פוסט זה יתייחס לשני מחקרים המתפרסמים זמן קצר לפני הפסח.
פסח, זמן טוב לרענן את המחשבה, מעבדות לחירות נאמר, אז גם של חשיבה.
אז מה היה לנו?
1. דוח שנתי של חברת וריזון הנושא את הכותרת: Verizon report on data breaches
2. מחקר קרימינולוגי מיהם פושעי המחשב. הקרימינולוג דר' מיכאל מקגוויר מהאוניברסיטה העירונית של לונדון וצוותו מציגים נתונים מעניינים ו"שוחטי פרות קדושות" בעניין זה. האומנם? המחקר מומן בידי חברת BAE systems Detica וכותרתו: Organized Crime In the Digital Age
הדוח של חברת וריזון אומר בלשון שאיננה משתמעת לשתי פנים: שכחנו את השיעור הראשון. כלומר, ארגונים שוכחים שהגנת המידע איננה מתחילה באמצעי אבטחה מתקדמים אלא ב-א. וכך לדבריהם רובם המכריע (מעל 90%) של מאות רבות של אירועי פריצה למערכות שנחקרו על ידם נגרמו כתוצאה של רשלנות, חוסר ידע מקצועי או טעויות פשוטות ולא דרשו מהפורצים רמה מקצועית גבוהה על מנת לפרוץ למערכות טכנולוגיית המידע הארגוניות. שורה תחתונה, השקעה יחסית קטנה הייתה מונעת אותם.
המחקר של הקרימינולוג מציג תמונה שבה הפשע המאורגן הפיזי והמיחשובי מתאחדים.
שלושה יסודות הבונים את העידן הנוכחי של הפשיעה הדיגיטלית הינם:
א. מי העוסקים בכך? התשובה היא שבקרוב ל-50% מהמקרים, זהו אדם מעל גיל 35 ופחות משליש הינם בני פחות מ-25.
ב. מה יכולותיהם? רובם אינם בעלי ידע מקצועי עמוק בתחום טכנולוגיית המידע.
ג. זה מצליח. ועוד איך מצליח.
מה הולך פה? הרי מספרים לנו השכם והערב שהאקרים זה חבר'ה צעירים, מומחי טכנולוגיית מידע והנה פה מדובר בתמונה הפוכה.
הסיבה היא פשוטה. הפשיעה הדיגיטלית (הממוחשבת) הפכה לפס ייצור של כלי תוכנה זמינים לרכישה באמצעות האינטרנט. חלק נכבד מהפשיעה מתבצעת על בסיס מודלים כלכליים שפותחו על מנת לשרת את עולם הסחר האלקטרוני המודרני והפשיעה הדיגיטלית "עלתה על הגל" ומצאה את מקומה באותם השיטות, רק למטרות "קצת" אחרות...
למה זה מצליח?
כי רכיבי טכנולוגיית המידע המצויים בידינו מלאים בכשלים הניתנים לניצול (פגיעויות), או לחילופין, ראה הדוח של וריזון בחלק הראשון של הפוסט...
קיצורו של דבר, חברת המידע והשפע המודרנית צריכה לתת לעצמה דין וחשבון.
המענה הינו ביצירת תהליכי אכיפה ושילוב ידע טכנולוגי בחדירה לעולם הפשע הדיגיטלי לצמצומו באופן פרואקטיבי ולא רק בשימוש בשיטות הגנתיות תגובתיות קלאסיות.
מהעבר השני, נדרש כי תשתיות טכנולוגיות המידע החל מייצורן וכלה בשימוש השוטף בהן יזכו לקבל את תשומות האבטחה הנדרשות.
פסח, זמן טוב לרענן את המחשבה, מעבדות לחירות נאמר, אז גם של חשיבה.
אז מה היה לנו?
1. דוח שנתי של חברת וריזון הנושא את הכותרת: Verizon report on data breaches
2. מחקר קרימינולוגי מיהם פושעי המחשב. הקרימינולוג דר' מיכאל מקגוויר מהאוניברסיטה העירונית של לונדון וצוותו מציגים נתונים מעניינים ו"שוחטי פרות קדושות" בעניין זה. האומנם? המחקר מומן בידי חברת BAE systems Detica וכותרתו: Organized Crime In the Digital Age
הדוח של חברת וריזון אומר בלשון שאיננה משתמעת לשתי פנים: שכחנו את השיעור הראשון. כלומר, ארגונים שוכחים שהגנת המידע איננה מתחילה באמצעי אבטחה מתקדמים אלא ב-א. וכך לדבריהם רובם המכריע (מעל 90%) של מאות רבות של אירועי פריצה למערכות שנחקרו על ידם נגרמו כתוצאה של רשלנות, חוסר ידע מקצועי או טעויות פשוטות ולא דרשו מהפורצים רמה מקצועית גבוהה על מנת לפרוץ למערכות טכנולוגיית המידע הארגוניות. שורה תחתונה, השקעה יחסית קטנה הייתה מונעת אותם.
המחקר של הקרימינולוג מציג תמונה שבה הפשע המאורגן הפיזי והמיחשובי מתאחדים.
שלושה יסודות הבונים את העידן הנוכחי של הפשיעה הדיגיטלית הינם:
א. מי העוסקים בכך? התשובה היא שבקרוב ל-50% מהמקרים, זהו אדם מעל גיל 35 ופחות משליש הינם בני פחות מ-25.
ב. מה יכולותיהם? רובם אינם בעלי ידע מקצועי עמוק בתחום טכנולוגיית המידע.
ג. זה מצליח. ועוד איך מצליח.
מה הולך פה? הרי מספרים לנו השכם והערב שהאקרים זה חבר'ה צעירים, מומחי טכנולוגיית מידע והנה פה מדובר בתמונה הפוכה.
הסיבה היא פשוטה. הפשיעה הדיגיטלית (הממוחשבת) הפכה לפס ייצור של כלי תוכנה זמינים לרכישה באמצעות האינטרנט. חלק נכבד מהפשיעה מתבצעת על בסיס מודלים כלכליים שפותחו על מנת לשרת את עולם הסחר האלקטרוני המודרני והפשיעה הדיגיטלית "עלתה על הגל" ומצאה את מקומה באותם השיטות, רק למטרות "קצת" אחרות...
למה זה מצליח?
כי רכיבי טכנולוגיית המידע המצויים בידינו מלאים בכשלים הניתנים לניצול (פגיעויות), או לחילופין, ראה הדוח של וריזון בחלק הראשון של הפוסט...
קיצורו של דבר, חברת המידע והשפע המודרנית צריכה לתת לעצמה דין וחשבון.
המענה הינו ביצירת תהליכי אכיפה ושילוב ידע טכנולוגי בחדירה לעולם הפשע הדיגיטלי לצמצומו באופן פרואקטיבי ולא רק בשימוש בשיטות הגנתיות תגובתיות קלאסיות.
מהעבר השני, נדרש כי תשתיות טכנולוגיות המידע החל מייצורן וכלה בשימוש השוטף בהן יזכו לקבל את תשומות האבטחה הנדרשות.
אין תגובות:
הוסף רשומת תגובה