טכנולוגיית המידע שבה אנו משתמשים בבית, במשרד, בצבא, בבית החולים, בכל מקום מצויה תחת מתקפה 24x7x365. טכנולוגיית המידע ואנו כיוצריה ומשתמשיה, מצויים אם כך במלחמה. במלחמה מחפשים נצחון. לכל הפחות לא להפסיד. לכותב שורות אלה לא נראה שאנו מנצחים בה. האם אנו מפסידים? נראה שבשלב זה אנו שורדים איכשהוא, לא יותר מכך.
השאלה הינה האם יש לשנות את ההיערכות שלנו על מנת להשיג נצחון? אולי צריך רק עוד קצת (אולי קצת הרבה קצת) כסף והכל יבוא על מקומו בשלום?
בפוסט זה אני אנסה לקשר בין מספר התבטאויות שאני לוקח איתי כבר יותר משנה. לקראת סופו, מספר הערות הבהרה המציגות גישות שיש לנקוט בהן כאבני בניין לתפישה החדשה.
נתחיל מהסוף ונלך אחורנית להתחלה. זה איננו מקרי.
המסקנה הראשונה שלי היא שיש לבסס את התורה החדשה על חשיבה "מהסוף להתחלה":
להתחיל מהסוף, דהיינו, מהו היעד העתידי (מה אנחנו רוצים שיקרה, ומנקודה זו להתייחס כאילו היעד כבר הושג) עכשיו בוא נתכנן מה נדרש לעשות מהיום ועד להשגת היעד, כדי שהוא באמת יושג.
בפוסט זה אני אנסה לקשר בין מספר התבטאויות שאני לוקח איתי כבר יותר משנה. לקראת סופו, מספר הערות הבהרה המציגות גישות שיש לנקוט בהן כאבני בניין לתפישה החדשה.
נתחיל מהסוף ונלך אחורנית להתחלה. זה איננו מקרי.
המסקנה הראשונה שלי היא שיש לבסס את התורה החדשה על חשיבה "מהסוף להתחלה":
להתחיל מהסוף, דהיינו, מהו היעד העתידי (מה אנחנו רוצים שיקרה, ומנקודה זו להתייחס כאילו היעד כבר הושג) עכשיו בוא נתכנן מה נדרש לעשות מהיום ועד להשגת היעד, כדי שהוא באמת יושג.
ב-3 במרץ, כותבת אלינור מוריס מאמר ב-CNET שכותרתו:
Why the Security Industry never actually makes us secure
כותרת חלופית לטעמי לכתבה (או בכלל למצב של תעשיית אבטחת המידע) הינה "יורים ובוכים". כלומר, רואים את המצב, מבינים שתעשיית האבטחה לא באמת מספקת את הסחורה, אבל מה לעשות, זה היה, זה הווה וזה כנראה גם מה שיהיה, אז בואו נמשיך לעשות עוד מאותו הדבר...
לסיכום מציגה הכתבת את דבריו של אחד מחשובי הגורואים של אבטחת מידע בימינו, מנהל אבטחת המידע של בריטיש טלקום, ברוס שנייר, "בדומה לזיהום סביבתי, אירועי אבטחת מידע הינם משהו שכל אחד בפוטנציה תורם להם וסובל מהם בה בעת. זהו חוסר מיתאם יסודי אשר כוחות השוק לבדם אינם מסוגלים להתגבר עליו ללא התערבות של הממשלות".
ב-21 בפברואר, שבועיים לפני, מפרסם David Lacey בבלוג שלו פוסט שכותרתו:
לסיכום מציגה הכתבת את דבריו של אחד מחשובי הגורואים של אבטחת מידע בימינו, מנהל אבטחת המידע של בריטיש טלקום, ברוס שנייר, "בדומה לזיהום סביבתי, אירועי אבטחת מידע הינם משהו שכל אחד בפוטנציה תורם להם וסובל מהם בה בעת. זהו חוסר מיתאם יסודי אשר כוחות השוק לבדם אינם מסוגלים להתגבר עליו ללא התערבות של הממשלות".
ב-21 בפברואר, שבועיים לפני, מפרסם David Lacey בבלוג שלו פוסט שכותרתו:
The Wrong type of loop
http://www.computerweekly.com/blogs/david_lacey/2012/02/the_wrong_type_of_loop.html
http://www.computerweekly.com/blogs/david_lacey/2012/02/the_wrong_type_of_loop.html
כוונתו, המעגל היסודי של ניהול אבטחת המידע כפי שבא לידי ביטוי בתקן לניהול אבטחת המידע 27002, המעגל המתואר ברצף הפעילויות:
PLAN – DO – CHECK - ACT
איננו מתאים לאבטחת מידע.
