יום שני, 14 בדצמבר 2009

התנאים שבהם מנהל אבטחת המידע לא יובס - מאמר שני

משנה שניה:
איזהו מצביא משכיל בהתקפה, שיריבו אינו יודע על מה יגן.
איזהו מצביא משכיל בהגנה, שיריבו אינו יודע מה יתקיף.
וזוהי כל תורת המלחמה על רגל אחת...

מדברי סון טסו, בספרו אמנות המלחמה. מוערך שנכתב בסביבות 500 לפה"ס, כלומר לפני 2,500 שנה.

במשנה הראשונה למדנו:

הכר את האויב שלך והכר את עצמך. אפילו תילחם במאה קרבות, לעולם לא תובס.
אם אינך מכיר את האויב, אבל אתה מכיר את עצמך, סיכוייך לנצח או להפסיד שווים.
אם אינך מכיר לא את האויב שלך ולא את עצמך – אין ספק שתובס בכל הקרבות.
אמרנו שהמקבילה לעולם אבטחת המידע הנה אחת לאחת:
הכר את האויב: ניתוח מלא של איומים וסיכונים למידע ולמערכות המידע.
הכר את עצמך: הכר את הארגון, מערכות המידע ותהליכי העבודה שבהם הארגון עושה שימוש במערכות המידע

וכעת הוספנו את המשנה השניה.
מהי המשמעות של המשנה השנייה בשדה הקרב של עולם המחשוב ההגנתי וההתקפי?
מנהל אבטחת המידע הבא להכין תוכנית הגנה להתמודדות עם האיומים והסיכונים, יצא מתוך נקודת מוצא של מי שמתכנן לתקוף אותו. מנהל אבטחת המידע צריך למעשה לספק מענה לשאלה הבאה:
כיצד אני בונה את מערך ההגנה שלי כך שהתוקף לא יוכל לקבל מענה מספק לשאלה שהוא מציב לעצמו:
כיצד הכי כדאי לי (לתוקף) לבצע את התקיפה.
אופן בניית מערך ההגנה יספק מענה לכוונתו של התוקף, ולא למחשבתו של המגן. כוונת התוקף איננה לתקוף סתם.
מטרת התוקף הנה לתקוף ולהצליח בתקיפתו. על מנת להכשיל את התוקף, על מנהל אבטחת המידע להכיר את דרכי התקיפה האפשריות העומדות לרשות התוקף ולגרום לכך שהתוקף לא יוכל לספק מענה לעצמו האם קיים סיכוי סביר שתקיפתו תצליח, באף לא אחד מדרכי התקיפה.
זו איננה הגישה הרווחת היום שבה מנהל אבטחת המידע מנסה באמצעות בניית תוכנית האבטחה שלו לספק מענה לשאלה הבאה: כיצד אני מנקודת המבט שלי כמגן, מתכנן מערך הגנה מיטבי. גישה זו רווחת (בין היתר) עקב הדרישה לספק מענה למגוון רגולציות אשר בהן חלקים נרחבים מהמענה האבטחתי כבר נקבעים מראש, בלא שניתן בהן המשקל המתאים לתוצאותיו של ניתוח איומים וסיכונים פרטני.
ההבדל המהותי נעוץ בבחירת נקודת המבט של התוקף כבסיס לתכנון ההגנה שלי ולא נקודת המבט של המגן כבסיס.
באופן דומה יש להתייחס למצב ההפוך. כיצד תוקף אמור לתכנן את תקיפתו.
סון טסו אומר: תכנן את תקיפתך באופן שבו המגן לא ידע על מה כדאי לו להגן יותר.

ואם נשלב את שתי המשנות לכדי משנה מאוחדת נקבל את התובנה הבאה:

מנהל אבטחת המידע יפעל באופן הבא על מנת שלא יובס ע"י האויבים (מבית ומבחוץ):
1. יבצע ניתוח איומים וסיכונים מלא המאפשר לו להכיר מול מה הוא עומד.
2. ילמד היטב את ארגונו הוא, בהבטים הלא טכנולוגיים ובהבטי טכנולוגיית המידע.
3. יכין תוכנית להתמודדות עם האיומים והסיכונים כאשר במרכזה מתן מענה לשאלה: כיצד התוכנית מספקת מענה לאותם איומים וסיכונים, כך שמי שמנסה לממשם יתקשה לספק לעצמו מענה לשאלה באיזה מהלך התקפתי לבחור על מנת שיהיה בעל סיכוי סביר להצליח.
חג חנוכה שמח לכל קוראי הבלוג.
יאיר

יום שלישי, 1 בדצמבר 2009

מהי האסטרטגיה שעל מנהל אבטחת המידע לנקוט על מנת שלא יובס.

חזרתי לאחר מספר חודשי "יובש".
מתחיל בסדרת מאמרים קצרים המתייחסים להקבלה שבין אמנות המלחמה כפי שזו באה לידי ביטוי בדברי החכם הסיני, סון טסו ואבטחת מידע מודרנית במאה ה-21.

פרק ראשון: מהי האסטרטגיה שעל מנהל אבטחת המידע לנקוט על מנת שלא יובס.

המאמר כתוב בלשון זכר לנוחות בלבד, והכוונה למנהל אבטחת מידע ולמנהלת אבטחת המידע כאחד.

מדברי סון טסו, בספרו אמנות המלחמה. מוערך שנכתב בסביבות 500 לפה"ס, כלומר לפני 2,500 שנה.

משנה ראשונה:

הכר את האויב שלך והכר את עצמך. אפילו תילחם במאה קרבות, לעולם לא תובס

אם אינך מכיר את האויב, אבל אתה מכיר את עצמך, סיכוייך לנצח או להפסיד שווים.

אם אינך מכיר לא את האויב שלך ולא את עצמך – אין ספק שתובס בכל הקרבות.

לא במקרה דברים אלו של סון טסו נלקחו על ידי כמי שעוסק למעלה משני עשורים בייעוץ אבטחת מידע ועל ידי יועצים אחרים העוסקים בתחום זה כמוטו מרכזי לפעילות מנהל אבטחת המידע.
סון טסו דיבר על מצביא, המנהיג את צבא קיסר סין. היום אנו מדברים על מנהל אבטחת המידע, המנהיג את פעילות אבטחת המידע בארגון.
מהו ה"הכר את האויב" של אבטחת המידע? בלשוננו המקצועית זהו תהליך ניתוח איומים וסיכונים המופנים כנגד המידע וטכנולוגיית המידע שבה נעשה שימוש בארגון. אלו כוללים הבטים תהליכיים, אנושיים וטכנולוגיים, פנימיים וחיצוניים.
מהו ה"הכר את עצמך" של אבטחת המידע? הכר את הארגון שאתה משמש בו כמנהל אבטחת המידע. הכר סביבת פעילותו ופעילותו, המבנה הארגוני, תהליכי העבודה בארגון, מיפוי מלא ושלם של טכנולוגיית המידע וזרימת המידע בארגון, תהליכי רכש של רכיבי טכנולוגייה חדשים המשפיעים או עשויים להשפיע על אבטחת המידע, רכיבי אבטחת המידע הקיימים, חוזקותיהם וחולשותיהם וכד'.
מנהל אבטחת המידע אשר מבצע את שני התהליכים הללו באופן מובנה ותקופתי ומקבל החלטות מושכלות על פיהן (במשנה השניה נבין מהן אותן החלטות מושכלות) , גם אם יילחם ב-100 קרבות, דהיינו הארגון יותקף פעמים רבות, מגורמי פנים וגורמי חוץ, בהבטים טכנולוגיים או אנושיים, סביר להניח עפ"י דברי סון טסו שלא יובס.
לא במקרה משתמש סון טסו במונח: "לא יובס" ולא "ינצח".
ניצחון אצל סון טסו הנו המצב שבו העליונות משיגה את תוצאתה ללא מלחמה בפועל.
לא יובס במשמעותנו, יאמר שהארגון ימשיך לתפקד, המידע וטכנולוגיית המידע לא ישובשו במידה כזו שהארגון יפסיק לתפקד, אם כי ייתכן והתוקפים יזכו מעת לעת בהצלחה מוגבלת, במימדי זמן ומרחב.
אם לא יבצע אחת מהמטלות כראוי או שלא יבצעה בכלל, סיכוייו כדברי סון טסו הנם חציחצי.
במידה ואיננו מכיר את אויביו ואיננו מכיר את עצמו, יובס תמיד.
הפרק השני יעסוק במשנה השניה: איזהוא המצביא המשכיל בהגנה ואיזהוא המצביא המשכיל בהתקפה. נבחן את המשמעות לאבטחת מידע הנגזרת מכך. בסופו נאחד את שתי המשנות לכדי משנה סדורה אחת.

