מאמר מתורגם – "קיר הבושה –Wall of SHAME" ארבע שנים אחרי: צבר האירועים – נתן להפיק לקחים חשובים

לאחרונה הכריז ארגון ה-ICS2 (International Information Systems Security Certification Consortium) על הסמכה חדשה, HCISSP. לכל מי שלא יודע הסמכת CISSP הנה ההסמכה הוותיקה והנפוצה ביותר בתחום אבטחת המידע בהיבט הכללי. ההסמכה החדשה הנה CISSP למגזר הבריאות.
נשאלתי, מדוע לספק הסמכה ייחודית למגזר זה?
אחת התשובות שיש באמתחתי הנה המאמר שאת תרגומו אביא להלן.

רקע:
בארה"ב קיימים שני חוקים חשובים העוסקים בהגנת פרטיות ואבטחת מידע למגזר הבריאות:
1. HIPAA – Health Insurance Portability and Accountability Act: כולל שני "תת חוקים". האחד לנושא הגנת הפרטיות והשני לנושא אבטחת מידע.
2. HITECH – Health Information Technology for Economic and Clinical Health act אשר נחקק כחלק מחוק רפורמת הבריאות של הנשיא אובמה. משדרג נושאים ב-HIPAA.
לאחרונה נוסף חוק שלישי (תוספת ל-HIPAA). ה-HIPAA OMNIBUS, אשר בין היתר מחייב "שותף עסקי – Business Associate" של מי שמחזיק רשומה רפואית פרטנית (לדוגמה ספק שירותי גיבוי או ספק שירותי ענן...) לציית לדרישות HIPAA.
אבל לענייננו המרכיב החשוב ביותר הנו חוק ה- Breach Notification Final Rule(שנחקק במסגרת ה-(HITECH מאוגוסט 2009, ואשר מחייב ישויות החייבות לעמוד ב-HIPAA לדווח למשרד הבריאות האמריקני על אירוע אשר פגע בפרטיות או באבטחה ובמהלכו התאפשרה גישה בלתי מורשית למידע הרפואי המוגן באופן שהשימוש או החשיפה מהוות סיכון משמעותי בתחום הכלכלי, התדמיתי או נזק אחר (HARM) לאדם שנפגע. גולת הכותרת הנה שכאשר מדובר בלמעלה מ-500 יחידים באירוע בודד, האירוע לא רק מדווח למשרד הבריאות אלא גם הופך לפומבי באתר האינטרנט של משרד הבריאות ("קיר הבושה – Wall of Shame") .
ללא קשר לכמות הנפגעים הפוטנציאליים בכל אירוע, החקיקה מאפשרת הטלת קנסות כבדים (עד מיליוני דולרים) באירוע בודד.
בספטמבר 2013 מלאו 4 שנים לכניסתו לתוקף של חוק ההודעה על אירוע פגיעה בפרטיות ואבטחת הרשומה הרפואית (Breach Notification Rule).

קישור ל"קיר הבושה - Wall of SHAME": http://www.hhs.gov/ocr/privacy/hipaa/administrative/breachnotificationrule/breachtool.html

קישור למאמר:
healthcareinfosecurity.com/wall-shame-four-years-later-a-6104



עתה נפנה לתרגום המאמר בסופו שלוש מסקנות/המלצות למנהלי אבטחת מידע ולמחוקקים/רגולטורים בישראל.

בארבע השנים מאז כניסתו לתוקף של חוק ההודעה על אירוע פגיעה בפרטיות ואבטחת הרשומה הרפואית (Breach Notification Rule), אושרו ע"י הרשויות הפדרליות כ-674 פגיעות משמעותיות אשר פגעו בכמעט 27 מיליון יחידים.
לקח אחד חד משמעי ב"קיר הבושה" של פגיעות משמעותיות הנו הערך של הצפנה כאמצעי מניעת פגיעה. למעלה ממחצית מכל הפגיעות המשמעותיות שדווחו מאז ספטמבר 2009 קשורות לאובדן או גניבה של רכיבים שאינם מוצפנים, בעיקר מחשבים ניידים.
אמצעי הימנעות מסיכון הבדוק ביותר הנו הצפנה, כך לדברי לאון רודריגז מנהל המשרד לזכויות האזרח (Office of Civil Rights, להלן OCR) במשרד הבריאות האמריקני. לדבריו קיימת הערכת יתר של עלויות וסיבוכיות של הצפנה.
רבים מהאירועים של פגיעה בהיקפים גדולים של רשומות, ו-22% מכל האירועים מערבים "שותפים עסקיים – Business Associates". דבר זה מצביע על הצורך של הגופים הנדרשים לעמוד ב-HIPAA )מוסדות רפואיים, הערת המתרגם) לנטר כיצד ספקיהם מממשים בקרות אבטחה יעילות. החשיבות של מרכיב זה גדלה לאחר שהם (השותפים העסקיים) הפכו כעת לאחראים ישירים לציית ל-HIPAA תחת ה-HIPAA OMNIBUS RULE.
בינתיים, כ-20% של הפגיעות ערבו "גישה בלתי מורשית", לעתים בכוונה לבצע מעילה. מה הלקח? להפעיל מדיניות המונעת מבעלי זכות גישה לחטט ברשומות של אחרים, ואם מוצאים שהם מבצעים פעילות כזו, לנקוט באמצעים נגדם. כך לדברי ג'וי פריטס, קצין הפרטיות הראשי במשרד המתאם של מערך ה-IT במשרד הבריאות האמריקני.
בנוסף להפקת לקחים מהסיבות שגרמו לפגיעות המשמעותיות, ארגוני בריאות יכולים ללמוד גם מפעילויות האכיפה שבהם נקט ה-OCR, לאחר מיצוי חקירה של אירועי פגיעה קטנים יותר בהיקפם או המעקב אחר תביעות הקשורות בהפרה של HIPAA. פעולות רבות כאלה מציגות את החשיבות של הערכת סיכונים ככלי לאיתור מוקדם של חולשות אבטחתיות היכולות לגרום לבעיות גדולות יותר.




מגמות ב"קיר הבושה"
ה-OCR, מוסיף את האירועים שפגעו ב-500 ומעלה יחידים לרשימתו, כאשר הפרטים מאומתים. ולמרות שמספר האירועים שבהם נפגעו רבים נמצא במגמת ירידה, מספר מגה-אירועים עדיין מתרחשים.
לדוגמה, נכון ל-27 בספטמבר 2013, דהיינו לפני כשישה שבועות, כ-81 אירועים שהתרחשו בשנת 2013 נרשמו ברישום הפדרלי, בהשוואה ל-160 בשנת 2012 וכ-165 ב-2011.
אבל למרות המספר הנמוך יחסית של האירועים ב-2013 עד לסוף ספטמבר 2013, מספר היחידים שנפגעו עומד המספר המדהים של 4.8 מיליון. הסיבה העיקרית לכך הינה אירוע אחד בודד: גניבת 4 מחשבים ניידים שלא היו מוצפנים מה-ADVOCATE HEALTH SYSTEM. באירוע בודד זה נפגעו כ-4 מיליון יחידים. (הערת המתרגם: אירוע אחד של 4 מיליון ו-80 אירועים המסתכמים בפחות ממיליון... אירוע אחד יכול לשנות את כל התמונה).
בהשוואה, בשנת 2012, 2.6 מיליון יחידים נפגעו מכל האירועים המשמעותיים ביחד, ובשנת 2011, בשנה שבה התרחשו 8 מגה-אירועים נפגעו למעלה מ-11 מיליון יחידים.
ישנם המצפים שכמות האירועים המדווחים תעלה בעקבות כניסתו לתוקף של ה-Hipaa Omnibus Rule. הסיבה לכך היא שה-Hipaa Omnibus Rule שינה את ה-Hipaa Breach Notification Rule. התקן להודעה על פגיעה השתנה מהערכה האם אירועי עלול להסתיים בפגיעה משמעותית בהיבטים כספיים, תדמיתיים או פגיעה אחרת ליחיד, להערכה אובייקטיבית יותר שאירוע חייב בדיווח אלא אם כן קיים סיכוי נמוך שמידע נחשף.
אני מצפה שביטול מרכיב הפגיעה (HARM) ויישום הערכת סיכונים על מנת לקבוע סיכון לחשיפת מידע... ישפיע משמעותית על עלייה בדיווחים על אירועים ל-OCR..." כך לדברי דנה בוגאן, קצינת HIPAA לאבטחת מידע ופרטיות בביה"ח סט. דומיניק ג'קסון במיסיסיפי.

