אני מייחס למילים משמעות. על כן תחילת הפוסט הנה שעור בסמנטיקה.
אבטחה או הגנה על מידע כשמה כן היא, הגנה על "מידע" מפני "משהו לא טוב" שיכול לקרות לו, ל"מידע".
אם נגדיר מה זה "המשהו הלא טוב" הזה ונגדיר מהו "מידע" אזי נדע בדיוק למה הכוונה בצמד המילים "אבטחת מידע" או "הגנת מידע" (היינו הך לדעתי לפחות סמנטית).
אז הגדירו. אני חושב שההגדרה המקובלת כיום היא שאותו ה"משהו הלא טוב" כולל את הפגיעה בסודיות המידע (אם המידע סודי), פגישה בשלמות ואמינות המידע (אם שלמות ואמינות חשובה), ופגיעה בזמינות הגישה למידע (אם זמינות זו חשובה).
וגם הגדירו מה כלול במילה "מידע". כדי לפשט נאמר שמדובר באוסף נתונים בשלל צורות (אותיות, מילים, משפטים, סימנים) המצויים על גבי תשתיות מדיה שונות (נייר, תשתית מחשוב דיגיטלית, אופטית) בצורה של מסמכים, שרטוטים וכד'.
בסיכומו
של דבר זוהי הגדרת אבטחת המידע הידועה משכבר הימים. הגנה על:
Confidentiality
, Integrity , Availability.
מה לא כלול בהגדרה הזו?
מי אחראי על מה בחלוקת האחריות הארגונית:
§ הטיפול בסיכונים השונים: מי אחראי על הטיפול בסיכון הפגיעה בסודיות, מי מטפל
בסיכון הפגיעה בשלמות ואמינות ומי מטפל בסיכון הפגיעה בזמינות. האם זה גורם ארגוני
אחד או יותר. והיכן ממוקם בארגון אותו הגורם או אותם הגורמים.
§ הטיפול במישורים הפיזי והמיחשובי: המישורים הפיזיים שבו מצוי המידע (נייר, מחשבים
נייחים וניידים), במנוחה או בתנועה (לדוגמה, במגירה במשרד או בתיק כאשר נלקח ממקום
העבודה לאתר לקוח ויהא זה דוח או מחשב נייד או סמרטפון) ובמישורים המיחשוביים/דיגיטליים/אופטיים
שבהם מעובד המידע, נאגר המידע ומועבר המידע בתקשורת (ההגנה המקצועית הנדרשת במדיום
הדיגיטלי או האופטי, וזה כולל המון, כמו לדוגמה: מערך מידור והרשאות, טיפול בקוד
זדוני, איתור והדיפת התקפות מכיוון הרשת הפנימית והחיצונית, U Name IT).
עכשיו,
בואו נשלב בין שני הנושאים לעיל. מה קיבלנו?
-
טיפול במישור הפיזי של סיכוני סודיות, שלמות ואמינות, זמינות.
-
טיפול במישור המיחשובי של סיכוני סודיות, שלמות ואמינות וזמינות.
בדרך כלל הפתרון המקובל הנו:
המישור הפיזי מטופל כולו ע"י הקב"ט (סודיות,
שלמות ואמינות, זמינות). לעתים הטיפול בסיכון הסודיות מספק מענה גם לשאר הסיכונים.
לדוגמה: אם נדרש להעביר מסמך מסווג ממקום אחד לשני, אזי המסמך מוכנס למעטפה
מאובטחת (פתיחה מגלה את עובדת פתיחתה), ובזה טופלו בבת אחת היבטי הסודיות וגם שלמות
ואמינות. נעשה שימוש בשירות בלדרות שעבר בדיקת מהימנות וטופלה גם הזמינות וגם אמינות
השירות. הכל תחת גורם מקצועי אחד בארגון, הקב"ט.
אבל המישור המיחשובי לא מטופל כולו ע"י מנהל
אבטחת/הגנת המידע.
- מנהל אבטחת/הגנת המידע מטפל בסיכון הסודיות בלבד.