יום שלישי, 21 ביולי 2009

הארגון לאירועי אבטחה מאפשר גישה למסד הנתונים של אירועי אבטחה במערכות תפעוליות (RISI)

במהלך שנועד לאפשר קידום הטיפול בנושא אבטחתן של מערכות תפעוליות, מפרסם הארגון (שלא למטרות רווח)לאירועי אבטחה (Security Incidents Organization) שהוקם לאחרונה, על נגישות הציבור למסד הנתונים הכולל את המידע על אירועי אבטחה שבמערכות אלו - Repository of Industrial Security Incidents (RISI).
מסד הנתונים הנו רחב היקף ומיועד לאיסוף, חקירה, ניתוח ושיתוף מידע חיוני בהתייחס לאירועי אבטחה הפוגעים במערכות סקדה ובמערכות ייצור ושליטה ובקרה.
במסד הנתונים מעל 150 אירועים. RISI הנן מסד הנתונים הגדול ביותר הידוע של אירועים מסוג זה, כך לדבריהם..
RISI עוצב עפ"י מסדי נתונים דומים בתחום הבטיחות ומספק למנוייו מידע אמין המאפשר להם ללמוד מנסיונם של אחרים, להבין את הסיכונים הנלווים לאיומי מחשוב בתעשייה ולהתאים את מדיניות אבטחת המידע הנוכחית שלהם לדינמיקה המשתנה של האבטחה בתחום זה.
RISI הנו התפתחות של מסד נתונים קודם שהחל את דרכו במכון הטכנולוגי של קולומביה הבריטית ונקרא אז:
Industrial Security Incidents Database (ISID).
חלוץ וראשון ליצירת מסד נתונים חשוב זה הנו Eric Byres, אחד מחשובי העוסקים מזה כמה עשורים בתחום אבטחתן של מערכות תפעוליות.
שתי אפשרויות קיימות לקבלת גישה למידע:האחת, לשלם ולקבל גישה, השניה, להוסיף אירוע ולקבל גישה חינמית לשאר המידע.
הפרטים כמובן באתר של הארגון:

יום שישי, 17 ביולי 2009

להיות צעד אחד לפני................ התוקף


תחום אבטחת מידע או בשמו המודרני יותר, ניהול סיכוני טכנולוגיית המידע מספק מענים לאיומים ולסיכונים בשימוש במידע ובטכנולוגיית המידע. אתייחס לשתי דוגמאות:
1. מידע רגיש הנאגר על גבי מחשבים ניידים נחשף כיוון שמחשבים אלה נגנבים/נאבדים בהמוניהם (12,000 בשבוע בנמלי תעופה בארה"ב לבדה, עפ"י סקר של מכון Ponemon מיוני 2008):
מה המענה? הצפנת המידע. אם המידע מוצפן, אזי גם אם יגיע לידי המוצא/הגנב, איננו יכול לצפות בו, לא כל שכן לסחור בו.
2. משתמשי מערכות מבצעים פעילות במערכות אליהן קיבלו הרשאות כדין. דרישות הרגולטורים למיניהן הנן לבצע רישום מלא של פעילות זו. הדרישה מובנת שכן מאפשרת להתחקות אחר פעילות המשתמשים ולחקור האם פעלו כדין או עשו שימוש שלא כדין בהרשאות שהוענקו להם, כמו גם לאתר פעילות שלא נעשית ע"י משתמשים מורשים.
ניקח את שתי הדוגמאות ונתבונן בהם משתי הזוויות: זו של המגן וזו של התוקף.
המגן בשני המקרים עלול לנוח על זרי הדפנה. הנה הגיע המענה המיוחל.
במקרה הראשון, מחשב שנגנב/אבד ובו מידע מסווג. אני כמגן, הסרתי כל דאגה מלבי. המידע מוצפן. מה יעשה המוצא? לא יוכל לגשת למידע.
במקרה השני, מכיוון שכל הפעילויות במערכת נרשמות, אזי כל משתמש אשר יפעל שלא כדין, פעילותו תרשם. ניתן לאתר את הפעילות הזו ועל כן ללא ספק שהוגברה ההרתעה למול משתמשים שינסו לפעול שלא עפ"י הנדרש מהם במסגרת עבודתם.
אבל, זהו רק צד אחד של המטבע. לכל תהליך חדש, במקרה שלנו תהליכי אבטחה חדשים, (הצפנה ותיעוד) ישנו גם מי שינסה להפיק מהם תועלת נזקית, הלוא הוא התוקף.
ננסה כעת להבין את זווית הראיה של התוקף בהתייחס לשני תהליכים אלו.
במקרה הראשון, עד להחלת הקונספט של "הצפנה בכל מקום ובכל עת", שימוש בהצפנה היה יחסית מצומצם. כעת עם נפוצות ההצפנה, הרבה מידע מוצפן יסתובב לו בין הגנבים. יתר על כן, הארגונים יטפלו ככל הנראה פחות במניעת גניבת/אובדן מידע, וישקיעו מאמצים בהצפנתו, מהלך שניתן בהחלט להבין אותו על רקע "פתרון הקסם – הצפנה בכל מקום ובכל עת". מהלך שכזה יביא בהכרח להתעניינות יתר של הגנבים בפיצוחה של ההצפנה. המילה התעניינות הנה בבחינת "הערכת חסר". צפוי על כן, כמו שקורה לכל אמצעי הגנה (לא משנה מאיזה סוג), שהצפנה כשיטה מצויינת להגנה מפני דלף מידע רגיש לגורם בלתי מורשה תהפוך לשיטה פחות מצויינת, ופחות ופחות מצויינת, עד שעלול לאבד עליה הכלח כליל.
ומה באשר לתיעוד הנרחב שאנו מאמינים שמספק תשתית מצויינת הן להרתעה והן לחקירה?
ובכן, מאגר הנתונים הנאסף באופן זה מהווה את מאגר הזהב לתוקף. מה עשוי להימצא בו? ברמה העקרונית מדובר ברישום המידע עליו בוצעה פעילות, כולל כיצד היא מבוצעת ע"י משתמש מורשה כדת וכדין, שלב אחרי שלב, מסך אחרי מסך. אין חולק על כך שרוב הפעילות המתועדת הנה פעילות חוקית, של משתמשים מורשים. מיעוטה יתעד פעילות חריגה ואפילו פלילית. נובע מכך שמאגר זה הנו מאגר שממנו ניתן ללמוד כיצד יש לעבוד כמשתמש חוקי ולבצע צעד אחר צעד פעילות תקינה במערכת. למיטב ידיעתי, זו הפעם הראשונה בתולדות טכנולוגיית המידע שקם ונהייה מאגר מסוג כזה.
אז מה אתה מציע חושב אחרת? לא לעשות אבטחה? לא להשתמש בהצפנה? לא להשתמש בתיעוד? ואולי בוא ונבטל במחי יד את כל אמצעי האבטחה?
לא ולא. לא זה המענה הנכון.
כמי שאמון על המתודולוגיה של שילוב חשיבת התוקף בתפישת ההגנה ומתן מענה משולב, שהם נר לרגלי יש לנקוט בשני שלבי פעולה:
1.להפנים מנטאלית ובאופן מלא ומיידי מתוך הבנה והשלמה, שגם אמצעי האבטחה, למרות היותם חיוניים למתן מענה ולצמצום הסיכון, אינם נטולי סיכון כשלעצמם. מדובר בשינוי מהותי בגישה (State of mind) ולא בשינוי טקטי גרידא.
2. לאתר במדוייק מהו האיום העתידי שנשקף לאחר הטמעת השימוש באמצעי האבטחה ולכלול מענה לאיום זה.
אתייחס לשתי הדוגמאות:
1. הצפנה. על מנת לצמצם את הסיכוי שמספר גדול יותר של רכיבי מיחשוב ובהם מידע רגיש (אומנם מוצפן) ייגנבו/ייעלמו, יש במקביל ליישום ההצפנה דווקא להגביר את פעילות יצירת המחוייבות והמודעות לשמירה על ציוד המחשוב הנייד מפני אובדן/גניבה ולא לצמצמה.
2. תיעוד. חיוני להגדיר בקרה הדוקה על הגישה למאגר המידע התיעודי. במיוחד חיוני לקבוע מהי פעילות חריגה למול מאגר זה, ולהגדיר מי ינטר את השימוש במאגר. חיוני שפעולת ניטור זו תבוצע על ידי גורם בלתי תלוי בארגון (או מחוצה לו) אשר איננו הגורם העושה במאגר זה שימוש שוטף.
להיות צעד אחד לפני התוקף, משמעותו לחשוב כמוהו ולשלב חשיבה זו בהגנה לאורך כל מחזור החיים של מערכת טכנולוגיית המידע.

יום רביעי, 1 ביולי 2009

העלות האמיתית של פגיעת וירוס קונפיקר בעיריית מנצ'סטר = קרוב ל- £1.5m

סוף סוף הסיפור האמיתי שכווווווולם מפחדים לדבר עליו. מהי עלות אמיתית לארגון של פגיעת ווירוס?
בבריטניה, נשבר קשר השתיקה ואירוע תקיפת ווירוס הקונפיקר בעיריית מנצ'סטר בחודש פברואר מוצג עתה לציבור. משמעותו של אירוע במקרה הזה הייתה כספית בלבד. השאלה כמובן כמה זה עלה.
העלות הישירה הייתה אובדן הכנסות של 43,000 שטרלינג (כספי דוחות שנהגים שנתפסו נוהגים במסלולים המיועדים רק לאוטובוסים שלא ניתן היה לגבות) אבל זה כלום לעומת העלויות האמיתיות ואלו מסתבר גדולות בסדרי גודל מהסכום הפעוט הזה.

הנה החשבון המוגש למשלם המיסים:

600,000 שטרלינג - עלות ייעוץ כיצד להתמודד עם הבעייה, כולל ייעוץ מחברת מקירוסופט, וניקוי המערכת מהווירוס
600,000 שטרלינג - רכישת מסופים רזים (Thin Clients) כחלק מעדכון אסטרטגיית הפעילות לשעת חירום (לאחר שהתברר שהתוכנית הקיימת לא הועילה כלל בעת תקיפת הווירוס...).
178,000 שטרלינג - עלויות נוספות עבור פעילויות של עובדים וכוח אדם נוסף לטיפול בצבר הבקשות לקצבה.
לרשימה זו ניתן להוסיף החלטות אסטרטגיות שהתקבלו כגון מניעת השימוש ב-Disk On Key ונעילת USB. לכל אלו השלכות כספיות ותהליכיות אשר לא פורטו בידיעה העיתונאית.

שני לקחים חשובים:

1. פגיעתו של ווירוס בארגון עולה פי כמה מהעלות הישירה של הנזק הנגרם.