אירועים יקרים
חקירות פדרליות של מספר אירועים המצוינים ב"קיר הבושה" הסתיימו בהסדר כספי משמעותי (קנסות) כחלק מהסדרי הטיעון. ביניהם נתן למנות את הקנסות הכספיים הבאים:
1. קנס בגובה 1.7 מיליון דולר שהוטל על חברת הביטוח WellPoint,
2. קנס בגובה 1.5 מיליון דולר שהוטל על מרפאת עין ואוזן במסצ'וסטס.
3. קנס בגובה 1 מיליון דולר שהוטל על ביה"ח הכללי במסצ'וסטס.
אבל, בסמכות ה-OCR לאכוף ענישה גם בעבירות על HIPAA אשר הנם קטנות מדי בהיקפן ועל כן אינן מצדיקות פרסומן ב"קיר הבושה".
בחודש ינואר 2013, ה-OCR פרסם את הסדר הטיעון הראשון המקושר לאירוע שהשפיע על פחות מ-500 יחידים, אירוע שאיננו מתפרסם ב"קיר הבושה". האירוע התבטא בגניבת מחשב נייד שלא היה מוצפן ובו מידע על 441 מטופלים מההוספיס של צפון איידהו. ההוספיס נאלץ לשלם קנס בגובה 50,000 דולר על מנת להסדיר את הפרשה למול ה-OCR.
חשוב לציין שההסדרים כוללים לא רק קנסות כספיים אלא גם התחייבות לתקן את הפגמים שבעטים אירעה הפגיעה ולבצע סקרי סיכונים מקיפים על מנת לאתר את כל החולשות ולטפל בהן (הערה של המתרגם).

תחת ה-Hipaa Omnibus, קנס עבור הפרה בודדת עלול להגיע ל-1.5 מיליון דולר. רודריגז מנבא שה-OCR יגדיל את "הקנסות המנהליים – Civil Penalties" (קנסות שאינם מהווים ענישה פלילית) כאשר תתקדם האכיפה של ה-HIPAA Omnibus.
הקנס הגבוה ביותר שהוטל ע"י ה-OCR, והקנס המנהלי היחיד עד כה, לא היה חלק מ"קיר הבושה". באירוע זה, ה-OCR השית קנס של 4.3 מיליון דולר על Cignet Health לאחר שלא סיפקו גישה למידע הרפואי למטופליהם, והגדילו עשות כאשר לאחר מכן, גם לא שיתפו פעולה בחקירת ה-OCR.

הבהקי אכיפה
פיל קוראן, מנמ"ר ביה"ח האוניברסיטאי קופר בקמדן, ניו ג'רסי, אומר שבחן את הסדרי הטיעון של OCR על מנת להבין אלו חולשות אבטחתיות זוהו על ידם ומהן הפעולות המתקנות שהומלצו.
המלצתו: בחן האם ישנם דברים שה-OCR המליצה עליהם (כפעולות מתקנות) במקרים אחרים. לדוגמה, לקח חשוב מפעולות מתקנות רבות הנה החשיבות של הערכת סיכונים.
פעילות אכיפה שבוצעה בחודש אוגוסט ע"י ה-OCR המדגימה את חשיבות הערכת הסיכונים פורסמה במסגרת הסדר הטיעון עם Affinity Health Plan, חברה ניו יורקית לניהול טיפולים רפואיים. החברה הסכימה לשלם קנס בגובה 1.2 מיליון דולר על מנת לסיים הטיפול באירוע משנת 2010 אשר פגע ב-345,000 יחידים אשר נתונים עליהם נחשפו על דיסקים קשיחים של מכונות צילום אשר הוחזרו לחברת ההשכרה.
שוב ושוב OCR מוצאים בחקירותיהם שבצוע סקר הערכת סיכונים מעמיק לוקה בחסר, מציין רודריגז. סקר כזה נדרש שיכלול הערכה היכן עשויה להימצא רשומה רפואית מזוהה פרטנית (PHI - Personal Health Information), קביעת הפגיעויות וצמצום הסיכונים.
לדוגמה, אי בצוע סקר מעמיק של הערכת סיכונים, עומד לעתים מאחורי העדר ההצפנה של רכיב שנגנב או אבד. התוצאה לדברי רודריגז הנה דיווחים רבים על פגיעות. (לו היה מוצפן, לו היה צורך לדווח על פגיעה. הערת המתרגם.). ישויות אשר לא בצוע הערכת סיכונים כנדרש כשלו בבצוע ההצפנה מסכם את הנושא רודריגז.
למרות שרוב האירועים קשורים לרכיבים שאבדו או נגנבו, חלק מהאכיפות המבוצעות ע"י
ה-OCR התמקדו ב"חשיפות שערורייתיות", כגון חיטוט ברשומות רפואיות של מטופלים ע"י אנשי הצוות הרפואי.
לדוגמה, ביולי 2011, המרכז הרפואי באוניברסיטת לוס אנג'לס (UCLA Health System), הסכים לשלם קנס בגובה 865,000 דולר ולהתחייב ליישם פעילות מתקנת שמטרתה לסגור פערים בציות ל-HIPAA. שני מטופלים סלבריטאים טענו שעובדים במרכז הרפואי חזרו וצפו ברשומותיהם הרפואיות, כמו גם ברשומות של מטופלים אחרים, ללא רשות.
אירועים כאלו מתרחשים כאשר לא קיימים אמצעים טכנולוגיים להבטיח שמי שניגש למידע הנו מורשה אליו מסכם רודריגז.

עד כאן התרגום הכולל פה ושם מספר הערות שלי.

