ניהול אבטחת מידע - במה יעסקו הפוסטים.ולהתחלה: CIA בין תאוריה למציאות

לנושא ניהול אבטחת המידע בארגון היבטים רבים. סדרת הפוסטים הבאים תוקדש להם.
1. נחזור צעד לאחור, ולפני שנעסוק בסוגיות הקשורות לניהול אבטחת מידע, נזכיר לעצמנו מהי הגדרת אבטחת המידע, מהי המשמעות הנגזרת מכך והיכן באופן טבעי מצוייה הפעילות העיקרית בכל אחד מהנושאים הכלולים בהגדרת אבטחת המידע בארגונים.
2. נהול אבטחת המידע עפ"י חוק ורגולציה במדינת ישראל. החוקים: חוק הגנת הפרטיות והחוק להסדרת הביטחון בגופים ציבוריים. הרגולציות: רגולציה למגזר הבנקאות, ניהול בנקאי תקין-הוראה 357 של בנק ישראל, ורגולציה לגופים מוסדיים: הוראה לניהול סיכוני אבטחת מידע של המפקח על הביטוח באגף שוק ההון במשרד האוצר.
3. מה זה בכלל ניהול אבטחת מידע? תפקיד טכנולוגי? תפקיד ניהולי? מה מיקומו הארגוני של מנהל אבטחת המידע? בתוך מערך טכנולוגיית המידע? מחוץ למערך טכנולוגיית המידע? חבר הנהלה? לא חבר הנהלה? מהם ממשקי העבודה של מנהל אבטחת המידע עם שאר יחידות הארגון?
4. מה בין אבטחת מידע ואבטחה פיזית? האם אבטחת המידע יכולה להיות כפופה למנהל הביטחון הפיזי? האם מנהל הביטחון הפיזי יכול להיות כפוף למנהל אבטחת המידע? האם מנהל הביטחון הפיזי יכול להיות כפוף למנהל מערכות המידע? נשמע מוזר? הכל יובהר.
5. התפתחות מגמה חדשה בשנים האחרונות: הקמת משרד לניהול סיכונים פנים ארגוני. מה המשמעות מבחינת ניהול אבטחת המידע?
אנסה לפזר מעט את הערפל סביב הנושאים לעיל, ואשמח לקבל תגובות, הערות, וגם אי הסכמות לדברים שנכתבים על ידי יתקבלו בברכה.
כל הנכתב מתבסס על נסיון אישי של כ-25 שנה באבטחת מידע, מהן מעל 11 שנים בניהול אבטחת מידע בפועל כסגן מנהל אבטחת המידע וגם מנהל ביטחון ובטיחות ביבמ ישראל ומנהל אבטחת המידע במשרד הבריאות בעבר, ויועץ אבטחת מידע מזה למעלה מעשור למגוון גופים וארגונים מכל מגזרי המשק בישראל בהווה.

לפני שניגש לניהול אבטחת המידע יש לברר ביתר דיוק מה זה בדיוק "אבטחת מידע".
נוח להתבסס על התקן הישראלי הבינלאומי ISO 27001. בתקן זה נקבע כי אבטחת מידע הינה: "שמירה על חסיון, כלילות (INTEGRITY) וזמינות של מידע..."
הגדרה זו מקבילה לתפישה הרווחת של שלושת עמודי התווך של אבטחת המידע:
סודיות - Confidentiality
אמינות ושלמות - Integrity
זמינות ושרידות - Availability
וכל העוסק בנושא יודע מזה עשרות בשנים לדקלם: אבטחת מידע זה CIA. יופי נחמה...
אלא מאי?
אבטחת מידע איננה מושג מופשט, מדובר בתהליך ארגוני שיש לנהלו.
האומנם זהו תהליך אחד?
לכאורה כן, שנינו ולמדנו: אבטחת מידע זה CIA... נכון, אבל...
יש חלוקת אחריות מאד ברורה וטבעית של שלושת האותיות הללו.

סודיות - Confidentiality
הסודיות הינה באמת בתחום האחריות של אבטחת המידע. המרכיבים הבסיסיים של הזדהות (קוד משתמש וסיסמה, וגם האמצעים המודרניים יותר של TOKEN או כרטיס חכם), מערכת הרשאות, רישום נאות של מי ביצע מה, הכנת סביבה אבטחתית נאותה בגישה מרחוק ועוד ועוד, כולם באים לתמוך ישירות במרכיב הסודיות. אין ספק שנושא הסודיות הינו לב ליבה של פעילות אבטחת המידע.

שלמות ואמינות (כלילות בתקן 27001) - Integrity
באופן טבעי זה בתחום האחריות של פיתוח מערכות מידע. במהלך הפיתוח נקבע אלו נתונים עוברים תהליכי אימות טרם קליטתם לתוך המערכת ומהי רמת האימות שתבוצע. האם נעשה שימוש בתפריטים או במלל חופשי וכד'.
אבטחת המידע תורמת לנושא שלמות ואמינות, לדוגמה באמצעות מערכת הרשאות מתאימה המאפשרת רק לבעלי תפקיד מסויימים לשנות נתונים או בהצעת שימוש בכלים טכנולוגיים לדוגמה חתימה דיגיטלית.
למיטב שיפוטי ונסיוני, אבטחת מידע תורמת לשלמות ואמינות אבל רחוקה מלהיות האחראית להשגתה או לשימורה.

זמינות ושרידות - Availability
אני מרשה לעצמי לפרק את נושא ה-Availability לשני תת נושאים: זמינות (Availability) ושרידות (Survivability).
זמינות ממש אבל ממש לא קשורה לאבטחת המידע. זמינות הינה דרישה תפעולית לשימוש השוטף במערכות המידע. זמינות טובה הינה פועל יוצא של תכנון נכון של עומסים על מערך התקשורת, יכולות העיבוד, מהירויות זיכרון וכדומה. בז'רגון המקצועי נקרא לכך: Capacity Planning. מעולם לא היה באבטחת מידע. זהו תחום מקצועי של מערכות המידע, ומתחלק בין הפיתוח והתפעול. נ-ק-ו-ד-ה.
שרידות יכולה להיות קשורה לאבטחת מידע, אלא שבפועל בארגונים הגדולים בישראל זה בדרך כלל לא. השרידות מורכבת משתי תוכניות:
א. "תוכנית להמשכיות עסקית – Business Continuity Plan"
ב. "תוכנית התאוששות מאסון – Disaster Recovery Plan"

מאחר ומדובר בהיקפי תקציב גדולים ומשמעויות עסקיות אסטרטגיות, נדרש מנהל בכיר בארגון בעל יכולות לגייס את התקציב הדרוש ולהפעיל מערך ארגוני מורכב ובר קיימא לעניין זה. זה לא מנהל אבטחת המידע (בדרך כלל).
אבטחת המידע תורמת תרומה חשובה לשרידות. עליה לספק מענה אבטחתי נאות לכל התוכנית המתגבשת בארגון. זה נושא לפוסט בפני עצמו.
לסיכום: אבטחת מידע בתאוריה זה CIA במציאות זה C לחוד I לחוד ו-A לחוד.