2. כאשר האירוע כבר התרחש, ברור שתוכנית ואמצעי אבטחת המידע הקיימים כשלו. עלולות על כן להתקבל החלטות קיצוניות שמטרתן "להפוך באחת את הקערה על פיה" (במקרה שלפנינו, לדוגמה מניעת השימוש ב-Disk On Key). החלטות אלו חתקבלנה בתנאי לחץ, לא תמיד על בסיס מידע שלם וכאשר שיקול הדעת נוטה לפתרונות מהירים. החלטות אלו עלולות לגרום לנזקים נוספים בעתיד.
יש על כן לפעול לקבלת החלטות באופן שקול בטרם התרחש אירוע. הדרך הנכונה הנה לתרגל מצבי אירוע, על מנת לערב את הגורמים הרלוונטיים, הנהלה, משתמשים, לקוחות וכד' במשמעויות של התרחשות האירוע ויצירת מוכנות או לחלופין, שינוי תוכניות ואמצעי האבטחה מכיוון שהקיימות אינן עונות על הדרוש, וזאת מתוך הסכמה מה נדרש על מנת להתמודד באופן המיטבי.

קישור נוסף לידיעה : http://www.theregister.co.uk/2009/07/01/conficker_council_infection

יש לציין כי המקרה שלפנינו הנו יחסית פשוט. מדובר בפגיעה שמשמעותה כספית בלבד. נקל לשער מה עלול להיות המחיר של פגיעת ווירוס במקומות רגישים יותר כגון, מערכות תשתיתיות, מערכות רפואיות וכד', ששם לא רק דמים (כסף) עומדים על הכף, אלא גם דם (חיי אדם).

יום שבת, 20 ביוני 2009

אבטחת מידע – בעידן מאזן האימה

  1. שלשום בבוקר קראתי לי מסמכים שכתבתי לפני 4-5 שנים הכוללים תמצית של אירועי אבטחת מידע מאותן השנים. לפתע הבנתי שבעצם אין כל הבדל בין אז והיום, למעט אחד. אז האירועים היו גניבה של עשרות אלפי מספרי כרטיסי אשראי ועד מליונים בודדים של מספרי כרטיסי אשראי. בשנה האחרונה, אירועי הגניבה של מספרי כרטיסי אשראי מתחילים במאות אלפים, מליוני מספרים, עשרות מליוני מספרים, ואירוע אחד ייתכן ואף עבר את 100 מליון מספר כרטיסי האשראי שנגנבו באירוע יחיד.
  2. מה זה אומר עלינו, על תעשיית אבטחת המידע. לא משהו טוב במיוחד אני חושש. היכן הבעיה אם כך? השקענו הרבה יותר, הכנו מתודולגיות, תקנים, חוקים, רגולציות, הפעלנו על הנהלות הארגונים מכבש לחצים לביסוס אבטחת מידע וניהול סיכוני טכנולוגיית המידע, הגדרנו תהליכים ההולמים את קווי העסקים. מה לא עשינו? ובכל זאת, בהסתכלות מפוקחת, כאילו דבר לא השתנה.
  3. לדעתי, כמי שמצוי בתחום כרבע מאה, אפשרות להצגת המצב הנה הבאה:
  4. יצרני רכיבי טכנולוגיית המידע אומנם משקיעים בשנים האחרונות הרבה יותר באבטחתה, אבל עדיין רחוקים אנו מאד מיצירת מוצרים שניתן להגדירם "Secured by design". הסיבה העיקרית הינה שגם היצרנים וגם הלקוחות עדיין לא הגיעו למסקנה שהיקף הנזקים הנגרמים מאי האבטחה מצדיקים את הגידול בעלויות והאיחור בהגעת המוצר החדש לשוק עקב תוספת האבטחה. מצב זה מביא לכך שמערכות טכנולוגית המידע המשרתות את החברות אינן בטוחות במידה מספקת. הנסיון להוסיף אבטחה לאחר התקנתה של מערכת מסוג זה איננו מאפשר מתן מענה אבטחתי סופי. תמיד יישארו "חורים" אותם יכול פורץ כלשהו לנצל לתועלתו.
  5. מן העבר השני, העושים שימוש לרעה בטכנולוגיית המידע, נהנים מהעובדה שהוצבע עליה לעיל בנוסף לעובדה שהטכנולוגיה זמינה ופועלת. באופן זה, אין למנסים לעשות בה שימוש לרעה, לדוגמה, גניבת מספרי כרטיסי אשראי או גניבת זהות, אינטרס לשתק אותה או לפגוע בה מעבר למידה מסויימת המשרתת אותם.
  6. ניתן על כן לראות במצב זה מקבילה לעידן מאזן האימה אשר בו היו שרויות שתי המעצמות הגדולות, ארה"ב וברה"ב בתקופת המלחמה הקרה ביניהן, במהלך עשרות שנים במאה הקודמת. כל אחד מהצדדים ממשיך לפתח כלים ויכולות אשר ביכולתם לחסל את הצד השני, אך הפעלתם איננה כדאית אף לא לאחד משניהם. באופן זה, מופעלות יכולות חלקיות, מוגבלות בעוצמתן ובהיקפן, אשר כל אחת משרתת כל אחד מהצדדים, אך איננה מכריעה את הכף.
  7. מהו הסיכון במצב זה? כל עוד הצד העושה שימוש לרעה בטכנולוגיית המידע מסכים לשחק את המשחק בתנאים שהוצגו לעיל, אזי קיים סיכון, אך הוא איננו טוטאלי. הם אינם פוגעים באופן פאטאלי, אף לא באחד מהתהליכים החיוניים לקיומה של החברה תלויית טכנולוגיית המידע, כיוון שגם הם תלויים בהמשך פעילותה של אותה הטכנולוגיה שאותה הם תוקפים.
  8. מה יקרה באם אחד מהעושים שימוש לרעה בטכנולוגיית המידע יחליט שכללי המשחק כבר אינם מקובלים עליו. אזי למיטב הבנתי מצבה של החברה התלוייה בטכנולוגיית המידע הנו עגום למדי. הציטוט הטוב ביותר שאוכל להביא על מנת לתמוך במסקנה זו הנו מדוח שהוכן לקראת הנשיאות ה-44 בארה"ב, מטעם וועדה שהוקמה יותר משנה לפני הבחירות האחרונות בארה"ב זמן רב לפני שנודע מי יהיה הנשיא הבא:


Securing Cyberspace for the 44th Presidency
A Report of the CSIS Commission on Cybersecurity for the 44th Presidency


הקובע (בין היתר) כי:


America's failure to protect cyberspace is one of the most urgent national security problems facing the new administration that will take office in January 2009…. It is a batlle we are loosing.

אין תמה איפה שהנשיא אובמה מיהר לטפל בנושא זה. הרשימה הקודמת הציגה את ההבהקים של מסיבת
העיתונאים שערך לפני מספר שבועות. יש לראות כיצד יתורגמו הדיבורים למעשים.

ועל כך, ברשימות ובמאמרים שייכתבו בעתיד.

יום ראשון, 31 במאי 2009

אובמה משחרר את הנצרה - אבטחת מידע בארה"ב - רבותי, מהפך

ב-29 במאי 2009, הנשיא ברק אובמה עושה הסטוריה.
ממקם את נושא אבטחת המרחב המקוון (Protecting the Cyber space) כחיוני לאבטחת החיים האמריקניים.
זה הקישור לסרט ב- Youtube. זה רק 16 דקות וממליץ להקשיב לו כולו.
מלמד מיהוא הנשיא הזה. חי ונושם את העולם הדיגיטלי לא מפיהם של יועצים בלבד, אלא בעצמו, באופן אישי.
מגלה כי במהלך מסע הבחירות שלו, מערכות המחשוב ששימשו אותו נפרצו ע"י האקרים.
מציין אירועים שהתרחשו בשנה האחרונה בארה"ב ובעולם:
נסון גניבה של מסמכים שערכם כ-400 מליון דולר ע"י עובד בחברת דו-פונט.
גניבת מליוני דולרים ממכשירי ATM ברחבי העולם במהלך 1/2 שעה בלבד.
במקביל לפריצת הטנקים הרוסיים לגיאורגיה נפגעו אתרי האינטרנט של הממשל הגיאורגי.
וגם פגיעת ווירוס ה-Conficker. ועוד.
במקביל להצהרתו, הבית הלבן מפרסם דוח שבו מצויין כי האחריות לנושא אבטחת המרחב המקוון הינה באחריות הבית הלבן. יכונן משרד במסגרת הבית הלבן שינוהל ע"י מתאם לנושא אבטחת המידע שייבחר באופן אישי על ידו.
חמישה מרכיבים עיקריים ביוזמה החדשה:
1. פיתוח אסטרטגיה מקיפה חדשה לאבטחת מערכות המידע והתקשורת של אמריקה
2. עבודה משותפת עם רשויות ברמת המדינה, ממשל מקומי והסקטור הפרטי על מנת להבטיח מענה מסודר ואחיד לאירועי אבטחת מידע עתידיים.
3. חיזוק שת"פ בין הסקטור הפרטי והציבורי החיוניים להצלחת המשימה. הממשל לא יכתיב תקני אבטחה לחברות בבעלות פרטית, אלא ישתף פעולה עם התעשייה על מנת לאתר פתרונות טכנולוגיים המבטיחים הגנה ומקדמים שגשוג.
4. נמשיך להשקיע במחקר ופיתוח החיוניים להתפתחות ולקידמה של העידן הדיגיטלי. זו הסיבה מדוע הממשל הנוכחי משקיע השקעות משמעותיות בתשתיות המידע: הנחת תקשורת רחבה לכל פינה בארה"ב, בניית תשתית חשמל חכמה להעברת אנרגיה באופן יעיל יותר, שאיפה לדור הבא של מערכות בקרה אווירית ומעבר לשימוש ברשומה רפואית ממוחשבת הכוללת הגנת פרטיות על מנת להוריד עלויות ולהציל חיים.
5. נתחיל במסע לאומי על מנת לקדם מודעות לאבטחת המרחב המקוון החל מחדרי ההנהלה, לכיתות הלימוד ולבניית כוח עבודה דיגיטלי למאה ה-21.
אין ספק, תוכנית שאפתנית אשר כמובן תבחן לא על סמך המילים והדיבורים אלא על סמך התוצאות.

