יום רביעי, 14 בדצמבר 2011

פוסט אישי

הייתי אתמול בכנס בנושא CyberSecurity. הכנס התקיים ביהוד במרכז הכנסים של העמותה להנצחת חללי חיל הקשר והתקשוב. על הכנס עצמו, ייתכן ואתייחס בפוסט נפרד.

הבניין שבו ביקרתי כבר מספר פעמים כולל פריטים ותצלומים מההיסטוריה של חיל הקשר והתקשוב, אשר בתקופה שאני שירתתי בו נקרא: חיל הקשר והאלקטרוניקה, ובקיצור חי"ק.

והנה רואות עיני תצוגה יחסית חדשה של ויטרינות ובראשונה דגם קטן של מכם הקשת.

אני שירתתי כמוכם קשת וכמפקד צוות קשת בחלק משירותי הסדיר וגם בחלק הארי משירות המילואים שלי אותו סיימתי בשנת 1996.

במהלך השירות הסדיר הייתי שותף לאחת ההצלחות הגדולות של הקשת אולי הגדולה שבהן (בוודאי במהלך אותן שנים ראשונות), גילוי חוליית המחבלים שירתה קטיושות מאולתרות על העיר פ"ת ביולי 1971. לצערנו הגילוי היה כאשר היו בדרכם חזרה, לאחר שהצליחו לירות את הנשק הקטלני על העיר ולגרום לאבידות בנפש.

רציתי לחלוק את החוויה הזו עם מישהו בכנס ובהפסקה צרפתי אלי את אחד מיועצי אבטחת המידע אשר מידי כמה שנים יוצא לנו לעבוד יחד.

בעוד אני מספר את סיפורי, מספר הוא לי. יאיר, אתה לא תאמין, אבל באותו הערב אני צפיתי בסרט בעיר פ"ת ולפתע אני רואה "זיקוקים" באוויר. "הזיקוקים" היו טילי הקטיושה אשר נורו ע"י המחבלים ולצערי פגעו וגרמו לאבידות בנפש בעיר פ"ת.

וכך באופן מקרי לחלוטין, נסגר לו מעגל.

יום חמישי, 8 בדצמבר 2011

ניהול אבטחת מידע - מה זה ניהול אבטחת מידע ומה מיקומה בארגון: חלק א'

הפוסט השלישי יתחלק לשלושה חלקים:
בחלק הראשון ננסה להבין מה זה בכלל ניהול אבטחת מידע. את מה בדיוק מנהל מנהל אבטחת המידע.
בחלק השני, אחרי שנבין את מה מנהל מנהל אבטחת המידע ננסה לענות על שתי שאלות:
1. מהו הידע הנדרש לבצוע המשימה? האם נדרש ידע טכנולוגי, יכולות ניהוליות, מה חשוב יותר?
2. מה קשת המשימות שמנהל אבטחת המידע נדרש לבצע במסגרת התהליך הניהולי. האפשרויות הינן: הנחייה בלבד, הנחייה ובקרה בלבד, הנחייה תפעול ובקרה.
בחלק השלישי ננסה לענות על השאלה היכן המיקום הארגוני הנכון של מנהל אבטחת המידע וזאת בהתאם למענים שנתנו בשני החלקים הראשונים. האם במסגרת האגף למערכות מידע או שחס וחלילה שכן זה מתכון שלא תהיה אבטחת מידע כי מנהל מערכות המידע תמיד יתעלם מהמלצותיו/דרישותיו של "האיש שלעולם אומר לא". ואם לא באגף מערכות מידע היכן כן? תחת הביטחון? ואולי בלשכה המשפטית ואולי.... ואולי.... הרבה ואולי...
ואם מותר להקדים את הסוף להתחלה, אז לפני מספר שבועות פורסם שבמדינת מישיגן בארה"ב, מנהל אבטחת המידע ומנהל הביטחון הפיזי שניהם כפופים למנהל אחד. לא, לא מנהל הסיכונים של המדינה, אלא למנהל מערכות המידע, כן, מנהל מערכות המידע הינו מנהלו של מנהל הביטחון הפיזי וגם של מנהל אבטחת המידע.
ואולי פיסקה אחרונה זו קצת "תפתח את הראש" לחשיבה פתוחה יותר בנושא.

את מה מנהל מנהל אבטחת מידע?
טוב , אז הרבה שאלות ותהיות וצריך כמובן להתחיל מאיזושהי פינה וללכת שלב שלב באופן סדור.
במאמר הראשון הדגמנו שבהתייחס להגדרה המאד מאד נפוצה ומקובלת של אבטחת המידע, דהיינו אספקת מענים ל-CIA (סודיות - Confidentiality, שלמות ואמינות - Integrity, זמינות ושרידות -Availability), מדובר ברוב רובם של המקרים בשלושה ראשי חץ שונים. אפשר להזיל דמעה ולהתאבל עד מחרתיים, מכרו לנו לוקש... ה-CIA הינה דרישה כוללת לארגון. כיצד זה ממומש זו כבר שאלה אחרת. זה ששכחו את הסיפא, איך מממשים זו אופרה אחרת. על כן ככל הנראה ישנם שלושה מנהלים שונים שמטפלים בנושא. אחד מטפל ב-C, אחד מטפל ב-I והאחרון מטפל ב-A.
ברוב רובם של המקרים אנו קוראים למנהל המטפל ב-C (סודיות), מנהל אבטחת המידע. זו טעות. הוא אחראי על הטיפול במרכיב הסודיות של אבטחת המידע. נוכל לקרוא לו מנהל אבטחת המידע רק ואך ורק אם הוא יהיה מנהל של כל שלושת המרכיבים, ה-C, ה-I וה-A.
אם הבעיה הזו לא מספיקה על מנת "להפיל אותנו לקרשים", הנה צצות שתי בעיות נוספות.
הראשונה אסקור בקצרה, ואז אתעלם מנה... ה-CIA איננו כולל את כל ניהול סיכוני השימוש במידע ובטכנולוגיית מידע. הלוואי שטיפול מלא ב-CIA היה הכל אבל זה לא. לדוגמה: הסיכון שמערכת שסודיותה מטופלת כיאות, הנתונים בה שלמים ואמינים והיא פועלת בזמינות הנאותה ואף הוגדרה בתוכנית להמשכיות לשעת עסקית, פשוט לא עושה את מה שהארגון חשב שהיא תעשה הינו סיכון נוסף ו-CIA לא מטפל בו... אמרתי ועזבתי את הבעיה הזו.
הבעיה השניה הינה שאם ניקח את התקן הישראלי/בינלאומי לניהול אבטחת המידע, 27001/27002 ונפרק אותו לרכיביו המעשיים, נראה שקיימת חלוקה נוספת על זו שכבר נגזרת מהגדרת האבטחה כפי שהוסברה לעיל.
מסתבר שישנן דרישות בתקן שעל מנת למלא אותן, צריך מנהל אבטחת המידע להיות לא פחות מאשר המנכ"ל, כיוון שעל מנת למלאן על מנהל אבטחת המידע להיות מנהל משאבי אנוש, שכן ישנן דרישות אבטחת מידע לשלבי גיוס כוח אדם, הטיפול בו במהלך עבודתו בארגון ולפני תום העסקתו. אח"כ מנהל אבטחת המידע צריך להיות גם מנהל הרכש, שכן ישנן דרישות המופנות לתהליך הרכש. בתהליך הרכש נרכשות טכנולוגיות מידע וטכנולוגיות אחרות להן השלכה על אבטחת המידע של הארגון. כמובן שמנהל אבטחת המידע צריך להיות גם קצין הביטחון, שכן קיימות דרישות למערך האבטחה הפיזי של הארגון. מנהל אבטחת המידע צריך להיות גם היועץ המשפטי של הארגון, שכן לא מעט מהתשתית לביצוע עבודתו הינם חוקים ורגולציות, לאומיים ובינלאומיים.
נשמע מופרך?
אז תאמינו או לא, היה כבר נסיון כזה במדינת ישראל. הוא נכשל.
בחוק הגנת הפרטיות הישראלי שנחקק בשנת 1981 והתקנות על פיו הותקנו בשנת 1986 נקבע כי מנהל המאגר הוא אחראי על אבטחת המידע במאגר המידע ומנהל המאגר הינו לא אחר מאשר מנהל הארגון. אומנם ניתנה לו הסמכות להסמיך מישהו אחר, אבל באם לא הסמיך הוא מנהל המאגר והוא האחראי לאבטחת המידע במאגר המידע. וסמכותו כוללת החל מאבטחה פיזית ועד לאבטחה במערך המיחשוב. זה לא הצליח.
בתיקון בשנת 1996 כבר הוסיפו את ממונה אבטחת המידע כאחראי על אבטחת המידע בנוסף על מנהל המאגר.
אז בואו נחזור לעולם המציאות.
ניהול אבטחת המידע הינו:
א. ברוב רובם של הארגונים ניהול של מרכיב ה-C – סודיות, במסגרת המשולש C – סודיות, I - שלמות ואמינות, A – זמינות ושרידות.
ב. איננו כולל אחריות ניהולית לדרישות בתחומי הרכש, כוח אדם (כולל מהימנות כוח האדם), ייעוץ משפטי וכיוצ"ב. בתחומים אלה אבטחת המידע הינה לכל היותר גורם מנחה המבקש כי דרישות אבטחת המידע בתחומים הללו ישולבו במסגרת תהליכי העבודה שהאחריות הניהולית לתהליכים אלו מסורה בידי מי שמנהל את התהליך. לדוגמה: מנהל משאבי אנוש לגבי תהליכים באגף משאבי אנוש.
ג. שני תחומים הינם יוצאים מן הכלל: ביטחון פיזי ובטיחות. אלו למעשה תחומים מקצועיים שמעמדם דומה למעמד אבטחת המידע. מעגל האבטחה הפיזי שמסופק לעובדים ולנכסים (עוד ללא התייחסות ספציפית לנכסי טכנולוגיית המידע), משמש בסיס לחלק מעבודתו של מנהל אבטחת המידע עצמו. לדוגמה: האבטחה שמסופקת ע"י מערך השומרים בבניין, אופן וסדרי עבודתם מספק אבטחה גם למחשבים בבניין. וזאת מבלי שמנהל אבטחת המידע דרש ולו דרישה אחת. יחד עם זאת, זה עשוי שלא להספיק באם מצוי בבניין אזור חשוב יותר, דהיינו מרכז חישובים, שלו יש להעניק תשומות אבטחה פיזיות מיוחדות. על כן, בתחומים אלו יש צורך בשיתוף פעולה של שלושת גורמי הניהול הללו על מנת ליצור שילוב אופטימאלי של רצף אמצעי אבטחה פיזיים ומיחשוביים בשילוב אמצעי בטיחות. יש לציין שככל שאנו מתקדמים על ציר הזמן, יותר ויותר אמצעי אבטחה פיזיים הופכים הם עצמם להיות דיגיטליים. לדוגמה: מצלמות. בעבר אנאלוגיות והיום דיגיטליות. במצב זה מוצא עצמו מנהל האבטחה הפיזית פורס אמצעי אבטחה שמנהל אבטחת המידע מנחה אותו כיצד יש להגן עליהם מפני תקיפות של פורצי מחשב. סימביוזה מעניינת.

לסיכום החלק הראשון ניתן לומר שלמרות שלכאורה המצב איננו ברור ניתן לראות שהבעיה איננה בלתי פתירה.



1. ניהול אבטחת מידע הינו באופן מעשי ניהול של אחד ממרכיבי אבטחת המידע, מרכיב הסודיות. האם זה מעט מדי? ובכן ממש לא. על מנת לממש את מרכיב הסודיות, מנהל אבטחת המידע נדרש להיות מעורב בכל אחד מהמרכיבים הטכנולוגיים: ארכיטקטורת פריסת מערכת המידע, מערך התקשורת, מערכות ההפעלה בשרתים, בתחנות הקצה, היישומים, תהליכי העבודה, רמת החוסן של המערכת ועוד. מרכיב הסודיות הינו המרכיב רחב ההיקף הגדול ביותר מבין השלושה. זו אחת הסיבות שנדרש מנהל ייחודי ומקצועי לסעיף זה. אין זה בהכרח אומר שהוא הסעיף היקר ביותר.
2. שני המרכיבים האחרים מתחלקים בדרך כלל באופן הבא:
א. מנהל מערכות המידע אחראי על מרכיב ה-I (שלמות ואמינות), בעיקר עפ"י החלטות המתקבלות בשלבי הפיתוח של מערכות מידע חדשות, או תוך כדי עדכונן. מנהל אבטחת המידע עשוי לתרום לנושא. לדוגמה: באמצעות שילוב שימוש בכלים ייעודיים שהוא "נושא באמתחתו". חתימה דיגיטלית הינו אחד מהם. אך נחזור ונדגיש, מנהל אבטחת המידע איננו האחראי להשגת ושימור מרכיב ה-I במסגרת אבטחת המידע.
ב. מרכיב ה-A מתפצל מעשית לשניים:
§ מרכיב הזמינות, דהיינו יכולתה של מערכות טכנולוגיית מידע לספק שירות בשגרה בהתאם לרמת השירות שנקבעה עבורה. רכיב זה שהינו באחריות מנהל מערכות המידע מהווה פן תפעולי יומיומי של אחריותו.
§ מרכיב השרידות, דהיינו יכולתו של הארגון להפעיל את מערך טכנולוגיית המידע לאחר התרחשות אסון לדוגמה השבתת המערך עקב חדירת קוד זדוני, או חבלה פיזית או כל תרחיש אחר. בדרך כלל ובארגונים גדולים במדינת ישראל, מנהל בכיר ברמת חבר הנהלה נקבע כמי שאחראי לנושא זה ועל כתפיו פיתוח, יישום ותרגול התוכנית שקרויה כיום: התוכנית להמשכיות עסקית. Business Continuity Plan – BCP. מנהל מערכות המידע הינו איש המפתח בתוכנית זו בכל הקשור למערך טכנולוגיית המידע. יש לזכור שתוכנית BCP כוללת מרכיבים נוספים על מערכות המידע עצמן, כגון: היכן יעבדו העובדים בהינתן תרחיש שבו הנכס הפיזי (הבניין) נהרס או הפך לבלתי נגיש, מיהם העובדים שיעבדו, כיצד יינתנו שירותי משרד לארגון ועוד מגוון נושאים שאינם בתחום הידע והאחריות של מנהל מערכות המידע. מנהל אבטחת המידע ברוב המקרים איננו אחראי לתוכנית זו. אין זה אומר שאין לו תפקיד במסגרתה. ההיפך הוא הנכון. תפקידו לשלב את דרישות האבטחה בתוכנית בדיוק כפי שהוא עושה זאת במערך טכנולוגיית המידע הפועל בשגרה בארגון..
3. לגבי בטחון ובטיחות, שני תפקידי ניהול מקבילים לניהול אבטחת המידע אשר נדרשים לשיתוף פעולה הדוק ביניהם על מנת לאפשר מתן מענה משולב אופטימלי ויעיל.
4. הנחייה מטעם מנהל אבטחת המידע לשאר הגופים בארגון כגון משאבי אנוש, רכש וכד' באשר לדרישות אבטחת המידע (כפי שאלו נגזרים מתחום אחריותו) אשר הם מתבקשים לשלב בתהליכי העבודה שלהם כפי שהוגדרו בתחומי אחריותם.

לאחר שדי ברור לנו מהו מרחב האחריות של מנהל אבטחת המידע וכיצד הוא פועל בשאר התחומים נוכל לעבור לדון בשאלה הבאה: מהו אופי התפקיד: טכנולוגי או ניהולי ובשאר הסוגיות כפי שהוצבעו בתחילת הפוסט.

יום שלישי, 29 בנובמבר 2011

ניהול אבטחת מידע - דבר המחוקק והרגולטור הישראלי בנושא - מאמר שני בסדרה

המאמר השני מוקדש למציאות הישראלית הפורמאלית. ישנם שני חוקים ושתי רגולציות מרכזיות במדינת ישראל המחייבות מינוי של פונקציה ניהולית לעניין אבטחת מידע. אזהרה: זהו פוסט ארוך...
הפוסט יסקור בקצרה את עיקרי הדרישות בחוקים וברגולציות, האם המשמעות היא מינוי של יותר ממנהל אבטחה אחד בארגון או שישנה חפיפה, ועוד נושאים שונים.
הסקירה תתבסס על ציר הזמן, כך שהקורא יוכל לעקוב אחר ההתפתחות בנושא והאם הרגולטורים והמחוקקים אכן למדו זה מהצלחותיו או כשלונותיו של זה שפעל לפניהם.

1. חוק הגנת הפרטיות 1981,
תקנות הגנת הפרטיות: הצבת דרישות לאבטחת מידע - 1986
חוק הגנת הפרטיות נחקק בשנת 1981. התקנות העיקריות העוסקות באבטחת מידע (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים) תוקנו ב-1986.
בתקנות הוגדר שאחראי לאבטחת מידע במאגר מידע הינו מנהל המאגר. בתקנות הוגדרו דרישות אבטחת מידע שיש למלא אחריהן בתחומים הפיזיים, מיחשוביים וניהוליים. מנהל המאגר היה גורם ניהולי הקיים בכל ארגון: מנהל הארגון. בסמכותו להסמיך אחרים (כל מי שהוא מעלה בדעתו) כמנהלי מאגרים. הסמכת משנה לא קיימת. במקרים רבים הוסמכו אוטומאטית מנהלי המיחשוב. נא לזכור, זה עידן מערכות המחשב הגדולות של י.ב.מ, בורוז, דיגיטל, סי.די.סי ואחרים. המחשב האישי היה בחיתוליו, על אינטרנט לא חלמו אז במדינת ישראל. מישהו זוכר את המונח BBS?