לסיכום ולהתייחסות למנהלי אבטחת מידע, למחוקקים ורגולטורים בישראל:

1. חקיקה או רגולציה נאותה הנה הבסיס ההכרחי להגנה על הפרטיות וליצירת מסגרת ליישום אבטחת מידע.
2. פרסום מידע על אירועי אבטחת מידע ופגיעה בפרטיות ע"י גורם ממשלתי מוסמך הנו כלי חשוב באכיפת הדרישות הכלולות בחקיקה/רגולציה, וגם מספקת אפשרות הפקת לקחים לכלל המגזר כדי להימנע מטעויות שנעשו ע"י אחרים.
במגזר הבריאות בישראל משרד הבריאות מחייב את יישומו של תקן אבטחת מידע בבריאות, תקן 27799. במסגרת תקן זה קיימת דרישה המקבילה בחלקה ל-Breach Notification Law (בחלקה כיוון שהדיווח הנו לקורבן הפגיעה אבל לא לרגולטור, ללא פרסום פומבי או צעדי ענישה). אך גם דרישה מצומצמת זו איננה מעשית, כל עוד לא קיימת במדינת ישראל תשתית חקיקתית מחייבת לעניין זה.
בשלב זה אני ממליץ למנהלי אבטחת המידע להתייחס לדוחות מבקר המדינה בישראל בנושאי אבטחת מידע כמקבילה לדוחות האכיפה של ה-OCR. נתן למצות מהם את הבעיות שהתגלו ולהפנות שאלה לעצמך בסגנון הבא:
לו הארגון שאני משמש בו מנהל אבטחת המידע היה הארגון המבוקר, מה היה נכתב עלי בדוח?
התשובה הנה בסיס טוב וריאלי לתוכנית עבודה על מנת שכאשר תתבצע "ביקורת אמת", התוצאה תהיה טובה יותר.
3. הטלת קנסות גבוהים בצמוד לחובת ביצוע פעילות מתקנת מהווים בדרך כלל אמצעי יעיל, למרות שאירוע בודד עלול לקלקל את הסטטיסטיקה. מדינת ישראל מפגרת מאד בנושא זה.

עוצמתו של האיום הפנימי - בעקבות דיווח ברויטרס - מה עזר לסנודן

דיווח באתר רויטרס מה-18 באוקטובר:
בסיס ה-NSA שבו הוצב סנודן כשל בעדכון תוכנה למניעה או איתור בזמן אמת של ניסיונות הורדת מסמכים בלתי חוקית
Exclusive – NSA delayed anti-leak software on base where Snowden worked
http://www.reuters.com/article/2013/10/18/us-usa-security-snowden-software-idUSBRE99H10620131018

כמי שעוסק באבטחת מידע כבר למעלה משלושה עשורים (משנת 1982), אינני מופתע לגלות כל פעם מחדש שבסופו של יום אירועי אבטחת מידע קטנים כגדולים, מקורם בכשלים שהטיפול בהם הוא שלב א (לכל היותר שלב ב) של כל מי שלומד ומפנים את יסודות תורת האבטחה. אז מדוע זה חוזר על עצמו כל פעם מחדש? אינני מתיימר לספק תשובה. המקרה שלפנינו הוא דוגמה חיה. והלקחים ממנו ממש פרוסים לפנינו על מגש. רק לקרוא וליישם. והרי עיקרי הפרטים לדברי הידיעה ברויטרס ולפי לוח הזמנים:
1. בשנת 2010 טוראי בריאן מנינג (שבינתיים הפך לצ'לסי מנינג) מדליף באמצעות אתר הויקיליקס מאות אלפי מסמכים. מהומה ענקית בכל העולם.
2. הנשיא אובמה (שנכנס לבית הלבן כנשיא ארה"ב בתחילת 2009, שביום השבעתו לנשיא, מתפרסם אחד מאירועי אבטחת המידע החמורים, גניבת 130 מיליון מספרי כרטיסי אשראי מחברת הסליקה השישית בגודלה בארה"ב - Heartland) מורה לשפר את בקרת הגישה מפני הסיכון הפנימי. עיקרי ההוראה הנה כמובן להתקין אמצעי בקרה טכנולוגיים על מנת למנוע הוצאת מידע ע"י בלתי מורשים או לכל הפחות לאתר בזמן אמת אירועים מסוג זה ולמצות את הדין עם העבריין.
3. הזמן עובר לו, והדחיפות לטפל בכשלים מפנה ככל הנראה את מקומה לצרכים מבצעיים דחופים יותר, לפחות כך הדבר בסוכנויות בטחון ומודיעין, לדברי הכתבה. מוכר לכולנו, הלא כן? התירוץ במקרה זה הוא שאין מספיק רוחב פס על מנת להתקין בנוחות את התוכנה ולהבטיח את פעולתה התקינה.
4. בסיס ה-NSA בהוואי שבו מדובר עבר למקומו החדש בתחילת שנת 2012 והחליף בסיס ישן שהופעל באתר מתקופת מלחמת העולם השנייה.
5. בחודש מרץ או אפריל 2013 מגיע לבסיס זה מנהלן רשת בשם סנודן מטעם חברת בוז-אלן-המילטון לעבודה במסגרת הסכם למיקור חוץ.
6. כעבור כמה שבועות הוא מודיע למעסיקו כי בשל מצב בריאותי לקוי עליו לחזור ליבשת.
7. הוא נעלם למספר שבועות וצץ בהונג קונג. השאר היסטוריה.
8. עוד עובדה אחת, לדברי רויטרס (עפ"י דיווח בחודש אוגוסט 2013), שמעלליו של סנודן החלו כבר שנה לפני כן, בחודש אפריל 2012 כאשר הוריד מסמכים באופן בלתי מורשה אודות פעילויות הריגול האלקטרוניות של ארה"ב בהיותו מועסק ע"י חברת דל.
9. ב—30 לאוקטובר, מדווח באתר רויטרס שמשרד המשפטים האמריקני הודיע שהוא הצטרף לתביעה כנגד החברה אשר בצעה את בדיקת המהימנות של סנודן (US Investigation Services), למרות השם הפסבדו רשמי, זו חברה פרטית. התביעה הוגשה דרך אגב לפני שנתיים וחצי (יוני 2011) ע"י עובד לשעבר של החברה שפוטר לאחר שסרב לבצע את "עיגולי הפינות" שהחברה דרשה ממנו לבצע. "קפיטליזם", "הפרטת הביטחון" אמרנו?

אז מה היה לנו?
1. חוסר בקרה על קבלן. א-ב של אבטחה בפעילות מיקור חוץ.
2. הסתמכות על מבדק מהימנות העובד הפנימי. עובד פנימי? מנהלן מערכת במיקור חוץ... מבדק מהימנות? גם הוא במיקור חוץ. ומה מתברר? הוגשה תביעה כנגד החברה שמבצעת את מבדקי המהימנות ע"י עובד שפוטר לאחר שהאשים את המעביד ב"עיגול פינות". מיקור חוץ בריבוע... ואפוא הבקרות? אחת הסתמכה על השנייה. גם זה א-ב של אבטחה.
3. וגולת הכותרת רעיון התעתועים שבעידן ההיפר תקשובי, היפר טכנולוגי, ניתן להמשיך לתת אמון במבדקי מהימנות, "בקרות תהליכיות" במקום להתקין את מערכות האבטחה הטכנולוגיות בצמוד ליכולות הפונקציונאליות. זה חוסר מקצועיות משווע. את המחיר משלם כל העולם המערבי.