יום רביעי, 22 באפריל 2009

אבטחת מערכות מכשור רפואי צוברת תאוצה

אירועי הפגיעה בחודשים האחרונים במערכות מידע רפואיות ברחבי העולם (ווירוס ה-Conficker באנגליה ובאוסטריה ותולעת ה-Mytob בלונדון) מדגישים את הצורך להעלות את רמת האבטחה במכשור רפואי.
כצעד שמטרתו לספק מענה בדיוק לנושא זה, בחרה חברת Ortivus בפתרון של חברת SE46 AB כרכיב במערכות ה-MobiMed ו-CoroNet שמתוצרתה. בכך לדבריהם ביכולתם לספק ללקוח מערכות המחוסנות בפני כל קוד עויין.
מערכת MobiMed הנה מערכת eHealth הכוללת רכיבי תוכנה שונים כדוגמת: מערכת תומכת החלטות (רפואה למרחוק-טלהמדיסין, הנחיות, מרשמים מרוחקים, רשימות תיוג מסרים דו-כיווניים ועוד), נטור, תיעוד (רשומות רפואיות אלקטרוניות), תקשורת, שילוב עם מערכות אחרות, סטטיסטיקות ועוד.
מערכת CoroNet הנה מערכת אלחוטית לניטור לב המאפשרת לבי"ח להשתמש באותה המערכת בין אם הוא מועבר בין מחלקות או מהאמבולס לאלונקה כך שמתאפשרת זרימה שוטפת ובלתי מופרעת של נתונים.
בית התוכנה SE46 AB מתמקד בפתרונות אבטחת מידע פרואקטיביים עפ"י עיקרון "המניעה כברירת מחדל". שילוב גישה וותיקה זו עם טכנולוגיה חדישה של תעודות דיגטליות, מאפשרת להגדיר מחדש את המודל השמרני של הגנה מפני קוד עויין. במקום להתבסס על רשימה הכוללת אלפי חתימות של איומים ידועים (כפי שתוכנות אנטי ווירוס מקובלות מבצעות), מבוצעת השוואה לרשימה קצרה יותר של תוכנות מאושרות בתעודות דיגיטליות. בשיטה זו הפונקציונאליות של הציוד הרפואי איננה נפגעת, שכן אין כל צורך לקבל באופן קבוע עדכונים חיצוניים, כפי הנדרש בתוכנות אנטי ווירוס מקובלות.
כבר בחודש
מאי 2005, הכריזה חברת סימנס כי ברשותה פתרון אנטי ויירוס המותאם למכשור רפואי. בדצמבר 2007 מפרסמת סימנס הסבר מפורט יותר כיצד מותאם הפיתרון, אנטי וירוס של חברת טרנד מיקרו למכשור ההדמיה בביה"ח האוניברסיטאי בבזל, שוויץ.

אם כך, עולם הרפואה ובפרט בהתייחס למכשור הרפואי מתחיל לקבל התייחסות פרטנית על מנת לצמצם את הסיכון שבשימוש בפלטפורמות טכנולגיית מידע סטנדרטיות.

יום שלישי, 21 באפריל 2009

אם זה לא היה ברור קודם, אז עכשיו זה ברור. המשרד לביטחון המולדת (DHS) מחפש "פורצים ברשיון" על מנת לשפר את הגנת התשתיות החיוניות

עכשיו זה רשמי. הגישה שיש לשפר את האבטחה באמצעות שילוב חשיבת התוקף או בצורה יותר מדוייקת, פעילות התקפית "ע"י כוחותינו" הופכת להיות נחלת הכלל.
הנשיא הנבחר, ברק אובאמה, אדם המקושר היטב לעולם הטכנולוגי, הבין עוד טרם כניסתו לתפקידו כנשיא עד כמה הבעייה של הגנת התשתיות החיוניות בארה"ב חמורה, ומה רמת הפער בין הקיים לנדרש.
צוות שהוקם עפ"י הנחייתו אמור היה להגיש את המלצותיו בסוף השבוע. נראה שזו אחת ההמלצות שכבר החל יישומה "תוך כדי תנועה".
מה צופן העתיד? ימים יגידו.
ובנתיים, מתפרסמת לה בשעות אלו ידיעה על גניבת מידע צבאית:
האקרים פרצו למחשבים בהם הנתונים על תוכנית מטוס הקרב המשולב. התוכנית היקרה ביותר של הפנטגון מעולם: 300 מליארד דולר. הפורצים הצליחו לשים את ידם על מספר טרהבייטס של נתונים, בהם מידע על תכנון ומערכות אלקטרוניות. הגניבה עלולה להקל על התגוננות מפני כלי הטיס הזה.

יום רביעי, 15 באפריל 2009

פורטל חדש לאבטחת מידע - הודעה על הרצאה בנושא הגנת הפרטיות

הידיעה הבאה מופיעה בפורטל חדש לאבטחת מידע seci.co.il
הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים (קישור לאתר ראה בידיעה המקורית) מקיימת הרצאה בנושא "חובת הודעה על כשל אבטחת מידע - מבט השוואתי".
ההרצאה תתקיים לקראת יישום המלצת הצוות לבחינת החקיקה בתחום מאגרי המידע (דו"ח שופמן) לאמץ את המודל הקליפורני לגבי חובת הודעה כאמור. הדובר בהרצאה הוא מר סטיוארט דרזנר, המוציא לאור והעורך של כתב העת Privacy Laws & Business (קישור לאתר ראה בידיעה המקורית). הדובר עוסק מאז שנת 1987 בייעוץ, השמה, ארגון כנסים והשתלמויות בנושא ההגנה על המידע האישי. ההרצאה תעסוק בחובת ההודעה על כשל אבטחת מידע שאומצה במדינת קליפורניה, הורחבה לרוב מדינות ארה"ב וכיום נשקל אימוצה באיחוד האירופי. קהל היעד להרצאה הוא מנהלים, משפטנים ואנשי אבטחת מידע - במגזר הציבורי ובשוק הפרטי - העוסקים בשימוש במידע אישי ובהגנה עליו, בניהול מאגרי מידע ובאבטחת מידע.
ההרצאה תתקיים ביום חמישי 16.4.2009, בשעה 14:00, בקריית הממשלה - דרך מנחם בגין 125, תל-אביב (קומה 1, חדר ישיבות 101). ההרצאה תינתן בשפה האנגלית וההשתתפות אינה כרורוכה בתשלום.
יש לאשר השתתפות למייל:(כתובת ראה בידיעה המקורית) או לטלפון:03-7634061.

יום ראשון, 12 באפריל 2009

בלוג המוקדש לתקן PCI-DSS

בלוג המוקדש כולו לתקן PCI-DSS.
מופעל כבלוג באתר של: The Treasury Institute for Higher Education.
גם הוספתי בבלוג זה תחת רשימת הבלוגים שלי
לידיעת המתעניינים בנושא.