- מנמ"ר ומנהל הפיתוח מטפלים בסיכון השלמות והאמינות. הם אינם מתייגים את עצמם כאחראים על אבטחת מידע, הרי לזה "יש מנהל אבטחת מידע",
- נושא הזמינות מתחלק לשניים, השגה ושימור של זמינות בשגרה ואספקת זמינות (ולו גם חלקית) כאשר השגרה הופרה, בעתות חירום:
- מנהל תפעול מערך טכנולוגיית המידע אחראי על אספקת הזמינות בעת שגרה, דהיינו, טיפול בסיכון אי הזמינות. מבוצע בדרך כלל באמצעות תכנון קיבולת ועומסים ואספקת יתירות. מנהל התפעול איננו מתייג את עצמו כמטפל בנושא אבטחת מידע, הרי "יש מנהל אבטחת מידע בארגון".
- סמנכ"ל תפעול או סמנכ"ל בכיר אחר או המנמ"ר מטפל בסיכון הזמינות לעת חירום באמצעות הכנת מענה הנקרא בז'רגון המקצועי "תוכנית המשכיות עסקית".. מי שממונה על הנושא איננו מתייג את עצמו כעוסק באבטחת מידע, כי בשביל אבטחת מידע "יש את מנהל אבטחת המידע".
המענה על כן קיים מאז ומעולם, אין פה שום חידוש, אלא שברמה הסמנטית יש
עיוות. ישנם כל הזמן איומים חדשים ולא סיכונים חדשים, כן גם כאן הסמנטיקה
חיונית[1]. אויבים חדשים עלולים גם הם לצוץ, סדרי העוצמה של
איומים קיימים עלולים להשתנות, טכנולוגיות עשויות לקום וליפול, מבנה ארגוני עשוי
להשתנות וכד', כמו גם מענים המתפתחים כדי לספק מענה לאיומים ולסיכונים כל אחד
בנפרד ובמשולב.
דוגמא נפלאה בת עשור בדיוק הוא הפישינג. הוא היה קיים
מאז ומעולם, כן מאז שיכולנו לעבוד אחד על השני באמצעות המדיום הדיגיטלי
בדוא"ל. בחג במולד בשנת 2003 פתאום בחודש אחד כמות הפישינג קפצה ב-400% ומאז
האיום הזה לא ירד ממסך הרדאר. העובדה היא שבנקודת זמן ספציפית מאד, קבוצה של (מי
יודע?) החליטה להקפיץ בצורה משמעותית את השימוש בפישינג ומאז זה מוכר וידוע. אבל
זה היה כבר קודם.
מודיעין על תקיפות דבר חדש? נו באמת חבר'ה. באותה המידה
אפשר להגיד שגם הצפנה הייתה דבר חדש. כן, אתם הצעירים אינכם זוכרים, אבל עולם
ההצפנות המסחריות שכל משתמש יכול להשתמש בהם לא היה. לא היה דבר כזה. הצפנה הייתה
נחלת גופי מערכת הביטחון. ואז יום אחד אי שם בשנות ה-70 של המאה הקודמת הטכנולוגיה
הזו התחילה לזלוג מהעולם הביטחוני לעולם המסחרי. היה צורך, היה ידע, היו חבר'ה
ש"זלגו" מעולם הביטחון לעולם האזרחי ו"הזליגו" אתם את הידע
והיכולות... אז לידיעתכם, גם נושא "מודיעין הסייבר" איננו שונה. איסוף
מודיעין היה מאז ומעולם למטרות ביטחוניות ולמטרות אזרחיות. אל מה? הביטחוניסטים
יצאו החוצה מהיחידות הטכנולוגיות הביטחוניות ו"הזליגו" יחד אתם את הידע
שרכשו שם. אז לא זה מה שיוצר את ההבדל.
ואם נדרשת דומה ספציפית לעניין תקיפה למטרת איסוף
מודיעין, אני מפנה את כל הקוראים את הפוסט לספר "העין של וושינגטון", או
בשמה היותר ידוע של אותה הפרשה:
The Inslaw Affair / PROsecutors
Management Information Systems-PROMIS
זוהי תקיפת APT מצוינת. רק שהיא מתחילה מתישהו בשנות ה-70
של המאה הקודמת...
הרי בלי אינטרנט אין APT. תתעוררו
בבקשה, עידן האינטרנט לא המציא את ה-APT
סיימנו בזאת את הדיון באבטחת מידע? עדיין לא.
בכל הדיון שלנו קיימת הנחה סמויה. הנחה זו מתייחסת
לבעלות על רכיבי המחשוב שבהם המידע הארגוני נאגר ומעובד. ההנחה הנה שמדובר ברכיבים
שבבעלות הארגון. פועל יוצא הנו שהארגון באמצעות אגף מערכות מידע שלו חולש על אותם
הרכיבים ועל כן החלוקה שהוצגה לעיל תקפה (מנהל אבטחת המידע אחראי על סיכוני
הסודיות, מנמ"ר/מנהל פיתוח אחראי על סיכוני שלמות ואמינות והאחריות לטיפול
בזמינות מתחלקת כפי שמצוין לעיל).