לפני שאמשיך, מספר מילים על David Lacey, כדי להבין מדוע יש לקחת את אמירותיו בהתייחס לתקן זה ברצינות.
David Lacey הינו אחד מאבותיו של תקן אבטחת המידע 27001/27002.
תקן זה תחילתו במסיבת עתונאים ב-30 בספטמבר 1993 בחברת של הבריטית.
ראו קישור:
לפני שאמשיך, מספר מילים על David Lacey, כדי להבין מדוע יש לקחת את אמירותיו בהתייחס לתקן זה ברצינות.
David Lacey הינו אחד מאבותיו של תקן אבטחת המידע 27001/27002.
תקן זה תחילתו במסיבת עתונאים ב-30 בספטמבר 1993 בחברת של הבריטית.
ראו קישור:
Historical records from the birth of BS7799
לפני למעלה משנה, בחודש ינואר 2011, הוא יוצא באמירה פרובוקטיבית:
Security: Best practice or ancient ritual?
Time to scrap ISO 27002 security standard says its author
אינני יודע אם זו הפעם הראשונה שהוא חושב כך, אבל ישנו קו ברור המתוח בין אמירתו לפני 14 חודש והאמירה הנוכחית: לדעתו, אנו שבויים בקונספט מוטעה.
האמירה הנוכחית מתייחסת למעגל הניהולי המהותי שב-27000 (החולק אותו עם שני תקני ניהול נוספים: תקן אבטחת האיכות ISO-9001, ותקן איכות הסביבה ISO-14001) שעיקרו: PLAN – DO – CHECK - ACT
האמירה הנוכחית מתייחסת למעגל הניהולי המהותי שב-27000 (החולק אותו עם שני תקני ניהול נוספים: תקן אבטחת האיכות ISO-9001, ותקן איכות הסביבה ISO-14001) שעיקרו: PLAN – DO – CHECK - ACT
לדברי דויד, מהלך זה מתורגם באופן מעשי למעגל שמבוסס על תכנון תקציב שנתי. לדעתו, זהו מהלך איטי, איטי מדי. את התוצאות נמצא בעיתונות. ארגונים רבים וגדולים שנפגעו בשנת 2011 היו מוסמכים לתקן בעת שנפרצו.
לדוגמה, חברת סוני היא יפנית ומוסמכת לתקן בעת שנפרצה. דרך אגב, החדירה המאסיבית ביותר של התקן הינה ב...יפן. מה זה אומר על התקן? על יפן? על סוני? ואולי זה לא אומר כלום?
על פי מידע הקיים במרשתת (מרשתת, המילה העברית לאינטרנט) תקן 27001/27002 יעודכן במהלך שנת 2013. מה יכלול העדכון? יתווספו בקרות, יבוטלו בקרות. יבוצע איזשהוא "פריש-מיש" סמנטי כדי שהתקן יחלוק תפישה ניהולית וטקסטואלית אחידה עם בין 8 ל-12 תקנים נוספים, ולא רק שניים כפי שהמצב היום.
האם במסגרת מהלך זה יבוטל גם ה- PLAN – DO – CHECK – ACT. ימים יגידו.
בנתיים, מה החלופה המוצעת ע"י David Lacey?
לחלופה ראשי התיבות OODA, עבור: OBSERVE – ORIENT – DECIDE - ACT
רעיון זה פותח ע"י קצין בחיל האוויר האמריקאני בשם ג'ון בויד ומתאר (בין היתר) את האסטרטגיה של השגת נצחון בקרבות אוויר. ההשראה למעגל זה היתה האתגרים שהוצבו להפעלת הכוח האווירי האמריקני במלחמת וויטנאם.
לא אכנס כאן לדיון מהו בדיוק OODA והאם הוא הפתרון המתאים? הנכון? מה שחשוב לי להדגיש שבמקום "לעשות יותר מאותו הדבר"... (וזה בבירור לא עונה על הציפיות) צריך וחיוני לחשוב על מה צריך לעשות אחרת! (וגם מה לא צריך לעשות אחרת).
