הסדרה עצמית של אבטחת מידע בארה"ב על פרשת דרכים

לקראת סוף מרץ/תחילת אפריל 2009 עומדת במרכז הבמה הסוגיה של עוצמתה וחולשתה של ההסדרה העצמית בתחום אבטחת המידע.

סקטור החשמל:

7 באפריל 2009:Michael Assante המשמש כ-Vice President and Chief Security Officer של ארגון NERC - North American Electric Reliability Corporation הארגון שקבע את תקן האבטחה לכל הסקטור בצפון יבשת אמריקה מוציא מכתב המופנה לכל העוסקים בנושא בסקטור זה בו הוא מברך על ההתקדמות ובה בעת מזהיר כי משהו בסיסי חסר, חסר מאד.

קישור למכתב: http://www.nerc.com/fileUploads/File/News/CIP-002-Identification-Letter-040709.pdf

התקן הנו אסופת מסמכים: CIP-002-CIP-009. האותיות CIP הנם רשאי התיבות של: Critical Infrastructure Protection. התקן אושר ב-NERC במהלך קיץ 2006 ונקבעה תוכנית עבודה ליישום כל התקן עבור כל הישויות החייבות ביישומו עד ל-2010. הגורם הפדרלי FERC אשר עפ"י חוק החשמל בארה"ב הוא המאשר את התקן, הצביע על חולשות הקיימות בו אבל נאלץ לאשר אותו כמות שהוא. במו"מ שהתקיים, הסכימה NERC לשפר אותו כחלק מהעדכון ובתהליך של הסכמה כפי המקובל ב-NERC. במכתבו מצביע מיכאל אסנטה על בעיה בסיסית. המסמך הראשון בתקן CIP-002 עוסק באיתור הנכסים/נכסי המחשוב החיוניים עליהם צריך יהיה להפעיל את שאר התקן. באם לא יימצאו כאלו, אין לתקן משמעות.

קישור למסמך זה: http://www.nerc.com/files/CIP-002-1.pdf

סקר שערכה ה-NERC מצביע על כך שרק 31% מהישויות העצמאיות בסקטור שענו לסקר דיווחו שבבעלותם לפחות נכס אחד שהנו נכס חיוני, ורק 23% דיווחו שבבעלותם לפחות נכס מיחשוב חיוני אחד. מדובר בין היתר גם ביצרני ומוליכי חשמל. מספירם אלה נמוכים משמעותית מהמצופה

התקן השאיר חופש רב מדי לקבוע מהו נכס /נכס מחשוב חיוני, דבר שהוצבע עליו מלכתחילה ע"י המבקרים את התקן. כעת משהתוצאה הצפויה מראש הופכת למציאות, עולה כמובן השאלה: האם ה-NERC יוכל להתמודד לבדו או שהממשל הפדרלי יצטרך להתערב?

סקטור תשלומים באמצעות כרטיסי אשראי:

סקטור שני שבו מסתבר קיימת בעיה דומה הנו סקטור התשלומים באמצעות כרטיסי האשראי. תקן ה-PCI-DSS שעליו החליטו נציגי חמש חברות כרטיסי האשראי הגדולות ואותו הם מקדמים באמצעות פעילויות רחבות היקף מסוגים שונים (ראו קישור: http://www.pcisecuritystandards.org/), באמצעות גוף שהוקם למטרה זו:

Payment Card Industry (PCI) Security Standards Council - המועצה לתקני אבטחה של תעשיית התשלומים בכרטיסים (להלן בקיצור: המועצה), גם הוא מהווה למעשה תקן בהסדרה עצמית. למרות השיפור המאד משמעותי ברמת האבטחה של החברים בסקטור זה (סוחרים, חברות הסולקות כרטיסי אשראי), מסתבר שלאורך השנים מתגלות גם בו בעיות. פריצות שאירעו בשנים האחרונות לחברות הסולקות כרטיסי אשראי ואשר ממדי גניבת מספרי הכרטיסים בכל אחת נמדדים במליוני מספרי כרטיסים, הביאו את תת הוועדה לסיכונים מתהווים, אבטחת מידע ממוחשב, מדע וטכנולוגיה של הקונגרס לקיים דיון בנושא ב-31 לחודש מרץ.

כותרת הדיון: “?Do the Payment Card Industry Data Standards Reduce Cybercrime”

קישור לדיון: http://homelandsecurity.house.gov/hearings/index.asp?ID=185

בדיון זה עלו כבר קולות ראשונים הטוענים שכל עוד הסדרה עצמית הנה שם המשחק בסקטור זה, לא תהיה בו יותר אבטחה מהקיימת היום, וזו איננה מספקת מענה הולם לאיומים ולסיכונים שבו הוא מצוי.

נראה שגם ויזה וגם המועצה הפנימו כבר שמשהו חסר והחלו החל מחודש ינואר בסדרת פעולות על מנת לשפר את אבטחת המידע בארגונים החייבים בציות עפ"י תקן זה. מטרתה המרכזית של סדרת פעולות אלו הנה לטפל בכשל המהותי שהתגלה והוא ציות מתמשך של 24x7x365 להנחיות התקן. אין זה נכון לציית לדרישות רק במועד בצוע סקר האבטחה השנתי. שכן לפחות בשניים מהמקרים החברה שבה אירעה פריצה הייתה מוסמכת ועמדה בדרישות התקן בעת ביצועו של הסקר השנתי. אלא שככל הנראה במהלך הזמן שבין שתי ביקורות השתבש לו משהו.

ובמאמר מוסגר, אין זו בעיה פרטית לתקן זה בלבד. מדובר בכל מי שמממש אבטחה באמצעות שיטה שבה אחת לתקופה מבוצעת בדיקה לעמידתו בתקן. ומה קורה בין שתי בדיקות? שיטה טובה להתמודדות תהיה בחירת מספר סביר של מרכיבים שייבדקו בתדירות גבוהה (מספר פעמים ביום, פעם ביום, פעם בשבוע וכד'). אם הבחירה נעשתה בצורה מושכלת, אזי ניתן לקבל תמונת מצב על פני סרגל הזמן מה מצב האבטחה ולנתח מגמות, ועל פיהן להניח הנחות סבירות באשר למצב האבטחה בכללותו.

מה אם כן ניתן לומר בנקודת הזמן הזו על ההסדרה העצמית של אבטחת המידע?

נראה שהנושא הגיע לפרשת דרכים. בארה"ב הודאה בכישלון הסדרה עצמית והליכה לחקיקה פדראלית איננה פופולרית, שכן זו הודאה בכישלון "כוחות השוק" להסדיר את עצמם.

יחד עם זאת, במצבה הנוכחי, הסדרה עצמית איננה מספקת מענה מספק.

מהירות, יעילות ומקצועיות השינוי הנדרש לבצוע ע"י הגורמים הרלוונטיים:

NERC בסקטור החשמל, וה-Payment Card Industry (PCI) Security Standards Council וחברת ויזה הניצבת בראש חברות האשראי בנושא האבטחה בסקטור התשלומים באמצעות כרטיסים, ייקבעו את עתידה.

מבקש לאחל לכל קוראי הבלוג חג פסח שמח וגם מאובטח