2. חוק הגנת הפרטיות 1996:
בשנים 1994-1996 בוצע תיקון רחב היקף בחוק הגנת הפרטיות, שנודע לימים כתיקון מס' 4. התיקון כלל הוספת דרישה למינוי "ממונה אבטחת מידע"
סעיף 17 ב לחוק קובע כי: הגופים המפורטים להלן חייבים במינוי אדם בעל הכשרה מתאימה (מה זה בדיוק, לא מפורט...) שיהיה ממונה על אבטחת מידע (להלן - הממונה):
(1) מחזיק בחמישה מאגרי מידע החייבים ברישום לפי סעיף 8;
(2) גוף ציבורי כהגדרתו בסעיף 23; (גם זה לא בדיוק ברור מיהם כל הגופים הציבוריים. על כן, מנהל אבטחת מידע גש ליועץ המשפטי של הארגון בו הינך עובד וקבל מענה בדוק אם הארגון הוא גוף ציבורי כהגדרתו בסעיף 23 כן או לא...)
(3) בנק, חברת ביטוח, חברה העוסקת בדירוג או בהערכה של אשראי.
מבלי לגרוע מהוראות סעיף 17, הממונה יהיה אחראי לאבטחת המידע במאגרים המוחזקים ברשות הגופים כאמור בסעיף קטן (א).
לא ימונה כממונה מי שהורשע בעבירה שיש עמה קלון או בעבירה על הוראות חוק זה.
מדובר בציון דרך חשוב בתולדות העיסוק באבטחת מידע במדינת ישראל.
הייתה זו הפעם הראשונה שהמחוקק בחקיקה ראשית חייב ארגונים גדולים, שבהם כמויות מידע גדולות למנות גורם מקצועי שיקבל אחריות על אבטחת המידע האישי באותם ארגונים. מקוצר היריעה לא אכנס לכל הפרטים, כמו גם למשמעות המעשית בשטח. אבל כן, זה היה ניצן ראשון של התפתחות העיסוק בנושא בצד האזרחי של מפת המיחשוב במדינת ישראל.
המעניין הוא שאין דרישה למינוי ממונה על הגנת הפרטיות. אז נתפסה אבטחת המידע והגנת הפרטיות כאותו הדבר. היום אנו כבר יודעים שנדרשים שני בעלי מקצוע שונים.

3. חוק להסדרת הביטחון בגופים ציבוריים - 1998:
שנתיים לאחר קבלת התיקון בחוק הגנת הפרטיות המגדיר תפקיד חדש בחלק מהארגונים במדינת ישראל, תפקיד הממונה על אבטחת המידע האישי המוגן עפ"י החוק והתקנות להגנת הפרטיות, מתקבל בכנסת החוק השני המרכזי לענינינו, החוק להסדרת הביטחון בגופים ציבוריים.
החוק קובע כי גוף ציבורי הינו "כל גוף המנוי בתוספות, ולגבי משרד ממשלתי המנוי בתוספות – לרבות יחידות הסמך שלו;"
ממונה ביטחון הינו "מי שמונה על פי חוק זה להיות אחראי על ארגון פעולות אבטחה ועל
הפיקוח עליהן בגופים המפורטים בתוספות"; ומי שמונה יהיה כפוף במישרין למנהל הגוף הציבורי או לסגנו.
פעולות אבטחה מוגדרות כ"פעולות לשמירה על בטחונו של אדם, בטחון הציבור או בטחון המדינה, לרבות שמירה על רכוש. לענין גופים המנויים בתוספות הראשונה והשניה – גם פעילות לאבטחת מידע שחשיפתו עלולה לפגוע בבטחון המדינה וכן פעולות למניעת פגיעה בכל אחד מאלה."
ובמילים פשוטות, מינו את קצין הביטחון של גופים ציבוריים כגון : משרדי הממשלה, רשויות ממשלתיות, חברות התשתית (מקורות, חברת חשמל, בזק ועוד. נא לזכור אנו
ב-1998, לא 2011!!!) כאחראי לאבטחת המידע הביטחוני בגופים אלו.
אין סתירה בין חוק הגנת הפרטיות ובין החוק להסדרת הביטחון בגופים ציבוריים. עוסקים בסוגי מידע שונים בתכלית השינוי. הראשון במידע אישי, השני במידע ביטחוני.

4. בנק ישראל, המפקח על הבנקים, הוראת ניהול בנקאי תקין מס' 357 – ניהול תקין של טכנולוגיית המידע - 2003 :
עוברות חמש שנים עד שמשתנה משהו במגזר האזרחי. המפקח על הבנקים רואה את הפער בין הגנת הפרטיות ומי שממונה עליה בבנק "ממונה אבטחת המידע" ובין הצרכים האמיתיים של הבנק בהתמודדות למול האיומים והסיכונים ההולכים ונערמים. אנו כבר בעידן האינטרנט וחיבור לקוחות למערכות המידע הבנקאיות, ונדרש בעל מקצוע שיהיה לו גם תואר וגם מעמד בכיר מספיק על מנת לקדם את הנושאים בבנק. נפתח עידן "מנהל אבטחת המידע" במדינת ישראל.
הגדרת אבטחת מידע חסרה ברגולציה זו, אם כי היא ניתנת להצגה מזווית אחרת, זווית המענה הנדרש, כפי המופיע בהוראה:
תאגיד בנקאי יישם אמצעי אבטחה פיזית ולוגית למניעה, גילוי תיקון ותיעוד של חשיפות במערך טכנולוגיית המידע ודיווח עליהם בהתאם להערכת הסיכונים ותוך התייחסות גם להיבטים הבאים:
1. זיהוי ואימות (אלו סוגי בקרות אבטחת מידע בתחום המניעה)
2. סודיות ופרטיות (מרכיב ה-Confidentiality במודל ה-CIA).
3. שלמות ומהימנות הנתונים (מרכיב ה- Integrity במודל ה-CIA).
4. מניעת הכחשה (סוג בקרה בתחום הגילוי והתיעוד).
קיבלנו דרישות בתחומים הפיזיים והמחשוביים בקטגוריות מניעה, גילוי תיקון ותיעוד בנושאי CI, אין A. זו איננה טעות. נושא הזמינות והשרידות קיים בהוראה, אבל הוא איננו חלק מאבטחת מידע. ואכן במערכת הבנקאית במדינת ישראל, נושא הטיפול בתוכנית להמשכיות עסקית (שהוא מענה השרידות) איננו בתחום האחריות של מנהל אבטחת המידע של התאגיד הבנקאי.
ההוראה דורשת מהנהלת תאגיד בנקאי למנות "מנהל אבטחת מידע" שיהיה כפוף לחבר הנהלה (כן הוא יכול להיות כפוף למנהל מערכות המידע בבנק ובתנאי שזה האחרון חבר בהנהלת הבנק). הדירקטוריון וההנהלה חייבים לקבוע ולאשר מדיניות לניהול טכנולוגיית המידע שהפרק הראשון בה הוא "אבטחת מידע". הרגולטור לא כתב איך יראה מסמך המדיניות כולו, או פרק אבטחת המידע, והשאיר זאת לבנקים עצמם.
ומה קורה עם הממונה לאבטחת המידע מחוק הגנת הפרטיות שהתאגידים הבנקאיים חוייבו למנות בשנת 1996? שוב מקוצר היריעה ניתן לומר בקיצור שאין בעיה. מנהל אבטחת המידע עפ"י הרגולציה יכול למלא גם את תפקיד הממונה. ומה עם הגנת הפרטיות נשאל? בבנקים ישנו תפקיד "קצין ציות", זה היה באחריותו ונשאר באחריותו.
אם נבחן מהי ההשפעה הישירה של המהלך בהיבט הרוחבי של על מגזרי המשק, אזי לדעתי ההשפעה שולית כיוון שמדובר במספר מצומצם של ארגונים, תאגידים בנקאיים במדינת ישראל שחלקם כבר מינו מנהל אבטחת מידע והוא כבר היה כפוף לחבר הנהלה. מסיבה זו איננו יוצר שינוי דרמטי בנוף הניהולי של אבטחת המידע. גם בתוך הבנקים, מקצתם מצייתים להוראה ככתבה וכלשונה עוד טרם שיצאה לאור, מקצתם יצייתו ומקצתם "מתחכמים". בואו נשאיר את "מנהל אבטחת המידע" בדרג נמוך ונגדיר ערוץ היררכי חדש " מנהל מקצועי למנהל אבטחת המידע" המנהל המקצועי הוא חבר הנהלה, אבל מנהל אבטחת המידע מאחר והוא מנהל זוטר, מנהלו איננו חבר הנהלה... טריק חמוד שתוך כמה שנים נעלם מהנוף.
הערה נוספת: הוראה זו איננה, אני חוזר ומדגיש איננה נקודת מוצא מספקת לנושא אבטחת מידע בתאגיד בנקאי. היא הוראה כללית לניהול תקין של טכנולוגיית המידע ובתחום אבטחת המידע עוסקת במספר מאד מאד מאד מצומצם של נושאים.
אין בכך כדי לגרוע מחשיבות פריצת הדרך בנושא ניהול אבטחת מידע כמו גם נושאים ממוקדים נוספים בתחום אבטחת המידע, כגון, הערכת סיכונים, סקרי בטיחות, בנקאות בתקשורת.

5. החוק להסדרת הביטחון בגופים ציבוריים עדכון לחוק (מס' 2) משנת 2005:
הצעת התיקון לחוק הוגשה בשנת 2002. התיקון התקבל רק בשנת 2005. מכיוון ש"תוך כדי" נכנס הנושא של אבטחת מערכות מיחשוב חיוניות שלא היה בתכנון המקורי של תיקון מס' 2 לחוק זה. על כן שינוי שמטרתו הייתה רק לתקן ולשפר הפך להיות אבן הראשה של מהפיכה של ממש בניהול אבטחת מידע במדינת ישראל.
על כן, ניתן לומר כי מהותו של השינוי הינה הכללת נושא ההגנה על מערכות ממוחשבות חיוניות, אשר באותה העת עדיין פעלו כולן בגופים ציבוריים ועל כן המיקום הנאות של הנושא היה בחוק הנ"ל.
בדברי ההסבר להצעת החוק נכתב כי: "מוצע להבחין בין "פעולות אבטחה פיזית", הכוללות פעולות הנוגעות לשמירה על ביטחונו של אדם ועל הרכוש במבנה של הגוף הציבורי, לבין "פעולות אבטחת מידע" הנוגעות לשמירה על מידע מסווג המצוי בידי הגוף הציבורי; המונח "פעולות אבטחה" כולל את שני סוגי הפעולות; אבחנה זו נדרשת כדי להבהיר את חלוקת האחריות בין המשטרה לשב"כ באשר למתן הנחיות מקצועיות ביחס לגופים המפורטים בתוספת השניה לחוק ולהבהיר כי הנחיות מקצועיות שענינן אבטחה פיזית יינתנו על ידי נציג המשטרה ואילו הנחיות מקצועיות שענינן אבטחת מידע יינתנו על ידי נציג השב"כ. (סעיף 7 לחוק המוצע)
הנוסח שהתקבל לבסוף בחוק הינו:
"פעולות לאבטחת מידע - פעולות הדרושות לשם שמירה על מידע מסווג של גוף ציבורי או מידע כאמור המצוי אצלו, וכן פעולות למניעת פגיעה בכל אחד מאלה";
ו"פעולות לאבטחת מערכות ממוחשבות חיוניות - פעולות הדרושות לשם שמירה על מערכות ממוחשבות, שגוף שהסמיכה הממשלה קבע שהן מערכות ממוחשבות חיוניות, על מידע האגור במערכות אלה ועל מידע מסווג הקשור למערכות אלה, וכן פעולות למניעת פגיעה במערכות או במידע כאמור;"
ממונה הביטחון, דהיינו קצין הביטחון של הגוף הציבורי נותר האחראי על אבטחת המידע (אם כי מהנוסח של המילים בחוק לא לגמרי ברור מהו "מידע מסווג" או "מידע כאמור המצוי אצלו" אלו דורשים פרשנות משפטית) וישנו תפקיד נוסף: "הממונה על הפעולות לאבטחת מערכות ממוחשבות חיוניות".
ישנה גם חלוקת עבודה מסודרת בין גופים מנחים, משטרה, שב"כ, מלמ"ב.
אלא שכאן מתחיל ריבוי של בעלי אחריות לאבטחת מידע בחלק מהגופים הציבוריים במדינת ישראל.
גוף ציבורי שיש לו מידע אישי (בכולם יש) והוא גם כלול בהגדרת גוף שיש לו מערכות ממוחשבות חיוניות יש לו עכשיו שלושה אחראים לאבטחת מידע:
1. ממונה לאבטחת מידע עפ"י חוק הגנת הפרטיות שאחראי על אבטחת המידע האישי. התקנות העומדות לרשותו מעודכנות באותה השנה 2005, אבל אויה! העדכון הינו מינהלי ולא טכנולוגי. מהיכן ישאב ידע מקצועי לביצוע עבודתו? מהתקנות משנת 1986??? בעיה!
2. קצין הביטחון האחראי על המידע המסווג ביטחונית באותו הגוף הציבורי. הנחיות מקצועיות יסופקו לו מגורמי ביטחון הרלוונטיים.
3. ובאם הוחלט שיש צורך למנות אחראי להגנת המערכות הממוחשבות החיוניות אז יש סיכוי שיהיה מנהל שלישי. וההנחיות לאבטחת המידע כאן יסופקו שוב ע"י גורם ביטחוני..
עברו 6 שנים, נוספו והורדו גופים והניהול הכפול והמשולש ממשיך לו.

6. הוראה לניהול סיכוני אבטחת המידע של הגופים המוסדיים המפקח על הביטוח באגף שוק ההון של משרד האוצר – ספטמבר 2006
ושוב חוזר הכדור למגזר האזרחי. במשך כשנתיים ובעקבות ההוראה של המפקח על הבנקים, פועל המפקח על שוק ההון להכיל על מגזר הביטוח הוראה המטפלת באבטחת מידע לחברות הביטוח. הוראה לובשת ופושטת צורה ומתרחבת לכלול לא רק את חברות הביטוח אלא את "הגופים המוסדיים" מונח הכולל בנוסף לחברות הביטוח את קופות הגמל וקרנות ההשתלמות.
אבטחת המידע בהוראה זו תטפל בנושאי זמינות ושרידות (Availability), אמינות שלמות ודיוק (Integrity) וסודיות (Confidentiality).
בהיבט ניהול אבטחת המידע המצב דומה להוראה של המפקח על הבנקים ומשפרת אותה.
סעיף 2.1.3 בהוראה קובע כי:
א. הנהלת הארגון תמנה את אחד מחברי ההנהלה בעל כישורים מתאימים, בכפיפות למנכ"ל אשר יהיה ממונה על נושאי אבטחת המידע בארגון (להלן – "הממונה"). אין בהוראה זו כדי לפגוע בחובת מינוי ממונה לפי סעיף 17ב לחוק הגנת הפרטיות.
ב. הממונה יהיה אחראי על פיקוח ובקרה על הפעילות המתבצעת בתחומי אבטחת מידע וכן על בקרה על תכנית עבודה בנושא אבטחת המידע בהתאם למדיניות אבטחת המידע של הארגון.
ג. הנהלת הארגון תמנה מנהל אבטחת מידע שיהיה כפוף לממונה בנושאי אבטחת המידע בארגון ותעמיד לרשותו את המשאבים הדרושים לניהול אבטחת מידע.
כלומר ישנה היררכיה:
1. מנהל אבטחת מידע שיוכל לתפקד כי הארגון נדרש להעמיד לרשותו המשאבים לכך.
2. מנהלו הינו חבר הנהלה (כפוף למנכ"ל) שיש לו אחריות במסגרת ההנהלה לאבטחת מידע.
אין פגיעה בממונה אבטחת המידע עפ"י חוק הגנת הפרטיות
בדרך כלל אין כפל תפקידים ומנהל אבטחת המידע והממונה על אבטחת המידע הינם אותו אדם.
במהלך אוגוסט 2010 מתפרסם מסמך "ניהול טכנולוגיות מידע בגופים מוסדיים" המספק מעטפת רחבה של ניהול טכנולוגיית המידע בגוף מוסדי וכך נותן קונטקסט להוראתו הקודמת שעסקה רק באבטחת המידע.

לא בכדי סימנתי בכתיב נטוי את תחומי הטיפול של אבטחת המידע, CIA מלא.
ישנם מצבים שבהם מערכות המידע שבהן נעשה שימוש הינן של תאגידים בנקאיים. אלה אמורים לעמוד בהוראה 357, כאשר מנהל אבטחת המידע בתאגיד בנקאי אחראי באמת רק על C (סודיות), מעט על I (שלמות ואמינות) וכלל לא על A (זמינות שרידות).
התוצאה הינה "סכיזופרניה ניהולית" של מנהל אבטחת המידע של התאגיד הבנקאי...



