יום ראשון, 11 במרץ 2012

נדרשת תפישה חדשה על מנת לאפשר המשך השימוש בטכנולוגיית המידע

טכנולוגיית המידע שבה אנו משתמשים בבית, במשרד, בצבא, בבית החולים, בכל מקום מצויה תחת מתקפה 24x7x365. טכנולוגיית המידע ואנו כיוצריה ומשתמשיה, מצויים אם כך במלחמה. במלחמה מחפשים נצחון. לכל הפחות לא להפסיד. לכותב שורות אלה לא נראה שאנו מנצחים בה. האם אנו מפסידים? נראה שבשלב זה אנו שורדים איכשהוא, לא יותר מכך.

השאלה הינה האם יש לשנות את ההיערכות שלנו על מנת להשיג נצחון? אולי צריך רק עוד קצת (אולי קצת הרבה קצת) כסף והכל יבוא על מקומו בשלום?
בפוסט זה אני אנסה לקשר בין מספר התבטאויות שאני לוקח איתי כבר יותר משנה. לקראת סופו, מספר הערות הבהרה המציגות גישות שיש לנקוט בהן כאבני בניין לתפישה החדשה.
נתחיל מהסוף ונלך אחורנית להתחלה. זה איננו מקרי.
המסקנה הראשונה שלי היא שיש לבסס את התורה החדשה על חשיבה "מהסוף להתחלה":
להתחיל מהסוף, דהיינו, מהו היעד העתידי (מה אנחנו רוצים שיקרה, ומנקודה זו להתייחס כאילו היעד כבר הושג) עכשיו בוא נתכנן מה נדרש לעשות מהיום ועד להשגת היעד, כדי שהוא באמת יושג.

ב-3 במרץ, כותבת אלינור מוריס מאמר ב-CNET שכותרתו:

Why the Security Industry never actually makes us secure


כותרת חלופית לטעמי לכתבה (או בכלל למצב של תעשיית אבטחת המידע) הינה "יורים ובוכים". כלומר, רואים את המצב, מבינים שתעשיית האבטחה לא באמת מספקת את הסחורה, אבל מה לעשות, זה היה, זה הווה וזה כנראה גם מה שיהיה, אז בואו נמשיך לעשות עוד מאותו הדבר...
לסיכום מציגה הכתבת את דבריו של אחד מחשובי הגורואים של אבטחת מידע בימינו, מנהל אבטחת המידע של בריטיש טלקום, ברוס שנייר, "בדומה לזיהום סביבתי, אירועי אבטחת מידע הינם משהו שכל אחד בפוטנציה תורם להם וסובל מהם בה בעת. זהו חוסר מיתאם יסודי אשר כוחות השוק לבדם אינם מסוגלים להתגבר עליו ללא התערבות של הממשלות".
ב-21 בפברואר, שבועיים לפני, מפרסם David Lacey בבלוג שלו פוסט שכותרתו:


כוונתו, המעגל היסודי של ניהול אבטחת המידע כפי שבא לידי ביטוי בתקן לניהול אבטחת המידע 27002, המעגל המתואר ברצף הפעילויות:

PLAN – DO – CHECK - ACT

איננו מתאים לאבטחת מידע.
לפני שאמשיך, מספר מילים על David Lacey, כדי להבין מדוע יש לקחת את אמירותיו בהתייחס לתקן זה ברצינות.
David Lacey הינו אחד מאבותיו של תקן אבטחת המידע 27001/27002.
תקן זה תחילתו במסיבת עתונאים ב-30 בספטמבר 1993 בחברת של הבריטית.
ראו קישור:

Historical records from the birth of BS7799


לפני למעלה משנה, בחודש ינואר 2011, הוא יוצא באמירה פרובוקטיבית:

Security: Best practice or ancient ritual?

Time to scrap ISO 27002 security standard says its author


אינני יודע אם זו הפעם הראשונה שהוא חושב כך, אבל ישנו קו ברור המתוח בין אמירתו לפני 14 חודש והאמירה הנוכחית: לדעתו, אנו שבויים בקונספט מוטעה.
האמירה הנוכחית מתייחסת למעגל הניהולי המהותי שב-27000 (החולק אותו עם שני תקני ניהול נוספים: תקן אבטחת האיכות ISO-9001, ותקן איכות הסביבה ISO-14001) שעיקרו: PLAN – DO – CHECK - ACT

לדברי דויד, מהלך זה מתורגם באופן מעשי למעגל שמבוסס על תכנון תקציב שנתי. לדעתו, זהו מהלך איטי, איטי מדי. את התוצאות נמצא בעיתונות. ארגונים רבים וגדולים שנפגעו בשנת 2011 היו מוסמכים לתקן בעת שנפרצו.