עד כאן הכל טוב ויפה.
מה קורה כאשר המידע מצוי בבעלות גוף אחר אבל עדיין
הסיבה שהמידע מצוי שם נעוצה בעובדה שהארגון החליט כך אבל המידע לא הועבר מהארגון
לגוף האחר בתקשורת. הוא פשוט הגיע לשם מלכתחילה. דוגמה טובה לכך עשויה להיות במגזר
הבריאות.
כל אחד מאתנו הנו לקוח של אחת מארבע קופות חולים. כאשר
אני מיישם את זכותי לקבלת טיפול רפואי באמצעות זכאותי ועל בסיס הביטוח בקופה, ישנן
שתי אפשרויות:
1.
את הטיפול הרפואי אני מקבל במרפאה של הקופה. המטפל עושה
שימוש במערכות המידע של הקופה.
במצב זה, אנו מצויים בתחום חלוקת האחריות לאבטחת המידע
שתוארה לעיל.
2. את הטיפול הרפואי אני עושה במכון חיצוני אליו
הופניתי ע"י הקופה. המטפל עושה שימוש במערכות מידע שאינן של הקופה, אלא
של המכון. לא תמיד המידע מועבר מהמכון לקופה בתקשורת מחשבים. אני מתייחס למצב שבו
המידע יימצא רק במערכות המידע של המכון. המטופל עשוי לקבל תדפיס של המפגש או מידע
על מדיה מגנטית בצורה כלשהי.
במצב זה, דרישות האבטחה מושתות על המכון החיצוני
באמצעות ההסכם הנחתם אתו. ההסכם עשוי להיות תוצאה של הליך רכש באמצעות מכרז. במקרה
זה אגף מערכות מידע של הקופה איננו חלק מתהליך רכש השירות ע"י הקופה ועל
כן בהחלט עשוי להיווצר מצב שעל מנהל אבטחת המידע לקבוע דרישות בשלושת התחומים:
א. שימור סודיות המידע כיוון שמדובר במידע רפואי-אישי, כזה המוגן ע"פ
החוק והתקנות להגנת הפרטיות במדינת ישראל,
ב. שימור שלמות ואמינות המידע תתפלאו לקרוא, אבל בחוק הגנת הפרטיות, כן זה המיושן,
הלכאורה חסר שיניים, נושא שלמות ואמינות המידע כן כלול בהגדרת אבטחת המידע, ועל כן
גם נושא זה מצוי באחריות מנהל אבטחת המידע במקרה זה,
ג. שימור זמינות השירות בשגרה ובמקרי
חירום לא יאומן כי יקרא, אבל גם הזמינות
מצויה שם בהגדרת אבטחת המידע בחוק הגנת הפרטיות.
מה למדים אנו אם כך? במקרה זה, מנהל אבטחת המידע בבואו
לכלול דרישות אבטחת המידע שעל ספק שירותי הבריאות החיצוני לספק למבוטח, בסמכותו,
והייתי אומר מחובתו לכלול דרישות לסודיות, שלמות ואמינות וזמינות.
השאלה הנה כמובן האם יש בידיו את הכלים הנאותים לדרוש
זאת?, שכן ביומיום כפי שהסברתי לעיל, הוא אחראי רק על סודיות המידע.
בזאת סיימנו
למיטב הבנתי את הדיון באבטחת מידע.
ומה נותר לנו? תחומים שאינם עיסוק במידע. כיוון שהם
אינם כלולים בהגדרת המונח אבטחה או הגנה על מידע. למה? כי הגנה או אבטחה של מידע
מתחילה ונגמרת במונח מידע.
השאלה כמובן האם קיימים תחומים כאלה? לדעתי כן.
בעבר התחומים הללו לא נצמדו לעולם הטכנולוגי המודרני
המבוסס שבבים המרכיבים את המרכיב היסודי בעולם המחשוב.
קחו לדוגמה מכשיר רפואי ידוע ומוכר, מכונת צילום רנטגן.