מה הלקחים?
1. אין בקרה שאפשר לוותר עליה מבלי לנהל את הסיכון שאי מימוש הבקרה טומן בחובו.
2. הפרטה או בלשון המקצועית "מיקור חוץ", מייצרת סיכונים חדשים. גם אותם יש לנהל.
3. זמינות ערוצי התקשורת, נפחי מידע עצומים הניתנים להעברה ממקום למקום בהקשת מקש, ונפחי אחסון גדולים של מידע הניתנים לניוד בכיס או בתיק קטן, מחייבים שינוי מהותי בגישת הבקרה. סיכון טכנולוגי חייב לקבל מענה טכנולוגי. הסתיים העידן שבו לסיכון טכנולוגי נתן להסתפק בהוראה מנהלית. זה לא עובד. כבר ראינו ב-2006 כיצד קורסת התפיסה שמספיק להגיד ש"אסור" ואין צורך לספק הגנה. (המקרה של גניבת דיסק מביתו של מנתח מערכות במשרד גימלאי כוחות הביטחון בארה"ב. למה להצפין, הרי ישנה הוראה ש"אסור לקחת חומר הביתה". הדיסק הכיל רק כ-18 מיליון רשומות...). ולא לשכוח, כל טכנולוגיה, כולל טכנולוגיית אבטחה טומנת בחובה את הסיכונים שלה וגם לכך יש לספק מענה החל מרגע הפעלתה.

והפעם, תרגום של מאמר שהופיע באתר: healthcareinfosecurity ועוסק באבטחת מכשור רפואי

אבטחת מכשור רפואי – מבט של מקצוען

טיפים להתייחסות לסיכונים. מאת: Freisal Nanji. תאריך: 5 אוגוסט 2013

קישור: http://www.healthcareinfosecurity.com/blogs/medical-device-security-2-key-steps-p-1528/op-1
Feisal Nanji הנו מנכ"ל חברת  Techumen, חברת אבטחת מידע המתמחה באבטחת מידע רפואי.

מכשור ביו-רפואי (Biomedical devices) משולב כיום בבתי חלים ובסביבות טיפול רפואיות אחרות. מכשור זה חיוני על מנת לספק טיפול רפואי ברמה גבוהה.

תוך כדי ביצועו של סקר הערכת סיכונים בבית חולים בן 400 מיטות, נמצאו כ-5,000 מכשירים רפואיים, רבים מהם חייבו קישור לרשת על מנת לדווח ליישום אחר המצוי בשלב שונה בתהליך העבודה (תיק רפואי לדוגמא) או לגישה מרוחקת של ניהול טכנולוגיית המידע.
כמו כן, נמצא מגוון גדול מאד של סוגי מכשירים, החל מציטומטרים ומשאבות הזנה למוניטורים לקצב לב ומנשימים.
עבור העוסקים באבטחת מידע מכשירים אלו הנם בהרבה מקרים אויב.
מסיבות שונות, כולל רגולציה לא ברורה, מכשירים ביו-רפואיים רבים משתמשים במערכות הפעלה שכבר אינן נתמכות ועל כן אמורות לצאת משימוש, והיישומים המורצים בהם אינם כוללים כל מרכיב של אבטחת מידע בתוכנה. כתוצאה מכך, מכשירים אלו "בשלים" למתקפות של קוד זדוני.
ומה שמטריד עוד יותר, רוב המכשירים מקושרים בבתי חולים לרשת התקשורת המרכזית של בית החולים. מצאנו כי ברוב בתי החולים נדיר למצוא שמכשירים אלו מופרדים
ב-VLANs המהווים אמצעי נוסף להגברת האבטחה. מסיבה זו, ברוב בתי החולים, וירוס אשר יחדור באמצעות למשל, משאבת הזנה ישנה שבה מורצת גרסה לא מוטלאת (Unpatched) של מערכת ההפעלה חלונות 2000 יוכל להתפשט כמו אש בשדה קוצים, ולגרום בכך להאטה עד להשבתה של רשת התקשורת המרכזית של בית החולים.
דוגמה נוספת לכשל אבטחה הנו שימוש בקישורי אלחוט שאינם מאובטחים כלל או מאובטחים באופן רשלני הניתן לשימוש לרעה בקלות ע"י פצחן (Hacker) בעל ציוד בסיסי לפריצת רשתות אלחוט.
ברור שההשלכות לבית חולים (או מוסד רפואי אחר), הנן בעלות משמעות. מידע הוא סם החיים של בית חולים מודרני, אשר איננו יכול לפעול ללא אספקה סדירה של טכנולוגיית מידע אמינה.

צעדים הכרחיים

מכשור רפואי מציב אם כך סיכונים מהותיים. מה מומלץ שיינקט ע"י העוסקים באבטחה?
כותב המאמר ממליץ על שני צעדים:

1.   צור צוות בין תחומי של מהנדסי מכשור ביו-רפואי ומומחי טכנולוגיית מידע על מנת לנהל את כל המכשירים.

היסטורית, מחלקות ההנדסה הקליניות היו אחראיות לניהול המכשור הביו-רפואי. שכיח שהן מופרדות ממומחי טכנולוגיית המידע האחראים לכל בית החולים. כתוצאה מכך, שיתוף המידע בין הקבוצות כמעט איננו קיים, ושתי הקבוצות בנו לעצמן "איי ידע ומומחיות" נפרדים. תאום בין שתי קבוצות נפרדות אלו יאפשר תכנון נכון של רשתות, שילוב דרישות לבידול (segregation) ניהול האלחוט וכד'.

הרבה יותר קשה לתקן כשלים טכנולוגיים כאשר המערכת פועלת בייצור שוטף מאשר לתקן את הכשל בשלב התכנון. על שתי קבוצות אלו להיפגש לעתים קרובות על מנת לדון בפתרונות לבעיותיהם. לדוגמה, מומחי ה-IT עשויים להמליץ שכל המכשור הביו-רפואי ייכלל במסגרת VLAN's על מנת שלא לשתף אותם באותה רשת מרכזית.

2.   להכין ולתחזק רשימת מצאי מלאה של המכשור הרפואי. על רשימה זו לכלול את הנתונים הבאים עבור כל מכשיר:

2.1.        מערכת ההפעלה שבה נעשה שימוש,

2.2.       שימוש באלחוט (פרטי השימוש),

2.3.       יישום/יישומים המורץ/מורצים במכשיר,

2.4.       למי (מערכת) מועברים הנתונים מהמכשיר (ממשקים)

2.5.       אמצעי האבטחה שבשימוש במכשיר ובממשקים.

שני צעדים אלו הנם הכרחיים על מנת לשפר את רמת האבטחה במכשירים הביו-רפואיים שחובה לקשרם לרשת. באמצעות שני תהליכים פורמליים אלו, כל תחומי הבעיות (כלומר, הזדמנויות לשיפור), יצופו, וניתן יהי לפתור את הבעיות באמצעות תהליך מיון ראשוני – צמצום קודם כל של הבעיות המסוכנות ביותר והיקרות ביותר לתיקון.

גישת ניהול סיכונים

אנו ממליצים שבתי חולים ישלבו את גישת ה-American National Standards Institute's המתוארת ב:
 

 ANSI: Application of risk management for IT networks incorporating medical devices, Part 1: Roles, responsibilities and activities.