אחרי שדי ברור לנו שמדובר בשלושה תהליכים ארגוניים שונים,נוכל להמשיך לפוסט הבא שיעסוק בניהול אבטחת מידע עפ"י חוקים ורגולציות מרכזיות במדינת ישראל.

אחרי החדשות בשבועות האחרונים נראה שבאמת אין אבטחת מידע

תקיפות מקוונות ניתנות לחלוקה לארבע קטגוריות עיקריות:
1. תקיפות להשגת רווח כספי. אלו מבוצעות בעיקר ע"י פושעים (כולל פשע מאורגן) ויעדיהן אתרים פיננסיים כדוגמת בנקים או חברות סליקת כרטיסי אשראי, או אתרים שבהם מתבצעת פעילות כספית.
2. תקיפות ע"י גורמי מדינה או סוכנויות ביון למטרות מגוונות. ביניהן ניתן למנות:
א. איסוף מידע מודיעיני באמצעות שתילת קוד זדוני המשמש כאמצעי האזנה או דלף מידע באופן כלשהו,
ב. פגיעה במערכות שלטוניות כדוגמת אתרי ממשל זמין של מדינות.
ג. פגיעה במערכות המחשוב של תשתיות חיוניות (כדוגמת מתקפות על מערכות ביטחוניות, תעשייה ביטחונית, כורי
גרעין ומערכות הולכת חשמל).
בהקשר זה יש לציין שהמונח "תשתיות חיוניות" שונה ממדינה למדינה ומשתנה גם במהלך השנים. כך למשל בארה"ב הכריזו במהלך שנת 2010 על החברות המייצרות את רכיבי התשתית לתחנות הכוח החשמליות (דודים, טורבינות וכד') כחלק ממגזר התעשייה המשוייך גם הוא לתשתיות חיוניות.
3. "האקטיוויסטים" שמטרתם להציג עמדות פוליטיות ויעדם עשוי להיות מגוון מטרות בהתאם לסוג הקבוצה. לאחרונה קבוצת פורצים המכונה אנונימוס פעלה כנגד חברת SONY וממשלת טורקיה אשר לדברי קבוצת הפורצים פועלת לאכיפת צנזורה מקוונת.
4. אלה שעושים זאת "בשביל הכיף" או פשוט "להראות להם" שאין להם אבטחת מידע. בשבועות האחרונים קבוצת פורצים המכנה עצמה LulzSec עולה לכותרות בשל פעילות פריצה ברמה יומית.
נראה שבשבועות האחרונים, כאילו כל ארבע הקבוצות שבעבר פעלו כל אחת בזמנה היא והותירו לנו "מרווח נשימה" כלשהו בין תקיפה לתקיפה, החליטו "בינן לבין עצמן" שהגיעה העת "לשבור שגרה" או "לשבור את האשלייה של אבטחת מידע" לרכז מאמצים ולהראות כל אחת ממניעיה היא ש"אין אבטחת מידע".
התקיפות על Codemasters ו-Citibank משוייכות לקטגוריה הראשונה. בתקיפה על Citibank, כ-360,000 לקוחות הבנק יודעו שחשבונותיהם מצויים בסיכון אחרי שפורצים בלתי מזוהים זכו לגישה לנתוניהם. לדברי הניו יורק טיימס הפריצה ל-CitiBank התאפשרה עקב כשל אבטחה בסיסי ומביך מאד באתר הציבורי הבנק. לדברי הידיעה, לקוח לגיטימי שהתחבר לחלק האתר שבו מזינים מספר החשבון בכתובת הדפדפן, יכול היה לשנות את מספר החשבון ולקבל נתוני חשבון אחר. הפורצים השתמשו במחולל מספרי חשבון וכך השיגו פרטיהם של מאות אלפי לקוחות.
תקיפת מערכות המחשוב של קרן המטבע הבינלאומית משוייכת ככל הנראה לקטגוריה השנייה. כך גם התקיפות שבוצעו על יצרנית מוצרי אבטחת המידע RSA (בחודש מרץ) שגררה וגוררת אחריה שרשרת של פגיעות בחברות מהגדולות בארה"ב ובעולם לייצור אמצעי לחימה מתקדמים כגון חברת לוקהיד-מרטין (יצרנית מטוס העתיד של חיל האוויר הישראלי, ה-F-35) וחברת L3. חברת החדשות FOX הודיעה ב-1 ליוני כי חברת גרומן יצרנית מערכות לחימה אמריקאית גדולה נוספת החליטה לפי שעה לא לאפשר יותר גישה מבחוץ למערכותיה. האם זה נקיטת אמצעי זהירות לפני (תוצאה אפשרית של תהליך ניהול סיכונים) או מסקנה של אחרי (תוצאה אפשרית של תהליך ניהול משברים). השימוש באמצעי הזדהות השונה מקוד משתמש וסיסמה כדוגמת האמצעי שנמכר ע"י חברת RSA נפוץ יותר בשימוש בגישה מרחוק למערכות הארגון, ופחות נפוץ בשימוש יומיומי בהזדהות מקומית ברשת הפנימית של הארגון.
שניים מארבעת הבנקים הגדולים באוסטרליה (ANZ ו-Westpac) הודיעו כי יחליפו את רכיבי ההזדהות החזקה של RSA ללא עלות ללקוחותיהם. הבנק השלישי (Commonweal) הודיע כי הוא שוקל את צעדיו והבנק הלאומי של אוסטרליה ממלא פיו מים (בנתיים)...
הערה: בשנת 2005 פירסמה חברת Yankee Group מחקר שהצביע שכמות הפגיעויות במוצרי אבטחת מידע מתקרבת לכמות הפגיעויות במוצרי התשתית של טכנולוגיית המידע (מערכות הפעלה ובסיסי נתונים) שמוצרי האבטחה אמורים להגן עליהם. ועל כן, על יצרניות מוצרי האבטחה להיערך לספק טלאי אבטחה למוצריהן באותו האופן שיצרניות מוצרי טכנולוגיית המידע נערכו. באותה המידה על לקוחות מוצרי טכנולוגיית ואבטחת טכנולוגיית המידע להיערך גם הם בהתאם. כעת עברו 6 שנים ועלינו מדרגה. על יצרניות מוצרי אבטחת המידע לוודא כי רמת האבטחה בחברתן מספקת על מנת שניסיון פגיעה בהם לא יפגע בלקוחות שרכשו את מוצריהן.
כאמור פעילותה של אנונימוס מזוהה עם הקטגוריה השלישית. הם עלו לכותרות לפני מספר חודשים כאשר פגעו בחברות כרטיסי אשראי וחברות סליקה אשר הודיעו שיפסיקו לספק שירותים פיננסיים לויקיליקס, עקב בבדלפות של מסמכים סודיים.
קבוצת LulzSec מזוהה (בשלב זה) עם הקטגוריה הרביעית. כמות הפריצות הנזקפות "לזכותה" עולה מיום ליום בקצה מסחרר. פריצה למערך הבריאות האנגלי (NHS), לאתר הסנאט של ארה"ב, לשלוחה של ה-FBI (Infragard), ובעצם נראה שהם יפרצו "לכל מה שזז".
למרות שהנזקים מהפריצות של שתי הקבוצות המשוייכות לקטגוריות השלישית והרביעית מזעריים לעומת נזקי הקבוצות הפועלות בקטגוריות הראשונה והשנייה, דווקא הן אלו התופסות את הכותרות.
ייתכן ובכך על הארגונים לשנות במשהו את ההתייחסות המזלזלת (יחסית) לסיכון הקרוי "סיכון תדמיתי".
סיכון תדמיתי איננו כלול בסיכוני אבטחת המידע הקלסיים: סודיות (Confidentiallity), שלמות ואמינות (Integrity), זמינות ושרידות (Availability). גם הרבה יותר קשה, עד בלתי אפשרי לכמת אותו.
התוצאה הכוללת הינה ש"אין אבטחת מידע". כמות הפריצות עולה בכל יום. אין יום בלי דיווחי פריצה מסוג זה או אחר. אין יום כתבתי? משעה לשעה הולכים ומתרבים דיווחי הפריצה בכל יום. זה איננו (FUD-(Fear Uncertainty Doubt שבהם הואשמו יועצי ומנהלי אבטחת המידע, כאילו הם סתם צועקים "זאב, זאב", אבל כלום בעצם לא קורה... זו המציאות. יהיו הסיבות אשר יהיו, חוסר מקצועיות, רשלנות, זדוניות, שילוב תקיפות מסוגים שונים, מה שתרצו. זה כבר לא משנה.