מה היה בה? מכשיר ליצירה וירייה של קרן אלקטרונים, (זה היה קיים הרבה לפני שהומצא
הטרנזיסטור שבלעדיו אין שבב ובלעדיו אין מחשב), ולוח צילום שמאפשר לקלוט את תוצאת
הקרנת קרן האלקטרונים הזו על חפץ שבחלקו בולע את הקרן ובחלקו לא בולע אותה. גם זה
לא קשור למחשבים דיגיטליים. חוץ מזה הייתה שם הרבה מכניקה, וחומרים כימיים לפיתוח
התמונה. בסוף היה לנו ביד פילם שאתו הלכנו לרופא והוא על סמך מה שראה בפילם הפיזי
שהחזיק אותו ביד קובע את האבחנה הרפואית ושולח אותנו לקבל טיפול.
אבטחת המידע במקרה זה נועדה להגן על המידע המצוי בפילם.
כן הייתה חשיבות לשלמות ואמינות המידע המצוי בפילם. לכך דאגו הרשויות המוסמכות
לדוגמה ה-FDA כאשר סיפקו אישור למכשיר הרפואי שהוא מבצע את פעילותו כנדרש.
כמו כן, נדרש לאחסן את הפילמים במקום שלא ייגנבו
ויישמרו כיאות, כך שניתן יהיה לאחזרם בעת הצורך (עד שנמאס לקופות החולים והם
העבירו את האחריות לחולים. זוכרים?).
היום מכשיר רנטגן קרוי CR – Computerized
Roentgen או DR – Direct
Roentgen.
כי אין יותר מידע על פילם אלא יש מכונה שיש בה מחשוב
בכל מיני שלבים של פעילותה וניהול פעילותה. היא מייצרת מידע דיגיטלי מסוג תמונת
רנטגן אבל הוא מיוצר בנבכי מערכות המחשוב, בתהליך דיגיטלי. כלומר כל תהליך הפעולה
של המכונה כבר מבוקר ומנוהל באמצעות ממשקי מערכות מיחשוביות, חלקן משובצות מחשב
וחלקן מחשוב "רגיל".
מהי כאן "אבטחת/הגנת המידע"? על מה מנהל
אבטחת/הגנת המידע אמור להגן? האם הידע ותחומי האחריות שלו מספיקים/רלוונטיים?
באופן דומה נוכל להתייחס לכל מערכות הייצור והבקרה.
ייצור של ובקרה על אנרגיה לסוגיה השונים (חשמל, דלק, גז), מערכות חיים כדוגמת מים
וביוב, מערכות שליטה ובקרה בתחומי הטיס, שיט, תנועת רכבות ועד מערכות ניהול מעליות,
מיזוג אוויר. מקררים תעשייתיים ומעבדתיים, וחמצן בבתי חולים. הדוגמאות הן מכל
חיינו. כל העולמות הללו שהיו בעבר עולמות מכניים, חשמליים, והידראוליים וכללו
מנגנוני טיפול בסיכוני בטיחות למפעיליהם ולתהליכים שבוצעו באמצעותם (באופן כזה או
אחר) הפכו לעולמות שבהם משולב ומעורב שבב המחשב ואתו כל העולם הדיגיטלי כולל
ממשקים מהרכיב הממוחשב לעולם החיצוני למטרות שונות החל מהצגת הנתונים, קבלת פקודות
לבצוע פעולות (לפתוח לסגור שסתום להזרמת מים, דלק, גז, לנהל את מערך ייצור החשמל,
לנהל את מערך הרמזורים והדוגמאות רבות מספור) וכמובן בצוע תחזוקה מרחוק באמצעות
ממשק אלחוטי או אינטרנט או כל ממשק אחר.
מה לאמור לעיל ולאבטחת מידע/הגנת מידע? ישנה מעורבות
בהתייחסות למידע, אינני מתכחש לעובדה זו, אבל ניהול הסיכונים של מערכות
הנדסיות כדוגמת מכשור רפואי, מערכות שליטה ובקרה (חלקן בזמן אמת), ייצור
חשמל, ניהול רמות דלק והזרמתו, אינו ניהול סיכוני מידע או ניהול סיכוני
טכנולוגיית מידע, הם תחום מקצועי אחר לגמרי. ועל כן וכבר מהרמה הסמנטית,
אבטחת/הגנת מידע איננה הכותרת הנאותה. אם היא לא הכותרת הנכונה, אזי קשה להניח
שניהול אותם הסיכונים הנו בר בצוע ע"י מי שכל ידיעותיו, הכשרתו וסמכותו
מצויות בתחום המקצועי של ההגנה/האבטחה על המידע וטכנולוגיית המידע בלבד.