מסמך זה מספק תבנית בהירה תמציתית וברורה שרוב בתי החולים יכולים להשתמש בה.
מכשור ביו-רפואי, במיוחד זה המקושר לרשתות טכנולוגיית המידע, לא ייעלם. אנו חיים בעולם מקושר אשר בו יישומים או מכשירים נדרשים לתקשר עם מכשירים ויישומים רבים "במעלה או במורד" הדרך במטרה לספק טיפול בטוח. חובה עלינו להתייחס למכשור הביו-רפואי כחלק אינטגראלי של תשתיות המידע ולטפל באבטחתם. לעשות זאת בצורה מסודרת, ברורה ובשלבים הינה התחלה נכונה.
איננו יכולים להמשיך ולהתעלם מהאיום לביטחונם של מטופלים.  

המגן צריך להגן על הכל בעוד הפורץ צריך למצוא רק נקודת חולשה אחת

המשפט: "המגן צריך להגן על הכל בעוד הפורץ צריך למצוא רק נקודת חולשה אחת" הפך ברבות השנים לתירוץ האולטימטיבי מדוע המגן נמצא בנחיתות מובהקת וייכשל תמיד כאשר אנו מדברים על עולם ה-CYBER.

המאמר מנסה לקרוא תיגר על נכונות המסקנה ולטעון שבמשפט הקצר והפשוט טמונה למעשה כל חוסר ההבנה האנושית מהו עולם ה-CYBER באמת.

בואו נפרק את המשפט לשני חלקיו:

המגן: המגן צריך להגן על הכל. אמירה נכונה אך עדיין איננה אומרת דבר על שיטת ההגנה.

הפורץ: הפורץ צריך למצוא רק נקודת חולשה אחת. מה זה אומר בדיוק? כתוב בצורה ברורה שהפורץ "צריך למצוא..." מה זה צריך למצוא? מבחינה מקצועית המשמעות הנה שהפורץ מבצע פעילות מגוונת על מנת לאתר את נקודת החולשה, לפני שהוא מבצע את התקיפה עצמה.

בואו נתחיל מאיתור נקודות חולשה בעולם האמתי. דוגמאות:

(1) - שליחת סיורים לבחון האם יש פרצות בגדר המתקן?

(2) - ניסיונות לחתוך את הגדר תוך קיום תצפית ובחינת תגובת המתקן על בצוע החיתוך בגדר,

(3) - ניסיונות לעבוד על השומר בכניסה תוך שימוש בתעודות כניסה מזויפות או שפג תוקפן.

ועוד מגוון שלם של פעילויות מסוגים שונים ובמישורי פעילות שונים.

ומה עושה המגן בעוד הפורץ מנסה לאתר את נקודות החולשה? יושב לו בשקט ונותן לפורץ מרחב פעולה חופשי עד שימצא את נקודת התורפה? לחלוטין לא. חלק ממנגנוני ההגנה מטרתם לאתר את ניסיונות הפורץ לחפש את נקודות התורפה עוד לפני שהפורץ עשה בהן שימוש על מנת לממש את כוונותיו. לדוגמה:

(1) - יוצר "שטח נקי" בסביבת גדר המתקן ומפעיל מערך תצפיות הכולל אמצעי ראית יום/לילה המאפשר גילוי מוקדם של תנועה חשודה בסביבת גדר המתקן,

(2) - מפעיל מערך סיורים ומכין יכולת תגובה מהירה על קבלת התראה על נגיעה בגדר/חיתוך גדר,

(3) - הפעלת מערך הדרכה ותרגול לשומרים על מנת שיאתרו ניסיונות שימוש בתעודות מזויפות/שפג תוקפן ולחילופין משדרג את מערך בקרת הכניסה תוך שימוש בעזרי זיהוי טכנולוגיים מתקדמים.

ואלו רק מקצת הדוגמאות שמטרתן להמחיש שהמגן, בנוסף על פעילויות ההגנה הפנימיות עצמן, נוקט במגוון שיטות על מנת להוות יריב שקול לתוקף בעת שזה האחרון מנסה למצוא את נקודת התורפה האחת. כל זה נכון בעולם הפיזי ומדוע? כיוון שהפרקטיקה של הביטחון הפיזי (בוודאי כאשר מדובר בארגון בטחוני, אך גם כאשר מדובר בארגון אזרחי) שהתפתחה במשך מאות השנים קבעה שלשבת בשקט כברווז במטווח איננה מענה מקצועי נאות.

עכשיו בואו נעבור לעולם ה-CYBER. מה המשמעות של פצחן (האקר, כך מכונה הפורץ בעולם ה-CYBER) המחפש נקודת תורפה? כמה דוגמאות:

(1) - בצוע port scanning (משמעותו חיפוש "השערים" שבהם הארגון משתמש באינטראקציה תקשורתית עם העולם החיצוני),

(2) – חיפוש פגיעויות (vulnerabilities) ברכיבי התשתית/תוכנות התשתית המותקנות בארגון,

(3) – חיבור רכיב שאיננו בבעלות הארגון לרשת הארגון (כדוגמת מחשב נייד, או שתילת רכיב חומרה/תוכנה שמאפשר בצוע האזנה לרשת התקשורת הארגונית או מתעד את ההקלדות בתחנת העבודה) ובחינת תגובת הארגון (באם הארגון בכלל מגיב טכנולוגית/תהליכית, ואם כן, כיצד),

(4) – "גיוס" מחשב על מנת שיהפוך להיות "חייל בצבא האויב" (ע"י שתילת קוד זדוני במחשב אשר יופעל "ביום פקודה" ע"י "רמטכ"ל צבא האויב").

יש עוד עשרות רבות של דוגמאות.

מה אמור המגן לעשות? כמובן, בדומה לפעילותו בעולם האמתי, עליו ליצור כחלק ממערך ההגנה הפנימי, מערך איתור ותגובה אשר יאתר את ניסיונות הפצחן (ההאקר) לחפש את נקודות התורפה עוד לפני שזה האחרון עשה בהן שימוש על מנת לממש את כוונותיו.

וזו בדיוק נקודת התורפה של פעילות המגן בעולם ה-CYBER.

הפרקטיקה של איתור התוקף מבוצעת בחלקה בשטח שמחוץ לתחום השיפוט (הטריטוריה) של המגן ולעתים מבוצעת בתחום השיפוט (בטריטוריה) של התוקף עצמו. כל אלו פרקטיקות ידועות, מנוסות ומצליחות (לא תמיד, אבל לפחות בחלקן), אלא שהן מצויות רק או בעיקר בתחום הפעילויות של המגזר הביטחוני, או בתחום הסמכות, הידע והשליטה של מדינה. אלו כוללים: איסוף מודיעין על הכנות האויב לתקיפה תוך שימוש באמצעים המופעלים בתחום השיפוט של האויב או לפחות בקרבתו, שיבוש הכנות האויב, שימוש באמצעי "פיתוי" להפנות את האויב לשימוש ב"מעברים הכרחיים" המנוטרים היטב על ידי המגן (הכנת מארבים), השתלטות על יעדי האויב  ועוד.

אבל עולם טכנולוגיית המידע הוא עולם אזרחי לחלוטין.

האומנם???

הנה מתברר לנו, החברה האזרחית, שישנו פער גדול בין המונח "טכנולוגיית מידע" או "CYBER SAPCE" שהנו מונח הלקוח מחיי היום יום האזרחיים ובין המונח "הגנה על טכנולוגיית המידע" או כפי שנהוג בימים אלו לכנות את הנושא "הגנה בסייבר" אשר לפחות בחלקו מחייב שימוש בפרקטיקות שאינן אזרחיות אלה במובהק "ביטחוניות" או "מדינתיות".

