- שלשום בבוקר קראתי לי מסמכים שכתבתי לפני 4-5 שנים הכוללים תמצית של אירועי אבטחת מידע מאותן השנים. לפתע הבנתי שבעצם אין כל הבדל בין אז והיום, למעט אחד. אז האירועים היו גניבה של עשרות אלפי מספרי כרטיסי אשראי ועד מליונים בודדים של מספרי כרטיסי אשראי. בשנה האחרונה, אירועי הגניבה של מספרי כרטיסי אשראי מתחילים במאות אלפים, מליוני מספרים, עשרות מליוני מספרים, ואירוע אחד ייתכן ואף עבר את 100 מליון מספר כרטיסי האשראי שנגנבו באירוע יחיד.
- מה זה אומר עלינו, על תעשיית אבטחת המידע. לא משהו טוב במיוחד אני חושש. היכן הבעיה אם כך? השקענו הרבה יותר, הכנו מתודולגיות, תקנים, חוקים, רגולציות, הפעלנו על הנהלות הארגונים מכבש לחצים לביסוס אבטחת מידע וניהול סיכוני טכנולוגיית המידע, הגדרנו תהליכים ההולמים את קווי העסקים. מה לא עשינו? ובכל זאת, בהסתכלות מפוקחת, כאילו דבר לא השתנה.
- לדעתי, כמי שמצוי בתחום כרבע מאה, אפשרות להצגת המצב הנה הבאה:
- יצרני רכיבי טכנולוגיית המידע אומנם משקיעים בשנים האחרונות הרבה יותר באבטחתה, אבל עדיין רחוקים אנו מאד מיצירת מוצרים שניתן להגדירם "Secured by design". הסיבה העיקרית הינה שגם היצרנים וגם הלקוחות עדיין לא הגיעו למסקנה שהיקף הנזקים הנגרמים מאי האבטחה מצדיקים את הגידול בעלויות והאיחור בהגעת המוצר החדש לשוק עקב תוספת האבטחה. מצב זה מביא לכך שמערכות טכנולוגית המידע המשרתות את החברות אינן בטוחות במידה מספקת. הנסיון להוסיף אבטחה לאחר התקנתה של מערכת מסוג זה איננו מאפשר מתן מענה אבטחתי סופי. תמיד יישארו "חורים" אותם יכול פורץ כלשהו לנצל לתועלתו.
- מן העבר השני, העושים שימוש לרעה בטכנולוגיית המידע, נהנים מהעובדה שהוצבע עליה לעיל בנוסף לעובדה שהטכנולוגיה זמינה ופועלת. באופן זה, אין למנסים לעשות בה שימוש לרעה, לדוגמה, גניבת מספרי כרטיסי אשראי או גניבת זהות, אינטרס לשתק אותה או לפגוע בה מעבר למידה מסויימת המשרתת אותם.
- ניתן על כן לראות במצב זה מקבילה לעידן מאזן האימה אשר בו היו שרויות שתי המעצמות הגדולות, ארה"ב וברה"ב בתקופת המלחמה הקרה ביניהן, במהלך עשרות שנים במאה הקודמת. כל אחד מהצדדים ממשיך לפתח כלים ויכולות אשר ביכולתם לחסל את הצד השני, אך הפעלתם איננה כדאית אף לא לאחד משניהם. באופן זה, מופעלות יכולות חלקיות, מוגבלות בעוצמתן ובהיקפן, אשר כל אחת משרתת כל אחד מהצדדים, אך איננה מכריעה את הכף.
- מהו הסיכון במצב זה? כל עוד הצד העושה שימוש לרעה בטכנולוגיית המידע מסכים לשחק את המשחק בתנאים שהוצגו לעיל, אזי קיים סיכון, אך הוא איננו טוטאלי. הם אינם פוגעים באופן פאטאלי, אף לא באחד מהתהליכים החיוניים לקיומה של החברה תלויית טכנולוגיית המידע, כיוון שגם הם תלויים בהמשך פעילותה של אותה הטכנולוגיה שאותה הם תוקפים.
- מה יקרה באם אחד מהעושים שימוש לרעה בטכנולוגיית המידע יחליט שכללי המשחק כבר אינם מקובלים עליו. אזי למיטב הבנתי מצבה של החברה התלוייה בטכנולוגיית המידע הנו עגום למדי. הציטוט הטוב ביותר שאוכל להביא על מנת לתמוך במסקנה זו הנו מדוח שהוכן לקראת הנשיאות ה-44 בארה"ב, מטעם וועדה שהוקמה יותר משנה לפני הבחירות האחרונות בארה"ב זמן רב לפני שנודע מי יהיה הנשיא הבא:
Securing Cyberspace for the 44th Presidency
A Report of the CSIS Commission on Cybersecurity for the 44th Presidency
הקובע (בין היתר) כי:
America's failure to protect cyberspace is one of the most urgent national security problems facing the new administration that will take office in January 2009…. It is a batlle we are loosing.
אין תמה איפה שהנשיא אובמה מיהר לטפל בנושא זה. הרשימה הקודמת הציגה את ההבהקים של מסיבת
העיתונאים שערך לפני מספר שבועות. יש לראות כיצד יתורגמו הדיבורים למעשים.
ועל כך, ברשימות ובמאמרים שייכתבו בעתיד.