הסדרה עצמית של אבטחת מידע בארה"ב על פרשת דרכים

לקראת סוף מרץ/תחילת אפריל 2009 עומדת במרכז הבמה הסוגיה של עוצמתה וחולשתה של ההסדרה העצמית בתחום אבטחת המידע.
סקטור החשמל:
7 באפריל 2009:Michael Assante המשמש כ-Vice President and Chief Security Officer של ארגון NERC - North American Electric Reliability Corporation הארגון שקבע את תקן האבטחה לכל הסקטור בצפון יבשת אמריקה מוציא מכתב המופנה לכל העוסקים בנושא בסקטור זה בו הוא מברך על ההתקדמות ובה בעת מזהיר כי משהו בסיסי חסר, חסר מאד.
התקן הנו אסופת מסמכים: CIP-002-CIP-009. האותיות CIP הנם רשאי התיבות של: Critical Infrastructure Protection. התקן אושר ב-NERC במהלך קיץ 2006 ונקבעה תוכנית עבודה ליישום כל התקן עבור כל הישויות החייבות ביישומו עד ל-2010. הגורם הפדרלי FERC אשר עפ"י חוק החשמל בארה"ב הוא המאשר את התקן, הצביע על חולשות הקיימות בו אבל נאלץ לאשר אותו כמות שהוא. במו"מ שהתקיים, הסכימה NERC לשפר אותו כחלק מהעדכון ובתהליך של הסכמה כפי המקובל ב-NERC. במכתבו מצביע מיכאל אסנטה על בעיה בסיסית. המסמך הראשון בתקן CIP-002 עוסק באיתור הנכסים/נכסי המחשוב החיוניים עליהם צריך יהיה להפעיל את שאר התקן. באם לא יימצאו כאלו, אין לתקן משמעות.
קישור למסמך זה: http://www.nerc.com/files/CIP-002-1.pdf
סקר שערכה ה-NERC מצביע על כך שרק 31% מהישויות העצמאיות בסקטור שענו לסקר דיווחו שבבעלותם לפחות נכס אחד שהנו נכס חיוני, ורק 23% דיווחו שבבעלותם לפחות נכס מיחשוב חיוני אחד. מדובר בין היתר גם ביצרני ומוליכי חשמל. מספירם אלה נמוכים משמעותית מהמצופה
התקן השאיר חופש רב מדי לקבוע מהו נכס /נכס מחשוב חיוני, דבר שהוצבע עליו מלכתחילה ע"י המבקרים את התקן. כעת משהתוצאה הצפויה מראש הופכת למציאות, עולה כמובן השאלה: האם ה-NERC יוכל להתמודד לבדו או שהממשל הפדרלי יצטרך להתערב?
סקטור תשלומים באמצעות כרטיסי אשראי:
סקטור שני שבו מסתבר קיימת בעיה דומה הנו סקטור התשלומים באמצעות כרטיסי האשראי. תקן ה-PCI-DSS שעליו החליטו נציגי חמש חברות כרטיסי האשראי הגדולות ואותו הם מקדמים באמצעות פעילויות רחבות היקף מסוגים שונים (ראו קישור: http://www.pcisecuritystandards.org/), באמצעות גוף שהוקם למטרה זו:
Payment Card Industry (PCI) Security Standards Council - המועצה לתקני אבטחה של תעשיית התשלומים בכרטיסים (להלן בקיצור: המועצה), גם הוא מהווה למעשה תקן בהסדרה עצמית. למרות השיפור המאד משמעותי ברמת האבטחה של החברים בסקטור זה (סוחרים, חברות הסולקות כרטיסי אשראי), מסתבר שלאורך השנים מתגלות גם בו בעיות. פריצות שאירעו בשנים האחרונות לחברות הסולקות כרטיסי אשראי ואשר ממדי גניבת מספרי הכרטיסים בכל אחת נמדדים במליוני מספרי כרטיסים, הביאו את תת הוועדה לסיכונים מתהווים, אבטחת מידע ממוחשב, מדע וטכנולוגיה של הקונגרס לקיים דיון בנושא ב-31 לחודש מרץ.
כותרת הדיון: “?Do the Payment Card Industry Data Standards Reduce Cybercrime”
בדיון זה עלו כבר קולות ראשונים הטוענים שכל עוד הסדרה עצמית הנה שם המשחק בסקטור זה, לא תהיה בו יותר אבטחה מהקיימת היום, וזו איננה מספקת מענה הולם לאיומים ולסיכונים שבו הוא מצוי.
נראה שגם ויזה וגם המועצה הפנימו כבר שמשהו חסר והחלו החל מחודש ינואר בסדרת פעולות על מנת לשפר את אבטחת המידע בארגונים החייבים בציות עפ"י תקן זה. מטרתה המרכזית של סדרת פעולות אלו הנה לטפל בכשל המהותי שהתגלה והוא ציות מתמשך של 24x7x365 להנחיות התקן. אין זה נכון לציית לדרישות רק במועד בצוע סקר האבטחה השנתי. שכן לפחות בשניים מהמקרים החברה שבה אירעה פריצה הייתה מוסמכת ועמדה בדרישות התקן בעת ביצועו של הסקר השנתי. אלא שככל הנראה במהלך הזמן שבין שתי ביקורות השתבש לו משהו.
ובמאמר מוסגר, אין זו בעיה פרטית לתקן זה בלבד. מדובר בכל מי שמממש אבטחה באמצעות שיטה שבה אחת לתקופה מבוצעת בדיקה לעמידתו בתקן. ומה קורה בין שתי בדיקות? שיטה טובה להתמודדות תהיה בחירת מספר סביר של מרכיבים שייבדקו בתדירות גבוהה (מספר פעמים ביום, פעם ביום, פעם בשבוע וכד'). אם הבחירה נעשתה בצורה מושכלת, אזי ניתן לקבל תמונת מצב על פני סרגל הזמן מה מצב האבטחה ולנתח מגמות, ועל פיהן להניח הנחות סבירות באשר למצב האבטחה בכללותו.
מה אם כן ניתן לומר בנקודת הזמן הזו על ההסדרה העצמית של אבטחת המידע?
נראה שהנושא הגיע לפרשת דרכים. בארה"ב הודאה בכישלון הסדרה עצמית והליכה לחקיקה פדראלית איננה פופולרית, שכן זו הודאה בכישלון "כוחות השוק" להסדיר את עצמם.
יחד עם זאת, במצבה הנוכחי, הסדרה עצמית איננה מספקת מענה מספק.
מהירות, יעילות ומקצועיות השינוי הנדרש לבצוע ע"י הגורמים הרלוונטיים:
NERC בסקטור החשמל, וה-Payment Card Industry (PCI) Security Standards Council וחברת ויזה הניצבת בראש חברות האשראי בנושא האבטחה בסקטור התשלומים באמצעות כרטיסים, ייקבעו את עתידה.
מבקש לאחל לכל קוראי הבלוג חג פסח שמח וגם מאובטח

יום שני, 6 באפריל 2009

בדיקה פשוטה האם המחשב נגוע בוירוס Conficker

אכן מבחן פשוט ביותר.
אם מופיעה התמונה העליונה בקישור, אזי המחשב איננו נגוע.
אם חסר משהו, בחלק מהמצבים קיים חשד שהמחשב נגוע, בחלק אחר של המצבים המוצגים קיימות בעיות תפעוליות מסוגים שונים, אך לא מדובר בווירוס. הכל מוסבר בפשטות מדהימה.
ככל הזכור לי ואני בעסקי אבטחת מידע מזה למעלה מ-25 שנה, זו הפעם הראשונה שמשתמש רגיל ללא כל ידע בנפלאות המחשב יכול לדעת באמצעות בדיקה שהוא עצמו יכול לבצע אם מחשבו נגוע או נקי.
לדעתי זו עשויה להיות תחילתה של מהפיכה בנושא זה. אם משתמשים רגילים יוכלו לבדוק את מצב המחשב שלהם באמצעות כלים פשוטים נוכל לשפר את מודעותם לצורך שמחשבם יהיה נקי מתוכנות זדוניות. עוד דרך ארוכה לפנינו, אבל הצעד הראשון נעשה ואני מברך עליו.

יום רביעי, 1 באפריל 2009

הפרדת תפקידים וסמכויות - ככה מונעים הונאות ומעילות

ב-ynet פורסם הבוקר כי בכיר במנהל החינוך בעירייה, חשוד בהוצאת כספים במרמה. המנהל, אחראי בין היתר על עובדי קבלן חיצוני שקשור בחוזה עם העירייה. בכל סוף חודש הוא דיווח על מספר העובדים ששלח הקבלן ועל השעות שעבדו - ובהתאם לכך הוציאו בגזברות העירייה שיקים למשכורות.
אלא שבבדיקת המבקרת נמצא שלפחות שני עובדים היו רק "עובדים על הנייר", שהפסיקו עבודתם עבור העירייה מזה זמן. למרות זאת, המנהל המשיך לדווח עליהם, ואת השיקים שהוצאו עבור משכורתם כביכול - הפקיד בחשבונו.
עד כאן קטע מ-YNET הבוקר.
הפרדת תפקידים וסמכויות, בעיקר בכל הנוגע לתהליכים שבהם יש כסף (משכורות, רכש, "קופה קטנה" ועוד) הנה הבסיס למניעת מעילות והונאות. הרעיון הבסיסי הנו שאדם אחד איננו יכול לבצע בעצמו את כל הרצף של הפעילויות שתחילתן במשהו שיאפשר קבלת כסף וסיומו בקבלת הכסף עצמו. לדוגמה: אדם אחד איננו רשאי בעצמו להגדיר עובד, את התשלום עבורו ולאשר את התשלום.

התהליך הארגוני הנדרש הנו בן השלבים הבאים:

1. הגדרה ברורה של תפקידים באופן שמממש את הפרדת התפקידים והסמכויות. שלב זה איננו קשור כלל למערכות מידע. הוא חלק מתהליכים האמורים להתבצע באגף משאבי אנוש ובו מוגדרים התפקידים בארגון באופן שמממש (בין היתר) את חלוקת הסמכויות.

2. הגדרה אלו תפקידים אסורים בבצוע ע"י אותו אדם. זה שהתפקידים הוגדרו נכון, דהיינו, מומשה בהגדרתם תפישת הפרדת הסמכויות עלולה להיות מטורפדת בהמשך באם אדם אחד יקבל לידיו בצוע של שני תפקידים אשר בהיותם מבוצעים ע"י אדם אחד פוגעים באותה הפרדת סמכויות עצמה. גם פעילות זו איננה חלק מתהליך טכנולוגי, אלא אמורה להיות מוגדרת במסגרת פעולות האגף למשאבי אנוש.

3. רק בשלב השלישי מדובר על מימוש מה שנקבע בשני השלבים הראשונים במערכות טכנולוגיית המידע. וכאן קיימים שני תת שלבים:

א. הראשון, הענקה ראשונית של הרשאות, דהיינו, הצימוד הראשוני של העובד/ת לתפקיד/תפקידים אותם אמור/ה למלא.

ב. השני, מתמשך, בעת מתן הרשאות פרטניות מעת לעת במהלך העבודה בארגון. גם במצב זה יש לוודא כי כל הרשאה בדידה שניתנת לעובד/ת איננה פורצת את עיקרון הפרדת התפקידים והסמכויות.