הנה על כן, מדוע המסקנה שהפצחן (ההאקר) נמצא תמיד בעדיפות הנה תירוץ טוב מדוע המגן נכשל.

המגן חייב להיכשל, מכיוון שתפישת ההגנה שלו מועדת לכישלון מראש.

המגן הסייברי, פועל על פי פרקטיקות "אזרחיות" שבהן מערך ההגנה שלו (ברובו) מנסה להתמודד עם התקיפה וכלל לא (או ברובו הגדול) איננו מתמודד עם אתור הפצחן (ההאקר) בעודו מחפש את נקודת החולשה האחת או בעודו מכין ובודק את איכות וטיב כלי תקיפה שלו.

על מנת לשנות תפישה זו, יש לקבוע כי עולם "טכנולוגיית המידע"/"סייבר" איננו עולם "אזרחי" במלוא מובן המילה. עלינו לקבוע שנדרש שילוב של תפישה "ביטחונית" או "מדינתית" על מנת שהמגן יהיה יריב שקול או יתקרב להיות יריב שקול לפצחן (האקר).

לשון אחרת, על מנת להגן באופן נאות על המרכיבים הבסיסיים של טכנולוגיית המידע, (המחשבים והתוכנות) לסוגיהם השונים, יש להסתכל עליהם כמצויים בעת ועונה אחת בשני עולמות:

1. רכיבים אזרחיים המאפשרים לנו לבצע פעילויות אזרחיות במגוון תחומי החיים, החל מיישום המאפשר לי לכתוב את המאמר הזה, ועוד מיליוני סוגים שונים של פעולות "אזרחיות".

2. רכיבים שעל מנת להגן עליהם במובן המלא של המילה להגן, יש להסתכל עליהם בעיניים "ביטחוניות" או "מדינתיות" כסוג של "אויב" או גורם "עוין", שכן הצד השני משתמש באותם מרכיבים (מחשבים ותוכנות) על מנת לחפש את נקודות התורפה אצלי, ועל מנת לייצר כלי תקיפה. כלי התקיפה עצמו הוא ברוב המקרים קוד תוכנה שבמהותו זהה לחלוטין לכלי ההגנה (גם הוא קוד תוכנה...) דוגמה: וירוס ואנטי וירוס. שניהם תוכנות שנכתבו על ידי תכניתנים. מה ההבדל? במהות אין הבדל. שניהם קוד תוכנה. ההבדל באופן הפעולה וגם זה לעתים הבדל יחסית דק.

האם אנו מוכנים לכך ולהשלכות הנגזרות משינוי תפישה זה?

דוגמה מסויימת לכך נתן למצוא בידיעה המתפרסת היום:

מיקרוסופט: הסרנו מהאינטרט רשת של תוכנות רובוטיות שתקפו 2 מליון מחשבים:

http://www.pc.co.il/?p=121601

אמת, זו פעולה שלאחר מעשה ולא פעילות מניעתית. אבל אין ספק שזו פעולה ברמה של רשויות מדינה (ארה"ב), המגייסת מצד אחד גורמי טכנולוגיה (מיקרוסופט וייתכן חברות נוספות) ומצד שני גורמי אכיפה (FBI) תוך שימוש ב, או יצירה של שיתופי פעולה בינלאומיים ברמות שונות.

 

מה שקורה לנו עכשיו זו לדעתי תקופת מעבר. המדינה עוד לא ערוכה לקחת על עצמה את התפקיד, אבל המציאות דורשת התמודדות כאן ועכשיו. אי אפשר לחכות שהמדינה (הכוונה שלי כל מדינה לא רק ישראל) תתחיל לעשות, אלא כל ארגון צריך להגן על עצמו ככל שהוא יכול וככל שהוא נדרש.

לאט לאט תיווצר מסה קריטית והבנה שנדרשת ככל הנראה חלוקת עבודה בין הרשות (המדינה), הארגון והאזרח.

פשוט זה לא, אבל אין לדעתי שום דרך אחרת להתמודד עם התוצאה המדהימה של היצירתיות של המוח האנושי שיצר לנו מחשב (שהוא גם "כלי נשק" במובן מסויים) בכל כיס.

ה-FDA פרסם טיוטת הנחיות אבטחת מידע למכשור רפואי

פוסט קצרצר רק על מנת להעביר את המידע לציבור רחב.

הקישור להנחיות:

http://www.fda.gov/downloads/MedicalDevices/DeviceRegulationandGuidance/GuidanceDocuments/UCM356190.pdf

יחד עם ההנחיות מתפרסמת הידיעה הבאה:

FDA Safety Communication: Cybersecurity for Medical Devices and Hospital Networks

http://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm356423.htm

 

ועוד שלל ידיעות על כשלי אבטחת מידע (ביניהם כשלים בסיסיים, כמו סיסמאות גישה המקודדות בקוד התוכנה של המכשור ומאפשרות בכך גישה בלתי מבוקרת לשינוי הגדרות המכשיר) ועוד.

 

עוד דרך ארוכה לפנינו בהפיכת מערך המכשור הרפואי למאובטח, אבל "הרכבת יצאה מהתחנה".

 

יאיר

 

מהי ההגדרה הנכונה למונח: "טכנולוגיית המידע" ומהי המשמעות הנגזרת מכך

הפוסט הזה משקף את תפישת העולם שגיבשתי לאחר עשרות שנות עבודה בתחום אבטחת טכנולוגיית המידע.

1.    הגדרות

1.1.       טכנולוגיית המידע

1.1.1.        במובן הצר של המונח, כל רכיבי החומרה והתוכנה הממוחשבים החל מהמחשבים הארגוניים הממוקמים במרכזי המחשבים ועד למחשב השולחני הנייח, המחשב הנייד שעליו אני מקליד פוסט זה, הסמארטפון (זו טעות לקרוא לו כך, הוא מחשב עם יכולות תקשורת סלולריות) הטאבלט ועוד.

1.2.       אבטחת טכנולוגיית המידע (אט"מ)/הגנת סייבר (ה"ס) (להלן: אט"מ/ה"ס)

1.2.1.         מכלול האמצעים המתוכננים ומופעלים במישורים הפיזיים, מיחשוביים (לעתים מכונים "לוגיים", בניגוד ל"פיזיים"), תהליכיים ואנושיים, על מנת להשיג ולשמר סודיות, שלמות ואמינות, זמינות ושרידות למידע, במערכות טכנולוגיית המידע.

2.    קצת היסטוריה שאולי תועיל להבנה

2.1.       המחשב הדיגיטלי הראשון, הקולוסוס פותח בבלצ'לי פארק באנגליה במהלך מלחמת העולם השנייה, ע"י קבוצה של אנשים, אזרחים כולם בהנהגתו של אדם ששמו נמחק (כמעט) מדפי ההיסטוריה של עולם המחשוב, Thomas H. Flowers  מהנדס בענף הטלפוניה במשרד הדואר. טעות נפוצה הנה לחשוב שהמחשב שימש לפענוח צופן האניגמה. זה פשוט לא נכון. המחשב שימש לפענוח שדרי טלפרינטר מוצפנים. אלו נוצרו ע"י תוספת יחידת הצפנה לטלפרינטר הגרמני. התוספת נבנתה ע"י חברת לורנץ. כונתה ע"י האנגלים: Tunny. למעשה הקולוסוס גם לא פענח את השדר אלא פענח סדר הגלגלים (chi-stream). משקלו של הקולוסוס כטונה אחת. הקולוסוס. המחשב הראשון (דגם I) החל לפעול בפברואר 1944. דגם II ב-1 ביוני 1944, שבוע לפני תחילת הפלישה לנורמנדיה. בסוף המלחמה פעלו 11 מחשבי קולוסוס דגם II.

