דיווח באתר רויטרס מה-18 באוקטובר:
בסיס ה-NSA שבו הוצב סנודן כשל בעדכון תוכנה למניעה או איתור בזמן אמת של ניסיונות הורדת מסמכים בלתי חוקית
Exclusive – NSA delayed anti-leak software on base where Snowden worked
http://www.reuters.com/article/2013/10/18/us-usa-security-snowden-software-idUSBRE99H10620131018
בסיס ה-NSA שבו הוצב סנודן כשל בעדכון תוכנה למניעה או איתור בזמן אמת של ניסיונות הורדת מסמכים בלתי חוקית
Exclusive – NSA delayed anti-leak software on base where Snowden worked
http://www.reuters.com/article/2013/10/18/us-usa-security-snowden-software-idUSBRE99H10620131018
כמי שעוסק באבטחת מידע כבר למעלה משלושה עשורים (משנת 1982), אינני מופתע לגלות כל פעם מחדש שבסופו של יום אירועי אבטחת מידע קטנים כגדולים, מקורם בכשלים שהטיפול בהם הוא שלב א (לכל היותר שלב ב) של כל מי שלומד ומפנים את יסודות תורת האבטחה. אז מדוע זה חוזר על עצמו כל פעם מחדש? אינני מתיימר לספק תשובה. המקרה שלפנינו הוא דוגמה חיה. והלקחים ממנו ממש פרוסים לפנינו על מגש. רק לקרוא וליישם. והרי עיקרי הפרטים לדברי הידיעה ברויטרס ולפי לוח הזמנים:
1. בשנת 2010 טוראי בריאן מנינג (שבינתיים הפך לצ'לסי מנינג) מדליף באמצעות אתר הויקיליקס מאות אלפי מסמכים. מהומה ענקית בכל העולם.
2. הנשיא אובמה (שנכנס לבית הלבן כנשיא ארה"ב בתחילת 2009, שביום השבעתו לנשיא, מתפרסם אחד מאירועי אבטחת המידע החמורים, גניבת 130 מיליון מספרי כרטיסי אשראי מחברת הסליקה השישית בגודלה בארה"ב - Heartland) מורה לשפר את בקרת הגישה מפני הסיכון הפנימי. עיקרי ההוראה הנה כמובן להתקין אמצעי בקרה טכנולוגיים על מנת למנוע הוצאת מידע ע"י בלתי מורשים או לכל הפחות לאתר בזמן אמת אירועים מסוג זה ולמצות את הדין עם העבריין.
3. הזמן עובר לו, והדחיפות לטפל בכשלים מפנה ככל הנראה את מקומה לצרכים מבצעיים דחופים יותר, לפחות כך הדבר בסוכנויות בטחון ומודיעין, לדברי הכתבה. מוכר לכולנו, הלא כן? התירוץ במקרה זה הוא שאין מספיק רוחב פס על מנת להתקין בנוחות את התוכנה ולהבטיח את פעולתה התקינה.
4. בסיס ה-NSA בהוואי שבו מדובר עבר למקומו החדש בתחילת שנת 2012 והחליף בסיס ישן שהופעל באתר מתקופת מלחמת העולם השנייה.
5. בחודש מרץ או אפריל 2013 מגיע לבסיס זה מנהלן רשת בשם סנודן מטעם חברת בוז-אלן-המילטון לעבודה במסגרת הסכם למיקור חוץ.
6. כעבור כמה שבועות הוא מודיע למעסיקו כי בשל מצב בריאותי לקוי עליו לחזור ליבשת.
7. הוא נעלם למספר שבועות וצץ בהונג קונג. השאר היסטוריה.
8. עוד עובדה אחת, לדברי רויטרס (עפ"י דיווח בחודש אוגוסט 2013), שמעלליו של סנודן החלו כבר שנה לפני כן, בחודש אפריל 2012 כאשר הוריד מסמכים באופן בלתי מורשה אודות פעילויות הריגול האלקטרוניות של ארה"ב בהיותו מועסק ע"י חברת דל.