על הבעייתיות הזו עמדו כל העוסקים בנושא בתחילת העשור
הקודם כאשר החל בעולם, כמו גם בארץ הטיפול בנושא.
נדרש ליצור שיתוף פעולה בין עולם ההנדסה המייצר את
הרכיבים הללו ובין עולם המחשוב שהרכיבים הללו משתמשים בתשתיותיהם (חומרה/קושחה
ותוכנה) ופועלים בהם בשילוב. נדרש ליצור שפה משותפת של ידע כיצד הדברים פועלים
ומהם האיומים בשני העולמות השונים, כיצד איומים אלו מתורגמים לסיכונים (ומהם
הסיכונים) וכיצד ביחד, בשיתוף פעולה בין עולם ההנדסה (לדוגמה בסקטור הבריאות,
ההנדסה הרפואית) ועולם המחשוב (אגף מערכות מידע, ומנהל אבטחת/הגנת המידע, בין אם
הוא ממוקם בתוך האגף ובין אם הוא ממוקם מחוץ לאגף) מייצרים תהליך להגנה נאות מפני אותם
איומים וסיכונים.
זו לא אבטחה/הגנה על מידע. נקודה. זו הגנה על יכולת התפקוד של הרכיב ושל מה
שהרכיב הזה אמור לבצע. וזו תוספת להגנת המידע ולא במקומה.
אז איך נקרא לזה? הגנת סייבר? זה אומנם תפס, אבל זה
לדעתי לא המונח הנכון.
שם אחר שנתן: אבטחת שרשרת האספקה. יופי. ארוך מדי,
מסורבל, לא קליט ולא ממש מבינים מה זה.
אפשר לעשות תחרות למצוא את השם הנכון. כרגע אין לדעתי
שם נכון.
אבטחת/הגנת מידע זה לא. אני מקווה שלפחות בכך הצלחתי
לשכנע.
הגנה בסייבר זה גם לא, אבל זה תפס. אז נגיד...
ויש עוד מקום לדיון נוסף האם מדובר בשני ממלאי תפקיד
בארגון: מנהל אבטחת/הגנת המידע ומנהל הגנת הסייבר (נגיד שזה השם), כאשר ההפרדה היא
לא המודיעין, האינטרנט, התוקף, תקיפת APT או פצחנות "רגילה", אלא על מה יש
להגן, על המידע או על מרכיבים אחרים שאומנם גם בהם יש מידע, אבל העיקר בהם איננו
המידע אלא יכולת התפקוד. נקודת המוצא לדיון נוסף זה אמורה להיות לדעתי זו:
הגנה על מידע מיושמת בסיכומו של דבר במערכות טכנולוגיית
המידע. מערכות אלו מיוצרות ברחבי העולם והן בעיקרן מערכות לשימוש כללי.
שרת/תחנת עבודה/מחשב נייד עשויים לשמש תשתית לסוגים שונים מאד של שימושים. יישום
אבטחת מידע מוטל על כן בעיקר על הרוכש את הרכיב ומותנה מאד באופן השימוש ברכיב.
הגנה על רכיבים תפעוליים אשר מראש יועדו לשמש מטרה
מסוימת, כמו מכשור רפואי, נדרש שהיצרן יפעיל מראש רכיבי אבטחה כחלק מהתכנון ההנדסי
והייצור. אם לא יעשה זאת, לא יוכל המשתמש להוסיף רכיבים כלל או יתקשה לעשות זאת
משלל סיבות. זהו מצב שונה.
[1] איום
– Threat: הפוטנציאל להתרחשות "משהו לא טוב" ("נזק"). סיכון
– Risk: מה עלול לקרות אם יתממש הנזק. לדוגמה: חדירת קוד זדוני זה
איום. הסיכון מאיום זה הנו משולש: שיבוש מידע, שיבוש עד השבתת יכולת הפעילות,
גניבת מידע. האיום לא חייב להתממש או עלול להתממש בכל קומבינציה אפשרית של מרכיבי
הסיכון. כמו כן, סיכון אחד יכול להתממש מיותר מאיום אחד. לדוגמה: השבתה יכולה
להתממש עקב חדירת קוד זדוני או מטעות אנוש או מפעולה זדונית של פצחן (האקר).
אין תגובות:
הוסף רשומת תגובה