המחשב פותח בסודיות מוחלטת עד כדי כך ששמו של מפתחו (Thomas H. Flowers ), נודע רק לקראת סוף המאה הקודמת, עשרות רבות של שנים אחרי שפותח.

2.2.       המחשב הבא אחריו מפותח בארה"ב, בשנת 1945, Electronic Numerical Integrator and Computer (ENIAC) , משרת את הצבא במעבדת החישובים הבליסטיים. דרך אגב, משקלו 27 טון.

2.3.       המחשב הראשון המסחרי של חברת יבמ (יבמ 701) מופיע בשנת 1952.

2.4.       ומהמחשב הבודד ועד לאינטרנט:

2.4.1.         המחשבים בשנות ה-50 וה-60 לא "דיברו זה עם זה" עידן המיינפרמים של חברות כגון: י.ב.מ (המתכנן הראשי ב-י.ב.מ: Gene Amdahl), CDC (המתכנן הראשי בחברת סי.די.סי הנו Cray), בורוז, הניוול בול ועוד.

2.4.2.         ואז. שיגור הספוטניק (1957), ארה"ב בנחיתות. כיצד מתקשרים בתוך ומחוץ לארה"ב בעת מתקפת טילים?

2.4.3.         ארגון RAND מייעץ לממשל להקים רשת שתענה על הבעיה.

2.4.4.         הרשת ARPANET מתחילה לפעול ב-1969. מתפתחת לרשת שבה מופעלת שיטה של מיתוג מנות (Packet Switching). המטרה: שרידות. סודיות? למי זה נחוץ...

2.4.5.         בתחילת שנות ה-90 מפרסם טים ברנס לי מ-CERN (פיזיקאי) את התקן הראשון לשפת HTML, את ה-HTTP וה-WWW. האיש קיבל תואר סיר והוא ראש וראשון ברשימת ההאקרים... בהמשך נבין מדוע.

2.4.6.         החל מ-1994 יש לנו אינטרנט... והיום יש לנו רשתות חברתיות.

2.4.7.         בשנות ה-60 מתחילים לצוץ במקביל למחשבים הארגוניים הענקיים, מחשבים קטנים לשימושים ביתיים (קומודור 64, ספקטרום, וקונסולת משחקי אטארי ועוד).

2.4.8.         המחשב האישי הראשון של חברת י.ב.מ. - אוגוסט 1981.

2.5.       המאפיינים את המהלך הזה הנם הבאים:

2.5.1.         חלק לא מבוטל של הפיתוחים נעשים לצורכי המדינה ובמימונה.

2.5.2.         אין כל פיקוח אזרחי, משפטי, מוסרי, ערכי, תרבותי על הפעילות. מה שעובד נותר במרוץ, מה שלא, לא. ואם זה עובד, דיינו בכך. לא צריך להתעסק בשאלות אתיות, משפטיות, וכד'. ובכלל מי שעוסק בתחומים שאינם טכנולוגיים, מדיר עצמו מראש מהעיסוק בהם, שכן איננו מבין בכך ואיננו רואה צורך להבין. הם בשלהם ואני בשלי.

2.5.3.         חלק אחר של הפיתוחים נעשה לשם שעשוע, בילוי בשעות הפנאי, משחקי ילדים ולזה בוודאי ובוודאי שלא נדרשת התייחסות.

2.6.       במקביל מתפתח עולם הווירוסים:

2.6.1.         התאוריה - בשנת 1966, פון נוימן מפרסם עבודה שכותרתה: Theory of self reproducing automata. מבוססת על הרצאות שנתנו על ידו בשנת 1949 באוניברסיטת אילינוי. תוכנית מחשב המשכפלת את עצמה.

2.6.2.         באופן מעשי, קוד תוכנה (בדרך כלל זעיר) הנדבק לתוכנה אחרת, מוסווה בתוכה ומופעל כאשר התוכנה מורצת.

2.6.3.         משכפל את עצמו לקבצים נוספים ו/או ל-boot record  של הכונן הקשיח, דיסקט, תקליטור וכו'.

2.6.4.         מבצע פעולות שונות ומשונות בצורה גלויה או סמויה.

2.6.5.         1971 – וירוס Creeper נכתב ע"י בוב תומס ומדביק מחשבי  DEC PDP-10 באמצעות רשת ARPANET.

2.6.6.         1981 – elk Cloner. נכתב למערכת Apple II. מערכת ההפעלה של המחשב שהייתה על גבי דיסקטים.

2.6.7.         1987-1988 – וירוס ירושלים, ועוד.

2.6.8.         פוגענים אחרים מפורסמים: תולעים כדוגמת Code Red (2001), קונפיקר (2008-2009).

2.6.9.         ולווירוסים יש אנטי וירוסים. וישראל חלוצה בתחום: איריס, כרמל, אלישים (eSafe) ו-BRM. כולם "ייבלעו" בחברות הגדולות המוכרות היום.

2.7.       אז למה אי אפשר להתפטר מהם:

2.7.1.         מהי תוכנה? דוגמה לתוכנה אלו יישומי המשרד של מיקרוסופט. תוכנה היא קוד. גם מערכת ההפעלה זו המפעילה את המחשב היא בסופו של יום קוד.

2.7.2.         מהו וירוס, סוס טרויאני, תולעת וכד'? גם זה קוד.

2.7.3.         מה ההבדל בין מערכת הפעלה, תוכנת יישומים כלשהי ווירוס?

2.7.4.         אז זהו שאין. אין ההבדל. ההבדל הינו בתוצאה של פעילות הקוד. יותר מדויק יהיה לומר שההבדל הינו במטרה שהועיד לעצמו מי שכתב את הקוד. לעתים הכותב הינו רק חוליה בשרשרת ואיננו מודע למה ישמש הקוד אותו כתב...

2.7.5.         מי כותב קוד, מי כותב מחוללי קוד, ומי כותב קוד וירוס או מחולל קוד וירוס?

2.7.6.         את שניהם כותב איש שמקצועו כתיבת קוד, תוכניתן.

2.7.7.         איפה קונים קוד?

2.7.8.         בחברת תוכנה, או דרך האינטרנט.

2.7.9.         לקנות יישום כמו יישומי המשרד של מיקרוסופט שמאפשר לי לכתוב את הפוסט הזה, ולקנות יישום שמטרתו לאפשר לי לכתוב קוד כדי להרוס את יכולתי להמשיך ולכתוב את הפוסט הזה, זה במהותו אותו הדבר.

2.8.       מה זה האקינג?

2.8.1.         ישנם כמה פירושים. הנפוצים הנם:

2.8.1.1.        פעילות שמהותה חקירה מפורטת של מערכות מתוכנתות וכיצד למתוח ולבחון את יכולותיהן בניגוד לפעילות רגילה של משתמשים במערכות אלו המעדיפים ללמוד רק את המינימום הנדרש.