מסקנות:



1. המסקנה העיקרית לדעתי היא שנדרש שהמחוקקים והרגולטורים יחשבו על הגופים אשר כפופים לרגולציות/חקיקות הללו וישקלו שקול היטב כיצד למזער את הבלבול הניהולי של נושאי משרות מנהלי/ממוני אבטחת המידע.
2. לא בכל חקיקה /רגולציה נושא הניהול מפורט בצורה ברורה. ניהול מכיל:
א. את המיצוב הארגוני של נושא המשרה. שלושה מהארבעה שמים דגש ומציבים עמדה ברורה בעניין זה. חוק הגנת הפרטיות איננו מתייחס לסוגיה זו כלל וכלל. ווידוי אישי: כותב שורות אלה היה אחד ממעצבי הסעיף הזה בשנת 1996 בתיקון לחוק הגנת הפרטיות בתפקידו כנציג משרד הבריאות בישיבות וועדת החוקה חוק ומשפט שדנה ועיצבה את נוסח התיקון לחוק עד להבאתו להצבעה בכנסת. ראינו אז הישג ענק בהשגת המטרה של קיבוע בחקיקה ראשית את עצם החובה למנות איש מקצוע לאבטחת מידע במערכות הציבוריות הגדולות, בנקים וחברות ביטוח. לא הקדשנו אז מחשבה מספקת לנושא מיקום הממונה.
ב. את תחומי האחריות במישור CIA (סודיות, שלמות ואמינות, זמינות ושרידות) ובמישור אבטחה פיזית למול אבטחת המחשבים. חוק הגנת הפרטיות מתייחס למעשה לכל ה-CIA וכוולל התייחסות לדרישות לאבטחה פיזית ומיחשובית, חוק להסדרת הביטחון נחזה להתייחס ל-C בלבד וקיימת הפרדה בין פעילות אבטחה פיזית ופעילות אבטחת מידע, הוראת המפקח על הבנקים לC ול-I בלבד ומחייבת אספקת מענה פיזי ומיחשובי, והוראת המפקח על הביטוח שוב לכל ה-CIA. גם הוראה זו מתייחסת לפן הפיזי והמיחשובי.
אתם מוזמנים להשוות את סעיף ב עם הסיום של הפוסט הראשון ולראות שבפועל המציאות קצת שונה.
לנושא האבטחה הפיזית למול אבטחת מערכות טכנולוגיית המידע אתייחס באחד מהפוסטים הבאים.

יום שלישי, 22 בנובמבר 2011

ניהול אבטחת מידע - במה יעסקו הפוסטים.ולהתחלה: CIA בין תאוריה למציאות

לנושא ניהול אבטחת המידע בארגון היבטים רבים. סדרת הפוסטים הבאים תוקדש להם.
1. נחזור צעד לאחור, ולפני שנעסוק בסוגיות הקשורות לניהול אבטחת מידע, נזכיר לעצמנו מהי הגדרת אבטחת המידע, מהי המשמעות הנגזרת מכך והיכן באופן טבעי מצוייה הפעילות העיקרית בכל אחד מהנושאים הכלולים בהגדרת אבטחת המידע בארגונים.
2. נהול אבטחת המידע עפ"י חוק ורגולציה במדינת ישראל. החוקים: חוק הגנת הפרטיות והחוק להסדרת הביטחון בגופים ציבוריים. הרגולציות: רגולציה למגזר הבנקאות, ניהול בנקאי תקין-הוראה 357 של בנק ישראל, ורגולציה לגופים מוסדיים: הוראה לניהול סיכוני אבטחת מידע של המפקח על הביטוח באגף שוק ההון במשרד האוצר.
3. מה זה בכלל ניהול אבטחת מידע? תפקיד טכנולוגי? תפקיד ניהולי? מה מיקומו הארגוני של מנהל אבטחת המידע? בתוך מערך טכנולוגיית המידע? מחוץ למערך טכנולוגיית המידע? חבר הנהלה? לא חבר הנהלה? מהם ממשקי העבודה של מנהל אבטחת המידע עם שאר יחידות הארגון?
4. מה בין אבטחת מידע ואבטחה פיזית? האם אבטחת המידע יכולה להיות כפופה למנהל הביטחון הפיזי? האם מנהל הביטחון הפיזי יכול להיות כפוף למנהל אבטחת המידע? האם מנהל הביטחון הפיזי יכול להיות כפוף למנהל מערכות המידע? נשמע מוזר? הכל יובהר.
5. התפתחות מגמה חדשה בשנים האחרונות: הקמת משרד לניהול סיכונים פנים ארגוני. מה המשמעות מבחינת ניהול אבטחת המידע?
אנסה לפזר מעט את הערפל סביב הנושאים לעיל, ואשמח לקבל תגובות, הערות, וגם אי הסכמות לדברים שנכתבים על ידי יתקבלו בברכה.
כל הנכתב מתבסס על נסיון אישי של כ-25 שנה באבטחת מידע, מהן מעל 11 שנים בניהול אבטחת מידע בפועל כסגן מנהל אבטחת המידע וגם מנהל ביטחון ובטיחות ביבמ ישראל ומנהל אבטחת המידע במשרד הבריאות בעבר, ויועץ אבטחת מידע מזה למעלה מעשור למגוון גופים וארגונים מכל מגזרי המשק בישראל בהווה.

לפני שניגש לניהול אבטחת המידע יש לברר ביתר דיוק מה זה בדיוק "אבטחת מידע".
נוח להתבסס על התקן הישראלי הבינלאומי ISO 27001. בתקן זה נקבע כי אבטחת מידע הינה: "שמירה על חסיון, כלילות (INTEGRITY) וזמינות של מידע..."
הגדרה זו מקבילה לתפישה הרווחת של שלושת עמודי התווך של אבטחת המידע:
סודיות - Confidentiality
אמינות ושלמות - Integrity
זמינות ושרידות - Availability
וכל העוסק בנושא יודע מזה עשרות בשנים לדקלם: אבטחת מידע זה CIA. יופי נחמה...
אלא מאי?
אבטחת מידע איננה מושג מופשט, מדובר בתהליך ארגוני שיש לנהלו.
האומנם זהו תהליך אחד?
לכאורה כן, שנינו ולמדנו: אבטחת מידע זה CIA... נכון, אבל...
יש חלוקת אחריות מאד ברורה וטבעית של שלושת האותיות הללו.

סודיות - Confidentiality
הסודיות הינה באמת בתחום האחריות של אבטחת המידע. המרכיבים הבסיסיים של הזדהות (קוד משתמש וסיסמה, וגם האמצעים המודרניים יותר של TOKEN או כרטיס חכם), מערכת הרשאות, רישום נאות של מי ביצע מה, הכנת סביבה אבטחתית נאותה בגישה מרחוק ועוד ועוד, כולם באים לתמוך ישירות במרכיב הסודיות. אין ספק שנושא הסודיות הינו לב ליבה של פעילות אבטחת המידע.

שלמות ואמינות (כלילות בתקן 27001) - Integrity
באופן טבעי זה בתחום האחריות של פיתוח מערכות מידע. במהלך הפיתוח נקבע אלו נתונים עוברים תהליכי אימות טרם קליטתם לתוך המערכת ומהי רמת האימות שתבוצע. האם נעשה שימוש בתפריטים או במלל חופשי וכד'.
אבטחת המידע תורמת לנושא שלמות ואמינות, לדוגמה באמצעות מערכת הרשאות מתאימה המאפשרת רק לבעלי תפקיד מסויימים לשנות נתונים או בהצעת שימוש בכלים טכנולוגיים לדוגמה חתימה דיגיטלית.
למיטב שיפוטי ונסיוני, אבטחת מידע תורמת לשלמות ואמינות אבל רחוקה מלהיות האחראית להשגתה או לשימורה.



זמינות ושרידות - Availability
אני מרשה לעצמי לפרק את נושא ה-Availability לשני תת נושאים: זמינות (Availability) ושרידות (Survivability).
זמינות ממש אבל ממש לא קשורה לאבטחת המידע. זמינות הינה דרישה תפעולית לשימוש השוטף במערכות המידע. זמינות טובה הינה פועל יוצא של תכנון נכון של עומסים על מערך התקשורת, יכולות העיבוד, מהירויות זיכרון וכדומה. בז'רגון המקצועי נקרא לכך: Capacity Planning. מעולם לא היה באבטחת מידע. זהו תחום מקצועי של מערכות המידע, ומתחלק בין הפיתוח והתפעול. נ-ק-ו-ד-ה.
שרידות יכולה להיות קשורה לאבטחת מידע, אלא שבפועל בארגונים הגדולים בישראל זה בדרך כלל לא. השרידות מורכבת משתי תוכניות:
א. "תוכנית להמשכיות עסקית – Business Continuity Plan"
ב. "תוכנית התאוששות מאסון – Disaster Recovery Plan"


מאחר ומדובר בהיקפי תקציב גדולים ומשמעויות עסקיות אסטרטגיות, נדרש מנהל בכיר בארגון בעל יכולות לגייס את התקציב הדרוש ולהפעיל מערך ארגוני מורכב ובר קיימא לעניין זה. זה לא מנהל אבטחת המידע (בדרך כלל).
אבטחת המידע תורמת תרומה חשובה לשרידות. עליה לספק מענה אבטחתי נאות לכל התוכנית המתגבשת בארגון. זה נושא לפוסט בפני עצמו.
לסיכום: אבטחת מידע בתאוריה זה CIA במציאות זה C לחוד I לחוד ו-A לחוד.

אחרי שדי ברור לנו שמדובר בשלושה תהליכים ארגוניים שונים,נוכל להמשיך לפוסט הבא שיעסוק בניהול אבטחת מידע עפ"י חוקים ורגולציות מרכזיות במדינת ישראל.

יום שלישי, 15 בנובמבר 2011

מה בין רגישות המידע במערכת ובין חיוניותה של המערכת (קריטיות המערכת)

לאחר מספר חודשי יובש בכתיבה, (טוב היה קיץ...) חוזר ומקווה להתמיד בכתיבה.
נושא זה הינו תורתי ועוסק באחד מאבני היסוד של אבטחת מידע.
שני מרכיבי סיכון מהותיים תחת נושא אבטחת מידע הינם סודיות המידע במערכת (Confidentiality) וחשיבותה של המערכת להתנהלות היומיומית של הארגון (Criticality).
האם אלו שני דברים שונים תכלית השינוי, או דווקא שני שני צדדים של אותה המטבע?
אני חייב לציין שתקן ניהול אבטחת המידע 27001, מחבר את שני הנושאים תחת אותו פרק שתכליתו סימון ותיוות (פרק 7.2: המידע יסווג לפי ערכו, לפי הדרישות עפ"י דין, לפי רגישותו ולפי מידת הקריטיות שלו לארגון) ואולי בכך תורם גם הוא לחוסר הבהירות הקיים בנושא זה.
אנסה בפוסט קצר זה להבהיר את הנושא.

כמו כן יהווה פוסט זה גם הקדמה לנושא הבא שיתפרס עלפני מספר פוסטים ויעסוק בהבטים שונים של ניהול אבטחת מידע: מיקומו של מנהל אבטחת המידע בארגון, תחומי אחריותו, השילוב בין אבטחה פיזית ואבטחת המידע, התייחסות לניהול כולל של סיכונים בארגון ועוד.

ונחזור לעניינינו בפוסט זה.
רגישות מידע במערכת או סודיות המידע במערכת הינו מדד לעוצמת הנזק שתגרם לארגון אם מידע מסווג של המערכת ייחשף בפני מי שאיננו זכאי להיחשף אליו, ויהיה זה גורם פנימי או חיצוני. הנזק הינו בעצם חשיפת המידע לבלתי מורשה והוא בלתי הפיך. מידע מסווג שנחשף לגורם לא מורשה = נזק. ניתן לבצע הערכת נזקים (לכמת כמה נזק נגרם), אך לא ניתן להחזיר את המצב לקדמותו, המידע כבר מצוי גם ברשות הגורם האחר.
חיוניות (קריטיות) המערכת הינה עד כמה הארגון יכול לתפקד ללא אותה המערכת מאחר וזו הושבתה, לאחר שעבדה ושירתה את הארגון. סיבת השבתתה איננה רלוונטית לרמת חיוניותה. במידה והארגון התכונן כראוי לאירוע כזה (התכונן כראוי, משמע, הגדיר מהו משך הזמן המכסימלי שיכול לסבול אי פעולת המערכת, כיצד פועל בזמן שהמערכת מושבתת, כיצד מתכונן להעלאת המערכת בתום הזמן המכסימלי שיכול לפעול בלעדיה וכיצד מפעיל את המערכת לאחר חלוף פרק הזמן המכסימלי לאי פעילותה). נזק נגרם, אך במסגרת ניהול משברים זהו נזק שנלקח בחשבון וניתן לו המענה שהוגדר מראש.
מעיון בשני ההסברים לשני הנושאים, סודיות מידע במערכת וחיוניות מערכת ניתן להבין שמדובר בשני פרמטרים בלתי תלויים האחד בשני. אם כך הוא הדבר, אזי אמורים להימצא ארבע קטגוריות שונות של מערכות:
1. מערכת שבה המידע מסווג והמערכת חיונית לתפקוד השוטף של הארגון. (מסווגת וחיונית).
2. מערכת שבה המידע מסווג ואיננה חיונית להתנהלות השוטפת של הארגון. (מסווגת ולא חיונית)
3. מערכת שבה המידע איננו מסווג והיא חיונית להתנהלות השוטפת של הארגון. (חיונית ואיננה מסווגת)
4. מערכת שבה המידע איננו מסווג והמערכת איננה חיונית להתנהלות השוטפת של הארגון. (איננה חיונית ואיננה מסווגת)
נראה דוגמאות לארבע סוגי המערכות:
1. במערכת בנקאית, המערכת באמצעותה מבצע פקיד הבנק את פעילותו כאשר מולו יושב לקוח, (נהוג לקרוא למערכת מרכזית זו "המערכת הסניפית"). הפעילות של הפקיד כרוכה בגישה למידע הלקוח המצוי במחשבי הבנק ומן הסתם זהו מידע המוגן עפ"י החוק להגנת הפרטיות כמידע על מצבו הכלכלי של אדם, דהיינו, מידע מסווג. יחד עם זאת, באם המערכת מושבתת בשעות שבהן אמור הסניף לעבוד, הפקיד איננו מסוגל לשרת את הלקוח, על כן, זו מערכת חיונית להתנהלות העסקית השוטפת של הבנק.
2. מערכת השכר של הארגון. במערכת נאגר מידע המוגן עפ"י החוק והתקנות להגנת הפרטיות, מידע על מצבו הכלכלי של אדם, דהיינו, מידע מסווג. יחד עם זאת, במידה ומערכת השכר מושבתת ומדובר בטווח התאריכים שבהם חובה עפ"י החוק לשלם שכר לעובדים, ניתן לשלם להם את שכרם גם מבלי שהמערכת תפעל. לדוגמה, באמצעות העברת מקדמה בגובה לדוגמה השכר הקודם. כאשר המערכת תחזור לפעול, יבוצעו החישובים המדוייקים וישולם הפרש הכולל לדוגמה שעות נוספות וכד'.
3. מערכת המציגה את שערי הבורסה במהלך המסחר בבורסה. המידע איננו סודי, ההיפך הוא הנכון, מטרת הצגת המידע הינה להנגישו לציבור. יחד עם זאת השבתת המערכת עלולה לגרום להפסקת המסחר בבורסה מכיוון שהמידע על שערי המניות הנסחרות הינו חיוני לתהליך העסקי של קניה ומכירה של מניות בבורסה.
4. מערכת המאפשרת עריכת חישובים פיננסיים מפורטים למטרות סימולציה בלבד. אין בה כל מידע מסווג ובאם איננה פועלת מאחר ומדובר בסימולטור בלבד אין פגיעה בתהליך העסקי העיקרי של הארגון.
הדוגמה ממחישה היטב (לדעתי) את העובדה שסודיות המידע במערכת וחיוניותה של מערכת הינם שני פרמטרים בלתי תלויים.
ישנו גם הבדל בולט נוסף:
לסודיות ישנו ביטוי מוחשי ומעשי למול משתמשים. הסיווג מוצג באמצעות כותרת מילולית. לדוגמה: "סודי-אישי". הכותרת מודפסת על דוחות או על תווית המודבקת על מדיה מגנטית או אופטית ניידת או על מחשב נייד/SMARTPHONE. מטרתה פשוטה ותכליתית: להגדיר באמצעות הכותרת ובאמצעותה בלבד את כל תכולת המדיה נושאת הכותרת בהיבט סודיות המידע, וזאת ללא כל צורך לעיין בתכולה עצמה. גורם מוסמך בארגון יכול על כן להגדיר בפשטות מהן דרישות ההגנה לאותו נשא מידע בהתאם לכותרת וללא צורך להכיר תכולה ספציפית של כל דוח מודפס/מחשב נייד/מדיה מגנטית או אופטית ניידת.
לחיוניותה של מערכת אין כל צורך ליצור כותרת. אין זה מעניינו של משתמש במערכת להכיר את חיוניותה של המערכת. עליו להכיר כיצד הוא עובד במערכת בשגרה ומהם תהליכים חלופיים במידה והמערכת מושבתת. אין ולא אמור להיות לכך ביטוי בצורת כותרת למערכת או למדיה מגנטית או אופטית ניידת המהווה מרכיב שבו נעשה שימוש במערכת.