9. ב—30 לאוקטובר, מדווח באתר רויטרס שמשרד המשפטים האמריקני הודיע שהוא הצטרף לתביעה כנגד החברה אשר בצעה את בדיקת המהימנות של סנודן (US Investigation Services), למרות השם הפסבדו רשמי, זו חברה פרטית. התביעה הוגשה דרך אגב לפני שנתיים וחצי (יוני 2011) ע"י עובד לשעבר של החברה שפוטר לאחר שסרב לבצע את "עיגולי הפינות" שהחברה דרשה ממנו לבצע. "קפיטליזם", "הפרטת הביטחון" אמרנו?
אז מה היה לנו?
1. חוסר בקרה על קבלן. א-ב של אבטחה בפעילות מיקור חוץ.
2. הסתמכות על מבדק מהימנות העובד הפנימי. עובד פנימי? מנהלן מערכת במיקור חוץ... מבדק מהימנות? גם הוא במיקור חוץ. ומה מתברר? הוגשה תביעה כנגד החברה שמבצעת את מבדקי המהימנות ע"י עובד שפוטר לאחר שהאשים את המעביד ב"עיגול פינות". מיקור חוץ בריבוע... ואפוא הבקרות? אחת הסתמכה על השנייה. גם זה א-ב של אבטחה.
3. וגולת הכותרת רעיון התעתועים שבעידן ההיפר תקשובי, היפר טכנולוגי, ניתן להמשיך לתת אמון במבדקי מהימנות, "בקרות תהליכיות" במקום להתקין את מערכות האבטחה הטכנולוגיות בצמוד ליכולות הפונקציונאליות. זה חוסר מקצועיות משווע. את המחיר משלם כל העולם המערבי.
מה הלקחים?
1. אין בקרה שאפשר לוותר עליה מבלי לנהל את הסיכון שאי מימוש הבקרה טומן בחובו.
2. הפרטה או בלשון המקצועית "מיקור חוץ", מייצרת סיכונים חדשים. גם אותם יש לנהל.
3. זמינות ערוצי התקשורת, נפחי מידע עצומים הניתנים להעברה ממקום למקום בהקשת מקש, ונפחי אחסון גדולים של מידע הניתנים לניוד בכיס או בתיק קטן, מחייבים שינוי מהותי בגישת הבקרה. סיכון טכנולוגי חייב לקבל מענה טכנולוגי. הסתיים העידן שבו לסיכון טכנולוגי נתן להסתפק בהוראה מנהלית. זה לא עובד. כבר ראינו ב-2006 כיצד קורסת התפיסה שמספיק להגיד ש"אסור" ואין צורך לספק הגנה. (המקרה של גניבת דיסק מביתו של מנתח מערכות במשרד גימלאי כוחות הביטחון בארה"ב. למה להצפין, הרי ישנה הוראה ש"אסור לקחת חומר הביתה". הדיסק הכיל רק כ-18 מיליון רשומות...). ולא לשכוח, כל טכנולוגיה, כולל טכנולוגיית אבטחה טומנת בחובה את הסיכונים שלה וגם לכך יש לספק מענה החל מרגע הפעלתה.
1. בשנת 2010 טוראי בריאן מנינג (שבינתיים הפך לצ'לסי מנינג) מדליף באמצעות אתר הויקיליקס מאות אלפי מסמכים. מהומה ענקית בכל העולם.
2. הנשיא אובמה (שנכנס לבית הלבן כנשיא ארה"ב בתחילת 2009, שביום השבעתו לנשיא, מתפרסם אחד מאירועי אבטחת המידע החמורים, גניבת 130 מיליון מספרי כרטיסי אשראי מחברת הסליקה השישית בגודלה בארה"ב - Heartland) מורה לשפר את בקרת הגישה מפני הסיכון הפנימי. עיקרי ההוראה הנה כמובן להתקין אמצעי בקרה טכנולוגיים על מנת למנוע הוצאת מידע ע"י בלתי מורשים או לכל הפחות לאתר בזמן אמת אירועים מסוג זה ולמצות את הדין עם העבריין.
3. הזמן עובר לו, והדחיפות לטפל בכשלים מפנה ככל הנראה את מקומה לצרכים מבצעיים דחופים יותר, לפחות כך הדבר בסוכנויות בטחון ומודיעין, לדברי הכתבה. מוכר לכולנו, הלא כן? התירוץ במקרה זה הוא שאין מספיק רוחב פס על מנת להתקין בנוחות את התוכנה ולהבטיח את פעולתה התקינה.