2.8.1.2.        תכנות ואפילו באובססיביות באופן מעשי, בניגוד לעיסוק תאורטי במדעי המחשב.

2.8.1.3.        הנאה מהאתגר האינטלקטואלי של פעילות יצירתית שמטרתה להתגבר על או לעקוף את המגבלות הקיימות

2.9.       ומיהו ההאקר?

2.9.1.         מומחה תוכנה – Programmer expert.

2.9.2.         פורץ מחשבים שמטרתו איתור כשלים ומסייע לפתרונם – White Hacker.

2.9.3.         פורץ מחשבים שמטרתו גרימת נזק – Black Hacker. ביום-יום זו הכוונה.

3.    אז מה זה בעצם טכנולוגיית המידע?

3.1.       זה מחשבים ותוכנות המופעלות במחשבים.

3.2.       המחשבים עצמם (החומרה) אדישה לפעילות המתבצעת באמצעותה. היא פלטפורמה בלבד.

3.3.       התוכנה  זה "משהו" שמאפשר בה בעת לבנות ולהרוס, לייצר יישומים ולשתק את פעילות המערכות שבהם מריצים את אותם היישומים.

3.4.       נלך צעד אחד קדימה. המחשב הנייד שבו אני מקליד ברגע זה, מפעיל ("מריץ") בעת ובעונה אחת ערב רב של פעילויות (Tasks/Processes) שרק אחד מהם הוא זה שמאפשר לי להמשיך ולהקליד. בנוסף וללא שיש לי כמי שמשתמש במחשב זה (לכאורה הבעלים של המחשב) מושג, מופעלות במחשב עשרות פעילויות נוספות שאני אינני יודע מי "שתל" אותן במחשב, מה גרם להן להתחיל לפעול או מה יגרום להן להפסיק לפעול. כל שאני יודע ורואה זה מה שמאן דהוא, החליט עבורי שדרוש לי, על מנת שאוכל לבצע את משימתי שלי. רבותי, אני בכלל לא שולט במחשב ולא הבעלים של המחשב. אני אחד מהמשתמשים במחשב. אז מיהם המשתמשים האחרים?

3.5.       התשובה הראשונה תהיה. אין לי מושג. אני לא הזמנתי אף אחד להשתתף אתי במחשב "שלי". האומנם? מאז שהמחשבים מתחברים לאינטרנט, אני מזמין מרצוני או שלא מרצוני, בידיעתי ושלא בידיעתי את כל האינטרנט לחבור אלי למחשב שלי. אני חיברתי את עצמי לכל מי שמחובר גם הוא לאינטרנט. נא לזכור, הסמארטפון הוא מחשב. כלומר כל המחזיק בסמארטפון ומתחבר לאינטרנט, מזמין בכך את כל המשתמשים באינטרנט להתקשר אתו.

3.6.       עכשיו בואו נחבר את מה שנכתב מתחילת פרק זה ונקבל את התוצאה הבאה:

3.6.1.        מחשב מאפשר להפעיל בו פעילויות שונות. פעילויות אלו כוללות פגיעה במחשב זה עצמו, ובמחשבים אחרים המקושרים אליו, אם דרך האינטרנט או ברשת תקשורת אחרת שבה מחשב זה פועל. הרשת יכולה להיות כמובן גם אלחוטית מכל סוג שהוא.

3.6.2.         הגדרה כזו של המחשב קרובה יותר להגדרה של כלי נשק או חימוש שבו נעשה שימוש בכלי נשק מאשר לאופן שבו הגדרנו את טכנולוגיית המידע בתחילת הפוסט. להזכיר, כך הגדרנו את טכנולוגיית המידע בפרק הראשון: במובן הצר של המונח, כל רכיבי החומרה והתוכנה הממוחשבים החל מהמחשבים הארגוניים הממוקמים במרכזי המחשבים ועד למחשב השולחני הנייח, המחשב הנייד שעליו אני מקליד פוסט זה, הסמארטפון (זו טעות לקרוא לו כך, הוא מחשב עם יכולות תקשורת סלולריות) הטאבלט ועוד.

הגדרה זו יצאה מתוך נקודת מוצא שאין משמעות לאופן השימוש בטכנולוגיה, אלא רק לעובדה על מהם מרכיביה. אלא שלפתע מתחוור לנו שאופן השימוש הנו משמעותי לעתים אף הרבה יותר מעצם השימוש. היכולת בה בעת לאפשר משהו ולמנוע אותו, לבנות משהו ולהרוס אותו (בין לעצמי ובין לאחרים) באופן מודע או שאינני מודע לו כלל, משנה את הגדרת טכנולוגיית המידע באופן מהותי.

הגדרה חדשה תצטרך לאזן בין המהות והאופן שבה נעשה במהות זו שימוש.

4.    טכנולוגיית המידע – הגדרה חדשה:

4.1.       כל רכיבי החומרה והתוכנה הממוחשבים החל מהמחשבים הארגוניים הממוקמים במרכזי המחשבים ועד למחשב השולחני הנייח, המחשב הנייד שעליו אני מקליד פוסט זה, הסמארטפון (זו טעות לקרוא לו כך, הוא מחשב עם יכולות תקשורת סלולריות) הטאבלט ועוד, ואשר השימוש בהם מאפשר (בין היתר) לפגוע ברכיב עצמו וברכיבים אחרים המקושרים אליהם או מופעלים/מבוקרים על ידם, גם בלא שהמשתמש ברכיב מודע או מתכוון לכך.

4.2.       לטעמי, הגדרה כזו מאזנת בין המהות, האדישה לאופן השימוש, ובין אופן השימוש ההופך את הטכנולוגיה הזו לקטלנית.

4.3.      ועוד נקודה אחת, בידי מי מצויה היום טכנולוגיית המידע? יותר מ-2.5 מיליארד משתמשים, מכל התרבויות על פני כדור הארץ. מילדים קטנים ועד מבוגרים וזקנים. תחשבו על המשמעות. מליאקדי רכיבים העלולים לשמש גם ככלי נשק בלא ידיעת המפעיל אותם מפוזרים להם בידינו. בכיס שלנו, של ילדינו, של משפחתנו. זו הפעם הראשונה בהיסטוריה של האנושות, שמי שלא הוכשרו כלל להשתמש בכלי נשק או בחימוש מפעילים (גם בלי ידיעתם או כוונתם) כלים כאלו. מישהו התכוון לכך? אינני מאמין. היצור האנושי לא עד כדי כך מתוחכם וצופה פני עתיד.

4.4.       אם אני צודק והגדרת טכנולוגיית המידע כוללת גם את אופן השימוש בה, מה זה אומר על אבטחת טכנולוגיית המידע/הגנת סייבר?

4.5.       רק דבר אחד: כל מה שאנו עושים היום לא מתחיל מהנקודה הנכונה ועל כן, אין בשלב זה מענה מספק. כדי לספק מענה נכון צריך להבין שמדובר בתהליך חדש שבו לא התנסינו בעבר. מדובר במשהו שמתנהג גם ככלי נשק, מצוי בידי אוכלוסיות אזרחיות בכל מגוון הגילאים והתרבויות, ואיננו נשלט (בשלב זה) בידי מי שהוא מצוי בידיו.