הרשימה הקודמת (בשפה האנגלית) הציגה את הצד הכלכלי, מדוע אין אבטחת מידע. כי זה פשוט לא השתלם כלכלית. או כך חשבו שזה איננו משתלם כלכלית. באו מחוקקים, רגולטורים, גופים מנחים, תקנים ובעצם, לא שינו את המצב באופן מהותי.
מה קורה בחודשים ובעיקר בשבועות האחרונים? האם למישהו פשוט נמאס? ייתכן. אינני יודע מה התשובה.

נראה בעליל שכמות הפריצות והמשמעויות שלהן צריכות לשנות את העמדות הבסיסיות של ההנהלות הן של יצרני טכנולוגיית המידע והן של הלקוחות העושים שימוש במוצרי טכנולוגיית המידע.
טעות נפוצה היא שהבעיה הינה רק או בעיקר איך להציל אותנו מפגיעה בתשתיות חיוניות. אם נגן עליהן מספיק טוב, או כי אז "ניצלנו מפרל הארבור דיגיטלי" כדברי האמריקנים.
כל מרקם החיים המודרני מבוסס על טכנולוגיית המידע.

ללא שינוי מהותי בשילוב אבטחת המידע בטכנולוגיית המידע ולא רק אצל לקוח הקצה, יהיה זה הבנק או חברת הביטוח או בית החולים או מערך המיחשוב של בית המחוקקים ומשרדי הממשלה, או תחנת הכוח, או מפעל המים, או הממשל המקומי, או מערכת בתי המשפט, או מפעלי התעשייה או... כל מקום שבו מוטמעת טכנולוגיית מידע, אלא החל משלבי ייצורה של טכנולוגיית המידע, לא יימצא פיתרון ראוי.
אבטחת מידע מתחילה או אמורה להתחיל ב-ה-ת-ח-ל-ה ולא באמצע או בסוף. לכל אחד בשרשרת הייצור והשימוש של מערכות טכנולוגיית המידע תפקידו הוא באבטחת המידע.

כך זה לא יכול להימשך.

שינוי פרדיגמה באבטחת מידע: המדינה לוקחת אחריות על מחשבים המקושרים לאינטרנט. בעולם כבר התחילו. בישראל (בנתיים) מדברים...