4. בסיס ה-NSA בהוואי שבו מדובר עבר למקומו החדש בתחילת שנת 2012 והחליף בסיס ישן שהופעל באתר מתקופת מלחמת העולם השנייה.
5. בחודש מרץ או אפריל 2013 מגיע לבסיס זה מנהלן רשת בשם סנודן מטעם חברת בוז-אלן-המילטון לעבודה במסגרת הסכם למיקור חוץ.
6. כעבור כמה שבועות הוא מודיע למעסיקו כי בשל מצב בריאותי לקוי עליו לחזור ליבשת.
7. הוא נעלם למספר שבועות וצץ בהונג קונג. השאר היסטוריה.
8. עוד עובדה אחת, לדברי רויטרס (עפ"י דיווח בחודש אוגוסט 2013), שמעלליו של סנודן החלו כבר שנה לפני כן, בחודש אפריל 2012 כאשר הוריד מסמכים באופן בלתי מורשה אודות פעילויות הריגול האלקטרוניות של ארה"ב בהיותו מועסק ע"י חברת דל.
9. ב—30 לאוקטובר, מדווח באתר רויטרס שמשרד המשפטים האמריקני הודיע שהוא הצטרף לתביעה כנגד החברה אשר בצעה את בדיקת המהימנות של סנודן (US Investigation Services), למרות השם הפסבדו רשמי, זו חברה פרטית. התביעה הוגשה דרך אגב לפני שנתיים וחצי (יוני 2011) ע"י עובד לשעבר של החברה שפוטר לאחר שסרב לבצע את "עיגולי הפינות" שהחברה דרשה ממנו לבצע. "קפיטליזם", "הפרטת הביטחון" אמרנו?
אז מה היה לנו?
1. חוסר בקרה על קבלן. א-ב של אבטחה בפעילות מיקור חוץ.
2. הסתמכות על מבדק מהימנות העובד הפנימי. עובד פנימי? מנהלן מערכת במיקור חוץ... מבדק מהימנות? גם הוא במיקור חוץ. ומה מתברר? הוגשה תביעה כנגד החברה שמבצעת את מבדקי המהימנות ע"י עובד שפוטר לאחר שהאשים את המעביד ב"עיגול פינות". מיקור חוץ בריבוע... ואפוא הבקרות? אחת הסתמכה על השנייה. גם זה א-ב של אבטחה.
3. וגולת הכותרת רעיון התעתועים שבעידן ההיפר תקשובי, היפר טכנולוגי, ניתן להמשיך לתת אמון במבדקי מהימנות, "בקרות תהליכיות" במקום להתקין את מערכות האבטחה הטכנולוגיות בצמוד ליכולות הפונקציונאליות. זה חוסר מקצועיות משווע. את המחיר משלם כל העולם המערבי.
מה הלקחים?
1. אין בקרה שאפשר לוותר עליה מבלי לנהל את הסיכון שאי מימוש הבקרה טומן בחובו.
2. הפרטה או בלשון המקצועית "מיקור חוץ", מייצרת סיכונים חדשים. גם אותם יש לנהל.
3. זמינות ערוצי התקשורת, נפחי מידע עצומים הניתנים להעברה ממקום למקום בהקשת מקש, ונפחי אחסון גדולים של מידע הניתנים לניוד בכיס או בתיק קטן, מחייבים שינוי מהותי בגישת הבקרה. סיכון טכנולוגי חייב לקבל מענה טכנולוגי. הסתיים העידן שבו לסיכון טכנולוגי נתן להסתפק בהוראה מנהלית. זה לא עובד. כבר ראינו ב-2006 כיצד קורסת התפיסה שמספיק להגיד ש"אסור" ואין צורך לספק הגנה. (המקרה של גניבת דיסק מביתו של מנתח מערכות במשרד גימלאי כוחות הביטחון בארה"ב. למה להצפין, הרי ישנה הוראה ש"אסור לקחת חומר הביתה". הדיסק הכיל רק כ-18 מיליון רשומות...). ולא לשכוח, כל טכנולוגיה, כולל טכנולוגיית אבטחה טומנת בחובה את הסיכונים שלה וגם לכך יש לספק מענה החל מרגע הפעלתה.
רשומות
אין תגובות:
הוסף רשומת תגובה