OODA בהיותה אסטרטגיה לקרבות אויר בהכרח טומנת בחובה תפישה של מהירות תגובה. יתר על כן, איך מנצחים בקרב אוויר? אחת הדרכים הינה להקדים את האויב, "להתלבש על תהליך ה-OODA" של היריב, ולחתוך אותו. מי שרוצה דוגמה, שילך ויראה שוב את הסרט : TOP GUN (אהבה בשחקים).
מספר הערות להבהרה, על מנת למנוע טעויות ואי הבנה ולהסביר מהן לדעתי אבני בניין לתפישה החדשה:
1. אינני מציע לזרוק את תקן אבטחת מידע 27002/27001 וסדרת התקנים הנלווית. ההיפך הוא הנכון. הסמכה לתקן הינה תהליך נכון, אבל "לא באופן עיוור". חובה לקרוא ולהבין את 27002. זו התורה האבטחתית, שם כתוב "למה התכוון ISO". אח"כ יש להפעיל שיקול דעת מקצועי וניהולי, לשלב את הרגולציות הרלוונטיות שמספקות תקדימים, לבצע את ההתאמות הארגוניות ועיקר העיקרים, להפעיל את הראש. לחשוב. לחשוב. לחשוב.
כיוון נכון ש-ISO נוקט הינו להוסיף תקנים מגזריים. כיום ישנם כבר שני תקנים מגזריים: 27011 למגזר התקשורת, ו-27799 למגזר הבריאות. תקן מגזרי שלישי למגזר הפיננסי (27015) נמצא בהכנה. תקינה מגזרית ממקדת דרישות מותאמות למגזר ומחייבת את יישומם, דהיינו, מצמצמת את מרחב חופש הפעולה של הארגונים במגזר לבחור שלא ליישם בקרה ספציפית. התקן הכללי, 27001 מספק חופש בחירה רחב מדי לארגון.
דוגמאות לשילוב רגולציות רלוונטיות:
א. הוראת ניהול בנקאי תקין 357 של בנק ישראל בעניין "ניהולה התקין של טכנולוגיית המידע" וההוראה לניהול סיכוני אבטחת מידע מטעם המפקח על הביטוח באגף שוק ההון במשרד האוצר מספקות לנו מענים לגבי (בין היתר) מספר סוגיות:
(1) חובת מינוי מנהל אבטחת מידע בכפיפות ישירה לחבר הנהלה (כל חבר הנהלה כולל מנהל מערכות המידע במידה והוא חבר הנהלה כמובן),
(2) חובת ביצוע סקר הערכת סיכונים למערך טכנולוגיית המידע כולו. בעקבותיו נדרש תכנון וביצוע סקרי סיכונים למערך זה וביצוע מבדקי חדירה מבוקרים ע"י חברות חיצוניות בעלות ידע ויכולת מקצועית בלבד,
(3) הצגת דרישות מינימום הכרחיות למתן גישה ללקוחות למערכות המידע וביצוע שאילתות לקבלת מידע ופעולות פיננסיות בחשבונותיהם, לדוגמה תוך כדי עשיית שימוש באינטרנט ("בנקאות בתקשורת"),
(4) התייחסות לדרישות בנוגע למיקור חוץ, לגיבוי והתאוששות.
ב. הנחיות הרשות למשפט טכנולוגיה ומידע (רמו"ט) אשר בשלוש השנים האחרונות החלה לייצר סדרת הנחיות (ובקנה גם שינוי חוק הגנת הפרטיות והוצאת צו המעדכן את דרישות אבטחת המידע למידע זה) בכל הנוגע לאבטחתו של מידע אישי המוגן עפ"י החוק והתקנות להגנת הפרטיות. הנחיות הנגישות לכלל באמצעות אתר האינטרנט של הרשות.
ג. פעילות משמעותית במגזר הבריאות שבוצעה במהלך השנים האחרונות ע"י מר איציק כוכב, ממונה הגנת המידע בשירותי בריאות כללית, ואשר כוללת הנחיות מפורטות להגנת מידע בתהליכי העבודה המורכבים והמגוונים בקופת חולים ובבתי חולים.
ד. תקן PCI-DSS מטעם חברות כרטיסי האשראי הקובע דרישות טכנולוגיות במידה ובארגון נאגר, מעובד או מועבר בתקשות מספר כרטיס האשראי.
הדוגמאות הללו (ויש נוספות) מספקות תשתית, תקדימים, מידע מקצועי תומך, תקראו לזה איך שנוח לכם, אבל בשורה התחתונה, יש הרבה ממה ללמוד, לא כל דבר צריך להמציא מהתחלה.