יום ראשון, 19 ביוני 2011

אחרי החדשות בשבועות האחרונים נראה שבאמת אין אבטחת מידע

תקיפות מקוונות ניתנות לחלוקה לארבע קטגוריות עיקריות:
1. תקיפות להשגת רווח כספי. אלו מבוצעות בעיקר ע"י פושעים (כולל פשע מאורגן) ויעדיהן אתרים פיננסיים כדוגמת בנקים או חברות סליקת כרטיסי אשראי, או אתרים שבהם מתבצעת פעילות כספית.
2. תקיפות ע"י גורמי מדינה או סוכנויות ביון למטרות מגוונות. ביניהן ניתן למנות:
א. איסוף מידע מודיעיני באמצעות שתילת קוד זדוני המשמש כאמצעי האזנה או דלף מידע באופן כלשהו,
ב. פגיעה במערכות שלטוניות כדוגמת אתרי ממשל זמין של מדינות.
ג. פגיעה במערכות המחשוב של תשתיות חיוניות (כדוגמת מתקפות על מערכות ביטחוניות, תעשייה ביטחונית, כורי
גרעין ומערכות הולכת חשמל).
בהקשר זה יש לציין שהמונח "תשתיות חיוניות" שונה ממדינה למדינה ומשתנה גם במהלך השנים. כך למשל בארה"ב הכריזו במהלך שנת 2010 על החברות המייצרות את רכיבי התשתית לתחנות הכוח החשמליות (דודים,
טורבינות וכד') כחלק ממגזר התעשייה המשוייך גם הוא לתשתיות חיוניות.
3. "האקטיוויסטים" שמטרתם להציג עמדות פוליטיות ויעדם עשוי להיות מגוון מטרות בהתאם לסוג הקבוצה. לאחרונה קבוצת פורצים המכונה אנונימוס פעלה כנגד חברת SONY וממשלת טורקיה אשר לדברי קבוצת הפורצים פועלת לאכיפת צנזורה מקוונת.
4. אלה שעושים זאת "בשביל הכיף" או פשוט "להראות להם" שאין להם אבטחת מידע. בשבועות האחרונים קבוצת פורצים המכנה עצמה LulzSec עולה לכותרות בשל פעילות פריצה ברמה יומית.
נראה שבשבועות האחרונים, כאילו כל ארבע הקבוצות שבעבר פעלו כל אחת בזמנה היא והותירו לנו "מרווח נשימה" כלשהו בין תקיפה לתקיפה, החליטו "בינן לבין עצמן" שהגיעה העת "לשבור שגרה" או "לשבור את האשלייה של אבטחת מידע" לרכז מאמצים ולהראות כל אחת ממניעיה היא ש"אין אבטחת מידע".
התקיפות על Codemasters ו-Citibank משוייכות לקטגוריה הראשונה. בתקיפה על Citibank, כ-360,000 לקוחות הבנק יודעו שחשבונותיהם מצויים בסיכון אחרי שפורצים בלתי מזוהים זכו לגישה לנתוניהם. לדברי הניו יורק טיימס הפריצה ל-CitiBank התאפשרה עקב כשל אבטחה בסיסי ומביך מאד באתר הציבורי הבנק. לדברי הידיעה, לקוח לגיטימי שהתחבר לחלק האתר שבו מזינים מספר החשבון בכתובת הדפדפן, יכול היה לשנות את מספר החשבון ולקבל נתוני חשבון אחר. הפורצים השתמשו במחולל מספרי חשבון וכך השיגו פרטיהם של מאות אלפי לקוחות.
תקיפת מערכות המחשוב של קרן המטבע הבינלאומית משוייכת ככל הנראה לקטגוריה השנייה. כך גם התקיפות שבוצעו על יצרנית מוצרי אבטחת המידע RSA (בחודש מרץ) שגררה וגוררת אחריה שרשרת של פגיעות בחברות מהגדולות בארה"ב ובעולם לייצור אמצעי לחימה מתקדמים כגון חברת לוקהיד-מרטין (יצרנית מטוס העתיד של חיל האוויר הישראלי, ה-F-35) וחברת L3. חברת החדשות FOX הודיעה ב-1 ליוני כי חברת גרומן יצרנית מערכות לחימה אמריקאית גדולה נוספת החליטה לפי שעה לא לאפשר יותר גישה מבחוץ למערכותיה. האם זה נקיטת אמצעי זהירות לפני (תוצאה אפשרית של תהליך ניהול סיכונים) או מסקנה של אחרי (תוצאה אפשרית של תהליך ניהול משברים). השימוש באמצעי הזדהות השונה מקוד משתמש וסיסמה כדוגמת האמצעי שנמכר ע"י חברת RSA נפוץ יותר בשימוש בגישה מרחוק למערכות הארגון, ופחות נפוץ בשימוש יומיומי בהזדהות מקומית ברשת הפנימית של הארגון.
שניים מארבעת הבנקים הגדולים באוסטרליה (ANZ ו-Westpac) הודיעו כי יחליפו את רכיבי ההזדהות החזקה של RSA ללא עלות ללקוחותיהם. הבנק השלישי (Commonweal) הודיע כי הוא שוקל את צעדיו והבנק הלאומי של אוסטרליה ממלא פיו מים (בנתיים)...
הערה: בשנת 2005 פירסמה חברת Yankee Group מחקר שהצביע שכמות הפגיעויות במוצרי אבטחת מידע מתקרבת לכמות הפגיעויות במוצרי התשתית של טכנולוגיית המידע (מערכות הפעלה ובסיסי נתונים) שמוצרי האבטחה אמורים להגן עליהם.
ועל כן, על יצרניות מוצרי האבטחה להיערך לספק טלאי אבטחה למוצריהן באותו האופן שיצרניות מוצרי טכנולוגיית המידע נערכו. באותה המידה על לקוחות מוצרי טכנולוגיית ואבטחת טכנולוגיית המידע להיערך גם הם בהתאם. כעת עברו 6 שנים ועלינו מדרגה. על יצרניות מוצרי אבטחת המידע לוודא כי רמת האבטחה בחברתן מספקת על מנת שניסיון פגיעה בהם לא יפגע בלקוחות שרכשו את מוצריהן.
כאמור פעילותה של אנונימוס מזוהה עם הקטגוריה השלישית. הם עלו לכותרות לפני מספר חודשים כאשר פגעו בחברות כרטיסי אשראי וחברות סליקה אשר הודיעו שיפסיקו לספק שירותים פיננסיים לויקיליקס, עקב בבדלפות של מסמכים סודיים.
קבוצת LulzSec מזוהה (בשלב זה) עם הקטגוריה הרביעית. כמות הפריצות הנזקפות "לזכותה" עולה מיום ליום בקצה מסחרר. פריצה למערך הבריאות האנגלי (NHS), לאתר הסנאט של ארה"ב, לשלוחה של ה-FBI (Infragard), ובעצם נראה שהם יפרצו "לכל מה שזז".
למרות שהנזקים מהפריצות של שתי הקבוצות המשוייכות לקטגוריות השלישית והרביעית מזעריים לעומת נזקי הקבוצות הפועלות בקטגוריות הראשונה והשנייה, דווקא הן אלו התופסות את הכותרות.
ייתכן ובכך על הארגונים לשנות במשהו את ההתייחסות המזלזלת (יחסית) לסיכון הקרוי "סיכון תדמיתי".
סיכון תדמיתי איננו כלול בסיכוני אבטחת המידע הקלסיים: סודיות (Confidentiallity), שלמות ואמינות (Integrity), זמינות ושרידות (Availability). גם הרבה יותר קשה, עד בלתי אפשרי לכמת אותו.
התוצאה הכוללת הינה ש"אין אבטחת מידע". כמות הפריצות עולה בכל יום. אין יום בלי דיווחי פריצה מסוג זה או אחר. אין יום כתבתי? משעה לשעה הולכים ומתרבים דיווחי הפריצה בכל יום. זה איננו (FUD-(Fear Uncertainty Doubt שבהם הואשמו יועצי ומנהלי אבטחת המידע, כאילו הם סתם צועקים "זאב, זאב", אבל כלום בעצם לא קורה... זו המציאות. יהיו הסיבות אשר יהיו, חוסר מקצועיות, רשלנות, זדוניות, שילוב תקיפות מסוגים שונים, מה שתרצו. זה כבר לא משנה.

הרשימה הקודמת (בשפה האנגלית) הציגה את הצד הכלכלי, מדוע אין אבטחת מידע. כי זה פשוט לא השתלם כלכלית. או כך חשבו שזה איננו משתלם כלכלית. באו מחוקקים, רגולטורים, גופים מנחים, תקנים ובעצם, לא שינו את המצב באופן מהותי.
מה קורה בחודשים ובעיקר בשבועות האחרונים? האם למישהו פשוט נמאס? ייתכן. אינני יודע מה התשובה.

נראה בעליל שכמות הפריצות והמשמעויות שלהן צריכות לשנות את העמדות הבסיסיות של ההנהלות הן של יצרני טכנולוגיית המידע והן של הלקוחות העושים שימוש במוצרי טכנולוגיית המידע.
טעות נפוצה היא שהבעיה הינה רק או בעיקר איך להציל אותנו מפגיעה בתשתיות חיוניות. אם נגן עליהן מספיק טוב, או כי אז "ניצלנו מפרל הארבור דיגיטלי" כדברי האמריקנים.
כל מרקם החיים המודרני מבוסס על טכנולוגיית המידע.

ללא שינוי מהותי בשילוב אבטחת המידע בטכנולוגיית המידע ולא רק אצל לקוח הקצה, יהיה זה הבנק או חברת הביטוח או בית החולים או מערך המיחשוב של בית המחוקקים ומשרדי הממשלה, או תחנת הכוח, או מפעל המים, או הממשל המקומי, או מערכת בתי המשפט, או מפעלי התעשייה או... כל מקום שבו מוטמעת טכנולוגיית מידע, אלא החל משלבי ייצורה של טכנולוגיית המידע, לא יימצא פיתרון ראוי.
אבטחת מידע מתחילה או אמורה להתחיל ב-ה-ת-ח-ל-ה ולא באמצע או בסוף. לכל אחד בשרשרת הייצור והשימוש של מערכות טכנולוגיית המידע תפקידו הוא באבטחת המידע.


כך זה לא יכול להימשך.

יום ראשון, 12 ביוני 2011

Why Information Technology Security (referred henceforth as ITS) isn't a success story after so many rules, standards and regulations?

This post will be written in the English language as it will be used for a dual purpose:


1.As an answer to Mr. William Beer, Director of PwC London and Leader of Pwc's OneSecurity Practice, who was one of the speakers in the Tel-Aviv University conference on "Cyber warfare – international, political and technological challenges" that took place on June 9th. The title of his talk was: "Cyber - New rewards and risks to businesses and governments. Why a different approach is needed".

2.To be able to reach more audience than only the Hebrew readers of my posts.

I'll appreciate it very much to get readers comments on this post.

As a matter of fact, I believe the question has two answers.
The first is easy for me to write, as I'm quite sure about it.
For the second I have some speculations and I would like to read your remarks to my post, before I'll write mine.

Question: Why don't we have good ITS?

1.BECAUSE NO ONE REALLY WANTS IT. AMAZING. Don't you think?


This needs of course an explanation. So here it comes.
To achieve good ITS you have to invest money and time. These two elements are critical factors in a super fast growing need for more and more Information Technology, as this is the engine that drives modern society. No one argues that the correct starting point to integrate ITS should be the development phase of a product. Adding ITS to an IT product during that phase, and I mean what we professionals call "SECURITY by DESIGN" will achieve products with a much better ITS when they are deployed. BUT, you have to pay with MONEY and TIME. The product will be more expensive to develop and it will take more time to bring the product from the beginning of the development phase to selling it on the market. This means: BIG TROUBLE for ITS. The first magic phrase in the Information Technology world is "Time To Market". Only if a product developer MUST but really MUST add ITS he'll sacrifice "Time to Market" for "Better security". The same goes for the second magic phrase "Lower Costs" or its equivalent "Return On Investment". Consumers of Information Technology buy with the pocket. They're after cheaper products with better ROI. Adding ITS in the development phase makes the product more expensive for buying. (At that phase no one includes the costs of future security vulnerabilities/patch management etc.) As to ROI, this is a controversial issue for itself and I'm not going to handle it in this post.
What is the "really must" I mentioned before? Money. If the product maker will loose money because of not enough ITS in the product, it might make a difference for him. What might be "Not enough ITS"? Obviously, vulnerabilities discovered in the product when it is used by customers.
During the previous decade numerous of surveys and a lot of research was done and published around the subject that can be called: "How much will IT makers suffer for not having good ITS in their products"?
One of the important and leading works on the subject was a paper titled: "Impact of Software Vulnerability Announcements on the Market Value of Software Vendors – an Empirical Investigation" presented at the Fourth Workshop on the Economics of Information Security held on the campus of Kennedy School of Government Harvard University 2 - 3 June 2005.
Link to the paper: http://infosecon.net/workshop/pdf/telang_wattal.pdf

Link to a securityfocus article about the paper: Study: Flaw disclosure hurts software maker's stock http://www.securityfocus.com/news/11197

The study analyses the financial impact on the stock price value of SW makers following the announcement of a vulnerability in one of the company's product.
The bottom line could be summarized as follows:
Most of the announcements were followed by the SW maker's stock falling compared to NASDAQ market average. BUT, "…The researchers did show that, compared to the effect of other types of product related defects, the disclosure of software flaws seems to have the least impact…" and even more disturbing data comes ahead: "…The two researchers found that the 0.63 percent decrease fell below the estimated 2.1 percent drop in the stock price of companies that were victims of public security breaches, or the estimated 0.81 percent drop in the stock price of auto makers that recalled their vehicles."
To conclude the bad news for ITS in SW makers here is the response of Amit Jasuja, vice president of product management for database maker Oracle's security group cited in the aforementioned securityfocus article: "So even if there is a connection between public vulnerability disclosure and stock price, the penalty for having vulnerabilities may not be high enough to convince product managers to spend more time on security".
A year or so later comes the second blow, as a survey showed that the customers of the IT product makers favor too "Time to Market for IT products" over "Better security but later on the market".

To conclude: The market forces don't give good ITS a fare chance. NO ONE HAS ENOUGH INTEREST.


In this case, there is only one way left: outside intervention.
Who can do it?
Governments by enacting laws, other statutory institutions by passing regulations, standards institutions by creating new standards. Seems to be a perfect solution. We have in the last years a lot of laws, regulations, standards on the market. All about ITS. So why doesn't the situation improve significantly?

The answer, to my opinion is that most of all these effortsare aimed at the "end of the chain", the CUSTOMER of the Information Technology products and not aimed primarily at those that stand in the beginning of the chain, e.g. the HW and SW makers. Vulnerabilities in products are not a result of how the customer implements the SW. It is the SW itself that is the cause. But, to my best knowledge NO government has enacted a rule that puts a fine of lets say 1,000,000 $ for each vulnerability found in a piece of SW product.
Lots of rules exist to punish institutions that their Information Technology infrastructure has been breached whatever the cause is and confidential data stolen. Other rules fine for not implementing parts of legislation. Who are the only punished institutions?
The Information Technology CUSTOMERS. Only they.
Why is it so?
I'm waiting for your suggestions before writing the 2nd reason. Maybe you have an idea.

יום שישי, 10 ביוני 2011

שינוי פרדיגמה באבטחת מידע: המדינה לוקחת אחריות על מחשבים המקושרים לאינטרנט. בעולם כבר התחילו. בישראל (בנתיים) מדברים...

