רקע: יפתח עמית מתמחה בתחום אבטחת המידע מעל ל-10 שנים. בעברו הוא מילא תפקידים שונים בייעוץ, ניהול פרוייקטים, ניהול תחום אפליקציות אינטרנט ומערכות יוניקס, וכן תפקידי מפתח בחברות מוצרי אבטחת מידע בארץ ובעולם. כיום יפתח מספק שרותי ייעוץ אסטרטגיים לחברות בתחום ההייטק ואבטחת המידע, ולארגונים גדולים. כמו כן, יפתח מוזמן לעיתים להרצות בכנסי אבטחת המידע החשובים בעולם כגון BlackHat, DefCon, InfoSec ו-OWASP וכן כמרצה אורח באקדמיה. ניתן לקרוא פרסומים נוספים בתחום אבטחת המידע באופן כללי גם בבלוג "I Am Security".
במאמר הקודם סקרנו את דרישות והנחיות המפקח על הביטוח בנוגע לנושאי אבטחת מידע. כפי שניתן היה ללמוד מהחוזר, רוב תשומת הלב ניתנה לחברות הביטוח באופן ריכוזי מאד (ולעתים אפילו בצורה העלולה לפגוע ביכולות הניהול השוטף וקבלת החלטות בחברה). תחום בו החוזר לא נוגע הינו תוחלת המידע – שהרי חברת הביטוח איננה המקור הבלעדי למידע – הסוכנויות, הסוכנים וכמובן המבוטחים נוגעים במידע, משנים אותו, מעדכנים אותו וניגשים אליו לצורך עבודתם השוטפת.
גישה ריכוזית לאבטחת מידע הינה נכונה לגבי מידע עסקי/סודי שמקורותיו ידועים והשליטה בו ברורה, אך במקרים רבים (ותחום הביטוח הינו רק דוגמא) המידע הינו בגדר משתנה אשר פן קריטי בשמירה עליו הינו היכולת לאפשר אליו גישה מסודרת לגורמים חיצוניים לא רק לצפיה אלא גם לשינויו. במקרים כאלו רמת השליטה שלנו כאנשי אבטחת מידע בסביבות העבודה של המשתמשים הולכת ופוחתת ככל שהיחסים שלנו עם המשתמש פחות חזקים – במקרה הפרטי - סוכנויות, סוכנים, ומבוטחים. בעוד בכוחנו לאכוף סטנדרטים מסויימים על הסוכנויות והסוכנים בבואנו לאבטח את גישתם למידע, כמעט ולא ניתן לאכוף דבר על המבוטח.
נושה הדרישות מסוכנויות הביטוח ומהסוכנים מטופל באופן שוטף ולכן לא נתמקד בו הפעם, לעומת זאת, המבוטח הינו חידה בכל הנוגע לאבטחת מידע – במיוחד כאשר אנו (או הסוכנויות) מאפשרים לו גישה למידע. מכיוון שלא ניתן ליישם מנגנונים מורכבים מדי על משתמשי הקצה כגון שימוש באמצעי הצפנה מתקדמים, אמצעי זיהוי ביומטריים, וכו', עלינו להניח כי סביבת המשתמש הינה "נגועה". ברגע שנתחיל לפעול תחת הנחת יסוד זו, כל אסטרטגית ניהול המידע בסביבת המבוטח תהפוך לפשוטה יותר – הגדרת הפעולות האפשריות למבוטח בערוצים הישירים תצטמצם, אמצעי הפיקוח והניטור על שינויים שיזם המשתמש יהפכו לקלים יותר, ובחירת המידע הנגיש לעומת מידע שניתן לקבל בערוץ מאובטח יותר (קרי הסוכן) הינו טריוויאלי.
עם זאת יש לזכור כי הגישה הרווחת בנוגע לשרות בערוצים ישירים הינה דוגלת במתן טווח פעילות רחב יותר – גם מטעמי יעילות (עלות), וגם בשל הדרישה לגמישות ושקיפות רבה יותר מצד הצרכן. ברור כי בנושא זה תחום הביטוח נמצא מאחור (לעומת תחומי הפיננסיים לדוגמא), אך עובדה זו מאפשרת לנו ללמוד מההצלחות והכשלונות של מגזרים אחרים בבואם לספק ערוצי גישה ישירים למידע. דוגמאות כמו הנפקת אמצעי זיהוי, ניהול סיסמאות, שימוש מושכל בטכנולוגיות זמינות כגון SSL, web2.0, מחשוב ענן, והצלבה בין ערוצי גישה, מאפשרים לנו לבנות מערכות המסוגלות להתמודד עם דרישות המבוטח לראות את המידע הביטוחי שלו, לקבל דוחו"ת היסטוריים, ואפילו לשנות את תמהילי הסיכון/חסכון/פרישה בהתאם למידע זה.
לסיכום – על מנת לא למצוא את עצמנו במצב בו עלינו להמציא פתרונות בזמן קצר, מומלץ להתחיל להערך לעידן בו פעולות רבות מבוצעות על ידי המבוטח באופן ישיר, ולאפשר זאת על מנת להישאר תחרותיים (לדוגמא – כיום לקוח לא יפתח חשבון בבנק בו לא ניתן לבצע פעולות שגרתיות באתר האינטרנט של הבנק), וכן יעילים (שהרי הפעולות הישירות מהוות חסכון תפעולי משמעותי בטווח הבינוני והארוך).
למאמר הראשון בסדרה:
ניהול סיכוני אבטחת מידע במגזר הביטוח