2. בה בעת נדרש שינוי גישה בהתייחסות לנושא האיומים, הסיכונים והמענה להם. ויסלחו לי כולם. זה לא להגיד CYBER במקום אבטחת מידע. נקודת מוצא חייבת להיות שמערך טכנולוגיית המידע (טכנולוגיית מידע כוללת גם את המרכיבים הטכנולוגיים של אבטחת המידע. נא לזכור זאת!) מותקף כל העת, 24x7x365.
מערך טכנולוגיית המידע מספק:
א. לפרט, תשתית לפעילויתיו הפרטיות. לדוגמה: גלישה באינטרנט, משלוח דוא"ל.
ב. לארגון, תשתית לפעילות הארגונית. לדוגמה: מערכות מידע בהתאם לשיוך מגזרי.
ג. למדינה, תשתית לפעילויותיה כמדינה. לדוגמה: מערך ממשל זמין, מערכת מרכבה.
בה בעת, אותו מערך מספק את התשתית לביצועה של הפעילות העויינת כנגדו או כנגד הפרט, הארגון או המדינה או כל צירוף אפשרי.
כל עוד מערך טכנולוגיית המידע פועל, וזה קורה 24x7x365, הוא מותקף ללא הרף.
על פי מידע הקיים במרשתת (מרשתת, המילה העברית לאינטרנט) תקן 27001/27002 יעודכן במהלך שנת 2013. מה יכלול העדכון? יתווספו בקרות, יבוטלו בקרות. יבוצע איזשהוא "פריש-מיש" סמנטי כדי שהתקן יחלוק תפישה ניהולית וטקסטואלית אחידה עם בין 8 ל-12 תקנים נוספים, ולא רק שניים כפי שהמצב היום.
האם במסגרת מהלך זה יבוטל גם ה- PLAN – DO – CHECK – ACT. ימים יגידו.
בנתיים, מה החלופה המוצעת ע"י David Lacey?
לחלופה ראשי התיבות OODA, עבור: OBSERVE – ORIENT – DECIDE - ACT
רעיון זה פותח ע"י קצין בחיל האוויר האמריקאני בשם ג'ון בויד ומתאר (בין היתר) את האסטרטגיה של השגת נצחון בקרבות אוויר. ההשראה למעגל זה היתה האתגרים שהוצבו להפעלת הכוח האווירי האמריקני במלחמת וויטנאם.
לא אכנס כאן לדיון מהו בדיוק OODA והאם הוא הפתרון המתאים? הנכון? מה שחשוב לי להדגיש שבמקום "לעשות יותר מאותו הדבר"... (וזה בבירור לא עונה על הציפיות) צריך וחיוני לחשוב על מה צריך לעשות אחרת! (וגם מה לא צריך לעשות אחרת).
OODA בהיותה אסטרטגיה לקרבות אויר בהכרח טומנת בחובה תפישה של מהירות תגובה. יתר על כן, איך מנצחים בקרב אוויר? אחת הדרכים הינה להקדים את האויב, "להתלבש על תהליך ה-OODA" של היריב, ולחתוך אותו. מי שרוצה דוגמה, שילך ויראה שוב את הסרט : TOP GUN (אהבה בשחקים).
מספר הערות להבהרה, על מנת למנוע טעויות ואי הבנה ולהסביר מהן לדעתי אבני בניין לתפישה החדשה:
1. אינני מציע לזרוק את תקן אבטחת מידע 27002/27001 וסדרת התקנים הנלווית. ההיפך הוא הנכון. הסמכה לתקן הינה תהליך נכון, אבל "לא באופן עיוור". חובה לקרוא ולהבין את 27002. זו התורה האבטחתית, שם כתוב "למה התכוון ISO". אח"כ יש להפעיל שיקול דעת מקצועי וניהולי, לשלב את הרגולציות הרלוונטיות שמספקות תקדימים, לבצע את ההתאמות הארגוניות ועיקר העיקרים, להפעיל את הראש. לחשוב. לחשוב. לחשוב.
כיוון נכון ש-ISO נוקט הינו להוסיף תקנים מגזריים. כיום ישנם כבר שני תקנים מגזריים: 27011 למגזר התקשורת, ו-27799 למגזר הבריאות. תקן מגזרי שלישי למגזר הפיננסי (27015) נמצא בהכנה. תקינה מגזרית ממקדת דרישות מותאמות למגזר ומחייבת את יישומם, דהיינו, מצמצמת את מרחב חופש הפעולה של הארגונים במגזר לבחור שלא ליישם בקרה ספציפית. התקן הכללי, 27001 מספק חופש בחירה רחב מדי לארגון.
