יום ראשון, 1 ביולי 2012

אתגרי ניהול אבטחת המידע כיום

סטוקסנט ולהבה. תוכנות זדוניות שחדרו לתודעה בשנתיים האחרונות. יש או אין חדש תחת השמש? כמי שעוסק בתחום אבטחת המידע כבר 30 שנה התשובה היא שאין חדש תחת השמש. אירועים כאלו כבר היו בעבר.

סטוקסנט, תוכנה ייעודית לפגיעה ברכיב פיזי במקרה זה צנטריפוגות במתקן העשרת אורניום באירן. בשנת 1982 ה-CIA פעל באופן דומה והחדיר תוכנה זדונית לרכיב SCADA שברה"מ גנבה/קיבלה מהמערב. התוכנה הזדונית גרמה לפיצוצו של צינור הולכת הגז הרוסי מסיביר לאירופה, פיצוץ השווה בעוצמתו לחמישית עוצמת הפיצוץ שהחריבה את הירושימה. הפיצוץ גרם לפגיעה קשה בכלכלה הסובייטית המתמוטטת.
מי שמחפש באינטרנט, ימצא את הסיפור תחת הכותרת: The Farewell Dossier
https://www.cia.gov/library/center-for-the-study-of-intelligence/kent-csi/vol39no5/pdf/v39i5a14p.pdf

וירוס להבה, תוכנת ריגול שהושתלה במחשבים אירניים ואחרים על מנת (ככל הנראה) לקבל מידע מקדים לקראת תקיפת סטוקסנט ותקיפות אחרות. גם במקרה זה אין חדש. מי שקרא את הספר "העין של וושינגטון" שבו נחשפת פרשת חברת Inslaw ותוכנת PROMIS (התוכנה הובאה לארץ ע"י כך נטען רפי איתן) מבין שכאז כן עתה, ארגוני ביון/ריגול עושים שימוש ביכולות (או בכשלים) של מערכות מחשוב למיצוי מידע ולשיגורו לגורמים אחרים.
באינטרנט יש הרבה מידע. אפשר להתחיל מויקיפדיה ומשם להמשיך...
http://en.wikipedia.org/wiki/Inslaw

אם כל האמור לעיל איננו חדש, אז מה כן חדש? בזה בדיוק יעסוק המשכו של הפוסט.
יש לבחון מה התחדש בתהליכי העבודה הארגוניים ובמערך טכנולוגיית המידע המשרת תהליכים אלו, וכיצד חידושים אלו משפיעים על עבודתו של מנהל אבטחת המידע בארגון.