הפוסט נכתב לאחר שאתמול ישבתי בכינוס המתוקשר ורב המשתתפים במסגרת סדנת יובל נאמן למדע טכנולוגיה וביטחון שכותרתו: "לוחמת סייבר – אתגרים בזירה העולמית, המדינית והטכנולוגית". הכינוס מתקיים שבועות ספורים לאחר הכרזתו של רוה"מ של הקמת "מטה הסייבר הלאומי" כחלק מיישום המלצות דוח הוועדה שמונתה על ידו ובראשה עמד פרופ' (אלוף מיל.) יצחק בן רפאל. חיכיתי בתור הארוך יותר משעה, בשמש הקופחת, כחלק מבדיקות הביטחון והאזנתי ברוב קשב לכל ההרצאות החל מהרצאתו של ראש הממשלה שפתח את הכנס ועד לסיומו של הכנס, לפנות ערב.
הפוסט הזה יהיה ארוך במקצת, אבל אני מקווה מאיר עיניים באשר לשלב הבא שבו מצוי המאבק להשגת מרחב מיחשובי עולמי נקי יותר מזיהומים...
מבין כל הנאומים הרבים בכינוס (חלקם מעניינים ומחדשים כדוגמת ההרצאה האחרונה בכינוס שניתנה ע"י פרופ' בני פנקס מאוניברסיטת בר-אילן שהציג חשיבה מעניינת על איומים במחשוב ענן, וחלקם פחות מעניינים…) שהתארך הרבה מעבר לשעה הנקובה אני בוחר לקחת שני משפטים משתי הרצאות ולצרף אותם יחד.
המשפט הראשון נאמר במהלך ההרצאות לפני הצהריים, בעת שהאולם עדיין היה מלא מפה לפה, ע"י ויליאם בייר, מנהל PwC לונדון וראש היוזמה של החברה המכונה: OneSecurity שהודה בגילוי לב נדיר במחוזותינו (טוב, הוא אנגלי...) שבמצב הנוכחי ולמרות כל התקנים והרגולציות (ואולי דווקא בגללם...) איננו מצליחים לייצר את האבטחה הנדרשת.
המשפט השני נאמר ע"י שי בליצבלאו מחברת מגלן באחת ההרצאות האחרונות בכינוס, בעת שבאולם כבר נכחו הרבה פחות צופים. לדבריו, בארץ יש הרבה מאד מחשבים המתחברים לאינטרנט שייתכן ויש בהם קוד פוגעני, דהיינו מחשבים "מזוהמים".
כאשר מחברים את שני המשפטים יחדיו מקבלים את האמת המרה "ישר בפרצוף": הרבה מערכות מחשוב המתחברות לאינטרנט (בארץ ובעולם) הינן מסוכנות. הן נגועות בקוד זדוני שהושתל בהם והן או משמשות בפועל או עלולות לשמש בעתיד כפלטפורמה למשלוח מתקפות. נשאלת השאלה: מתקפות על מה? בעצם על מה לא? על כל מחשב אחר המתחבר לאינטרנט. איפה מצויים המחשבים הללו? בכל בית, משרד מכל סוג שהוא, בנק, חנויות בקניונים, בתי"ח, מוסדות ממשלתיים, ארגונים פרטיים. אלו המחשבים המצויים בכל מקום במדינת ישראל ובידי כל אזרח, יהיה זה אזרח נאמן למדינה ככל שיהיה, מחשבו עלול להיות מסוכן לו עצמו ולכל האחרים במדינה.
המסקנה הינה שכל עוד מדינות העולם (וישראל ביניהן) ימשיכו לעצום את עיניהן ולומר שנקיון המחשבים הללו מהקוד הזדוני והשמירה על המשך נקיונם איננו מעניינה של המדינה, אזי המדינה במו ידיה מפקירה את בטחון אזרחיה.
בדיוק כשם שהביטחון האישי ברחובות איננו תפקידו של האזרח שומר החוק, אלא תפקידה של המדינה באמצעות המשטרה וגורמי אכיפה אחרים (מערכת המשפט כדוגמה), כך זה מתפקידה של המדינה לדאוג שמחשבים של אזרחים יהיו "בטוחים". הכוונה במונח "בטוחים" הינה שהמחשב (המונח מחשב דרך אגב כולל כבר היום את הטלפונים החכמים למיניהם, שהם צירוף של טלפון ומחשב וכל סוגי מחשבי הלוח, ובקיצור, כל מה שהוא "דמוי מחשב" ומתחבר לאינטרנט) המתחבר לאינטרנט איננו מהווה פלטפורמה לשליחת מתקפות כנגד מחשבים אחרים באותה המדינה או במדינות אחרות.
אינני רוצה להיכנס בבלוג זה לדיון הארוך והמורכב של הגנת פרטיות כנגד הגנת מרחב הסייבר. על כן אקצר בעניין זה:
א. מסתבר שעולם המחשבים בתוספת האינטרנט מזמן לנו אתגרים מעניינים בנושא זה.
ב. המחשב הפרטי והמידע בו הוא רכושו הפרטי של אדם, בזה אין ספק.
ג. ההתחברות לאינטרנט למיטב הבנתי אמורה לייצר שינוי מסויים בהתייחסות למונח "פרטיות", אבל לא לבטלה.
ד. כאשר הקישוריות הזו הינה ברת פוטנציאל לסכן את המחשב המתחבר או מחשב אחר במדינת ישראל או מחוצה לה, על המדינה לנקוט באמצעים סבירים, תוך כדי שמירה על הפרטיות. בהמשך הבלוג, נסקור תחילת פעילות בעולם המבקשת לייצר איזון בין הפרטיות ובין הצורך "לנטרל את הפצצה המתקתקת במחשבים האזרחיים".
ה. לצערי, בכנס החשוב אתמול לא נמצא מקום לנושא הגנת הפרטיות המעוגנת בחוק ובתקנות להגנת הפרטיות במדינת ישראל, (החוק הראשון במדינת ישראל שחייב מינויו של ממונה על אבטחת מידע בגופים ציבוריים, בנקים וחברות ביטוח עוד בשנת 1996) ושעל יישומו מופקדת הרשות למשפט טכנולוגיה ומידע במשרד המשפטים. אם מישהו שכח לרגע, אז להגן על מדינה זה (בין היתר) להגן על אזרחיה ולא רק על "המדינה". ולהגן על אזרחיה משמעותו (בין היתר) להגן על פרטיותם. רוב רובו של המידע במערכות הבריאות במדינת ישראל הוא מידע המוגן עפ"י חוק זה, ולא סתם מידע רפואי לא מזוהה. רוב רובו של המידע בבנקים ובחברות הביטוח הוא מידע כלכלי מזוהה על לקוחותיהם, ולא סתם מידע פיננסי. חלק לא מבוטל מהמידע על אזרחי המדינה המוגן בחוק הגנת הפרטיות מצוי במרחב הסייבר שכה רבות דברו בו אתמול.
ו. הגנת פרטיות היא חלק מההגנה האזרחית במרחב הסייבר. משום מה לנושא זה לא נמצא מקום בכנס, וגם לא במסמך שמתפרסם במקביל לו מטעם המכון למחקרי ביטחון לאומי, (שותף פעיל בכנס), מסמך הנושא את השם: לוחמה במרחב הקיברנטי: מושגים, מגמות ומשמעויות לישראל, יוני 2011 מאת שמואל אבן ודוד סימן-טוב. אינני יודע מה הסיבה להעדרות זו של נושא הגנת הפרטיות מהגנת מרחב הסייבר.
ז. אין לצפות מאזרח נורמטיבי שיתמודד לבדו עם הסכנות שהאינטרנט טומן בחובו ובעיקר עקב העובדה שהמחשב המתחבר הופך לכלי בידי יריב שהפרט איננו יכול להתמודד איתו כלל ועיקר.
ח. יש לצפות שהמדינה תאזן בין הגנת הפרטיות וחובתה להגן על אזרחיה.
ט. אנו נוטים להתעלם מהעובדה שהתחברות לאינטרנט איננה תהליך נטול הסדרה. בין המחשב הפרטי או המוסדי המתחבר לאינטרנט, קיים ספק שירות. לעתים, מדובר בארגון שהוא עצמו ספק שירותי קישוריות לאינטרנט עבור עצמו או עבור ארגונים אחרים.

אז מה קורה בעולם? קורים שני דברים שונים, המשלימים זה את זה. הראשון החל את דרכו ב-1 בדצמבר 2010, באוסטרליה, השני טרי עוד יותר בן חודשיים, מתרחש בארה"ב.

1. אוסטרליה: פרוייקט iCode
פרוייקט וולונטרי שבו רוב ספקי הקישור לאינטרנט באוסטרליה (מעל 90%, נכון ל-1 ביוני 2011) מדווחים ללקוחותיהם (ובמידת הצורך, עפ"י חוקי אוסטרליה), לגורמי אכיפת חוק ול-CERT האוסטרלי, על מחשב לקוח החשוד כנגוע בקוד זדוני.
הלקוח יכול לנקוט באחד משני מהלכים לנקוי מחשבו: לפעול בעצמו או לפנות לאחד ממספר מצומצם של ספקים שנבחרו לצורך עניין זה ולהיעזר בהם לנקיון מחשבו.
המהלך כולל הרבה אתרי מידע להסבר על אבטחת מידע, קוד זדוני וכד', כך שלא מדובר במשהו העומד בפני עצמו, אלא כחלק מתפישה לאומית שהגנת מרחב המיחשוב של אוסטרליה שזו דאגה של המדינה, שהחלה בפעילות נרחבת להגנת תשתיות לאומיות חיוניות לפני מספר שנים (באוסטרליה, הנושא באחריותו של התובע הכללי), כוללת באופן משולב גם איתור מחשבים נגועים של אזרחי המדינה (ולאו דווקא של ארגונים במדינה) וטיפול בהם.
אחד מהעקרונות של המהלך הוא שמירה קפדנית על פרטיותם של לקוחות ובלשונם:
The privacy of customers is paramount;
הפרוייקט הושק ב-1 בדצמבר 2010 וייבחן לאחר 18 חודשי הפעלה ראשוניים.
מאחורי היוזמה עומד איגוד תעשיית האינטרנט באוסזטרליה: Internet Industry Association והמנוע מאחוריו הוא מנהלו הפורש של האיגוד, Peter Coroneos.
הוא הוזמן להציג את היוזמה ב-6 במאי 2011 בפני הווארד שמידט, ראש תוכנית הגנת המרחב המיחשובי בארה"ב. כמו כן, לדברי פיטר קורונאוס היוזמה הזו דחתה איומים של הממשלה האוסטרלית להתחיל בחקיקה מגבילה לשירותי האינטרנט במדינה.
כל החומר על היוזמה הזו פתוח באינרטנט באתר ייעודי: http://www.icode.net.au
אתר האינטרנט של איגוד תעשיית האינטרנט האוסטרלי: http://www.iia.net.au/


2. ארה"ב: התמודדות משפטית וטכנולוגית כוללת
בעוד היוזמה האוסטרלית איננה מטפלת בשורש הבעיה, אלא רק עם התוצאה, ניקוי מחשבי קורבנות, ארה"ב פתחה ביוזמה מקיפה שמטרתה לצמצם את הזיהום במרחב האינטרנט "קצה לקצה". בשלב זה מדובר בפעילות שיעדה Botnet ספציפי המכונה: Coreflood, הפעיל מזה עשור וכמות המחשבים שנדבקו באמצעותו עומד על כ-2 מליון מחשבים.
המהלך כולו מגובה משפטית מטעם משרד המשפטים האמריקני ומנוהל ע"י ה-FBI בתוך ארה"ב ומתואם באמצעות היחידה הבינלאומית שלו מחוץ לגבולות ארה"ב.
הפעילות שהחלה ב-12 באפריל 2011 כוללת את המרכיבים הבאים:
א. תפישת חמשת מחשבי השליטה והבקרה (Botnets C&C) ו-15 מרחבי הכתובות (DNS) של הגורמים המבצעים את הדבקת מחשבי הקורבנות. במקביל, ועל בסיס הסכם לסיוע משפטי הדדי, רשויות אכיפת חוק באסטוניה תפשו שרתים אחרים שככל הנראה פעלו כמחשבי השליטה והבקרה הקודמים של ה-Botnet. כל זאת מבוצע ללא שקיימת הצבעה על זהותם של מפעילי ה-Botnet, ובכתב התביעה מדובר ב-13 אלמונים שכולם מזוהים בשם: John Doe.
ב. החלפת המחשבים הללו בשני אחרים (אחד מהם הפסיק את פעולתו 9 ימים לאחר שהחל) ובשתי כתובות DNS אחרות בשליטת ה-FBI. מחשבים נגועים שהתקשרו כעת למחשבי השליטה והבקרה קיבלו במענה פקודת עצירה למניעת המשך התקשרות המחשב הנגוע.
ג. עוד פרטים נחשפים בתצהיר לבית המשפט של סוכנת ה-FBI Briana Neumiller מתאריך: 23 אפריל 2011:
 שלושה סוגי כתובות IP נחשפו כתוצאה מהמלכים שתוארו לעיל:
1 . כתובות IP בתוך ארה"ב שהוענקו ע"י ספק שירותים בארה"ב ללקוח קצה שאיננו ידוע באופן פומבי.
2. כתובות IP בתוך ארה"ב שהוענקו לגורם בר זיהוי.
3. כתובות IP מחוץ לארה"ב.
 אופני הפעולה שננקטו:
1. לקטגוריה הראשונה, ה-FBI סיפק וממשיך לספק לספקי השירות את הכתובות של מחשבים שנחזים להיות נגועים ב-Coreflood ביחד עם טופס על "הודעה על מחשב נגוע" שאותו ה-ISP ישגר ללקוח הקצה.
2. לקטגוריה השניה, ה-FBI פנה באמצעות משרד ה-FBI המקומי, לגורם המזוהה ומיידע אותו ישירות. נכון למועד מתן התצהיר, כוללים כ- 17 מדינות או רשויות מדינה מקומיות, כולל מחלקת משטרה אחת, שלושה נמלי תעופה, שני קבלנים של משרד ההגנה, חמישה מוסדות בנקאיים או מוסדות פיננסיים, כ-30 אוניברסיטאות וקולג'ים, כ-20 בתי חולים או מוסדות טיפול רפואי אחרים.
באחד מבתי החולים, כך דיווח מנהל אבטחת המידע של אותו ביה"ח, נתגלה כי כ-2,000 מתוך 14,000 מחשביו נגועים.
לגורמים הנ"ל מסופק טופס הרשאה לקבלת הסכמת הגוף הנגוע לביצוע ביטול הקוד הזדוני ממחשביו.
3. לקטגוריה השלישית, ה-FBI הכין רשימת כתובות עפ"י מדינה. זו סופקה לאגף לפעילות בינלאומית של ה-FBI אשר ימשיך לטפל בנושא באמצעות העברת המידע לגורמי אכיפת החוק במדינות הרלוונטיות.

האם פרוייקט ADEONA כפי שכונתה הפעילות הזו הינו יחיד או יריית פתיחה לפעילות עתידית?
גורדון סנו, העזור למנהל אגף הסייבר של ה-FBI אומר בתשובה לשאלה כי הפעילות הזו תמשך גם כנגד Botnets אחרים. ימים יגידו.

לסיכום:
בעולם החלו יוזמות, אומנם הם עדיין בודדות ובוודאי שלא מדובר במענה של זבנג וגמרנו. סימני שאלה רבים עומדים על הפרק. גם לא ברור עד כמה היוזמות האלו נוחלות הצלחה ארוכת טווח. אבל שני מקומות מהחשובים בעולם טכנולוגיית המידע המודרנית הכירו בעובדה שיש לבצע שינוי משמעותי והם עושים. עשייתם מלמדת שהדיבורים אצלם נעשו כבר במשך השנים האחרונות וכעת יש בידם יכולת להוציא מהכח אל הפועל, ובמקביל ממשיך להתקיים דיון בנושא.
אני יכול רק להמליץ בפני אותם גורמים במדינת ישראל האמונים על הנושא, ללמוד ממה שקורה בעולם, לבחון את האופנים שבהם החלו לטפל ולהתחיל לרתום את הגורמים שיש לשתפם לפעילות בישראל, ויפה שעה אחת קודם.

יום חמישי, 19 במאי 2011

כיצד השתמש בן לאדן בדוא"ל בלי להתגלות ע"י ארה"ב

למרות שבמקום מחבואו לא הייתה לו גישה לאינטרנט, אוסמה בן לאדן עשה שימוש נרחב בדוא"ל. הוא בנה תהליך מדוקדק וזהיר אשר שמר אותו צעד אחד לפני מיטב המצותתים של ממשלת ארה"ב.
התהליך שתואר לכתב ה-AP ע"י גורם רשמי העוסק במלחמה בטרור וגורם נוסף שתודרך ע"י גורמי החקירה מטעם ממשלת ארה"ב, שימש אותו היטב במשך שנים תוך שהוא משאיר את גורמי המעקב אחריו מתוסכלים. התהליך איפשר לבן לאדן שהישאר בקשר עם שלוחיו ברחבי העולם בלא להותיר עקבות אלקטרוניות.
אז כיצד זה עבד? התהליך התבסס על משמעת ואמון והותיר אחריו ארכיון גדול של דוא"לים שייסרקו כעת ע"י החוקרים. האוצר הבלום של הודעות הדוא"ל שהוצא ע"י האמריקנים בעת הפשיטה לאחר הריגתו מגלה אלפי מסרים ופוטנציאל למאות כתובות דוא"ל ומספרי טלפון.
מסוגר בתוך המתחם המגודר שלו בצפון מזרח פקיסטן ללא יכולות תקשורת טלפונית או אינטרנט, בן לאדן היה מקליד את ההודעה שרצה להעביר לשלוחיו על גבי מחשבו, שומר אותה על גבי DOK. את ה-DOK היה מעביר לידי בלדר מהימן שהיה יוצא איתו לקפה אינטרנט מרוחק. שם הבלדר היה מחבר את ה-DOK למחשב, מעתיק את ההודעה הכתובה להודעת דוא"ל ומשגר אותה לנמענים. גם התהליך ההפוך פעל באותה הצורה, הבלדר היה מעתיק את ההודעה ל-DOK, מביא את ה-DOK למתחם, שם בן לאדן היה מחבר את ה-DOK למחשבו וקורא אותה.
היה זה תהליך איטי, מיגע, אבל מדוייק ומוקפד, כך שאנשי מודיעין ותיקים מתפעלים מהיכולת של בן לאדן להפעיל אותו באופן מוצלח זמן כה רב. בארה"ב חשדו זמן רב שבן לאדן משתמש בבלדרים על מנת לתקשר, אבל היקף השימוש נחשף רק כעת, לאחר הריגתו ותפישת החומרים שהותיר.
מדובר בכ-100 DOKs אשר בהם מתועדים התשדורות שעברו הלוך ושוב בין בן לאדן ושותפיו ברחבי העולם.

יום שלישי, 29 במרץ 2011

The changing landscape of Information technology drives changes in information technology security

I thought this subject to be interesting enough for the global IT & security community so I decided to write it in English instead Hebrew. The article will follow the evolving history of IT & IT security from the start point of IT security somewhere during the 60's of the 20th century till today, the beginning of the 2nd decade of the 21st century, about 50 years altogether. I'll not hide the reasons behind writing this blog entry, It's a combinations of my personal knowledge & thoughts about what happened during the past 50 years in IT & IT security and what lies ahead in the coming years. I was also inspired by an interesting white paper called: "Rethinking Information Security to Improve Business Agility", By Intel IT. Published January 2011:


So Its going to be a combination of history and some prophecy.


