובטחות פחות. בנוסף לכך, פעמים רבות הנתונים הללו שביום יום מוגנים מפני עובדים שאינם מורשים, עלולים להיחשף בזמן בדיקות לגורמים חיצוניים לארגון כגון עובדי מיקור חוץ, מומחי בדיקות וכדומה", אמרה פטי יערי, מהנדסת מערכות בכירה בחטיבת מוצרי התוכנה של מטריקס.

בארה"ב ובמדינות מסוימות באירופה, ארגונים בהם התרחש אירוע של זליגת מידע פרטי, מחויבים על-פי חוק, לדווח על הפרטים וההיקף של התקלה לכל לקוחותיהם. אין ספק, שזו אחת הסיבות לכך שבמדינות אלה, הטיפול בנושא מתקדם יותר מאשר בארץ.

סביר להניח שארגונים רציניים בארץ, מתמודדים עם האתגר ובוחנים את המצב הקיים כדי לנקוט בפעולות הנדרשות בהקדם. ברור שאין צורך להמתין לחקיקה בנושא. מחיר הסיכון לעסק, בהפסד של לקוחות או ספקים ופגיעה במוניטין הוא יקר מדי.

לבנות סביבות פיתוח וניסוי איכותיות, זו משימה מורכבת ולכן ארגונים רבים בוחרים באופציה של העתקת נתוני הפרודקשן לסביבות שאינן מאובטחות כמו הפרודקשן ולכן "פרוצות".

חברת Compuware מסייעת ללקוחות להטמיע פתרון של "בניית סביבות ניסוי איכותיות ללא חשיפה של מידע פרטי" וזאת על-ידי יישום של מתודולוגיה המשלבת כלים המאפשרים גזירה וטעינה מתוחכמות של נתונים, בהתחשב בקשרים פיזיים ולוגיים של מפתחות ועמודות שונות ב-DB וכן שימוש באלגוריתמים מגוונים לערבול נתונים כגון תרגום, טשטוש, יצירה ועוד.

לקוחות המיישמים את הפתרון, מעידים על היתרונות הבאים:

- צמצום הסיכון שבזליגת מידע פרטי מתוך האירגון;
- צמצום בעלויות האחסון הנדרש לבניית סביבות הפיתוח והניסוי (שטחי דיסק, ניהול ותחזוקה);
- שיפור איכות הבדיקות ;
- קיצור הזמן הנדרש לסבבי בדיקות.

אין ספק שמדובר בפרויקט מורכב אשר יכול להביא לתועלות מהותיות לארגון.

שחר מאור, אנליסט אבטחת מידע ב-STKI אומר ש"רגולציות חדשות כמו PCI DSS ואחרות מתייחסות בצורה ספציפית לשמירה על נתונים רגישים גם במעבר בין סביבות תפעוליות רגישות וסביבות אחרות דהיינו, בין סביבת ייצור לסביבת פיתוח/בדיקות. יותר ויותר ארגונים בארץ נדרשים ליישום פתרון אבטחתי בנקודה רגישה זו כדי לעמוד בתקנים. יישום של פתרונות לערבול נתוני הייצור יכול לפתור בעיות אבטחתיות קשות, הנגזרות מהרגולציות, כמו הצורך בהקמת סביבה מאובטחת נפרדת לנתונים אלה בדומה לנתוני הייצור. יישום פיתרון ערבול יכול לחסוך במידה רבה הרבה מאוד כסף ולאפשר ניהול תקין ונכון של המידע בארגון. תחום זה צפוי לגדול בצורה משמעותית ב-2010 בצמוד להתקדמות הציות ל-PCI DSS".

אודות Compuware:

Compuware מסייעת למנהלי מערכות מידע למקסם את ביצועי מערכות ה-IT שלהם על-מנת להיענות לצרכים עסקיים. פתרונות Compuware מאיצים את תהליכי הפיתוח, משפרים את האיכות של הפיתוח ואת ביצועיהן של מערכות עסקיות, תוך שהן מאפשרות למנהלי מערכות מידע לשלוט טוב יותר במערכות ה-IT ביעילות רבה יותר, בבקרה טובה יותר על התקציב ובעבודה יעילה של צוות ה-IT.