יום ראשון, 31 במאי 2015

הגנת סייבר ואבטחת מידע – המרחב המשתנה והשלכותיו

רבות כבר נכתב מה ההבדל שבין אבטחת מידע והגנת סייבר. במאמר אצביע על ההשלכות שאמורות להיות לכך על מערכות המידע, ואבטחת מידע/הגנת סייבר.
נתחיל כמובן בהבדל שבין אבטחת מידע והגנת סייבר או בהבדל שבין מערכות מידע וסייבר.
השינוי נגזר ממיקומם של רכיבי המחשוב. בתחילה מחשבים היו עולם נפרד. מחשבי מיינפריים מוקמו באולמות נפרדים ורק לפני כשלושים שנה מחשבים (ולא מסופים) החלו למצוא את דרכם לשולחנות העבודה במקומות העבודה שלנו. בשלב הבא, במאה הנוכחית המחשוב חדר בהיקף חסר תקדים למכשירים שאותם אנו מכירים. רמזורים בקרנות רחובות מנוהלים באמצעות חדרי בקרה ממוחשבים, מצלמות אבטחה כוללות תוכנה ונשלטות מרחוק על גבי תשתית האינטרנט מחדרי בקרה ממוחשבים, מכשור רפואי כדוגמת מכשירי רנטגן ואולטרה סאונד הנם מכשירים הכוללים יישומים (תוכנה) על גבי מערכות מחשוב תקניות, המכוניות שלנו, מערכות ייצור והולכת האנרגיה, ועד למערכות ניהול מיזוג האוויר ובקרת כניסה לבניינים מנוהלים באמצעות מחשבים ומערכות מחשוב.
ההגנה הנדרשת לכל אלה כבר חורגת מהגנה על סודיות, שלמות אמינות וזמינות של מידע. הגנה נדרשת לתפקוד התקין של הרכיב הממוחשב וגם למידע. לדוגמה: מכשיר רנטגן מייצר בסופו של דבר תמונת רנטגן שהיא סוג של מידע. נדרש להגן על תפקוד המכשיר מפני (בין היתר) גורם עוין שינסה לשבש את פעילותו באמצעות פגיעה ברכיבי המחשוב המנהלים אותו, ובנוסף נדרש להגן כבעבר על המידע (סודיות, שלמות, אמינות וזמינות) שהוא מייצר, תמונת הרנטגן.
מה השתנה? הרי גם קודם נדרש מנהל אבטחת המידע להגן על המחשב ועל המידע שבו.
אני אמשיך בדוגמה של מגזר הבריאות ואתן אח"כ גם דוגמה ממערכות ניהול הבניין.
במערך המחשוב הרגיל, המנמ"ר (מנהל מערכות המידע) קונה, מתקין ומפעיל מחשבים, מנהל אבטחת המידע דואג למערכות האבטחה, לדוגמה, אנטי וירוס, כנגד תוכנה זדונית. מה נדרש? לקבוע מדיניות הפעלה, להתקין ולהפעיל את מערכת האנטי וירוס בהתאם למדיניות.
במערך המכשור הרפואי מי שקובע האם בכלל נתן להתקין אנטי וירוס במכשיר, ואם נתן איזה אנטי וירוס יותקן הוא יצרן המכשור ולא המוסד הרפואי שרוכש אותו. אנטי וירוס הנו רכיב אבטחה בסיסי. כיצד נתן להגן על מחשב מפני קוד דוני ללא אנטי וירוס? בעיה. אז הנה הבדל אחד. אבטחת המידע במערך מכשור רפואי הנה פועל יוצא של פעולת גורם חדש במרחב הפעילות המיחשובית, היצרן של המכשיר.
הבדל שני הנו מיקומו של מנהל מערכות המידע בשרשרת הרכש. בעוד שרכש מחשבים נעשה מתקציב ובשליטה של מנהל מערכות המידע, רכש מכשור רפואי, לא כל שכן תפעולו נעשה בידי גורם הנדסי-רפואי-מקצועי. לגורם זה זרים שיקולי מערכות המידע. כל שאיפתו, לרכוש את המכשיר הרפואי הטוב ביותר. ומה עם המידע שהוא מייצר? הרי בסופו של יום מכשיר הרנטגן מייצר תמונת רנטגן (מידע) שאמורה לעבור לרשומה הרפואית של המטופל, וזה כבר כן באחריותו של מנהל מערכות המידע. אז אי שם בדרך, מיידעים את מנהל מערכות המידע, שכן מדובר בתמונה שמועברת בתקן ידוע (DIcom) וזו כבר איננה בעיה.