הפוסט נכתב לאחר שאתמול ישבתי בכינוס המתוקשר ורב המשתתפים במסגרת סדנת יובל נאמן למדע טכנולוגיה וביטחון שכותרתו: "לוחמת סייבר – אתגרים בזירה העולמית, המדינית והטכנולוגית". הכינוס מתקיים שבועות ספורים לאחר הכרזתו של רוה"מ של הקמת "מטה הסייבר הלאומי" כחלק מיישום המלצות דוח הוועדה שמונתה על ידו ובראשה עמד פרופ' (אלוף מיל.) יצחק בן רפאל. חיכיתי בתור הארוך יותר משעה, בשמש הקופחת, כחלק מבדיקות הביטחון והאזנתי ברוב קשב לכל ההרצאות החל מהרצאתו של ראש הממשלה שפתח את הכנס ועד לסיומו של הכנס, לפנות ערב.
הפוסט הזה יהיה ארוך במקצת, אבל אני מקווה מאיר עיניים באשר לשלב הבא שבו מצוי המאבק להשגת מרחב מיחשובי עולמי נקי יותר מזיהומים...
מבין כל הנאומים הרבים בכינוס (חלקם מעניינים ומחדשים כדוגמת ההרצאה האחרונה בכינוס שניתנה ע"י פרופ' בני פנקס מאוניברסיטת בר-אילן שהציג חשיבה מעניינת על איומים במחשוב ענן, וחלקם פחות מעניינים…) שהתארך הרבה מעבר לשעה הנקובה אני בוחר לקחת שני משפטים משתי הרצאות ולצרף אותם יחד.
המשפט הראשון נאמר במהלך ההרצאות לפני הצהריים, בעת שהאולם עדיין היה מלא מפה לפה, ע"י ויליאם בייר, מנהל PwC לונדון וראש היוזמה של החברה המכונה: OneSecurity שהודה בגילוי לב נדיר במחוזותינו (טוב, הוא אנגלי...) שבמצב הנוכחי ולמרות כל התקנים והרגולציות (ואולי דווקא בגללם...) איננו מצליחים לייצר את האבטחה הנדרשת.
המשפט השני נאמר ע"י שי בליצבלאו מחברת מגלן באחת ההרצאות האחרונות בכינוס, בעת שבאולם כבר נכחו הרבה פחות צופים. לדבריו, בארץ יש הרבה מאד מחשבים המתחברים לאינטרנט שייתכן ויש בהם קוד פוגעני, דהיינו מחשבים "מזוהמים".
כאשר מחברים את שני המשפטים יחדיו מקבלים את האמת המרה "ישר בפרצוף": הרבה מערכות מחשוב המתחברות לאינטרנט (בארץ ובעולם) הינן מסוכנות. הן נגועות בקוד זדוני שהושתל בהם והן או משמשות בפועל או עלולות לשמש בעתיד כפלטפורמה למשלוח מתקפות. נשאלת השאלה: מתקפות על מה? בעצם על מה לא? על כל מחשב אחר המתחבר לאינטרנט. איפה מצויים המחשבים הללו? בכל בית, משרד מכל סוג שהוא, בנק, חנויות בקניונים, בתי"ח, מוסדות ממשלתיים, ארגונים פרטיים. אלו המחשבים המצויים בכל מקום במדינת ישראל ובידי כל אזרח, יהיה זה אזרח נאמן למדינה ככל שיהיה, מחשבו עלול להיות מסוכן לו עצמו ולכל האחרים במדינה.
המסקנה הינה שכל עוד מדינות העולם (וישראל ביניהן) ימשיכו לעצום את עיניהן ולומר שנקיון המחשבים הללו מהקוד הזדוני והשמירה על המשך נקיונם איננו מעניינה של המדינה, אזי המדינה במו ידיה מפקירה את בטחון אזרחיה.
בדיוק כשם שהביטחון האישי ברחובות איננו תפקידו של האזרח שומר החוק, אלא תפקידה של המדינה באמצעות המשטרה וגורמי אכיפה אחרים (מערכת המשפט כדוגמה), כך זה מתפקידה של המדינה לדאוג שמחשבים של אזרחים יהיו "בטוחים". הכוונה במונח "בטוחים" הינה שהמחשב (המונח מחשב דרך אגב כולל כבר היום את הטלפונים החכמים למיניהם, שהם צירוף של טלפון ומחשב וכל סוגי מחשבי הלוח, ובקיצור, כל מה שהוא "דמוי מחשב" ומתחבר לאינטרנט) המתחבר לאינטרנט איננו מהווה פלטפורמה לשליחת מתקפות כנגד מחשבים אחרים באותה המדינה או במדינות אחרות.
אינני רוצה להיכנס בבלוג זה לדיון הארוך והמורכב של הגנת פרטיות כנגד הגנת מרחב הסייבר. על כן אקצר בעניין זה:
א. מסתבר שעולם המחשבים בתוספת האינטרנט מזמן לנו אתגרים מעניינים בנושא זה.
ב. המחשב הפרטי והמידע בו הוא רכושו הפרטי של אדם, בזה אין ספק.
ג. ההתחברות לאינטרנט למיטב הבנתי אמורה לייצר שינוי מסויים בהתייחסות למונח "פרטיות", אבל לא לבטלה.
ד. כאשר הקישוריות הזו הינה ברת פוטנציאל לסכן את המחשב המתחבר או מחשב אחר במדינת ישראל או מחוצה לה, על המדינה לנקוט באמצעים סבירים, תוך כדי שמירה על הפרטיות. בהמשך הבלוג, נסקור תחילת פעילות בעולם המבקשת לייצר איזון בין הפרטיות ובין הצורך "לנטרל את הפצצה המתקתקת במחשבים האזרחיים".
ה. לצערי, בכנס החשוב אתמול לא נמצא מקום לנושא הגנת הפרטיות המעוגנת בחוק ובתקנות להגנת הפרטיות במדינת ישראל, (החוק הראשון במדינת ישראל שחייב מינויו של ממונה על אבטחת מידע בגופים ציבוריים, בנקים וחברות ביטוח עוד בשנת 1996) ושעל יישומו מופקדת הרשות למשפט טכנולוגיה ומידע במשרד המשפטים. אם מישהו שכח לרגע, אז להגן על מדינה זה (בין היתר) להגן על אזרחיה ולא רק על "המדינה". ולהגן על אזרחיה משמעותו (בין היתר) להגן על פרטיותם. רוב רובו של המידע במערכות הבריאות במדינת ישראל הוא מידע המוגן עפ"י חוק זה, ולא סתם מידע רפואי לא מזוהה. רוב רובו של המידע בבנקים ובחברות הביטוח הוא מידע כלכלי מזוהה על לקוחותיהם, ולא סתם מידע פיננסי. חלק לא מבוטל מהמידע על אזרחי המדינה המוגן בחוק הגנת הפרטיות מצוי במרחב הסייבר שכה רבות דברו בו אתמול.
ו. הגנת פרטיות היא חלק מההגנה האזרחית במרחב הסייבר. משום מה לנושא זה לא נמצא מקום בכנס, וגם לא במסמך שמתפרסם במקביל לו מטעם המכון למחקרי ביטחון לאומי, (שותף פעיל בכנס), מסמך הנושא את השם: לוחמה במרחב הקיברנטי: מושגים, מגמות ומשמעויות לישראל, יוני 2011 מאת שמואל אבן ודוד סימן-טוב. אינני יודע מה הסיבה להעדרות זו של נושא הגנת הפרטיות מהגנת מרחב הסייבר.
ז. אין לצפות מאזרח נורמטיבי שיתמודד לבדו עם הסכנות שהאינטרנט טומן בחובו ובעיקר עקב העובדה שהמחשב המתחבר הופך לכלי בידי יריב שהפרט איננו יכול להתמודד איתו כלל ועיקר.
ח. יש לצפות שהמדינה תאזן בין הגנת הפרטיות וחובתה להגן על אזרחיה.
ט. אנו נוטים להתעלם מהעובדה שהתחברות לאינטרנט איננה תהליך נטול הסדרה. בין המחשב הפרטי או המוסדי המתחבר לאינטרנט, קיים ספק שירות. לעתים, מדובר בארגון שהוא עצמו ספק שירותי קישוריות לאינטרנט עבור עצמו או עבור ארגונים אחרים.

אז מה קורה בעולם? קורים שני דברים שונים, המשלימים זה את זה. הראשון החל את דרכו ב-1 בדצמבר 2010, באוסטרליה, השני טרי עוד יותר בן חודשיים, מתרחש בארה"ב.

1. אוסטרליה: פרוייקט iCode
פרוייקט וולונטרי שבו רוב ספקי הקישור לאינטרנט באוסטרליה (מעל 90%, נכון ל-1 ביוני 2011) מדווחים ללקוחותיהם (ובמידת הצורך, עפ"י חוקי אוסטרליה), לגורמי אכיפת חוק ול-CERT האוסטרלי, על מחשב לקוח החשוד כנגוע בקוד זדוני.
הלקוח יכול לנקוט באחד משני מהלכים לנקוי מחשבו: לפעול בעצמו או לפנות לאחד ממספר מצומצם של ספקים שנבחרו לצורך עניין זה ולהיעזר בהם לנקיון מחשבו.
המהלך כולל הרבה אתרי מידע להסבר על אבטחת מידע, קוד זדוני וכד', כך שלא מדובר במשהו העומד בפני עצמו, אלא כחלק מתפישה לאומית שהגנת מרחב המיחשוב של אוסטרליה שזו דאגה של המדינה, שהחלה בפעילות נרחבת להגנת תשתיות לאומיות חיוניות לפני מספר שנים (באוסטרליה, הנושא באחריותו של התובע הכללי), כוללת באופן משולב גם איתור מחשבים נגועים של אזרחי המדינה (ולאו דווקא של ארגונים במדינה) וטיפול בהם.
אחד מהעקרונות של המהלך הוא שמירה קפדנית על פרטיותם של לקוחות ובלשונם:
The privacy of customers is paramount;
הפרוייקט הושק ב-1 בדצמבר 2010 וייבחן לאחר 18 חודשי הפעלה ראשוניים.
מאחורי היוזמה עומד איגוד תעשיית האינטרנט באוסזטרליה: Internet Industry Association והמנוע מאחוריו הוא מנהלו הפורש של האיגוד, Peter Coroneos.
הוא הוזמן להציג את היוזמה ב-6 במאי 2011 בפני הווארד שמידט, ראש תוכנית הגנת המרחב המיחשובי בארה"ב. כמו כן, לדברי פיטר קורונאוס היוזמה הזו דחתה איומים של הממשלה האוסטרלית להתחיל בחקיקה מגבילה לשירותי האינטרנט במדינה.
כל החומר על היוזמה הזו פתוח באינרטנט באתר ייעודי: http://www.icode.net.au
אתר האינטרנט של איגוד תעשיית האינטרנט האוסטרלי: http://www.iia.net.au/