1. 20th century: 60's – 70's – Computers were found almost only at companies. Computers were BIG machines located at specially designed Computer Centers that needed careful design, special cooling systems etc. Users used a terminal but had no independent computing power of their own.

Security: Information security was mainly the business of those handling those big machines coupled with a never ending problem - the human factor. The known answer was (and still is): user awareness.

2. During the 70's started to appear on the market early "Personal Computers" like: commodore 64, Atari machines, Sinclair computers (I had one) and others. Those were computers with limited capabilities, but they started a revolution. No more computers at companies only. These were the first wave of computers owned by people. NO connection of these early computers to the company computers.

Security: Security? Nothing changed as a result of these newcomers.

3. 12 August 1981 – IBM PCG the first PC (Personal Computer) from IBM is announced and arrives at the market. It costs between 1,500 $ (the basic configuration) up to 6,000$ for a fully loaded version with color graphics. A lot of other companies rise, fall or merge to create today a huge industry of Personal Computers. The beginning was modest. A clumsy machine for personal use. NO connection to corporate computers. What changed the way the organizations looked at the PC was one application: THE SPREADSHEET. Then it was called Lotus 1-2-3. It was a huge success. Now we all use Excel for personal and organizational usage.

Security: At this point, information security was not a word mentioned together with personal computing. The challenge was to make it something worthwhile for business. This will take sometime.

4. The 80's saw the emergence of Networks based on PCs instead of Main computers and terminals. In this new era, the "main computer" is called "A server" and the workstations are called "Clients". The important point is that the end user has a computer on his desk, not just a "dumb terminal". It started as a Local Area Network (LAN) and his parallel Wide Area Network (WAN). During this decade emerged the connection of computers by telephone lines using modems. Across the world and in Israel BBSes started to emerge. A BBS (Bulletin Board System) used to be like a "mini Internet". It's a computer managed by somebody (organization or private). He keeps the information and manages connections of others to this information & enables the communication among the subscribers to his service. BBSes used to provide much of what Internet provides today.

Security: As those PCs started to become part of the "organizational computing infrastructure", the problem of securing them arose and from that time on the words "PC, server, workstation or endpoint" and "security" or "Insecurity" (depending who is the speaker and when) are inseparable.

5. In the 90's a lot starts to change:

5.1. Slowly but steadily, Internet emerged as a powerful tool for the working environment and for personal use.

5.2. PC industry develops a new "branch", the laptops, a portable personal computer. A PC that can be taken by the end users in a bag, weights a few kilos and holds anything as if it was the PC in the office.

5.3. The connection possibility using the telephone lines from any point to any point made it possible to connect people (generally system administrators and technical staff) from home to the main company computers to assist in problem determination and solving after "normal" working hours. At that time, this was the main reason to allow remote access to the main "crown jewel of the IT at the company", the main computers. We all remember the famous software PC Anywhere used for this purpose.

5.4. Then came the Y2K crisis and almost everybody replaced the old Technology and bought new hardware and software to avoid this coming crisis. Now at the beginning of the new century, the 21st century, the companies had a lot of modern IT. This was a good reason to explore new directions with this new & advanced technology.

Security: Information Security in general is following the changes in the use of IT described above, but always lagging behind new technological innovations of IT and the ways they are being used.


6. The 21st century:

6.1. Emergence of more remote access to the organizational computers connectivity. Organizations allow remote access not solely for problem solving, but many if not all business activities have the ability to be carried out by the relevant employees from outside the organization via remote access, by using secured channels over the unsecured Internet.

6.2. Emergence of customers accessing the organizational computers as part of the service to customers, replacing many of the traditional physical engagements between the customer and the service giver.


6.3. As we turn the page and enter the 2nd decade of the 21st century starts a new revolution. Instead of two separate devices, a computer and a mobile phone, one device being both: a computer and a cellular phone. This is the SMARTPHONE.


Security: We are at the beginning phase of a revolution in security architecture. Till now we are accustomed to use a static architecture. We implement a lot of security features. On the servers, throughout the entire enterprise network, end point security on every end point workstation inside the enterprise, the perimeter of the enterprise is filled with a lot of security features comprising H/W & S/W, security on laptops, encrypted DOK and monitoring capabilities with siem/soc functionality etc. What is emerging is the need to adjust to a dynamic situation instead of a static one. We start to use sometimes our own mobiles, from different places (home, internet café's, planes, different countries etc.), asking for various kinds of using rights from the enterprise where we work or other organizations where we are registered as clients or support team or whatever it be. This new security architecture should be able to identify the risk that a connecting device poses to the device it wishes to connect to, or the risk posed by the services the connecting device asks for throughout the IT infrastructure. I'll not go further into details of this architecture but I believe this is the revolution IT security will undergo in the coming years.


יום ראשון, 27 במרץ 2011

‏הדלפת המסמכים הגדולה בוויקיליקס והמענה שיינתן

הסיבות: צירוף של צורך לשתף מידע בין מחלקת המדינה (מידע דיפלומטי) וסוכנויות ביון שונות, קושי ביישום עיקרון "הצורך לדעת" במערכות מודיעיניות והסתמכות על ההכשר הביטחוני ללא בקרה טכנולוגית על הוצאת חומר מסווג. המענה: מניעה ובקרה טכנולוגית על הוצאת מידע מסווג ושינויי חקיקה שמשמעותם איבוד פנסיה לעובד פדרלי בסוכנות ביון שידליף חומר ואפילו איננו מסווג.


ב-8 במרץ התקיים שימוע בוועדת הסנט לביטחון וענייני המדינה שבה הציגו פטריק קנדי, תת שר המדינה האמריקני, ותומס פרגוסון, סגן תת השר העיקרי למודיעין של משרד ההגנה, כיצד התאפשרה התקלה במנגנוני האבטחה שגרמה בסופו של דבר שהחייל הזוטר, טוראי ברדלי מנינג מצליח לשלוף מעל רבע מליון מסמכים מסווגים ומברקים דיפלומטיים רגישים מהרשת המאובטחת של משרד ההגנה ה-SIPRNet ולהעתיקם ל-CD's. המברקים הללו נמסרו לויקיליקס אשר פרסם אותם במהלך חודש נובמבר 2010. ההעתקה בוצעה במהלך כחצי שנה: נובמבר 2009 – מאי 2010. באותו השימוע, המנמ"רית של משרד ההגנה, טרזה טקאי מציגה כיצד משרד ההגנה מתכנן לשפר את מערך אבטחת המידע על מנת להגן טוב יותר מפני נסיונות עתידיים של גניבת מידע מסווג. ועוד בבלוג זה, על מהלכי חקיקה עתידיים ותוכנית ה-Director of National Intelligence בנושא.


1. כיצד התאפשרה הדליפה הענקית של מסמכים מסווגים לוויקיליקס

1.1. לשאלה מדוע רשת המחשוב המסווגת של ה-DoD תכיל מסמכים דיפלומטיים של מחלקת המדינה האמריקנית ותהיה נגישה למישהו שאיננו נדרש להם לשם ביצוע תפקידו ניתנה התשובה שהמברקים האלו נמצאים ברשת משרד ההגנה על מנת שקציני המודיעין הצבאי יהיו נגישים להם. כמו באינטרנט, חלק מהמידע ב-SIPRNet מוגן סיסמה וחלק לא. המברקים הללו לא היו מוגני סיסמה.

1.2. לדברי המשתתפים בשימוע הם מאמינים בחשיבות שיתוף מידע. תהיה זו טעות גדולה וסיכון לביטחון הלאומי אם מחלקת המדינה תנסה להגדיר כל אחת מ-65 הסוכנויות שאיתן משתפים מידע כדי לומר: "טוראי סמית יכול לצפות במברק זה, לויטנט ג'ונס יוכל לצפות במברק אחר". המדיניות שבתוקף כבר שנים רבות בין מחלקת המדינה והסוכנויות האחרות הינה שאנו מספקים את המידע לסוכנות אחרת והסוכנות האחרת אחראית לבקרת הגישה של עובדיה למידע שאנו מספקים לה.

1.3. חוקי אבטחת מידע אחרים מיושמים במערכות IT באזורי קרבות. בשונה מההומוגניות של מערכות IT אשר משתפות מרכיבים דומים בארה"ב, כפי שנמצא ב-Bank Of America, מחשבים באזורי קרבות בהרבה מקרים מחוברים באופן בלתי מקצועי / ברשלנות. ולעתים על מנת להעביר מידע ביניהם, פשוט ומהיר יותר להשתמש במדיה נתיקה, במיוחד כאשר באזורי קרבות אלה, צבא ארה"ב עובד יחד עם צבאות אחרים שלהם מערכות מיחשוב אחרות. המיקוד בשדה הינו מהירות וגמישות - (Speed & Agility). נלקח סיכון מחושב של הענקת הרשאת גישה לא רק לטוראי מנינג, אלא גם לרבים אחרים אשר משרתים שם "לנוע באותו הקצב". לכל מי שהותרה גישה לרשת ה-SIPRNet יש הכשר בטחוני. רוב המיקוד שלנו בנושא מענה לאיומים, כוון כנגד הסיכון של חדירת גורם עויין חיצוני. ולא לאיום הפנימי.


2. המענה המתוכנן של משרד ההגנה האמריקני

2.1. על מנת למנוע פריצות עתידיות, המנמ"רית של משרד ההגנה אמרה שתתחיל הנפקה למשתמשי רשת ה-SIPRNet של כרטיסים חכמים הזהים לאלו שחולקו למשתמשי הרשת הלא מסווגת שלהם. המספר הגדול של כרטיסים שנדרש לחלק (חצי מליון), ביחד עם קוראי כרטיסים ותוכנת העזר הנלווית, משמעותו שהחלוקה תסתיים בסוף שנת 2012. ויקח עד מחצית 2013 כך שכל שרתי SIPRNet יכירו בכרטיסים.

2.2. זמן ההנפקה הארוך נגרם מאחר ויש להנפיק מספר גדול של כרטיסים בסביבה ברת אמון, ובנוסף, מספר גדול של מחשבים וכח אדם אשר אמורים לקבל את הכרטיסים, קוראי הכרטיסים והתוכנה מצויים באתרים מבודדים, כגון ספינות בלב ים.

2.3. המנמ"רית הוסיפה שהמשרד מקווה למנוע הישנות דליפת מידע בעתיד באמצעות הטמעת מערכת אבטחה אשר מנטרת את קונפיגורציית המחשב. מודול במערכת מבצע בקרה על שימוש בהתקנים ומאפשר לבטל את היכולת לעשות שימוש במדיה נתיקה. עבור מקרים יוצאים מן הכלל האמור, יופק דוח בזמן אמת לכל נסיון לכתיבה למדיה נתיקה. במחשבים שבהם לא תוטמע מערכת האבטחה ייעשה שימוש באמצעים אחרים, כגון: הורדת התוכנה המאפשרת כתיבה ל-CD. המנמ"רית ציינה שהמשרד ביטל את אפשרות הכתיבה ב-90% ממחשביו ורכיביו. בשאר אלו שבהם הושארה יכולת הכתיבה למדיה נתיקה חיצונית מסיבות של דרישה מבצעית, ביצוע העתקה נעשה תחת בקרה אנושית הדוקה.

2.4. המנמ"רית הוסיפה כי המשרד בוחן מודול ביקורת ייעודי שפותח ע"י ה-National Security Agency הניתן לשילוב במערכת האבטחה. המודול משפר את יכולות מערכת הביקורת הקיימת ומדווח למפעילי הרשת על התנהגות חשודה של משתמשים ברשת.

2.5. בתשובה לשאלה מדוע משרד ההגנה איננו מתבסס על תוכנה מבוססת תפקיד (roll based software) המגבילה את המשתמשים למידע שקיבלו היתר לגשת אליו מתוקף תפקידם (Need To Know) ענתה המנמ"רית שאומנם הטכנולוגיה ישימה, אך במקרים רבים יהיה קשה לקבוע עפ"י הגדרת התפקיד מהן ההרשאות שיש להעניק למי שמבצע את אותו התפקיד. לדבריה, בעוד שייתכן שאפשר יהיה למנוע מהאנליסט הכלכלי מלקבל גישה להיקפים גדולים של מידע מודיעיני, עדיין יידרש כי האנליסט המודיעיני או מתכנן הפעילות יידרש לגישה לכמות עצומה של מידע מאחר וגישה כזו הינה חיונית להצלחת הפעילות של הפונקציה אותה הוא משרת.


3. שני צעדים נוספים נחשפים גם הם במהלך חודש מרץ

3.1. חקיקה שתלויה ועומדת בוועדת הסנט לענייני מודיעין תחייב עובדים פדרליים המועסקים ברשויות מודיעיניות לחתום על נספח לחוזה שבו הם מתחייבים לוותר על הפנסיות הפדרליות שלהם באם ייתפסו מדליפים אפילו מידע לא מסווג לגורמים חיצוניים דמויי וויקיליקס או אפילו לחברי קונגרס. הדרישה הזו הופכת את המדליפים לגרועים ממרגלים וזו נקודה מעניינת למחשבה. אשתו של אחד מרבי המרגלים רוברט הנסן, הצליחה לקבל מחצית מהפנסיה של בעלה לאחר הגעה להסדר טיעון עם השלטונות בעוד בעלה הואשם והורשע בריגול חמור ויושב מאחורי סורג ובריח. שאלה נוספת האם מנסות סוכנויות המודיעין לחפות על "פשעים אזרחיים" כדוגמת הונאה ומעילה (והיו כאלו) בשם הביטחון הלאומי.

3.2. מנהל הביון הלאומי (Director of National Intelligence-DNI) מפרסם ב-11 במרץ הנחיה (דירקטיבה) לקהיליית המודיעין הדורשת גישת פעילות אחידה להגנת סביבת המידע של קהיליית המודיעין. סביבה זו היא סביבה מקושרת של סיכון משותף כאשר סיכון שנלקח ע"י גורם אחד של הקהילייה הופך מעשית לסיכון של כולם. על כן הגנה משולבת של סביבת המידע הינה חיונית על מנת לשמר את הסודיות, שלמות ואמינות וזמינות של המידע המצוי בכל אחד ממרכיבי הקהילייה. בעוד שההנחייה איננה מפרטת את אמצעי ההגנה שיינקטו היא קובעת שיכללו בה "איתור, בידוד, הכלה ותגובה לאירועים הכוללים דלף, הפסקת פעילות, ניצול פגיעויות, תקיפות ופגיעויות אחרות". יוקם מרכז תגובה לאירועים עבור הקהילייה אשר יאפשר קבלת תמונת מצב של טופולוגיית הרשת, כולל נקודות החיבור שבין רשתות חברי הקהילייה, איומים, ופעילויות אשר עלולות לפגוע בסביבת המידע של הקהילייה והצגת המצב הכללי של הגנת סביבת המידע של הקהילייה.

יום רביעי, 23 במרץ 2011

ניהול יעיל של אבטחת מידע בעשור הראשון במאה ה – 21 מרובת הרגולציות באמצעות הסמכה לתקן אבטחת מידע ת"י 27001 - עדכון למאמר מלפני שנתיים

מאמר שזו כותרתו פורסם בדיוק לפני שנתיים, כאחד מהמאמרים הראשונים בבלוג.
אם נתמצת את האמור בו תוך עדכון להיום, במשפטים הבאים:
ניהול יעיל של אבטחת מידע בארגון יתבסס על יישום אבטחת מידע באופן יזום ע"י מנהל אבטחת המידע לפני שייאלץ לעשות זאת בגין רגולציה מגזרית או חובה חוקית לאומית או בינלאומית. בתהליך זה מומלץ להשתמש בתקן 27001/27002.
היתרון הוא שבתהליך פרואקטיבי (יזום) ע"י מנהל אבטחת המידע יש סיכוי (מותנה במנהל אבטחת המידע ובהשגת התקציבים הדרושים) לבנות מערך אבטחת מידע ארגוני אפקטיבי המספק מענה סביר לאיומים ולסיכונים בכל מערך טכנולוגיית המידע לאורך כל מחזור החיים שלו ובסביבות השונות שבהן הוא מופעל.
תהליך יישום אבטחת מידע שיתבסס רק על חובה רגולטורית אומנם יתרחש, אבל בדרך כלל יש לו שני חסרונות מרכזיים:
1. לוח הזמנים מוכתב ע"י הרגולטור ועל כן המטרה איננה לעשות אבטחת מידע נכון, אלא לעמוד בדרישות עפ"י לוח הזמנים.
2. מסיימים ליישם אבטחת מידע היכן שמסתיימת הדרישה הרגולטורית. הפורץ איננו מסיים לפרוץ עפ"י קווי ההגנה שהרגולטור קבע. להיפך, נקודת ההתחלה שלו היא בדיוק נקודת הסיום של הרגולטור, ובכך הופך את יישום הרגולציה רק עד לנקודה שבה הרגולטור אמר את דברו לבעייתית. שכן היא יוצרת פירצה מצויינת עבורו. הוא אפילו לא צריך להתאמץ לחפש אותה היא מוגשת לו על "מגש של כסף".
לפני חודשיים,מופיע מאמר שכותרתו פרובוקטיבית:
Security: Best practice or ancient ritual? Time to Scrap ISO 27002 security standards says its author
אמירה נוקבת. הוא איננו מאשים אחרים, שכן לדבריו הוא עצמו כתב את רוב הטיוטה של מה שהפך ברבות הימים להיות התקן.
הוא יוצא בעיקר כנגד העובדה שהגיון בריא ויצירתיות פסו מעולם אבטחת המידע. לדבריו לפני שני עשורים עולם אבטחת המידע היה עשיר ברעיונות תחרותיים ואילו כיום כל מצגת דומה לאחרת. מנהלי אבטחת המידע כבולים לטחנת רוח של דרישות ציות שאבד עליהם הכלח ומונע מהם להסתכל קדימה לעבר הסיכונים החדשים.
לדעתי הברנש צודק וטועה. הוא צודק בעובדה שעולם אבטחת המידע קפא על שמריו, יש המון טכנולוגיות חדשות אבל חשיבה חדשנית ויצירתית חסרה. הוא טועה בכך שהוא מאשים את התקן. התקן נולד מתוך מציאות שבה מוצרי היסוד של מערך טכנולוגיית המידע (חומרות ותוכנות) אינן מספקות אבטחה טובה, ועל כן יישום אבטחת המידע נותר לשלב ההטמעה של הטכנולוגיות הללו בארגון.
התקן לניהול אבטחת המידע (27001/27002) איננו פתרון לשאלה מדוע מוצרי היסוד (חומרה ותוכנה) אינם מאובטחים כראוי. זו בעיה אחרת. התקן מספק מענה שבהינתן חומרות ותוכנות אלו, מהי המעטפת האבטחתית שהארגון מספק. בכך זו כבר שאלה של מנהל אבטחת המידע בארגון לאן הוא לוקח את הארגון במסע להסמכה לתקן.
אשמח לקבל תגובות ולשמוע דעותיכם בנידון.