לדוגמה, חברת סוני היא יפנית ומוסמכת לתקן בעת שנפרצה. דרך אגב, החדירה המאסיבית ביותר של התקן הינה ב...יפן. מה זה אומר על התקן? על יפן? על סוני? ואולי זה לא אומר כלום?
על פי מידע הקיים במרשתת (מרשתת, המילה העברית לאינטרנט) תקן 27001/27002 יעודכן במהלך שנת 2013. מה יכלול העדכון? יתווספו בקרות, יבוטלו בקרות. יבוצע איזשהוא "פריש-מיש" סמנטי כדי שהתקן יחלוק תפישה ניהולית וטקסטואלית אחידה עם בין 8 ל-12 תקנים נוספים, ולא רק שניים כפי שהמצב היום.
האם במסגרת מהלך זה יבוטל גם ה- PLAN – DO – CHECK – ACT. ימים יגידו.
בנתיים, מה החלופה המוצעת ע"י David Lacey?
לחלופה ראשי התיבות OODA, עבור: OBSERVE – ORIENT – DECIDE - ACT
רעיון זה פותח ע"י קצין בחיל האוויר האמריקאני בשם ג'ון בויד ומתאר (בין היתר) את האסטרטגיה של השגת נצחון בקרבות אוויר. ההשראה למעגל זה היתה האתגרים שהוצבו להפעלת הכוח האווירי האמריקני במלחמת וויטנאם.
לא אכנס כאן לדיון מהו בדיוק OODA והאם הוא הפתרון המתאים? הנכון? מה שחשוב לי להדגיש שבמקום "לעשות יותר מאותו הדבר"... (וזה בבירור לא עונה על הציפיות) צריך וחיוני לחשוב על מה צריך לעשות אחרת! (וגם מה לא צריך לעשות אחרת).
OODA בהיותה אסטרטגיה לקרבות אויר בהכרח טומנת בחובה תפישה של מהירות תגובה. יתר על כן, איך מנצחים בקרב אוויר? אחת הדרכים הינה להקדים את האויב, "להתלבש על תהליך ה-OODA" של היריב, ולחתוך אותו. מי שרוצה דוגמה, שילך ויראה שוב את הסרט : TOP GUN (אהבה בשחקים).
מספר הערות להבהרה, על מנת למנוע טעויות ואי הבנה ולהסביר מהן לדעתי אבני בניין לתפישה החדשה:
1.
אינני מציע לזרוק את תקן אבטחת מידע 27002/27001 וסדרת התקנים הנלווית. ההיפך הוא הנכון. הסמכה לתקן הינה תהליך נכון, אבל "לא באופן עיוור". חובה לקרוא ולהבין את 27002. זו התורה האבטחתית, שם כתוב "למה התכוון ISO". אח"כ יש להפעיל שיקול דעת מקצועי וניהולי, לשלב את הרגולציות הרלוונטיות שמספקות תקדימים, לבצע את ההתאמות הארגוניות ועיקר העיקרים, להפעיל את הראש. לחשוב. לחשוב. לחשוב.
כיוון נכון ש-ISO נוקט הינו להוסיף תקנים מגזריים. כיום ישנם כבר שני תקנים מגזריים: 27011 למגזר התקשורת, ו-27799 למגזר הבריאות. תקן מגזרי שלישי למגזר הפיננסי (27015) נמצא בהכנה. תקינה מגזרית ממקדת דרישות מותאמות למגזר ומחייבת את יישומם, דהיינו, מצמצמת את מרחב חופש הפעולה של הארגונים במגזר לבחור שלא ליישם בקרה ספציפית. התקן הכללי, 27001 מספק חופש בחירה רחב מדי לארגון.
דוגמאות לשילוב רגולציות רלוונטיות:
א. הוראת ניהול בנקאי תקין 357 של בנק ישראל בעניין "ניהולה התקין של טכנולוגיית המידע" וההוראה לניהול סיכוני אבטחת מידע מטעם המפקח על הביטוח באגף שוק ההון במשרד האוצר מספקות לנו מענים לגבי (בין היתר) מספר סוגיות:
(1) חובת מינוי מנהל אבטחת מידע בכפיפות ישירה לחבר הנהלה (כל חבר הנהלה כולל מנהל מערכות המידע במידה והוא חבר הנהלה כמובן),
(2) חובת ביצוע סקר הערכת סיכונים למערך טכנולוגיית המידע כולו. בעקבותיו נדרש תכנון וביצוע סקרי סיכונים למערך זה וביצוע מבדקי חדירה מבוקרים ע"י חברות חיצוניות בעלות ידע ויכולת מקצועית בלבד,
(3) הצגת דרישות מינימום הכרחיות למתן גישה ללקוחות למערכות המידע וביצוע שאילתות לקבלת מידע ופעולות פיננסיות בחשבונותיהם, לדוגמה תוך כדי עשיית שימוש באינטרנט ("בנקאות בתקשורת"),
(4) התייחסות לדרישות בנוגע למיקור חוץ, לגיבוי והתאוששות.
ב. הנחיות הרשות למשפט טכנולוגיה ומידע (רמו"ט) אשר בשלוש השנים האחרונות החלה לייצר סדרת הנחיות (ובקנה גם שינוי חוק הגנת הפרטיות והוצאת צו המעדכן את דרישות אבטחת המידע למידע זה) בכל הנוגע לאבטחתו של מידע אישי המוגן עפ"י החוק והתקנות להגנת הפרטיות. הנחיות הנגישות לכלל באמצעות אתר האינטרנט של הרשות.
ג. פעילות משמעותית במגזר הבריאות שבוצעה במהלך השנים האחרונות ע"י מר איציק כוכב, ממונה הגנת המידע בשירותי בריאות כללית, ואשר כוללת הנחיות מפורטות להגנת מידע בתהליכי העבודה המורכבים והמגוונים בקופת חולים ובבתי חולים.
ד. תקן PCI-DSS מטעם חברות כרטיסי האשראי הקובע דרישות טכנולוגיות במידה ובארגון נאגר, מעובד או מועבר בתקשות מספר כרטיס האשראי.
הדוגמאות הללו (ויש נוספות) מספקות תשתית, תקדימים, מידע מקצועי תומך, תקראו לזה איך שנוח לכם, אבל בשורה התחתונה, יש הרבה ממה ללמוד, לא כל דבר צריך להמציא מהתחלה.