2. ארה"ב: התמודדות משפטית וטכנולוגית כוללת
בעוד היוזמה האוסטרלית איננה מטפלת בשורש הבעיה, אלא רק עם התוצאה, ניקוי מחשבי קורבנות, ארה"ב פתחה ביוזמה מקיפה שמטרתה לצמצם את הזיהום במרחב האינטרנט "קצה לקצה". בשלב זה מדובר בפעילות שיעדה Botnet ספציפי המכונה: Coreflood, הפעיל מזה עשור וכמות המחשבים שנדבקו באמצעותו עומד על כ-2 מליון מחשבים.
המהלך כולו מגובה משפטית מטעם משרד המשפטים האמריקני ומנוהל ע"י ה-FBI בתוך ארה"ב ומתואם באמצעות היחידה הבינלאומית שלו מחוץ לגבולות ארה"ב.
הפעילות שהחלה ב-12 באפריל 2011 כוללת את המרכיבים הבאים:
א. תפישת חמשת מחשבי השליטה והבקרה (Botnets C&C) ו-15 מרחבי הכתובות (DNS) של הגורמים המבצעים את הדבקת מחשבי הקורבנות. במקביל, ועל בסיס הסכם לסיוע משפטי הדדי, רשויות אכיפת חוק באסטוניה תפשו שרתים אחרים שככל הנראה פעלו כמחשבי השליטה והבקרה הקודמים של ה-Botnet. כל זאת מבוצע ללא שקיימת הצבעה על זהותם של מפעילי ה-Botnet, ובכתב התביעה מדובר ב-13 אלמונים שכולם מזוהים בשם: John Doe.
ב. החלפת המחשבים הללו בשני אחרים (אחד מהם הפסיק את פעולתו 9 ימים לאחר שהחל) ובשתי כתובות DNS אחרות בשליטת ה-FBI. מחשבים נגועים שהתקשרו כעת למחשבי השליטה והבקרה קיבלו במענה פקודת עצירה למניעת המשך התקשרות המחשב הנגוע.
ג. עוד פרטים נחשפים בתצהיר לבית המשפט של סוכנת ה-FBI Briana Neumiller מתאריך: 23 אפריל 2011:
 שלושה סוגי כתובות IP נחשפו כתוצאה מהמלכים שתוארו לעיל:
1 . כתובות IP בתוך ארה"ב שהוענקו ע"י ספק שירותים בארה"ב ללקוח קצה שאיננו ידוע באופן פומבי.
2. כתובות IP בתוך ארה"ב שהוענקו לגורם בר זיהוי.
3. כתובות IP מחוץ לארה"ב.
 אופני הפעולה שננקטו:
1. לקטגוריה הראשונה, ה-FBI סיפק וממשיך לספק לספקי השירות את הכתובות של מחשבים שנחזים להיות נגועים ב-Coreflood ביחד עם טופס על "הודעה על מחשב נגוע" שאותו ה-ISP ישגר ללקוח הקצה.
2. לקטגוריה השניה, ה-FBI פנה באמצעות משרד ה-FBI המקומי, לגורם המזוהה ומיידע אותו ישירות. נכון למועד מתן התצהיר, כוללים כ- 17 מדינות או רשויות מדינה מקומיות, כולל מחלקת משטרה אחת, שלושה נמלי תעופה, שני קבלנים של משרד ההגנה, חמישה מוסדות בנקאיים או מוסדות פיננסיים, כ-30 אוניברסיטאות וקולג'ים, כ-20 בתי חולים או מוסדות טיפול רפואי אחרים.
באחד מבתי החולים, כך דיווח מנהל אבטחת המידע של אותו ביה"ח, נתגלה כי כ-2,000 מתוך 14,000 מחשביו נגועים.
לגורמים הנ"ל מסופק טופס הרשאה לקבלת הסכמת הגוף הנגוע לביצוע ביטול הקוד הזדוני ממחשביו.
3. לקטגוריה השלישית, ה-FBI הכין רשימת כתובות עפ"י מדינה. זו סופקה לאגף לפעילות בינלאומית של ה-FBI אשר ימשיך לטפל בנושא באמצעות העברת המידע לגורמי אכיפת החוק במדינות הרלוונטיות.

האם פרוייקט ADEONA כפי שכונתה הפעילות הזו הינו יחיד או יריית פתיחה לפעילות עתידית?
גורדון סנו, העזור למנהל אגף הסייבר של ה-FBI אומר בתשובה לשאלה כי הפעילות הזו תמשך גם כנגד Botnets אחרים. ימים יגידו.

לסיכום:
בעולם החלו יוזמות, אומנם הם עדיין בודדות ובוודאי שלא מדובר במענה של זבנג וגמרנו. סימני שאלה רבים עומדים על הפרק. גם לא ברור עד כמה היוזמות האלו נוחלות הצלחה ארוכת טווח. אבל שני מקומות מהחשובים בעולם טכנולוגיית המידע המודרנית הכירו בעובדה שיש לבצע שינוי משמעותי והם עושים. עשייתם מלמדת שהדיבורים אצלם נעשו כבר במשך השנים האחרונות וכעת יש בידם יכולת להוציא מהכח אל הפועל, ובמקביל ממשיך להתקיים דיון בנושא.
אני יכול רק להמליץ בפני אותם גורמים במדינת ישראל האמונים על הנושא, ללמוד ממה שקורה בעולם, לבחון את האופנים שבהם החלו לטפל ולהתחיל לרתום את הגורמים שיש לשתפם לפעילות בישראל, ויפה שעה אחת קודם.

הגנת פרטיות ואבטחת מידע, לא שני צדדים של אותה המטבע.

המאמר השלישי יעסוק בנושא הגנת פרטיות ואבטחת מידע.
חשבתי שיהיה זה המאמר האחרון בסדרה זו, ובא פסק דין תקדימי של בית הדין לעבודה בעניין
מה מותר ואסור לכם לעשות במחשב של העבודה :
http://www.ynet.co.il/articles/0,7340,L-4026589,00.html

וגרם לכך שבימים הקרובים תתווסף לה רשימה רביעית בסדרה זו.

לכאורה אמירה תמוהה: הרי בחוק הגנת הפרטיות הישראלי, אבטחת מידע הינה אבן הראשה בכל הגנת הפרטיות.
במאמר זה אני מנסה להציף נושא בעייתי. טענתי היא שפעילויות מסויימות הנדרשות לשם שמירה על רמה נאותה של אבטחת מידע, עלולות לגרום (וככל הנראה מחוסר הבנה ומודעות לעניין) גורמות כיום לפגיעה בפרטיות, יתר על כן, הפגיעה נובעת מדרישות רגולטוריות אזרחיות ולא דרישות בטחוניות.