יום חמישי, 10 בפברואר 2011

הגנת פרטיות ואבטחת מידע, לא שני צדדים של אותה המטבע.

המאמר השלישי יעסוק בנושא הגנת פרטיות ואבטחת מידע.
חשבתי שיהיה זה המאמר האחרון בסדרה זו, ובא פסק דין תקדימי של בית הדין לעבודה בעניין
מה מותר ואסור לכם לעשות במחשב של העבודה :
http://www.ynet.co.il/articles/0,7340,L-4026589,00.html
וגרם לכך שבימים הקרובים תתווסף לה רשימה רביעית בסדרה זו.

לכאורה אמירה תמוהה: הרי בחוק הגנת הפרטיות הישראלי, אבטחת מידע הינה אבן הראשה בכל הגנת הפרטיות.
במאמר זה אני מנסה להציף נושא בעייתי. טענתי היא שפעילויות מסויימות הנדרשות לשם שמירה על רמה נאותה של אבטחת מידע, עלולות לגרום (וככל הנראה מחוסר הבנה ומודעות לעניין) גורמות כיום לפגיעה בפרטיות, יתר על כן, הפגיעה נובעת מדרישות רגולטוריות אזרחיות ולא דרישות בטחוניות.

נקח לדוגמה את הדרישה הקיימת ברגולציות רבות (ישראליות ובינלאומיות) של רישום מלא של פעילויות עובדים ולקוחות במערכות המידע. כך ארגונים פיננסיים למול עובדיהם ולקוחותיהם, כך ארגונים העושים שימוש בכרטיסי אשראי במסחר אלקטורני (מסוגים שונים) למול המבצעים את פעילויות הקניה ועוד. בעידן של שימוש באמצעים ניידים (בלשון העדכנית "טלפונים חכמים", אלא שזה איננו טלפון כלל וכלל, זה מחשב לכל עניין ודבר) לפעילויות הללו, לא רק שנשמר מידע על מבצע הפעילות, אלא עלול או עשוי (תלוי בנקודת המבט) להירשם מידע על מיקומו של מבצע הפעילות בעת עשיית הפעולה (במכשירים אלה, GPS הינו מרכיב מובנה...). המצרפיות של המידע הנאגר במערכות המידע הארגוניות, שנדרש לאוספן, לשומרן ולנתחן מהסיבות הכי מוצדקות ברמה הפיננסית (מניעת הונאות, עקב גניבת זהות לדוגמה), מאפשרת מהפן השני בניית פרופילי התנהגות, איתור מיקומו של הלקוח (בניית פרופיל "התנהלות גיאוגרפית") ונתונים נוספים שהינם אישיים פרטיים. השימוש בהם נתון לגחמותיו של הארגון.
מן העבר האחד, אפילו נניח שאיסוף ושמירת כל הנתונים חיוני ונעשה תוך שימוש במיטב שיטות ואמצעי אבטחת המידע ההולכים ומשתכללים, למיטב ידיעתי, שיקולי הגנת הפרטיות הקשורים בעצם איסופם, אופני שמירתם (כולל גיבויים) ועיקר העיקרים למי הזכות לצפות בהם, אילו שימושים מותרים ואילו אסורים, מה משך שמירתם והיכן, אינם נדרשים ע"י הרגולטורים השונים, ומן הסתם אינם מחייבים באותה הרמה כפי שמחייבים שיקולי אבטחת המידע.
דוגמה נוספת הינם פערים מהותיים בידע וביכולת יישום דרישות אבטחת המידע אל מול הגנה על הפרטיות.
בעוד שהדרישה למימוש אבטחת מידע נדרשת מהארגונים, הדרישה להתמודד עם ההגנה על הפרטיות "מופלת" ברובה על הפרט. בארגונים רבים יש מנהל אבטחת מידע, מנהל טכנולוגיית המידע, וצוות מקצועי רב ומיומן (יחסית) להתמודד עם נושאי אבטחת המידע. אם חסר, אז יתכבד הארגון וירכוש שירותים מקצועיים במיקור חוץ. היכן אנשי המקצוע שתפקידם לממש הגנת פרטיות בארגונים? נדא, אין. אפס. את ההגנה על הפרטיות משאירים לאזרח עצמו. זה כל כך מגוחך שאני חושב שאין צורך להוסיף אפילו מילה אחת מהי המשמעות.
אפילו בחוק הגנת הפרטיות הישראלי הקיים המקצוען בחוק הינו: "ממונה על אבטחת המידע" ואין שום דריש למקצוען "ממונה על הגנת הפרטיות". (כאן המקום לגילוי נאות: אני אחד ממעצביו של החוק. בשנים 1994-1996, בעת היותי מנהל אבטחת המידע במשרד הבריאות, השתתפתי מטעם המשרד בישיבות וועדת החוקה חוק ומשפט והייתי זה שבמו ידיו גרם להוספת הסעיף המחייב מינוי ממונה על אבטחת המידע. בשנת 1996 זה נראה שיפור משמעותי להגנת הפרטיות. היום זה איננו המצב). הפער הזה ממש צועק לשמים.
למעשה, ככל שפתרונות אבטחת המידע מאפשרים את פריחת המסחר האלקטרוני, השימוש באמצעים ניידים אישיים וביצוע חלק משמעותי של הפעילויות הדיגיטליות "תוך כדי תנועה", כן יגבר הלחץ לוותר על הפרטיות. אנו נחזה ביותר כלים טכנולוגיים של מיקוד הפרסום מול הגולש, פיתויו לבצע Personalization מול האתר האינטרנטי, שימוש מרובה ב – Cookies וכדו', מבלי שהגולש התמים מבין בכלל את המשמעות של החדירה לפרטיותו המתלווית לכל הטכנולוגיה הזו. נכון, יש לו אפשרות "לוותר" opt out...
נדרשת רוויזיה משמעותית בהבנה שבלי אבטחת מידע אין הגנת פרטיות, אך הגנת פרטיות מחייבת הרבה יותר מאשר אבטחת מידע. בין יתר השינויים הנדרשים יש להפוך את נושא הגנת הפרטיות למקצוענות מחייבת בדומה לאבטחת מידע.

יום רביעי, 9 בפברואר 2011

הגנת פרטיות - על ציות ואי ציות לחוק במדינת ישראל

המאמר השני בסדרה יעסוק בנושא של ציות לחוק. במקרה זה, ציות לחוק הגנת הפרטיות.
במהלך כהונתי כמנהל אבטחת המידע של משרד הבריאות נשאלתי לא אחת ע"י מנהלי בתיה"ח הממשלתיים, מהן החובות שלו כמנהל מאגר המידע המרכזי של ביה"ח ובייחוד חובות שעל פניהן איננו יכול לעמוד בהן. דוגמה מובהקת הינו הסעיף הבא המגדיר את אחד מהמקרים המנויים בחוק לפגיעה בפרטיות, פרק א', סעיף 2, סעיף קטן 11:
פרסומו של ענין הנוגע לצנעת חייו האישיים של אדם, לרבות עברו המיני, או למצב בריאותו, או להתנהגותו ברשות היחיד.
ונצטמצם ל: "פרסומו של עניין הנוגע... למצב בריאותו של אדם".
בלשון פשוטה, פרסום דבר אשפוזו של אדם בבי"ח (שכן אדם בריא איננו מתאשפז, אלא רק מי שחולה) מהווה פגיעה בפרטיות. למותר לציין שבמדינתנו רוויית אירועי ריבוי נפגעים, לא ניתן היה בעבר (וספק אם גם כיום) לציית לדרישת סעיף זה בחוק, והוא איננו הסעיף היחיד הבעייתי.
ומה הייתה תשובתי למנהלי בתיה"ח? בלשון של היום היינו מכנים אותה: ניהול סיכונים כולל, אלא שאז ניסחתי זאת כך:
מדינת ישראל מינתה אותך לנהל בית חולים. בתפקיד זה עליך למלא אחר מגוון דרישות חוק, רגולציות, צווים, הנחיות מקצועיות ומינהליות. כולם נועדו להגדיר ולסייע לבית החולים למלא את ייעודו כמוסד רפואי במדינת ישראל המטפל בחולים. לא התמנית למלא אחר שורה אחת, פסקה אחת או חוק אחד. התמנית כדי שתעצב על פי נסיונך המקצועי והניהולי ובעזרת ההנהלה של המוסד את התקן שעל פיו יפעל המוסד שאתה מנהלו. עליך למצוא את האיזון הנכון המתאים לאוכלוסיה אותה אתה משרת, החולים הבאים בשעריך, בני משפחותיהם וגם מעגלים רחבים יותר, ולהנחיות הפורמליות המוטלות עליך. אין בסמכותי מטעם משרד הבריאות לומר לך לא לציית לדרישה בחוק. בסמכותך לקבוע את סדרי העדיפויות על מנת לבצע את תפקידך ולעמוד על כך לביקורת הציבורית כפי הקבועה בחוק. ובכל תנאי, עליך לפרסם את ההנחיות שעל עובדי המוסד לעבוד על פיהן, לוודא הדרכתם בעת קבלתם לעבודה ובאופן תקופתי, ועיקר העיקרים, ולגבות אותם במידה ופעלו בהתאם להנחיותיך. זוהי תמציתה של מנהיגות ניהולית.
כך נהגתי אני עצמי בתהליכי קבלת ההחלטות בתחום אחריותי במשרד הבריאות. ניהול פירושו ללמוד את התחום, לקבל החלטות ולעמוד לביקורת הרלוונטית על אותן ההחלטות.
דוגמה א': החלטתי בזמנו כי מאחר ואין הפרדה חוקית בחוק ובתקנות להגנת הפרטיות בנושא סוגי מידע רפואי לחלקיו השונים, אזי נהלי אבטחת המידע להגנת המידע הרפואי במסגרת מערכת הבריאות הממשלתית יהיו אחידים ולא יבדילו בין סוגי מידע רפואי. חושבת החברה הישראלית כי מידע בתחום בריאות הנפש רגיש יותר, תתכבד החברה הישראלית באמצעות נציגיה בכנסת לשנות את החקיקה בעניין זה.
דוגמה ב': על הפרק מימוש דרישות אבטחת מידע בבתי החולים הממשלתיים הכלליים. השנה 1997. באותה השנה יוצא לדרך פרוייקט נמ"ר. פרוייקט שמשמעותו החלפת כל מערך המיחשוב בבתי חולים אלה בתוך מספר שנים. החלטתי לא "לטרטר" את בתי החולים בשיפור המצב הקיים ולהשקיע את כל המאמצים בשילוב דרישות אבטחת המידע בפרוייקט הנמ"ר.
שתי ההחלטות נבעו מהליך של ניתוח המצב הקיים על בסיס "ניהול סיכונים כולל", הצגת ההמלצה בפני דרגי הניהול במשרד הבריאות ובפני גורמי הביקורת הרלוונטיים כדוגמת מבקרת המדינה ושכנועם. בכך הוכח כי ישנה דרך אמיתית להתנהל בטווח קצר, בינוני וארוך במערכת הממשלתית כאשר לך כמנהל אבטחת המידע יש את הידע, היכולת והכושר הניהולי להתמודד, כמו גם גיבוי ניהולי בתוך המשרד עצמו.

יום ראשון, 6 בפברואר 2011

חוק הגנת הפרטיות – מזכרונותי כמנהל אבטחת המידע במשרד הבריאות בשנים 1993-2000.

בכוונתי לכתוב מספר מאמרים העוסקים בהגנת הפרטיות ובחוק הגנת הפרטיות, בהגנת הפרטיות ובאבטחת מידע. תחילת עיסוקי בנושא החלה כאשר התחלתי את עבודתי במשרד הבריאות בספטמבר 1993 כאחראי על אבטחת המידע במשרד.
למאמר הראשון בסדרה קראתי בשם: חוק הגנת הפרטיות כ"חוק מחנך" .
בשנים 1993 ועד 2000 שימשתי כמנהל אבטחת המידע של משרד הבריאות. במסגרת זו הייתי נציג משרד הבריאות בישיבותיה של וועדת החוקה חוק ומשפט של הכנסת בדיוניה על התיקון לחוק הגנת הפרטיות, תיקון שנוסחו התקבל ב-12.3.1996 בכנסת וידוע כתיקון מס' 4 לחוק הגנת הפרטיות. זהו התיקון רחב ההיקף ביותר שבוצע בחוק מאז נחקק ועדיין הנוסח העדכני של החוק שאומנם שונה מאז 1996 מספר פעמים, איננו כולל שינויים מהותיים בכמות ובהיקף כפי שעדכון זה יצר באותה העת למול הקיים. יש לציין שבאותו המעמד תוקן רק החוק וללא תיקון מקביל בתקנות הגנת הפרטיות.
אני מודה שאינני משפטן ואת כל הידע שהיה לי בהבנת השפה המיוחדת שבה כתובים חוקים במדינת ישראל, שפה שקראתיה "עברית משפטית", קיבלתי מידיה המקצועיות של היועצת המשפטית של משרד הבריאות, עו"ד מירה היבנר-הראל ועד היום אני מודה לה בכל הזדמנות ולא אחסיר זאת גם הפעם, על הזמן שהקדישה לי והידע רחב ההיקף שהעניקה לי.
בראש וועדת החוקה חוק ומשפט באותם הימים, ימי ממשלת רבין, ולאחר הירצחו, ממשלת פרס ותקופת הפיגועים הרצחניים, עמד ח"כ לשעבר דדי צוקר ממרצ כאשר לצידו ח"כ אז והיום שר בממשלה, דן מרידור.
בדיון באחד מהסעיפים בחוק שאינם עומדים בקנה אחד עם המציאות הישראלית אמר לפתע יו"ר הוועדה, הח"כ לשעבר דדי צוקר: בהיבט זה חוק הגנת הפרטיות הוא חוק מחנך. כלומר ברור למחוקק שישנם בו סעיפים שאינם מציאותיים, אבל הם משדרים לאזרחי המדינה מגמה שעליהם ללכת לאורה, כך שברבות השנים החקיקה תיצור שינוי התנהגותי.
זו אמירה בעייתית. בחוק ישנם סעיפים שאי עמידה בהם משמעותה מאסר בפועל. האם תפקידו של חוק הוא לחנך או שתפקידו של חוק הוא להגדיר דרישות ולהעניש את פורעי החוק? חינוך אמורה להיות מלאכתם של בתי הספר לסוגיהם השונים, המורים, ההורים. חוק ובייחוד כזה שיש בו ענישה פלילית של מאסר בפועל אמור להיות בר אכיפה ואכיפתו מופעלת בפועל. נראה שבנושא "ערכים", והגנת פרטיות הינה "ערך" שלטה מגמה שאין חובה לציית אלא המחוקק מתווה כיוון, "מורה לחיים" לאי שם בעתיד, אבל ציות? ענישה? אלו מאיתנו והלאה. ואכן, חווינו שנים רבות של התעלמות מוחלטת כמעט של גורמי האכיפה למיניהם בנושא זה.
גורמי האכיפה כתבתי. ומה עם הממשלה עצמה? האם היא עצמה מלאה אחר הדרישות שחייבה אותה הרשות המחוקקת?
התחלפו ממשלות ומצאה עצמה ממשלתו הראשונה של ביבי נתניהו מחוייבת להקים את יחידת הפיקוח (סעיף 10 (ד) לחוק הגנת הפרטיות המתוקן): "שר המשפטים, באישור ועדת החוקה חוק ומשפט של הכנסת, יקים בצו, יחידת פיקוח שתפקח על מאגרי המידע, רישומם ואבטחת המידע בהם; גודלה של היחידה יותאם לצורכי הפיקוח". התיקון כאמור נחקק במרץ 1996 ונכנס לתוקף באפריל 1996.
הצו הוצא ע"י שר המשפטים לשעבר יוסף ביילין. התאריך: 15 נובמבר 1999. היה זה בממשלת ברק. למר צחי הנגבי שכיהן בממשלת נתניהו הראשונה כשר משפטים החל מנובמבר 1996 ועד לסיום כהונתה של ממשלה זו בקיץ 1999 לא היה מספיק זמן, עניין או תקציב להקים את יחידת הפיקוח.
רק בשנים האחרונות, בעקבות הקמת הרשות למשפט טכנולוגיה למידע בשנת 2006 והעומד בראשה, עו"ד יורם הכהן אנו רואים שיפור בנושא זה, אם כי עוד ארוכה הדרך לפנינו.