יום שלישי, 31 במרץ 2009

מומחי אבטחה השיגו פריצת דרך במלחמתם בת חמשת החודשים כנגד ווירוס ה-Conficker

במרוץ נגד הזמן עד לתאריך ה-1 באפריל (וזו איננה בדיחה) הצליחו מומחי אבטחה ובראשם דן קמינסקי (אחד משלושה שהשיגו את אותה פריצת דרך) לגלות שהווירוס מותיר טביעת אצבע על מכונות נגועות שהנה קלה לזיהוי באמצעות מגוון סוקרי רשת זמינים.
משמעות הגילוי הנה, שבפעם הראשונה מאז גילויו, למנהלני מערכת בכל העולם ישנם כלי איתור זמינים וקלים להפעלה על מנת לזהות באופן חד משמעי מחשבים נגועיםבווירוס זה ברשתותיהם. החל מיום ב' (דהיינו, אתמול), חתימות יהיו זמינות לכל הפחות בחצי תריסר סוקרי רשת, כולל Nmap (קוד חופשי), McAfee's Foundstone Enterprise, ו-Nessus המיוצרת ע"י חברת Tenable.
שאר המידע ניתן למצוא בקישור.
זוהי הצלחה חשובה במלחמה, וזו בפירוש מלחמת מוחות, בין יוצר/יוצרי הקוד הזדוני הזה שעד לרגע זה לא ידוע מי הוא/מי הם, ובין מומחי אבטחה מרחבי העולם שהתאגדו יחדיו בנסיון למצוא דרכים להתמודד איתו.
עד היום נפלו קורבן לווירוס זה מחשבי משרד הביטחון בבריטניה, מחשבי משרד הבריאות בניו-זילנד, מחשבי בתי חולים באנגליה ובמדינת קורינתיה באוסטריה, מחשבי מטוסים בצי הצרפתי ובסה"כ דווח על מליוני מחשבים נגועים ברחבי העולם.
יש לקוות שעתה עם גילוי אחד "מסודות" הווירוס, ילך הסיכון וירד.

יום רביעי, 18 במרץ 2009

ה-BBC וסיפור ה-BOTNET

ישנה בעיה שהולכת וגדלה. מסתבר שכמות המחשבים בעולם המזוהמים בקוד זדוני שנשלט ע"י גורמים עויינים מגיעה לממדים מפלצתיים. רשת עויינת שכזו הניתנת להפעלה בשליטה מרוחקת נקראת BOTNET. אלו עלולים להיות (גם בין היתר) המחשבים שבביתינו. כן כל אחד מאיתנו שיש לו מחשב ביתי עלול להיות לחלוטין שלא מרצונו "אוייב העולם".
זה לא מפריע למחשב שלנו להיות כלי המשחק של הילדים, זה לא מפריע למחשב להיות כלי העבודה של המבוגרים. זה פשוט נובע מהעובדה שחלק ניכר מהמחשבים הביתיים אינם מוגנים. למה? מעטים מאד יחסית הם המשתמשים שיודעים כיצד לעשות זאת.
אז החליטו ב-BBC לעשות הדגמה קטנה ולהראות מה קורה כאשר מפעילים חבורה שכזאת של מחשבים כנגד אתר בגודל קטן
הכל היה מבוקר (לכאורה) והכל היה מתוכנן וכולם ידעו מה הולך לקרות.
נותרה רק בעיה קטנה שלאחר מעשה: ישנה סברה בקרב מספר מומחי אבטחה ומספר משפטנים שאסור לעשות את זה עפ"י החוק הבריטי. .
תוכנית הטכנולוגיה CLICK השתמשה בBOTNET בן 22,000 מחשבים והדגימה מה מתרחש כאשר מופעלת פעולה זדונית של DDos באמצעותם, כמו גם משלוח של דואר זבל לכתובות דואר אלקטרוני שהוכנו מבעוד מועד ע"י ה-BBC. פעולת מניעת השירת המבוזרת בוצעה כנגד אתר גיבוי של חברת אבטחת מידע (Prevx) אשר הכשירה את המערכת לתצוגה זו. ואכן האתר האינטרנטי החל להגיב באיטיות עד ששותק לחלוטין.
בעלי המחשבים הנגועים שמהם בוצעה התקיפה קיבלו הודעה על מצב מחשביהם והמלצות כיצד להסיר את התוכנה הזדונית וכיצד להתגונן להבא.
מסתבר שבפועל מתוך 22,000 המחשבים המזוהמים שיכלו פוטנציאלית לפעול במהלך ההדגמה, נדרשו רק 60 מחשבים לבצוע התקיפה הזדונית. אבל לא ידוע מיהם אותם המחשבים.
רק לאחר מעשה מסתבר כיצד באה לעולם ההדגמה. ה-BBC רכש בכסף מלא מהאקרים רוסיים ואוקראיניים שימוש ב-BOTNET שלהם... מי אם כן הם המחשבים המזוהמים? ה-BBC איננו יודע. ייתכן וישנם ביניהם מחשבי משרד הגנה בריטי או הפנטגון. ייתכן...http://www.theregister.co.uk/2009/03/16/bbc_botnet_bought/.
ה-BBC טוען שפעולתו הייתה חוקית. אחרים טוענים שלא. הוויכוח מתלהט ודבר אחד כבר ברור. הנושא שהוצג פומבית לפני מספר ימים והוויכוח שמתעורר כעת סביבו מגביר באחת את המודעות לסיכונים שעלולים משתמשים ביתיים וארגוניים שאינם מממשים אבטחת מידע נאותה במחשביהם לגרום שלא בידיעתם, לארגונים ותשתיות במדינותיהם ובארצות אחרות בעולם.
ואם גם אינני בטוח שהייתה זו הכוונה המקורית, אזי חשוב מאד שהמסר הזה יצא מהחוגים המצומצמים של מקצועני אבטחת המידע ויגיע לכולם.

יום שלישי, 17 במרץ 2009

זה לא אבטחת מידע במובן המקובל, זה כן לניהול סיכונים במובן הרחב

ידיעה ב-YNET:

בן 55 נתפס נוהג אף שלא חידש רשיונו מאז מלחמת יום הכיפורים
תושב תל-אביב בן 55 נתפס בביקורת שגרתית בפתח-תקווה כשהוא נוהג במכונית, אף שמעולם לא הוציא רישיון נהיגה.
הנהג סיפר לשוטרים כי החזיק ברישיון צבאי במלחמת יום הכיפורים, בעת שהיה חייל צה"ל בשירות סדיר, ומאז לא חידש את רשיונו. הנהג זומן לשיפוט מהיר, ומכוניתו הוחרמה לשלושים יום.
מלחמת יום הכיפורים אוקטובר 1973. אנו היום בשנת 2009. זה לא שנה וגם לא עשור אחד , אלו שלושה וחצי עשורים וקצת, מעל 35 שנה!!!
עפ"י הידיעה ולפי השכל הישר, האיש לא עבר עבירת תעבורה במשך כל השנים הללו שכן היה אמור להציג רשיון.
האם זה בהכרח נהג זהיר. לא בטוח. אבל לפחות ברור שלא היה מעורב בתאונת דרכים שחייבה את התערבות הרשויות כולל ביטוח, דהיינו לא עבר כלל תאונה מכל סוג.
וגם לא עבר עבירות קלות כגון מהירות.
אז נכון, האיש עבריין עפ"י החוק. אבל מהעבר השני, הנהג ככל הנראה נהג יותר זהיר מהרבה אלפי או עשרות אלפי אזרחים ישראליים שלהם רשיונות כחוק ונוהגים כנגד החוק. לא טוען כמובן שאדם זה הנו טלית שכולה תכלת. אינני מכיר את פרטי המקרה, ומשתמש בו על מנת להתייחס בהשאלה לניהול סיכוני טכנולוגיית המידע.
תגיד המשטרה, בדיקה שגרתית הנה הליך פשוט יחסית ובאמצעותו נתפסים עבריינים מסוגים שונים. לא מתווכח. אני טוען שאם נתפסים גם נהגים מסוג זה, משהו בתהליך כולו הנו בזבוז של משאבים.
הבעיה בכבישים הנה הנהגים הגורמים למותם של אחרים. זהו האיום מספר אחד. ביקורות שגרתיות כגון אלו שבהן נתפס נהג זה אינן תורמות באופן משמעותי לטיפול באיום.
ובהשאלה ניתן גם להתייחס לניהול סיכוני טכנולוגיית המידע:
כאשר הטיפול בארגון לצמצומם של האיומים והסיכונים לשימוש טכנולוגיית המידע ולמידע בארגון איננו מתחיל באיתור מלא ושלם של אותם האיומים והסיכונים, לא נמנעת מסיבה זו התקנתם של אמצעים ושיטות הגנה עפ"י "חוש" או "אופנה", או "אני יודע ש" או "ההוא התקין, אז גם אני..." או כל שילוב של כל מיני תאוריות למיניהן.
האם באופן זה מתמודד הארגון באופן כללי עם איומים וסיכונים: התשובה כמובן כן. אבל נותרת השאלה: האם בתהליך מסוג כזה מתבצע ניהול סיכוני טכנולוגיית המידע בצורה המקצועית הנדרשת לתחילת שנת 2009?
התשובה הנה חד משמעית: לא! סתם להשקיע בערב רב של אמצעי הגנה איננו מענה מקצועי. זהו מענה חובבני ומתאים לעידן שבהם האיומים נתנו בידיהם של חובבנים והסיכונים התממשו לעתים רחוקות. כעת האיומים בידיהם של מקצוענים ומימושם עלול להתרחש בכל עת. מידי יום אנו שומעים כי ארגונים מכובדים בעולם נפגעים. הטיפול חייב להיות אם כן מקצועני לכל אורך הדרך. התחלה חובבנית משפיעה על כל התהליך כולו, וכמובן שהתוצאה לא תאחר לבוא.
על כן, תהליך צמצום סיכוני השימוש בטכנולוגיית המידע והמידע בכל ארגון חייב להתחיל באיתור, הבנה ותעדוף של האיומים והסיכונים הללו. רק אח"כ ניתן להתחיל בתפירת חליפות אבטחה.