נקח לדוגמה את הדרישה הקיימת ברגולציות רבות (ישראליות ובינלאומיות) של רישום מלא של פעילויות עובדים ולקוחות במערכות המידע. כך ארגונים פיננסיים למול עובדיהם ולקוחותיהם, כך ארגונים העושים שימוש בכרטיסי אשראי במסחר אלקטורני (מסוגים שונים) למול המבצעים את פעילויות הקניה ועוד. בעידן של שימוש באמצעים ניידים (בלשון העדכנית "טלפונים חכמים", אלא שזה איננו טלפון כלל וכלל, זה מחשב לכל עניין ודבר) לפעילויות הללו, לא רק שנשמר מידע על מבצע הפעילות, אלא עלול או עשוי (תלוי בנקודת המבט) להירשם מידע על מיקומו של מבצע הפעילות בעת עשיית הפעולה (במכשירים אלה, GPS הינו מרכיב מובנה...). המצרפיות של המידע הנאגר במערכות המידע הארגוניות, שנדרש לאוספן, לשומרן ולנתחן מהסיבות הכי מוצדקות ברמה הפיננסית (מניעת הונאות, עקב גניבת זהות לדוגמה), מאפשרת מהפן השני בניית פרופילי התנהגות, איתור מיקומו של הלקוח (בניית פרופיל "התנהלות גיאוגרפית") ונתונים נוספים שהינם אישיים פרטיים. השימוש בהם נתון לגחמותיו של הארגון.
מן העבר האחד, אפילו נניח שאיסוף ושמירת כל הנתונים חיוני ונעשה תוך שימוש במיטב שיטות ואמצעי אבטחת המידע ההולכים ומשתכללים, למיטב ידיעתי, שיקולי הגנת הפרטיות הקשורים בעצם איסופם, אופני שמירתם (כולל גיבויים) ועיקר העיקרים למי הזכות לצפות בהם, אילו שימושים מותרים ואילו אסורים, מה משך שמירתם והיכן, אינם נדרשים ע"י הרגולטורים השונים, ומן הסתם אינם מחייבים באותה הרמה כפי שמחייבים שיקולי אבטחת המידע.
דוגמה נוספת הינם פערים מהותיים בידע וביכולת יישום דרישות אבטחת המידע אל מול הגנה על הפרטיות.
בעוד שהדרישה למימוש אבטחת מידע נדרשת מהארגונים, הדרישה להתמודד עם ההגנה על הפרטיות "מופלת" ברובה על הפרט. בארגונים רבים יש מנהל אבטחת מידע, מנהל טכנולוגיית המידע, וצוות מקצועי רב ומיומן (יחסית) להתמודד עם נושאי אבטחת המידע. אם חסר, אז יתכבד הארגון וירכוש שירותים מקצועיים במיקור חוץ. היכן אנשי המקצוע שתפקידם לממש הגנת פרטיות בארגונים? נדא, אין. אפס. את ההגנה על הפרטיות משאירים לאזרח עצמו. זה כל כך מגוחך שאני חושב שאין צורך להוסיף אפילו מילה אחת מהי המשמעות.
אפילו בחוק הגנת הפרטיות הישראלי הקיים המקצוען בחוק הינו: "ממונה על אבטחת המידע" ואין שום דריש למקצוען "ממונה על הגנת הפרטיות". (כאן המקום לגילוי נאות: אני אחד ממעצביו של החוק. בשנים 1994-1996, בעת היותי מנהל אבטחת המידע במשרד הבריאות, השתתפתי מטעם המשרד בישיבות וועדת החוקה חוק ומשפט והייתי זה שבמו ידיו גרם להוספת הסעיף המחייב מינוי ממונה על אבטחת המידע. בשנת 1996 זה נראה שיפור משמעותי להגנת הפרטיות. היום זה איננו המצב). הפער הזה ממש צועק לשמים.
למעשה, ככל שפתרונות אבטחת המידע מאפשרים את פריחת המסחר האלקטרוני, השימוש באמצעים ניידים אישיים וביצוע חלק משמעותי של הפעילויות הדיגיטליות "תוך כדי תנועה", כן יגבר הלחץ לוותר על הפרטיות. אנו נחזה ביותר כלים טכנולוגיים של מיקוד הפרסום מול הגולש, פיתויו לבצע Personalization מול האתר האינטרנטי, שימוש מרובה ב – Cookies וכדו', מבלי שהגולש התמים מבין בכלל את המשמעות של החדירה לפרטיותו המתלווית לכל הטכנולוגיה הזו. נכון, יש לו אפשרות "לוותר" opt out...
נדרשת רוויזיה משמעותית בהבנה שבלי אבטחת מידע אין הגנת פרטיות, אך הגנת פרטיות מחייבת הרבה יותר מאשר אבטחת מידע. בין יתר השינויים הנדרשים יש להפוך את נושא הגנת הפרטיות למקצוענות מחייבת בדומה לאבטחת מידע.

ניהול סיכוני טכנולוגיית המידע. לא עוד "אבטחת מידע" או "הגנת מידע"