1. הארגון והעולם החיצון:
1.1. עבודה מבחוץ לתוך מערכות המידע הארגוניות. השינוי המשמעותי ביותר הינו שרוב תהליכי העבודה אשר בעבר בוצעו רק כאשר המשתמש במערכת המידע מצוי בתוך חצרי הארגון (בלשון מערכות המידע: עובד ברשת הפנימית) מופעלים היום גם או רק כאשר המשתמש מצוי מחוץ לחצרי הארגון (בלשון מערכות מידע: עובד מבחוץ אל תוך הרשת הפנימית של הארגון).
1.2. המשמעות האבטחתית: ה-FIREWALL הארגוני, זה החוצץ בין הרשת הפנימית והעולם החיצון מאבד את משמעותו הייחודית. מירב הפעילות הלגיטימית מתבצעת מבחוץ לתוך הארגון. העולם החיצון, על כל איומיו וסיכוניו הופך לחלק מהארגון.
2. הארגון ורכיבי טכנולוגיית המידע:
2.1. שימוש ברכיבי טכנולוגיית מידע שלא בבעלות הארגון. מתרבה השימוש ברכיבי טכנולוגיית מידע שהמשתמש הינו בעליהם ולא הארגון. הכינוי לכך: Bring Your Own Device. הרכיב המוביל את השינוי הינו הסמארטפון. רכיב המשלב תקשורת סלולרית, מחשוב, GPS ועוד.
2.2. המשמעות האבטחתית: רכיב שאיננו בבעלות הארגון לא מוכלת עליו מדיניות אבטחת מידע ארגונית. הרכיב עלול להכיל תוכנות זדוניות שונות שיפגעו בארגון בעת חיבורו לרשת הארגונית. וגם, מידע מסווג ארגוני שיישמר עליו לא בהכרח יהיה מוצפן ועל כן לא מוגן מפני חשיפתו לבלתי מורשים.
3. מנהל אבטחת המידע, רכיבי טכנולוגיית המידע והמתקפות:
3.1. רמת הידע של מנהל אבטחת המידע על מצבם של רכיבי טכנולוגיית המידע הניגשים למערכות המידע הארגוניות והמתקפות עליהם ועליו. למרות אמצעי האבטחה הרבים, רכיבי טכנולוגיית מידע עלולים להיות מודבקים בתוכנות זדוניות מסוגים שונים. ללא יכולת קבועה של ידיעת מצבם של רכיבי טכנולוגיית המידע הניגשים למערכות המידע הארגוניות, ומעבר לכך, מצב המתקפות הקיימות והמתוכננות עליהם, מנהל אבטחת המידע נותר מגיב לאירועים שכבר התרחשו (אבטחה ריאקטיבית) ולא "מכין תרופה למכה" (אבטחה פרואקטיבית).
ומהם המענים שמנהל אבטחת המידע נדרש ליישם כעת ובעתיד הקרוב:
1. גישה דינמית לניהול סיכוני טכנולוגיית המידע
על מנת לספק מענה לשתיים מהבעיות שהוצגו לעיל, העולם החיצוני בתוך הארגון והשימוש ההולך ומתרבה ברכיבים שאינם בבעלות הארגון יש צורך בפרדיגמה חדשה של ניהול סיכוני טכנולוגיית המידע.
נקודת המוצא הינה שבסיכומו של יום, קיים משתמש אנושי אשר בידיו מצוי רכיב טכנולוגי כלשהו, המבקש גישה למערכת מידע ארגונית באמצעות תווך תקשורת כלשהו על מנת לבצע מטלה מסוימת בשימוש בנתוני הארגון.
מודל האבטחה הדינמי מממש מבדק ומענה בזמן אמת מהו הסיכון אליו נחשף הארגון בעת ביצוע גישה של משתמש קצה וכיצד מצמצמים את הסיכון. מדובר ביצירת "מטריצת איום" המתבססת על חישוב האיום שמייצר כל אחד מהרכיבים הנוטלים חלק בתהליך: 1-מקור הגישה: (א)-ציוד הקצה, (ב)-המשתמש, (ג)-המיקום בו מצוי הציוד, 2-תווך התקשורת, 3-יעד הגישה: (א)-רכיבי ה-IT, (ב)-מסד הנתונים, (ג)-צורת הגישה, (ד)-מטרת הפעילות. כבר היום מצויים בידינו מענים חלקיים. יש להשלים את המלאכה. חברת אינטל החלה בשנת 2009 בפרויקט חומש ל-5 שנים בנושא זה.
2. אבטחת מידע מבוססת מידע
אבטחת מידע איננה שונה מתחומי העיסוק האחרים בארגון. אם אנו מדברים היום על לדוגמה, רפואה מבוססת מידע, אזי באותו האופן יש לדבר על אבטחת מידע מבוססת מידע. במישור הארגוני עליו מופקד מנהל אבטחת המידע מדובר בשני נושאים:
1. נתונים על הדבקת רכיבי טכנולוגיית המידע המתקשרים למערכות המידע הארגוניות או על התרחשויות במערכות המידע הארגוניות.
2. מידע על מתקפות צפויות על רכיבי טכנולוגיית המידע בארגונו או בסקטור שאליו משתייך ארגונו.
נושאים אלו מטופלים כבר היום באמצעות כלי SIM ואיתור רכיבים נגועים באמצעות כלי מודיעין ייעודיים. יש להעמיק ולשכלל פעילויות אלו.

אין תגובות:

הוסף רשומת תגובה