יום שלישי, 10 במרץ 2009

קישורים חדשים בחודש מרץ

שלום לקוראי הבלוג,
הוספתי בימים האחרונים מספר קישורים העוסקים בידיעות בעניין וירוס ה-conficker שאיננו מפסיק להפתיע.
כמו כן תקיפת וירוס (עדיין לא ברור באם מדובר ב-conficker או בתולעת ה-mytob או קוד זדוני אחר) במספר בתי חולים בסקוטלנד.
דרך אגב, השבתת מערכות מחשוב של בתי המשפט ביוסטון טקסס בתחילת פברואר שיוחסה ל-conficker מוטעית. מדובר בוירוס אחר, VIRUT.
מן העבר השני שתי ידיעות מעניינות בנושא אבטחה:
האחת עוסקת במימוש אמצעי אבטחה מתקדמים בבנק הדם ומרכז ההשתלות בבריטניה והשניה בניצנים ראשוניים של מתן מענה אבטחתי מתאים למכשור רפואי.
נראה כי מערכות רפואיות בעולם הגיעו למסה קריטית של פריסת מערכות מחשוב ובחלקן אלו חסרות את התשתית האבטחתית המקובלת בעולם טכנולוגיית המידע. על כן, נופלות מקצת ממערכות המחשוב המותקנות בבתי חולים ל"קורבנות שלא מרצונם" ואינן מסוגלות להתמודד עם חדירה של תוכנות זדוניות. ניתן להניח כי בעתיד הקרוב נראה נסיונות נוספים לספק מענים אבטחתיים המשלבים התמודדות עם האיום יחד עם הצורך לאפשר למכשור הרפואי לתפקד כנדרש.

יום שני, 23 בפברואר 2009

ניהול יעיל של אבטחת מידע בעשור הראשון של המאה ה – 21 מרובת הרגולציות באמצעות הסמכה לתקן אבטחת מידע ת"י 27001

בהתקרב סיומו של העשור הראשון של המאה ה-21 מוצאים עצמם ארגונים רבים במדינת ישראל נאבקים בסיוט חדש: חובת הציות לערב רב של חוקים ודרישות רגולטוריות שבדרך זו או אחרת משפיעים על מערכות המידע בארגון.
לציית כמובן צריך. הסיכון שבאי ציות הנו העמדה לדין, שבסיומו עלול למצוא עצמו הארגון משלם קנס בן מאות אלפי ש"ח, סכום שבעתות הידוק החגורה עלול להיות מכה קשה וכואבת ובעיקר מיותרת.
אבל תהליך ההכנה של הארגון עלול להיות ארוך, קשה, מורכב ויקר. הסיבה העיקרית עלולה להיות שהארגון לא השקיע בעבר בנושא אבטחת מידע וכעת בטווח זמן קצר יחסית נאלץ לסגור פער גדול. באם ההתמודדות הייתה עם הוראה רגולטורית אחת, ניתן להתמודד באופן סביר. אלא שעל הארגונים בסקטורים השונים "מתנפלות" רגולציות שמספרן גדל והולך. חלקן "תוצרת הארץ".
החוקים עליהם מבוססת אבטחת מידע במדינת ישראל הנם:
1. החוק והתקנות להגנת הפרטיות. שני עדכונים מהותיים בחוק זה. האחד בשנת 1996 והשני בשנת 2005. עדכונים נוספים במהלך השנים שלאחר 2005. בימים אלה משגר רשם מאגרי המידע במשרד המשפטים הודעות על הפעלת הקנס המנהלי, וכדאי לשים לב לעניין זה.
2. החוק להסדרת הביטחון בגופים ציבוריים. בשנת 2005 עובר עדכון בעיקר על מנת לכלול את גופי התשתיות החיוניות (התוספת הרביעית לחוק).
רגולציות עיקריות במדינת ישראל:
1. הוראת המפקח על הבנקים לעניין ניהול תקין של טכנולוגיית המידע, משנת 2003. ההוראה חלה על תאגידים בנקאיים.
2. הוראת המפקח על הביטוח באגף שוק ההון במשרד האוצר לעניין ניהול סיכוני אבטחת מידע החלה על גופים מוסדיים (חברות ביטוח, וקרנות פנסיה וגמל).
חקיקה בעולם הרלוונטית לחלק מהארגונים במדינת ישראל:
1. חוק סרבנס-אוקסלי (SOX). הן המפקח על הבנקים והן המפקח על הביטוח אימצו את עקרונות החוק ומחייבים את הארגונים הסרים לפיקוחם לעמוד בחלק מדרישות החוק, למרות שאין במדינת ישראל חקיקה מחייבת לעניין זה.
רגולציות בעולם המחייבות חלק מהארגונים במדינת ישראל:
1. בזל II. רגולציה לסקטור הבנקאי שעיקרה ניהול סיכונים, בין היתר סיכונים תפעוליים. מרכיבי ניהול סיכוני טכנולוגיית המידע כלולים (עפ"י הגדרת המונח סיכון תפעולי) במסגרת הסיכונים התפעוליים.
2. PCI-DSS. רגולציה שמקורה בחברות כרטיסי האשראי. מטרתה לאפשר, בהתקיים תנאי סף מסויימים, לקבוע דרישות מינימום בתחום אבטחת המידע עבור סוחרים וספקי שירותים בעולם כרטיסי האשראי.
ארגון אשר רגולציה כזו או אחרת מושת עליו יפעל באופן כללי בצורה הבאה:
1. מיפוי הדרישות למול יחידות ארגוניות רלוונטיות בארגון. לדוגמה: דרישות לדירקטוריון, דרישות להנהלה, דרישות ליחידת טכנולוגיות המידע, דרישות למנהל אבטחת המידע וליחידתו וכד'. תוצר השלב: טבלת דרישות למול יחידות ארגוניות בארגון.
2. בחינת הדרישות בפועל – דוח סטאטוס המציג את הפער בין כל דרישה לבין המצב בפועל בארגון. תוצר השלב: דוח פערים עפ"י יחידות בארגון למול הדרישות.
3. תוכנית עבודה לסגירת/צמצום הפערים – כמקובל. כולל לו"ז, משאבים, סדרי עדיפויות , אחראים על הבצוע, אבני דרך ותהליכי דיווח ובקרה על התקדמות.
ככל שהחוק הנדון או הרגולציה מפורטת יותר כך הדרישות ברורות יותר, אבל בה בעת תהליך איתור הפערים מורכב וארוך יותר. כך גם תתארך לה מן הסתם "רשימת המכולת" להצטיידות לעמידה בדרישות.
בהינתן חקיקה/רגולציה חדשה (לאומית, או אימוץ דרישה בינלאומית) בהיקף של לפחות אחת לשנתיים, ימצא עצמו מנהל אבטחת המידע מהר מאד עוסק ללא הרף באיתור פערים למול דרישה שאיננה מתבססת ברוב המקרים על מתודולוגיה אבטחתית מספיק רחבת היקף, שכן חקיקה או רגולציה נולדים מתוך צורך לספק מענה להתרחשות ספציפית או רק לסקטור ספציפי..
והדוגמאות הרי הן לפניכם:
1. חוק הגנת הפרטיות להגנה של צנעת הפרט ללא התייחסות בכלל למידע עסקי,
2. חוק SOX (סרבנס-אוקסלי) לאמינות הדיווחים החשבונאיים, ולא לכלל מערכות המידע בארגון,
3. רגולציית בזל II מתייחסת רק לתאגידים בנקאיים,
4. הוראת המפקח על הבנקים לניהול תקין של מערך ה-IT בבנקים מתייחסת באופן ספציפי למספר מאד מצומצם של הבטי אבטחת מידע בבנקים. לדוגמה אין כל התייחסות להיבט האנושי.
5. הוראת המפקח על הביטוח לגבי גופים מוסדיים, חלה רק עליהם. בהמשך בדומה לסקטור הבנקאות תחול בסקטור הביטוח הוראת Solvency II העוסקת בניהול סיכונים בדומה לבזל II.
כל חקיקה או רגולציה הנה רלוונטית למקטע כזה או אחר, בין סקטוריאלי או בחתך אחר, אך עיקר הבעיה שאיננה רגולציה יחידה ובחלוף השנים הארגון מוצא עצמו נדרש לעמוד ביותר משתיים ואפילו שלוש חקיקות/רגולציות שונות בתחום אבטחת מידע ואבטחת טכנולוגיית המידע.
על מנת להימנע מהקשיים והעלויות הגבוהות אשר כבר נדרשות וימשיכו להידרש לכל הפחות בעתיד הקרוב ממעגלים גדלים והולכים של סקטורים, מומלץ לאמץ גישה שבה ניהול סיכוני טכנולוגיית המידע מתבסס על תקן אבטחת מידע בינלאומי, תקן 27001/27002.
תקן 27001/27002. הנו תקן לניהול סיכוני טכנולוגיית המידע האמור לספק מענה לכל סוגי הארגונים בכל מדינות העולם. ככזה ברור שאיננו מספק מענה ככתבו וכלשונו, ונדרשות התאמות החל מרמת המדינה, המגזר והארגון הספציפי. התקן אומץ ע"י מכון התקנים הישראלי ככתבו וכלשונו. היתרון המשמעותי של התקן הנו אי תלותו בסקטור או ארגון מסויים. בכך תהליך ההתייחסות לאבטחת מידע באמצעות התקן מחייב התאמתו לארגון הספציפי, תוך שילוב של דרישות חוקיות / רגולטוריות הרלוונטיות לאותה מדינה / אותו סקטור / ארגון. התקן מאפשר מתן מענה מותאם לכל ארגון בהיבטים הרחבים של ניהול סיכוני המידע והשימוש בטכנולוגיית המידע ומאפשר שילוב "תוך כדי תנועה" ושילוב תקופתי של רגולציות / חקיקות הן ברמה הלאומית והן ברמה הבינלאומית.
דווקא הליך זה מספק את הסיכוי המיטבי למימוש טוב, רחב ומלא של ניהול סיכוני טכנולוגיית המידע. התקן כולל את מכלול הדרישות לייסוד, הטמעה, הפעלה, ניטור, סקירה תחזוקה ושיפור של מערכת מתועדת לניהול אבטחת המידע בארגון. בכך כולל התקן למעשה את כל הבקרות אשר על הארגון להפעיל בנושא הטיפול בסיכוני סודיות, זמינות, שרידות, שלמות ואמינות של השימוש במידע ובטכנולוגיית המידע בהבטים הפיזיים, המחשוביים, האנושיים והתהליכיים לאורך כל מחזור החיים של השימוש במידע ובמערכות טכנולוגיית המידע. חשוב לציין שיש לשלב בתהליך מתחילתו את הדרישות החוקיות/רגולטוריות על מנת למנוע כפל/סתירה ביישום התקן.
התהליך הנדרש כולל על כן התאמה של מרכיבים רבים עפ"י המבנה, תהליכי העבודה ומרכיבי הטכנולוגיה בארגון ואיננו מאפשר כלל וכלל אימוץ אוטומאטי של דרישות.
כדוגמה ניתן לציין את החובה לבצע סיקרי סיכונים ע"י גורמים חיצוניים, מקצועיים ובלתי תלויים בהתאם להערכת הסיכונים של מערך טכנולוגיית המידע, ובתדירות כפי הנדרשת ע"י הרגולטורים, המפקח על הבנקים לתאגידים בנקאיים, והמפקח על הביטוח לגופים מוסדיים. לעומת זאת, בתקן לא קיימת חובה שהסקרים יבוצעו ע"י גופים חיצוניים. זו אחת האפשרויות אבל אין הכרח. על כן שילוב הדרישות במקרה זה יגדיר את תהליכי הביקורת הבאים: קיום הנהלים וביצוע הפעילויות המתחייבות מהם יכול להתבצע ע"י גורמים פנים ארגוניים (בלשון 27001: מבדק פנימי), בעוד שסקרי הסיכונים עצמם, המהווים את מבדק הבקרות האבטחתיות חייב להיעשות בידי גורמי חוץ עפ"י דרישת הרגולאטורים.
27002 הנה תורת האבטחה עפ"י מכון התקנים הבינלאומי, תורה שאומצה גם היא ככתבה וכלשונה ע"י מכון התקנים הישראלי. תורה זו מסבירה "מה כוונת המשורר" (מכון התקנים) בכל בקרה ובקרה המנוסחת ב-27001 וכיצד מכון התקנים מניח שיש ליישמה.
ראוי לציין ששני המסמכים מהווים התפתחות של שני מסמכים שהיוו את התקן הקודם ונודעו במספרם 17799. אלו התבססו על תקינה בריטית BS7799 מסוף העשור הקודם, אשר מקורה במסמכים פנימיים לניהול אבטחת המידע בחברת של הבריטית.
יישום התקן הכולל גם תהליך של הסמכה פורמאלית ומתמשכת של הארגון לתקן 27001 מהווה אם כך את "אבן הראשה" לציות לכל אחד מהחוקים/רגולציות ההולכים ומתפתחים החל מתחילת המאה הנוכחית ואשר באופן ישיר או עקיף מתייחסים לנושאי מידע וטכנולוגיית מידע.
המשמעות אם כך הנה שעל מנת להימנע מזעזועים גדולים שמשמעותם הקצאה לא מתוכננת של משאבים ומיקוד יתר לטווח קצר לנושאי ניהול סיכוני טכנולוגיית המידע (שיגרור לאחריו מיקוד חסר בטווחים הבינוני והארוך), על ארגונים להיערך להסמכתם לתקן אבטחת מידע 27001, וזאת מומלץ שיבוצע ככל האפשר בטרם יידרשו לעמוד בחקיקה/רגולציה מגזרית. תהליך כזה יביא את הארגון להתאמה אופטימלית של ניהול סיכוני המידע וטכנולוגיית המידע כאשר חקיקה/רגולציה ספציפית עשוייה בדרך כלל להוסיף אולי תוספת שולית (בעיקר התמקדות לסעיף זה או אחר, אך קשה להניח שתתווסף דרישה אבטחתית חדשה לחלוטין שלא נדרשה כבר ויושמה), אך לא לגרור את הארגון לפרוייקט במועד שלא תוכנן על ידו ובלוחות זמנים שעלולים לשבש תוכניות ארגוניות אחרות.