ניהול סיכוני טכנולוגיית המידע הנו השם העדכני לתהליך שכונה בעבר "אבטחת מידע", "הגנת מידע" או "הגנת נכסי המידע" או צבר רב של שמות שכולם סביב המונח "הגנה".
הגנה משמעותה התמקדות במגן ובמידע שעליו מגינים. ניהול סיכוני טכנולוגיית המידע מתמקד בשני מרכיבים בה בעת: מרכיב הניהול ומרכיב תוכן שהוא סיכוני טכנולוגיית המידע.
במאמר סקירה מהי המשמעות של השינוי, כיצד על מנהל סיכוני טכנולוגיית המידע לנהוג בעידן החדש שאנו בפתחו והשלכות ארגוניות נוספות.
ניהול סיכוני טכנולוגיית המידע הפך בשנים האחרונות לנדבך משמעותי בתהליכי העבודה של טכנולוגיית המידע ומעבר לה בארגונים רבים. אחת הסיבות העיקריות לכך הינה פעילות נמרצת של מחוקקים ורגולטורים בארץ ובעולם במהלך העשור הראשון למאה הנוכחית. די אם נזכיר את חוקי ה-GLBA (סקטור בנקאות בארה"ב), HIPAA (סקטור הבריאות בארה"ב), חוק SOX (ארה"ב והשלכותיו ברמה הבינלאומית, לדוגמה בארץ וועדת גושן), רגולציית בזל II הבינלאומית לסקטור הבנקאות ועוד ועוד. בארץ: הוראת ניהול בנקאי תקין מס' 357 של המפקח על הבנקים המיועד לתאגידים בנקאיים, ההוראה לניהול סיכוני טכנולוגיית המידע של המפקח על הביטוח החלה על גופים מוסדיים, תחילת הפעילות (בעולם ובארץ) להגנתן של תשתיות מחשוב חיוניות וההתעוררות בנושא הגנת הפרטיות לאחר הקמתה לפני כשלוש שנים של הרשות למשפט טכנולוגיה ומידע במשרד המשפטים.
כל אלה הפכו את התחום ממרכיב שולי, לעתים נשכח לחלוטין, לאחד מעמודי התווך של השימוש במידע ובטכנולוגיית מידע. ביטוי לכך הינה גם העובדה שהארגונים הנתונים תחת הרגולציות השונות חייבים למנות מנהל שעיסוקו הבלבדי (או הכמעט בלבדי) הנו ניהול התחום והכפפת מנהל זה לגורם בכיר בארגון.
בנקודה זו אנו נחזור ונתפצל לשני הערוצים: הניהול וסיכוני טכנולוגיית המידע.
מהי אחת מהמשמעויות של ניהול?
היכולת לדעת בכל נקודת זמן מהו המצב של מה שאני כמנהל מופקד עליו. במקרה שלנו, היכולת לספק נתונים לגבי החשיפות שהארגון נתון בהן עקב השימוש במידע ובטכנולוגיית מידע ורמת צמצומן לאור יישומן של בקרות מתאימות בתחומים פיזיים, טכנולוגיים, אנושיים ותהליכיים.
כיצד מושג המידע הזה?
מבצעים סקרים/ביקורות שבהם נבדקות בקרות האבטחה שהותקנו (בתחומים שנמנו לעיל). תוצאות הסקרים/ביקורות (ממצאים והמלצות) אוגרים במסד נתונים. ממסד הנתונים יוכל מנהל סיכוני טכנולוגיית המידע (וגורמים מורשים אחרים בארגון) לשאוב בכל עת ובכל חתך מבוקש את החשיפות ואת מצב האבטחה. לדוגמה: אלו חשיפות מטופלות במלואן, אלו חשיפות בתהליך טיפול ומה הלו"ז לסיום הטיפול וכד'. ניתן לעדכן את החשיפות עצמן עקב קבלת מידע על חשיפות חדשות וכד'.
מסד נתונים זה מכיל אם כך במצטבר את מירב הכשלים בניהול סיכוני טכנולוגיית המידע של הארגון והוא מצוי דרך קבע במחשבי הארגון. יש לציין שמסד הנתונים יכול להיות ייעודי לנושא ניהול סיכוני טכנולוגיית המידע ויכול להיות שמדובר במסד נתונים כלל ארגוני כאשר נתוני סיכוני טכנולוגיית המידע משולבים בו. כך או כך מדובר בנתונים המציינים מהם הכשלים של השימוש במידע ובטכנולוגיית המידע בארגון לאורך זמן.
בהתייחס למסד נתונים זה נעבור למרכיב השני, סיכוני טכנולוגיית המידע.
נוסף לנו מסד נתונים אשר הוא עצמו מרכיב במערך טכנולוגיית המידע. המרכיב כולל כמו כל האחרים: חומרה, תוכנה, תהליכי עבודה, וגורמים אנושיים (לדוגמה: משתמשים מקומיים, משתמשים מרוחקים המספקים תמיכה וכד'). כל זאת מזכיר לנו אחד לאחד את מכלול הפעילויות שתורת ניהול סיכוני טכנולוגיית המידע דורשת להכיל על מערכות טכנולוגיית המידע הארגוניות. ואכן, אין שוני מהותי. מדובר בנדבך נוסף למערך טכנולוגיית המידע הארגוני שיש לכלול אותו בנשימה אחת עם כל שאר המרכיבים. לא מדובר ב"חתיכת תוכנה", אלא במערכות ארגוניות הכוללות בדיוק את אותם המרכיבים של כל מערכת ארגונית אחרת, תהא זו עסקית בגופים עסקיים לגווניהם השונים, ציבורית בגופים ציבוריים או בטחונית בגופים בטחוניים. יש לציין לגבי תהליך ספציפי זה שמדובר במסד נתונים המכיל נתונים רגישים במיוחד, גם אם אין בהם שום נתון רגיש הקשור לתהליכי העבודה של הארגון עצמו. זהו צבר של הכשלים אשר באמצעותם ניתן לממש את כל או רוב האיומים שבהם נתון מערך טכנולוגיית המידע בארגון.
זוהי רק דוגמה אחת (אולי הבולטת מכולן) כיצד המעבר הסמנטי לכאורה מ"אבטחת מידע"/"הגנת מידע" ל-"ניהול סיכוני טכנולוגיית המידע", איננו סמנטי כלל אלא משנה באופן מהותי ובלתי חוזר את האופן שבו על הארגון להתייחס לתחום ניהול סיכוני טכנולוגיית המידע.
המשמעות המיידית של האמור לעיל הינה שניהול סיכוני טכנולוגיית המידע הינה תהליך כמו כל תהליך ארגוני אחר. ככל תהליך, יש גם בו סיכונים. במהלך ניתוח ודרוג הסיכונים של השימוש בטכנולוגיית המידע יש לכלול את הסיכונים בתהליך, בטכנולוגיות ובאמצעים שבהם נעשה שימוש, וזאת כחלק אינטגראלי של ניתוח סיכוני השימוש בטכנולוגיית המידע.
מיד אם כך תשאל השאלה הבאה: מי יופקד על ניהול הסיכונים של תהליך ניהול סיכוני טכנולוגיית המידע? הרי הוקם גוף שהוא המקצוען בארגון לניהול סיכוני טכנולוגיית המידע. כעת מסתבר שיש לנהל גם את סיכוניו הוא. האם הוא עצמו יכול לנהל את סיכוניו? ואם לא, מי כן? הוא הרי המומחה בנושא ברמה הארגונית, אין טוב ממנו בארגון.
לדעת כותב שורות אלו התשובה טמונה בשילוב של שני גורמים. בשלב הראשון אכן הגוף הממונה על ניהול סיכוני טכנולוגיית המידע יגדיר את התהליכים הנדרשים על מנת לנהל את סיכוניו הוא, כאשר גורם ביקורת ענ"א הפועל במסגרת ביקורת הפנים הארגונית (ובאם אין כזה יבוצע ע"י גורם חיצוני) יהווה את המאשר והמבקר תקופתית את התהליך הנ"ל.

המאמר פורסם במקביל במקטע NEWSLETTER באתר חברת אבנת באינטרנט תחת הכותרת: "הרבה יותר מאבטחת מידע או הגנת מידע".

התנאים שבהם מנהל אבטחת המידע לא יובס - מאמר שני

משנה שניה:
איזהו מצביא משכיל בהתקפה, שיריבו אינו יודע על מה יגן.
איזהו מצביא משכיל בהגנה, שיריבו אינו יודע מה יתקיף.
וזוהי כל תורת המלחמה על רגל אחת...

מדברי סון טסו, בספרו אמנות המלחמה. מוערך שנכתב בסביבות 500 לפה"ס, כלומר לפני 2,500 שנה.

במשנה הראשונה למדנו:

הכר את האויב שלך והכר את עצמך. אפילו תילחם במאה קרבות, לעולם לא תובס.