יום ראשון, 30 בינואר 2011

ניהול כולל של סיכונים

1. קצת על אוסטרליה


אוסטרליה חוותה בשבועות האחרונים אסון טבע בקנה מידה שקשה לתאר אותו, שטחים בגודל של צרפת וגרמניה ביחד הוצפו, ביניהן העיר השלישית בגודלה באוסטרליה, בריסביין.
יחד עם זאת, מספר הנפגעים בנפש יחסית קטן. עשרות בודדות. נכון, הרוב התרחש באיזורים לא מיושבים. גם אם ניקח את זה בחשבון, עדיין זה איננו מובן מאליו יחסית לכמות הבתים שנפגעו: עשרות אלפי בתים. כיצד זה קורה? האם זה נס?
זה לא נס. זוהי מקצוענות ולה שם אחד: ניהול כולל של סיכונים.
באתר של הגורם האחראי באוסטרליה להגנה על תשתיות לאומיות מופיע המשפט הבא:

It is vital that owners and operators of critical infrastructure, both the private sector and government organisations, are able to plan for, withstand and respond to a broad range of threats and hazards, including pandemics, negligence, accidents, criminal activity, cyber attack, and natural disasters that have the potential to disrupt their operations.

לא נעשית אבחנה בין לדוגמה: רשלנות (negligence), מתקפת מחשבים (Cyber attack), או אסון טבע (natural disaster), לכולם יש לספק מענה.
לדעתי, הסיבה שלא נעשית האבחנה ברמה האסטרטגית נובעת מהבנה בסיסית של ניהול סיכונים, כיוון שלשלל האיומים המתוארים ישנו פוטנציאל ליצור תוצאה סופית זהה. זאת למרות שהסיכויים שזו תתרחש כתוצאה מרשלנות, ככל הנראה שונה מאשר שתתרחש כתוצאה מאסון טבע, והסיכוי שיתרחש אסון טבע בהיקף שהתרחש בשבועות האחרונים הוא מזערי לעומת הסיכוי של תאונות, או מתקפת מיחשוב זדונית. ועדיין, ללא קשר לסיבה, התוצאה עלולה להיות אסון בממדים עצומים ועל כן המערך כולו מטפל גם בסיבות (כל אחת דורשת התייחסות מקצועית נפרדת) וגם בתוצאות (אלו דווקא עלולות להיות זהות וללא קשר לסיבות שגרמו להן).

2. קצת על אירוע ההאפלה הגדול בהיסטוריה של ארה"ב, אוגוסט 2003
במהלך חודש אוגוסט 2003, אירעה תקלת החשמל החמורה בתולדות ארה"ב. 50 מליון אזרחי החוף המזרחי (חלקם בקנדה) זכו לכבוד המפוקפק של עלטת חשמל. זו נמשכה עבור אחדים מהם כשבוע.
הדוח המפורט של וועדת חקירה רשמית משותפת לארה"ב ולקנדה קבעה רשימה של סיבות לכשל המחריד. החל מאי ציות לנהלי גיזום עצים גבוהים שפגעו בחוטי הולכת החשמל, דרך חוסר מקצועיות של מפעילים בטיפול במשבר במערך הולכת החשמל ועד כשל בתוכנת ניהול המערכת, כשל מקצועי הידוע כ: race condition.
חלק מהכשלים היו כשלים חוזרים שכבר הופיעו באירועי עלטה קודמים, צויינות בדוחות ביקורת פומביים ולא טופלו כיאות על מנת שלא יחזרו על עצמם. (הלו, זה ארה"ב, נשמע יותר כמו ישראל?).
כלומר, אירוע חמור ביותר נגרם מרצף שניתן לתאר אותו במילה אחת: רשלנות. לא יותר, לא פחות. לרשלנות זו חברו גורמים שונים במקומות שונים במערכת הולכת החשמל בחוף המזרחי באותה העת, אך אם יש לנקוב בסיבה אחת, המילה רשלנות הינה התאור הנאמן ביותר.

3. קצת על ישראל
המדינה חוותה מספר אירועים שבהחלט נכנסים לקטגוריה של אירועים "אסוניים" בקנה מידה לאומי. שניים בתחום הטלקום: פגיעה ממשית בשירותי חברת סלקום בתחילת חודש דצמבר 2010, ודבר דומה בחברת בזק לפני ימים מספר והאירוע השלישי אירוע השריפה בכרמל שהתרחש מיד לאחר שהתרחשה התקלה בחברת סלקום.
כל שלושת האירועים נמצאים בתהליך בדיקה וחקירה ואיננו יודעים בדיוק מה הסיבה לכל אחד מהם. על כן במסגרת זו מותר להניח שהתרחשו מאחת הסיבות המנויות במסמך האוסטרלי.
אם ללמוד מהנסיון האוסטרלי, ניתן לומר שיש לספק מענה לאיומים, דהיינו, לסיבות הספציפיות הדורשות מיומנויות מוגדרות ויחד עם זאת לקחת בחשבון שגם תקלה כתוצאה מטעות אנוש (מענה באמצעות מכלול כלים ושיטותלצמצום טעויות אנוש), חוסר מקצועיות (מענה אפשרי הינו הדרכה מסיבית בבצוע פעילות הדורשת ידע מקצועי), רשלנות (מענה עשוי להיות נהלים ברורים, אכיפתם וענישה על חריגות), או תאונה פשוטה עלולה להביא לאסון ממשי ולא רק מתקפת טילים של חיבאללה או אירועי טרור אחרים.

יום רביעי, 26 בינואר 2011

נושאים שיטפלו בימים הקרובים

מספר נושאים עומדים על הפרק:

בזמן יחסית קצר חווינו מספר אירועים מעניינים:

1. חברת סלולר (סלקום) חוותה אי יכולת לספק שירות. הסיבה עדיין לא ידועה.
2. שריפה בסדר גודל שלא היתה כמותה במדינת ישראל. הסיבה (ככל הנראה) צירוף של מספר נסיבות אך תחילתה בגחלים לוחשות.
3. חברת התקשורת בזק חוותה אירוע של אי יכולת לספק שירות למליון מינויים.

האם זה אומר משהו על ניהול סיכונים לאומי? לדעתי זה בהחלט אומר וייכתב על כך מאמר שכותרתו:
חוסר איזון בשילוב חשיבת התוקף בתוכנית ההגנה.
המאמר יציג את התזה שחשוב לשלב את חשיבת התוקף בתוכנית ההגנה, אך השתלטות התפישה כי רק תוקף חיצוני עויין יכול לגרום לנזק משמעותי הינה הרת אסון. כמובן שיוסבר ההקשר להגנת מידע.

נושא נוסף הינו היחס שבין הגנת מידע והגנת פרטיות.
בעבר הוצגה הגנת המידע כמענה אולטימטיבי לבעיית הגנת הפרטיות. כבר זמן רב ידוע כי ישנם נושאים בהגנת פרטיות שאינם קשורים להגנת מידע. לאחרונה המגמה אף מחריפה וניתן להצביע על מרכיבים מסויימים בהגנת מידע כפוטנציאל לפגיעה בפרטיות.
על אלה במאמר שכותרתו: הגנת פרטיות והגנת מידע - עולם בתהליך שינוי.

אשמח לשמוע האם מי מקהל קוראי הבלוג מעוניין שאתייחס לנושא מסויים?

יאיר

יום ראשון, 9 בינואר 2011

הצורך: התמודדות עם CYBER TERROR. השיטה: שילוב CYBER INTELLIGENCE ולזה ייקרא CYBER DEFENCE

שלום לכל קוראי הבלוג.
זמן רב עבר מאז כתבתי לאחרונה.
בסופ"ש שעבר כתבתי גרסה ראשונה של המאמר, בסופ"ש זה הכנתי גרסה שניה המתייחסת גם בקיצור נמרץ ליתרונות ולחסרונות של השיטה.

במאמר קצר אקח את הקוראים למסע בזק בנבכי המחשבה המודיעינית ויישומה בעבר ובהווה.
מהמשנה השניה של סון טסו:
איזהו מצביא משכיל בהתקפה, שיריבו אינו יודע על מה יגן.
איזהו מצביא משכיל בהגנה, שיריבו אינו יודע מה יתקיף.

אז בואו נשנה אותה קצת:
איזהו מצביא משכיל בהתקפה, שיריבו איננו יודע מה הוא (התוקף) יתקוף.
פרשנות: מיהו יריבו של התוקף? המגן. כלומר אם המגן איננו מכיר את תוכניות המתקפה, ועל כן הוא ייאלץ להגן על הכל מכל... זה כמובן בלתי אפשרי ועל כן המגן עתיד להיכשל.

איזהו מצביא משכיל בהגנה, שיודע מה יריבו (התוקף) רוצה לתקוף.
פרשנות: יריבו של המגן הוא התוקף. על כן, מגן אשר יודע מהן תוכניותיו של התוקף יוכל להיעזר בכך לשיפור נקודות תורפה בהגנתו ואולי אף לסכל את תוכניות התקיפה עצמן. היכן מסתתרות להן תוכניות התקיפה של התוקף? אם המגן ידע לחשוף את המידע הזה מבלי שהתוקף יהיה מודע שסודות תקיפתו התגלו... זוהי פעילות מודיעין חשאית.

קצת היסטוריה:
בספרו "סודות יום הפלישה" מתאר Gilles Perrault אירוע המתרחש כשלושה שבועות לאחר פלישת בעלות הברית לנורמנדיה.
מוצב גרמני רב עוצמה בקרבת שרבורג שהצליח להדוף את כל המתקפות של בעלות הברית נכנע. לא בגלל שחיילי בעלות הברית הצליחו לפרוץ את ההגנה, ולא בגלל העדיפות בכוח אדם וכוח אש של בעלות הברית. מפקד הדיוויזיה הרביעית האמריקנית מיור גנרל בארטון מגיע בלווית כמה מאנשי מטהו למוצב הגרמני ומציג למפקדו הגרמני מיור קיפרס מפה. המפה כללה את פריסת כוחות בעלות הברית העדיפים אך גם את כל פרטי פרטיו של המוצב הגרמני. הקצין האמריקני היה משוכנע שכאשר יציג לגרמני את מפת ההיערכות של בעלות הברית ישוכנע הגרמני שאין לו סיכוי וייכנע. אך מסתבר שכניעתו של המפקד הגרמני נבעה מסיבה אחרת לחלוטין. במפה הוצג גם כל מערך ההגנה הגרמני, כולל שמות המפקדים וכינוייהם העובדה שהוא הוצג "עירום ועריה" היא זו שהכריעה את הכף. דוגמה מדהימה לעוצמתו של מודיעין מדויק.
נעבור לעידן המודרני של הגנת מערכות מיחשוב מפני מתקפות. שנת 2009 הינה שנת מפנה. מתבצעת מתקפת לוחמת מידע על דרום קוריאה, המאשימה מיד את צפון קוריאה. לאחר מספר ימים מתפרסם ניתוח של התקיפה ע"י צוות מומחי אבטחת מידע מחברת BKIS מהאנוי, וייטנאם. הם מאתרים את שמונת שרתי השו"ב השולטים ב-Botnet שבאמצעותו בוצעה התקיפה, (השרת הראשי בבריטניה), ומאתרים את העובדה שחלק מהמחשבים ששימשו לתקיפה קיבלו פקודות "השמדה עצמית" של הדיסק על מנת שלא ניתן יהיה לאתר אותם לאחר מעשה.
שאלת המפתח הינה:
האם ניתן היה לאתר את המידע שמצאה חברת BKIS עוד טרם הוצאתה של המתקפה לפועל? אם כן, מה המשמעות האופרטיבית?
המענה:
1. הכנת מתקפה מחייבת את התוקף לאסוף מודיעין ובעידן המודרני לעתים להכין את ה"צבא". ה"צבא" הינם מחשבים שהם כשלעצמם אינם יעד המתקפה אלא משמשים כ"חיילים" (Botnet). בהם שותלים תוכנה זדונית אשר עפ"י פקודה ממערכת השו"ב של התוקפים תפעיל את המתקפה כנגד יעד או יעדי המתקפה האמתיים.

2. המידע כולל (בין היתר) מידע על יעדי המתקפה (כתובות, ועוד). כל המידע הזה נשלט ע"י מערכת מחשב לשליטה ובקרה הנמצאת בידי התוקף.

3. מהי דרך הפעולה של המגן לאור האמור לעיל:
א. לאתר את מחשבי השליטה הבקרה מבעוד מועד, ולמצות מהם את המודיעין וכל מידע רלוונטי אחר על מנת להבין מה מכין התוקף.
מדובר בשלב נוסף בהגירה של תפישות עולם ביטחוניות-צבאיות לעולם האזרחי. כך היה עם הצפנות וכך עתה עם מודיעין.
ב. מי עושה פעילויות מסוג זה בעולם הצבאי? יחידות כמו סיירת מטכ"ל ואחרות. בעולם "הביטחוני-האזרחי" במדינת ישראל זה המוסד ואולי גורמים עלומים נוספים.

4. במה מדובר?
מדובר בשילוב של מספר גורמים:
א. הכרה וניסיון רב של עבודת מודיעין כולל היכולת להפריד בין מידע אמיתי ובין מידע מטעה (דיס אינפורמציה), זאת מכיוון שיש לקחת בחשבון שמדובר בתוקפים מתוחכמים הלוקחים בחשבון את העובדה שינסו למצות מהם מידע.
ב. רמת הכרה טכנית גבוהה של פעילויות מיחשוב, תקשורת, קוד זדוני ומחקר שוטף בנושאים אלה ואחרים.
ג. קישור למידע המצוי בידי חברות אבטחת מידע, פורומים של חברות ויועצי אבטחת מידע ופורומים של האקרים למיניהם.
ד. יכולת לנתח את הנתונים שהתקבלו ולהסיק מה מתוך כל הנדרש להגן מהווה יעד למתקפה ועל כן כיצד לשפר את מערך ההגנה כך שיהיה ערוך טוב יותר למול מתקפה ממוקדת ומתוכננת.
5. יתרונות השיטה:
א. איננה מפריעה לביצועה של תוכנית הגנת המידע הארגונית הקיימת. הפעילות מבוצעת רק ב"עולם" ואיינה כוללת איסוף מידע במערכות המחשוב הארגוניות. המשמעות היא שלא מבוצעת כל התקנה של חומרה או תוכנה לא בשרתי ולא בתחנות הקצה הארגוניות, הארגון "לא מעורב".
ב. מאפשרת לקבל מידע מקדים על תכנון מתקפה כולל איתור יעדים מיחשוביים קונקרטיים בארגון. בהיבט זה השיטה מאפשרת קבלת נתונים על, וייתכן גם איתור של חולשות אפשריות בתוכנית הגנה המידע הארגונית אשר לא היו ידועות כלל או שלמרות שהיו ידועות לא ניתנה עליהן הדעת במידה מספקת.
6. חסרונות השיטה:
א. איננה מבטלת משאבים נדרשים לתוכנית הגנת המידע הקיימת ועל כן מהווה גורם צורך משאבים נוסף על הקיים.
ב. איננה מבטיחה שבכלל יינתן מודיעין לארגון. לכך ייתכנו מספר סיבות:
1. הארגון לא היה מעולם יעד למתקפה ועל כן אין מידע הניתן למיצוי לגביו.
2. הסוואת יעדי התקיפה הארגוניים הצליחה להערים על כלי איסוף המידע. מדובר במלחמת מוחות מודיעינית-טכנולוגית, שיש בה לעתים גם כשלונות בצד ההצלחות.
ג. איננה מבטיחה שבהינתן מודיעין הוא בהכרח עדכני. איסוף מידע תקיפה ב"עולם" עלול להפיק מידע מיושן שהושאר בכוונה כדי להטעות או שפשוט הושאר שם בעבר, בדיוק כשם שתהליך מיפוי ארגוני הנעשה ע"י הארגון עצמו עלול באם לא יעודכן מעת לעת להציג את טופולוגית המחשוב הקודמת ולא העדכנית.
לסיכום:
זוהי התוספת העדכנית והאחרונה (לעת עתה) הנדרשת לעולם הגנת המידע הקלאסי. זוהי התוספת הנדרשת להתמודד עם מתקפות מתוכננות, ממוקדות ומסוכנות אלו שניתן לכנותן CYBER TERROR אשר מחולליהן הינם ארגוני פשע וטרור וארגונים עוינים מסוגים שונים.
אנו מצויים בתחילתו של שלב נוסף במאבק להגן על מערכות המחשוב ועל החיים בחברה אשר מערכות המחשוב הינן התשתית המניעה אותם. יידרש זמן על מנת לשכלל את השיטה, למקסם את יתרונותיה ולצמצם את חסרונותיה.