ותרשו לי הערה אישית קטנה:אני ובת זוגתי יורדים היום לאילת להנות ממספר קונצרטים במסגרת הפסטיבל הבנלאומי למוזיקה קאמרית. אז שיהיה שבוע טוב ונקי מוירוסים ושאר מרעין בישין, ולהתראות בשבוע הבא

יום שבת, 14 בפברואר 2009

הבלוג בנוי משני מרכיבים

שלום לכולם,

לבלוג שתי מטרות עיקריות.
האחת, הצגת דעות ורעיונות בתחומים שונים של אבטחת המידע או כפי השם העדכני: ניהול סיכוני טכנולוגיית המידע.
השניה, להציג באמצעות קישורים חדשות חשובות בתחום האבטחה. נושא זה יתחלק לשניים:
חלק אחד יעסוק בנושא אחד מרכזי, אשר בעיני נראה חשוב ובעל עדיפות על פני כל היתר. נכון לחודשיים הראשונים של שנת 2009 מדובר בווירוס ה-Conficker אשר מעסיק את עולם טכנולוגיית המידע כבר כחודשיים ואיננו מרפה.
החלק השני יציג חדשות אחרות בתחומים שונים של אבטחת המידע. חלק זה יהיה ככל הנראה פחות "עמוס" בקישורים.
כמו כן הוספתי מספר קישורים לאתרים ולבלוגים אשר מנסיוני מעניינים יותר מאחרים.
יאיר

יום שבת, 7 בפברואר 2009

לאן פניה של אבטחת המידע בפרוס שנת 2009

לאן פניה של אבטחת המידע?
כל תחילת שנה אותן הכותרות: יותר מודעות, יותר מנהלי אבטחת מידע, יותר כלי אבטחת מידע, יותר מהכל. כן, גם יותר פריצות, יותר איומים, יותר צרות. האם זה הגיוני, או שמשהו מאד, אבל מאד לא מתאים פה.
אבטחת מידע אמיתית נמצאת ככל הנראה במקום אחר:
1. אבטחה משולבת בתהליך פיתוח המוצר.
2. אבטחה המשלבת את גישת התוקף באופן אינטגראלי בתהליך, לאורך כל מחזור החיים.
שני אלו אינם מבוצעים הלכה למעשה וזהו לצערי סוף המחזה...
(1) לא מבוצע כיוון שגם היצרנים וגם הלקוחות אינם מעוניינים בשלב זה. שני סקרים שהתפרסמו בשנים 2005-2007 הצביעו על כך. באחד נבדקה רמת ירידת ערך המניה של חברות תוכנה יום לאחר פרסום vulnerability עם Patch. הסתבר שהמניה אומנם יורדת, אך לא מספיק. בתגובה לסקר זה אמר מי שהיה אז סגן נשיא אורקל לפיתוח: Time to market is more important than security
סקר דומה שנערך לגבי דעתם של הלקוחות (של מוצרי טכנולוגיית המידע) שנה ויותר לאחר מכן, הצביע על מגמה דומה. רק באם הכיס "יחטוף" מנה יותר רצינית (בדומה למה שחטפה מיקורוספט לאחר code red ו-Nimda, כאשר גרטנר יצאה בהמלצה לנטוש את IIS ולעבור ל-iPlanet ו-Apache... בחודש ספטמבר 2001), נראה שינוי בכיוון זה.
(2) לא מבוצע כי קיים קבעון מחשבתי מוחלט בין המגינים שרואים את תהליך ההגנה כמתחיל בנקודה מסויימת ומסתיים היכן שהרגולציה/חוק/BEST PARCTICE מסתיים. כל הקיימים והמוכרים היום בשוק האזרחי (הוראה 357, הוראה 257, PCI ,GLBA כל דבר) בנוי בדיוק בשיטה של מכאן ועד לנקודת הסיום. מה פסול בשיטה זו? התוקף מחוץ לתמונה בכל תהליך בניית תוכנית ההגנה. אבסורד מוחלט. מפניו מגינים, אבל את אופן התקיפה וצורת החשיבה שלו משאירים לסוף (אם בכלל). בסוף, זה מאוחר לשנות משהו ממשי בכל מערך ההגנה.
ואז מה עושה הפורץ? קורא וצוחק צחוק ענק. כי נקודת ההתחלה שלו, היא נקודת הסיום של עבודת המגן. על כן "כאילו" כל ההגנה שקופה. דומה לסוגי תקיפת Social Engineering, גם הם הופכים את ההגנה לשקופה...
האמריקנים עלו על הבעיה ומנסים לעשות משהו בנושא בשנה הקרובה. השאלה כמה זמן ייקח לסובב תעשייה שלמה לכיוון הנכון...
בנתיים, עושים מה שאפשר לעשות עם האמצעים הקיימים. זה יותר מאשר לא לעשות כלום, אבל זה לא ממש לייצר אבטחה אמיתית.
ולמרות האמור לעיל, שתהיה לנו שנה טובה ומאובטחת.
יאיר
הערת הכותב:
זוהי לי התנסות ראשונה בכתיבת בלוג, ומאמר ראשון בבלוג שלי.
הרבה שנים עסקתי בכתיבה של מסמכים עבור מעסיקי ועבור לקוחותיהם, שהם לקוחותי, וממשיך לעשות כן.
יחד עם זאת, חשבתי שהגיע הזמן גם לשתף את הקהל הרחב יותר במחשבותי.
מקווה שאהיה מקורי ומעניין. בת זוגתי העירה לי שייתכן ואתקל בדעות מנוגדות לשלי. עניתי שזו בדיוק אחת מהמטרות של כתיבת הבלוג. לשמש במה גם לדעותי וגם לדעות אחרות. זו הדרך הנכונה ללמוד, וכבר נאמר בעבר: מכל מלמדי השכלתי.