דוגמאות לשילוב רגולציות רלוונטיות:
א. הוראת ניהול בנקאי תקין 357 של בנק ישראל בעניין "ניהולה התקין של טכנולוגיית המידע" וההוראה לניהול סיכוני אבטחת מידע מטעם המפקח על הביטוח באגף שוק ההון במשרד האוצר מספקות לנו מענים לגבי (בין היתר) מספר סוגיות:
(1) חובת מינוי מנהל אבטחת מידע בכפיפות ישירה לחבר הנהלה (כל חבר הנהלה כולל מנהל מערכות המידע במידה והוא חבר הנהלה כמובן),
(2) חובת ביצוע סקר הערכת סיכונים למערך טכנולוגיית המידע כולו. בעקבותיו נדרש תכנון וביצוע סקרי סיכונים למערך זה וביצוע מבדקי חדירה מבוקרים ע"י חברות חיצוניות בעלות ידע ויכולת מקצועית בלבד,
(3) הצגת דרישות מינימום הכרחיות למתן גישה ללקוחות למערכות המידע וביצוע שאילתות לקבלת מידע ופעולות פיננסיות בחשבונותיהם, לדוגמה תוך כדי עשיית שימוש באינטרנט ("בנקאות בתקשורת"),
(4) התייחסות לדרישות בנוגע למיקור חוץ, לגיבוי והתאוששות.
ב. הנחיות הרשות למשפט טכנולוגיה ומידע (רמו"ט) אשר בשלוש השנים האחרונות החלה לייצר סדרת הנחיות (ובקנה גם שינוי חוק הגנת הפרטיות והוצאת צו המעדכן את דרישות אבטחת המידע למידע זה) בכל הנוגע לאבטחתו של מידע אישי המוגן עפ"י החוק והתקנות להגנת הפרטיות. הנחיות הנגישות לכלל באמצעות אתר האינטרנט של הרשות.
ג. פעילות משמעותית במגזר הבריאות שבוצעה במהלך השנים האחרונות ע"י מר איציק כוכב, ממונה הגנת המידע בשירותי בריאות כללית, ואשר כוללת הנחיות מפורטות להגנת מידע בתהליכי העבודה המורכבים והמגוונים בקופת חולים ובבתי חולים.
ד. תקן PCI-DSS מטעם חברות כרטיסי האשראי הקובע דרישות טכנולוגיות במידה ובארגון נאגר, מעובד או מועבר בתקשות מספר כרטיס האשראי.
הדוגמאות הללו (ויש נוספות) מספקות תשתית, תקדימים, מידע מקצועי תומך, תקראו לזה איך שנוח לכם, אבל בשורה התחתונה, יש הרבה ממה ללמוד, לא כל דבר צריך להמציא מהתחלה.
2. בה בעת נדרש שינוי גישה בהתייחסות לנושא האיומים, הסיכונים והמענה להם. ויסלחו לי כולם. זה לא להגיד CYBER במקום אבטחת מידע. נקודת מוצא חייבת להיות שמערך טכנולוגיית המידע (טכנולוגיית מידע כוללת גם את המרכיבים הטכנולוגיים של אבטחת המידע. נא לזכור זאת!) מותקף כל העת, 24x7x365.
מערך טכנולוגיית המידע מספק:
א. לפרט, תשתית לפעילויתיו הפרטיות. לדוגמה: גלישה באינטרנט, משלוח דוא"ל.
ב. לארגון, תשתית לפעילות הארגונית. לדוגמה: מערכות מידע בהתאם לשיוך מגזרי.
ג. למדינה, תשתית לפעילויותיה כמדינה. לדוגמה: מערך ממשל זמין, מערכת מרכבה.
בה בעת, אותו מערך מספק את התשתית לביצועה של הפעילות העויינת כנגדו או כנגד הפרט, הארגון או המדינה או כל צירוף אפשרי.
כל עוד מערך טכנולוגיית המידע פועל, וזה קורה 24x7x365, הוא מותקף ללא הרף.
מי המתקיף? וזה הכי כואב: הטכנולוגה היא התוקף והמותקף בה בעת.
למה הכוונה? רכיב אחד תוקף את השני. וזה עשוי להתרחש אפילו בין בני אותה המשפחה, כאשר לכל אחד ישנו איזשהו רכיב טכנולוגיית מידע בבעלותו (כל אחד וסמארטפונו הוא...), האחד עלול לתקוף את האחר, בלא שאיש מהם תכנן זאת או רוצה בזאת...