הגנת המכשיר איננה אם כן מעניינו של מנהל מערכות המידע שכן איננו קשור להליך רכישתו, התקנתו והשימוש המקצועי בו. אבל זה בהחלט תפקידו של מנהל הגנת הסייבר.
דוגמה נוספת תהיה מערכות ניהול בניין, כמו מיזוג אוויר, מעליות, בקרת כניסה ויציאה, גילוי אש ועשן, הצפה וכד'.
גם מערכות אלו הפכו בשנים האחרונות לממוחשבות בעצמן ומנוהלות ומבוקרות מחדרי בקרה ממוחשבים. מי מנהל מערכות אלו? הנהלת הבניין, קצין הביטחון והבטיחות. מנהל מערכות המידע איננו מכיר אותן. אבל על מנת לשתק בנק לא צריך לפגוע במערך המחשוב של הבנק, מספיק לשתק את מערך מיזוג האוויר של ה-Data Center שבו מצויים מחשבי הבנק. על מנת לשתק בניין משרדים רב קומות, מספיק לשבש את מערך מיזוג האוויר המרכזי או מערך ניהול ובקרת המעליות. כדי לגרום פגיעה לתפקוד שוטף של בית חולים מספיק להשתלט על מערך אספקת החמצן ולשבש אותו.
הדוגמאות מציגות הרחבה משמעותית של השימוש והחדירה של מחשבים דיגיטליים למערך החיים. הרחבה זו מחייבת הרחבת הצורך להגן על תפקודם, כאשר בחלקו הגנה זו מתחילה בשולחנות התכנון ובאולמות הייצור של המכשירים עצמם, דהיינו, אצל היצרן, וזאת בנוסף להגנת סודיות, שלמות, אמינות וזמינות המידע.
הבנה זו מחייבת (בין היתר) חשיבה חדשה לגבי העוסק במקצוע ולגבי התקציב העומד לרשותו.
מיקומו של מנהל הגנת הסייבר:
מאחר וברור לחלוטין שמדובר בהרחבה משמעותית של מוטת השליטה של מנהל הגנת הסייבר אל מעבר לתחומי טכנולוגיית המידע (שבאחריות מנהל מערכות המידע הארגוני), אזי אחת מן השתיים:
א.   מנהל אבטחת המידע פועל במסגרת מערך טכנולוגיית המידע הארגונית. במצב זה, נראה כי מנהל הגנת הסייבר כבר איננו יכול להמשיך ולפעול במסגרת מצומצמת זו ועליו לפעול מחוץ למערך מערכות המידע של הארגון.
ב.   יבוצע שינוי ארגוני רחב יותר ובמסגרתו מנהל מערך טכנולוגיית המידע ייהפך למנהל מערך הסייבר הארגוני, כלומר יחלוש על כל אותן הטכנולוגיות המחשוביות שהארגון עושה בהן שימוש. אז מנהל הגנת הסייבר יוכל להמשיך לפעול במסגרת מערך הסייבר הארגוני או יותר נכון, יהיה זה מקומו הטבעי. מהפיכה זו, של שינוי התפישה הארגונית לגבי ניהול הטכנולוגיות הדיגיטליות שהארגון נדרש להן על מנת לפעול בעולם הטכנולוגי המתחדש ראוי לייחד לה פוסט בפני עצמו. בעולם יש שמאפיינים מהפיכה זו בתפקיד ארגוני חדש – Chief Digital Officer – CDO. כאמור, זה נושא בפני עצמו.
ומה לגבי תקצוב הגנת הסייבר:
עשרות שנים שנינו את המנטרה: תקציב אבטחת המידע הנו % מתקציב טכנולוגיית המידע. מקובל היה המספר 5% ועתה יש המכפילים אותו ל-10% ולעתים אף יותר.
השינוי השני הנדרש, תקציב הגנת הסייבר צריך להיות אחוז מתקציב הסייבר הארגוני.
לא יודעים מהו. תחפשו אותו, הארגונים יכולים לחשב אותו. הם רוכשים סייבר, הם יודעים כמה זה עולה. עכשיו נחזור ונהיה שמרנים ונותיר את זה 5% אבל מתקציב הסייבר הארגוני.