מדינת ישראל כמרקחה. כווווווולם מתראיינים, כותבים והכותרות זועקות "הפריצה של ההאקרים הסעודיים היא תחילתה של מלחמת סייבר", "מאות אלפי אזרחי המדינה בסכנה"... ועוד כהנה וכהנה.
איפה נעוצה הבעיה האמיתית?
הבעיה היא שאנחנו כאזרחים מרמים את עצמנו. נוח לנו שהטכנולוגיות החדישות זמינות, זולות, לא דורשות לימוד מעמיק והכל עובד והכל נגיש בפשטות, והכל עומד לרשותנו. פשוט ככה בלי כל עיה. נכון?
אז זהו שזה בחלקו בלוף. הטכנולוגיות זמינות, נגישות, תפעוליות בנוחות מירבית כי אנחנו כאזרחים,משתמשים, מצפצפים על הגנתן והגנת המידע האגור, מעובד או מועבר בתקשורת באמצעות טכנולוגיות אלו.
ניתן לממש אבטחת מידע, אבל זה יגרום לכל התהליך של תכנון, ייצור, שיווק ושימוש בטכנולוגיות המידע המודרניות להיות איטי יותר, יקר יותר ועלול חס וחלילה גם להיות פחות נוח לשימוש.
על כן, חלק מאתרי אינטרנט האוגרים מידע רגיש שלנו לא מאובטחים כיאות, כי אנחנו מוכנים לעבוד מולם גם אם לא עמדו בדרישות האבטחה הנדרשות. למה? כי אנחנו כאזרחים לא מתענינים מספיק בנושא.
דרך אגב, דווקא במגזר כרטיסי האשראי קיימת הסדרה רגולטורית מעניינת. הרגולטור במקרה זה הינן חברות כרטיסי האשראי עצמן, באמצעות מועצה שהוקמה על ידן. התקן הבסיסי נקרא PCI-DSS ואלו ראשי תיבות של:
Payment Cardsystems Industry - Data Security Standards
ניתן להתווכח לגבי התקן ויש על מה להתווכח. אבלללללללללל, יישום (לכל הפחות) של הדרישות הינו חיוני על מנת להתמודד ברמה הבסיסית מול מתקפות ברמה כפי שהתקיפה שבוצעה הייתה.
זו ממש תקיפה ברמה של כיתה ב'. ואת זה אומרים כל מומחי האבטחה שעלו ודיברו וכתבו ביומיים האחרונים.
אנחנו כאזרחים, כמשתמשים בשירותים של מארחי אתרי האינטרנט, של החנויות בהם אנו רוכשים באמצעות כרטיס אשראי ובכל מקום בו אנו מוסרים את מספר כרטיס האשראי כאמצעי תשלום, עלינו מוטלת החובה לברר האם הארגון שמקבל מאיתנו את מספר הכרטיס מאובטח כיאות, כלומר עומד בתקן או בתהליך עמידה בתקן.
אם לא נתחיל לשאול, לא יקרה דבר. נתחיל לשאול, המצב לא ישתנה בן לילה, אבל משהו כן ישתנה. כל הבעיות ייפתרו עקב כך? לא. המצב ישתפר, כן. תקיפה מהסוג שהתרחשה, ככל שידיעתי מגעת היום, הייתה נכשלת. זה מספיק טוב לטעמי.
בקיץ דיברנו על מהפיכה חברתית. רבותי קוראי הבלוג, נדרשת מהפיכה באופן שאנו מתייחסים לאבטחת המידע. זו לא הבעיה של הארגונים בלבד. זו קודם כל הבעיה שלנו כצרכנים. ויש מה לעשות בנושא.
השאלה: האם אנחנו נהיה מוכנים גם לשלם את המחיר של מהפיכה זו?
ראיתי פעם איזו הרצאה שבה נאמר שהמציאות הנוכחית מחייבת מכל אדם עם גישה לאינטרנט ומחשב להבין באבטחת מידע.
השבמחקזוהי גישה של הרבה אנשי אבטחת מידע (כי בסוף היום SE מפצח הכל) אבל זה לא הגיוני ולא ריאליסטי.
לא תהיה שום מהפיכה. צריך לדאוג לאנשים שאין להם (ולא יהיה להם לעולם) שום מושג באבטחת מידע דרך לגשת לרשת ולמחשבים מבלי לחשוש.
זה לא קיים היום אבל זה הדבר היחידי שצריך לקרות. כל דבר אחר הוא שגוי קונספטואלית.
בתגובה לתגובה:
השבמחקמסכים שהאזרח לא נדרש להבין באבטחת מידע.
האזרח מתבקש לתרום את תרומתו במאבק שמי שאמור לעשות אבטחה יעשה אותה ומי שחייב לעשות ולא עושה ייענש.
וכמובן המדינה צריכה לדאוג לכך שמי שאמור להגן על המידע של האזרחים יפעל כנדרש. אבל כאמור זה לא מספק ולכן על כל אזרח להתחיל לשאול האם הגוף שלו נמסרים הפרטים עושה את הנדרש על מנת להגן על נתוניו.
כפי שהעוסקים במקצועות השונים תולים בחדריהם את התעודות המעידות על הכשרתם המקצועית והזכאות לעסוק במקצועם, כך באופן מקביל נדרש שארגון (לא הגודל קובע) יציג בפני מי שהוא דורש שיספק לו מידע שחשיפתו לבלתי מורשה עלולה לגרום לנזק כי הוא מגן על המידע הזה כראוי.
הדרישה הזו איננה מחייבת ידע מקצועי באבטחת מידע.
זו הייתה כוונתי ואם לא הובנתי כראוי, מקווה שהתגובה מבהירה זאת.