2. בה בעת נדרש שינוי גישה בהתייחסות לנושא האיומים, הסיכונים והמענה להם. ויסלחו לי כולם. זה לא להגיד CYBER במקום אבטחת מידע. נקודת מוצא חייבת להיות שמערך טכנולוגיית המידע (טכנולוגיית מידע כוללת גם את המרכיבים הטכנולוגיים של אבטחת המידע. נא לזכור זאת!) מותקף כל העת, 24x7x365.
מערך טכנולוגיית המידע מספק:
א. לפרט, תשתית לפעילויתיו הפרטיות. לדוגמה: גלישה באינטרנט, משלוח דוא"ל.
ב. לארגון, תשתית לפעילות הארגונית. לדוגמה: מערכות מידע בהתאם לשיוך מגזרי.
ג. למדינה, תשתית לפעילויותיה כמדינה. לדוגמה: מערך ממשל זמין, מערכת מרכבה.
בה בעת, אותו מערך מספק את התשתית לביצועה של הפעילות העויינת כנגדו או כנגד הפרט, הארגון או המדינה או כל צירוף אפשרי.
כל עוד מערך טכנולוגיית המידע פועל, וזה קורה 24x7x365, הוא מותקף ללא הרף.

מי המתקיף? וזה הכי כואב: הטכנולוגה היא התוקף והמותקף בה בעת.

למה הכוונה? רכיב אחד תוקף את השני. וזה עשוי להתרחש אפילו בין בני אותה המשפחה, כאשר לכל אחד ישנו איזשהו רכיב טכנולוגיית מידע בבעלותו (כל אחד וסמארטפונו הוא...), האחד עלול לתקוף את האחר, בלא שאיש מהם תכנן זאת או רוצה בזאת...

3. שתי התייחסויות למונח: מערך טכנולוגיית המידע מותקף ללא הרף:

א. מיהו מערך טכנולוגיית המידע, מי מחזיק/מפעיל אותו? מי אמור להגן עליו ואיך?
אנו נדרשים להתחיל לשאול שאלות שלא שאלנו בעבר ולספק תשובות ופתרונות.
זה שמדובר במחשבים הארגוניים זה ברור. האם זה כולל גם את המחשב/הסמארטפון הפרטי שלי? מה נדרש על מנת לבצע הגנה? איפה מתבצעת ההגנה? במחשב הארגוני/הפרטי? אצל ספק האינטרנט? במרחב האינטרנט? מה זה בכלל הגנה? ומה עם הפרטיות? שאלות עתידניות? לחלוטין לא. זה כבר קורה.
פרוייקטי I-Code באוסטרליה (החל מדצמבר 2010), ו – Bot-Frei בגרמניה (החל מאוגוסט 2010) מהעבר האחד, והפעילות של מיקרוסופט וממשלת ארה"ב למיגורם של BotNets מהעבר האחר מהווים הוכחה שבעולם החלו ניצני עידן חדש. זה בהחלט יותר מניצנים, יש גיבוי טכנולוגי ומשפטי לתהליכים אלו.
ב. מחייב שינוי בסיסי ועמוק של תפישת ההפעלה של טכנולוגיית המידע.
"עבודה תחת מתקפה", זה שם המשחק. חלק מהמתקפות ייעצרו לפני מערך טכנולוגיית המידע הרלוונטי לאספקת השירות, וחלקן יחדרו.
אלו שיחדרו, מערך טכנולוגיית המידע כולל מרכיבי האבטחה נדרשים להכיל את החדירה ולהתמודד איתה באופן המאפשר לטכנולוגיית המידע להמשיך לפעול, לספק את השירות (אם כי ברמה שעשוייה להיות מופחתת) ולטפל במפגע בו זמנית, עד לחזרה לכשירות מלאה וברצף תפעולי.
טכנולוגיית מידע שבעת שמצויה תחת מתקפה תחייב כמענה ברירת מחדל השבתה, איננה מהווה מענה מקצועי מספק בעידן החדש.

ניהול אבטחת מידע - הבהרה

ציפיתי לקבל תגובות על הרשימות שחלקן עשויות להיות פרובוקטיביות (?) בנושא ניהול אבטחת המידע. לצערי לא כך הוא הדבר.
אשמח מאד לקבל הערות / הסכמות וכמובן אי הסכמות. זה דיון פורה ומפרה.
ניהול אבטחת מידע (שעסקתי בה בעבר כמנהל אבטחת המידע של משרד הבריאות בשנים 1993-2000) וגם ייעוץ (שאני מספק מעל עשור, כולל ייעוץ למנהלי אבטחת מידע) מחייבים יושרה ואמירת אמת. לעתים האמת לא נעימה ולעתים היא יותר נעימה. אבל יש לאומרה בנימוס ובפומבי. אני מאמין שכך אני נוהג. אני מצפה מקהיליית מנהלי ויועצי אבטחת מידע האחרים בישראל ובעולם אלא הקוראים את הבלוג וגם אלו שאינם מוצאים בו עניין לנהוג כך.
לעצם העניין, מעולם לא טענתי שאבטחת מידע איננה כוללת את שלושת המרכיבים: סודיות, אמינות ושלמות, זמינות ואמינות. ההיפך הוא הנכון
הדיון שאני מעלה עוסק בניהולה של אבטחת המידע.

בתאוריה: אבטחת מידע זה כל השלוש

במציאות: "אבטחת מידע" הכוללת את שלושת המרכיבים מחולקת ארגונית לנושאי תפקיד שונים. הנושא בתואר: "מנהל אבטחת המידע" מנהל בפועל בעיקר את מרכיב הסודיות ואיננו אחראי לזמינות, שרידות שלמות ואמינות. איננו אחראי איננו אומר שאיננו תומך בהשגת יעדי הארגון בתחום, אך איננו המנהל האחראי להם.

זו הכללה ואני מניח שיש יוצאים מן הכלל, אך לגבי הרוב, למיטב שיפוטי זה המצב.
זה טוב? זה רע? ככה נכון לעשות? ככה לא נכון לעשות? אלו שאלות אחרות לחלוטין. לפני שדנים בכל השאלות הללו, יש להכיר את עובדת היסוד.
איך בודקים?
קל ופשוט: לכו לתקן 27001/27002 תקחו את 12 הנושאים, תעברו על העשרות הרבות של הבקרות המצויות בתקן (133 ליתר דיוק), ושימו תפקיד למול כל בקרה, מיהו זה בארגון האחראי עליה? תגלו מהר מאד שקיימת חלוקה ברורה בין מרכיבי הסודיות ושני המרכיבים האחרים. לדוגמה: פרק 14 בתקן כותרתו:

IMFORMATION SECURITY ASPECTS OF BUSINESS CONTINUITY PLANNING

שימו לב לכותרת: הבטי אבטחת מידע בתוכנית להמשכיות עסקית. כיוון שהתוכנית להמשכיות עסקית ברוב המקרים איננה באחריות אבטחת מידע...
דוגמה נוספת:
סעיף 10.3.1 בתקן: ניהול קיבולת - CAPACITY MANAGEMENT
איזהוא מנהל אבטחת המידע שאחראי על ניהול קיבולת של מערך טכנולוגיית המידע בארגון? להזכיר, ניהול קיבולת הינו מרכיב של זמינות. זמינות אחד ממרכיבי אבטחת מידע.
אשמח לקרוא ולדעת...

ותקנו אותי אם אני טועה.