3. שתי התייחסויות למונח: מערך טכנולוגיית המידע מותקף ללא הרף:
3. שתי התייחסויות למונח: מערך טכנולוגיית המידע מותקף ללא הרף:
א. מיהו מערך טכנולוגיית המידע, מי מחזיק/מפעיל אותו? מי אמור להגן עליו ואיך?
אנו נדרשים להתחיל לשאול שאלות שלא שאלנו בעבר ולספק תשובות ופתרונות.
זה שמדובר במחשבים הארגוניים זה ברור. האם זה כולל גם את המחשב/הסמארטפון הפרטי שלי? מה נדרש על מנת לבצע הגנה? איפה מתבצעת ההגנה? במחשב הארגוני/הפרטי? אצל ספק האינטרנט? במרחב האינטרנט? מה זה בכלל הגנה? ומה עם הפרטיות? שאלות עתידניות? לחלוטין לא. זה כבר קורה.
פרוייקטי I-Code באוסטרליה (החל מדצמבר 2010), ו – Bot-Frei בגרמניה (החל מאוגוסט 2010) מהעבר האחד, והפעילות של מיקרוסופט וממשלת ארה"ב למיגורם של BotNets מהעבר האחר מהווים הוכחה שבעולם החלו ניצני עידן חדש. זה בהחלט יותר מניצנים, יש גיבוי טכנולוגי ומשפטי לתהליכים אלו.
ב. מחייב שינוי בסיסי ועמוק של תפישת ההפעלה של טכנולוגיית המידע.
"עבודה תחת מתקפה", זה שם המשחק. חלק מהמתקפות ייעצרו לפני מערך טכנולוגיית המידע הרלוונטי לאספקת השירות, וחלקן יחדרו.
אלו שיחדרו, מערך טכנולוגיית המידע כולל מרכיבי האבטחה נדרשים להכיל את החדירה ולהתמודד איתה באופן המאפשר לטכנולוגיית המידע להמשיך לפעול, לספק את השירות (אם כי ברמה שעשוייה להיות מופחתת) ולטפל במפגע בו זמנית, עד לחזרה לכשירות מלאה וברצף תפעולי.
טכנולוגיית מידע שבעת שמצויה תחת מתקפה תחייב כמענה ברירת מחדל השבתה, איננה מהווה מענה מקצועי מספק בעידן החדש.
אנו נדרשים להתחיל לשאול שאלות שלא שאלנו בעבר ולספק תשובות ופתרונות.
זה שמדובר במחשבים הארגוניים זה ברור. האם זה כולל גם את המחשב/הסמארטפון הפרטי שלי? מה נדרש על מנת לבצע הגנה? איפה מתבצעת ההגנה? במחשב הארגוני/הפרטי? אצל ספק האינטרנט? במרחב האינטרנט? מה זה בכלל הגנה? ומה עם הפרטיות? שאלות עתידניות? לחלוטין לא. זה כבר קורה.
פרוייקטי I-Code באוסטרליה (החל מדצמבר 2010), ו – Bot-Frei בגרמניה (החל מאוגוסט 2010) מהעבר האחד, והפעילות של מיקרוסופט וממשלת ארה"ב למיגורם של BotNets מהעבר האחר מהווים הוכחה שבעולם החלו ניצני עידן חדש. זה בהחלט יותר מניצנים, יש גיבוי טכנולוגי ומשפטי לתהליכים אלו.
ב. מחייב שינוי בסיסי ועמוק של תפישת ההפעלה של טכנולוגיית המידע.
"עבודה תחת מתקפה", זה שם המשחק. חלק מהמתקפות ייעצרו לפני מערך טכנולוגיית המידע הרלוונטי לאספקת השירות, וחלקן יחדרו.
אלו שיחדרו, מערך טכנולוגיית המידע כולל מרכיבי האבטחה נדרשים להכיל את החדירה ולהתמודד איתה באופן המאפשר לטכנולוגיית המידע להמשיך לפעול, לספק את השירות (אם כי ברמה שעשוייה להיות מופחתת) ולטפל במפגע בו זמנית, עד לחזרה לכשירות מלאה וברצף תפעולי.
טכנולוגיית מידע שבעת שמצויה תחת מתקפה תחייב כמענה ברירת מחדל השבתה, איננה מהווה מענה מקצועי מספק בעידן החדש.