אם אינך מכיר את האויב, אבל אתה מכיר את עצמך, סיכוייך לנצח או להפסיד שווים.

אם אינך מכיר לא את האויב שלך ולא את עצמך – אין ספק שתובס בכל הקרבות.

אמרנו שהמקבילה לעולם אבטחת המידע הנה אחת לאחת:
הכר את האויב: ניתוח מלא של איומים וסיכונים למידע ולמערכות המידע.
הכר את עצמך: הכר את הארגון, מערכות המידע ותהליכי העבודה שבהם הארגון עושה שימוש במערכות המידע

וכעת הוספנו את המשנה השניה.
מהי המשמעות של המשנה השנייה בשדה הקרב של עולם המחשוב ההגנתי וההתקפי?
מנהל אבטחת המידע הבא להכין תוכנית הגנה להתמודדות עם האיומים והסיכונים, יצא מתוך נקודת מוצא של מי שמתכנן לתקוף אותו. מנהל אבטחת המידע צריך למעשה לספק מענה לשאלה הבאה:
כיצד אני בונה את מערך ההגנה שלי כך שהתוקף לא יוכל לקבל מענה מספק לשאלה שהוא מציב לעצמו:

כיצד הכי כדאי לי (לתוקף) לבצע את התקיפה.
אופן בניית מערך ההגנה יספק מענה לכוונתו של התוקף, ולא למחשבתו של המגן. כוונת התוקף איננה לתקוף סתם.
מטרת התוקף הנה לתקוף ולהצליח בתקיפתו. על מנת להכשיל את התוקף, על מנהל אבטחת המידע להכיר את דרכי התקיפה האפשריות העומדות לרשות התוקף ולגרום לכך שהתוקף לא יוכל לספק מענה לעצמו האם קיים סיכוי סביר שתקיפתו תצליח, באף לא אחד מדרכי התקיפה.
זו איננה הגישה הרווחת היום שבה מנהל אבטחת המידע מנסה באמצעות בניית תוכנית האבטחה שלו לספק מענה לשאלה הבאה: כיצד אני מנקודת המבט שלי כמגן, מתכנן מערך הגנה מיטבי. גישה זו רווחת (בין היתר) עקב הדרישה לספק מענה למגוון רגולציות אשר בהן חלקים נרחבים מהמענה האבטחתי כבר נקבעים מראש, בלא שניתן בהן המשקל המתאים לתוצאותיו של ניתוח איומים וסיכונים פרטני.
ההבדל המהותי נעוץ בבחירת נקודת המבט של התוקף כבסיס לתכנון ההגנה שלי ולא נקודת המבט של המגן כבסיס.
באופן דומה יש להתייחס למצב ההפוך. כיצד תוקף אמור לתכנן את תקיפתו.
סון טסו אומר: תכנן את תקיפתך באופן שבו המגן לא ידע על מה כדאי לו להגן יותר.

ואם נשלב את שתי המשנות לכדי משנה מאוחדת נקבל את התובנה הבאה:

מנהל אבטחת המידע יפעל באופן הבא על מנת שלא יובס ע"י האויבים (מבית ומבחוץ):
1. יבצע ניתוח איומים וסיכונים מלא המאפשר לו להכיר מול מה הוא עומד.
2. ילמד היטב את ארגונו הוא, בהבטים הלא טכנולוגיים ובהבטי טכנולוגיית המידע.
3. יכין תוכנית להתמודדות עם האיומים והסיכונים כאשר במרכזה מתן מענה לשאלה: כיצד התוכנית מספקת מענה לאותם איומים וסיכונים, כך שמי שמנסה לממשם יתקשה לספק לעצמו מענה לשאלה באיזה מהלך התקפתי לבחור על מנת שיהיה בעל סיכוי סביר להצליח.

חג חנוכה שמח לכל קוראי הבלוג.

יאיר

להיות צעד אחד לפני................ התוקף

תחום אבטחת מידע או בשמו המודרני יותר, ניהול סיכוני טכנולוגיית המידע מספק מענים לאיומים ולסיכונים בשימוש במידע ובטכנולוגיית המידע. אתייחס לשתי דוגמאות:
1. מידע רגיש הנאגר על גבי מחשבים ניידים נחשף כיוון שמחשבים אלה נגנבים/נאבדים בהמוניהם (12,000 בשבוע בנמלי תעופה בארה"ב לבדה, עפ"י סקר של מכון Ponemon מיוני 2008):

http://www.dell.com/downloads/global/services/dell_lost_laptop_study.pdf

מה המענה? הצפנת המידע. אם המידע מוצפן, אזי גם אם יגיע לידי המוצא/הגנב, איננו יכול לצפות בו, לא כל שכן לסחור בו.
2. משתמשי מערכות מבצעים פעילות במערכות אליהן קיבלו הרשאות כדין. דרישות הרגולטורים למיניהן הנן לבצע רישום מלא של פעילות זו. הדרישה מובנת שכן מאפשרת להתחקות אחר פעילות המשתמשים ולחקור האם פעלו כדין או עשו שימוש שלא כדין בהרשאות שהוענקו להם, כמו גם לאתר פעילות שלא נעשית ע"י משתמשים מורשים.
ניקח את שתי הדוגמאות ונתבונן בהם משתי הזוויות: זו של המגן וזו של התוקף.
המגן בשני המקרים עלול לנוח על זרי הדפנה. הנה הגיע המענה המיוחל.
במקרה הראשון, מחשב שנגנב/אבד ובו מידע מסווג. אני כמגן, הסרתי כל דאגה מלבי. המידע מוצפן. מה יעשה המוצא? לא יוכל לגשת למידע.
במקרה השני, מכיוון שכל הפעילויות במערכת נרשמות, אזי כל משתמש אשר יפעל שלא כדין, פעילותו תרשם. ניתן לאתר את הפעילות הזו ועל כן ללא ספק שהוגברה ההרתעה למול משתמשים שינסו לפעול שלא עפ"י הנדרש מהם במסגרת עבודתם.
אבל, זהו רק צד אחד של המטבע. לכל תהליך חדש, במקרה שלנו תהליכי אבטחה חדשים, (הצפנה ותיעוד) ישנו גם מי שינסה להפיק מהם תועלת נזקית, הלוא הוא התוקף.
ננסה כעת להבין את זווית הראיה של התוקף בהתייחס לשני תהליכים אלו.
במקרה הראשון, עד להחלת הקונספט של "הצפנה בכל מקום ובכל עת", שימוש בהצפנה היה יחסית מצומצם. כעת עם נפוצות ההצפנה, הרבה מידע מוצפן יסתובב לו בין הגנבים. יתר על כן, הארגונים יטפלו ככל הנראה פחות במניעת גניבת/אובדן מידע, וישקיעו מאמצים בהצפנתו, מהלך שניתן בהחלט להבין אותו על רקע "פתרון הקסם – הצפנה בכל מקום ובכל עת". מהלך שכזה יביא בהכרח להתעניינות יתר של הגנבים בפיצוחה של ההצפנה. המילה התעניינות הנה בבחינת "הערכת חסר". צפוי על כן, כמו שקורה לכל אמצעי הגנה (לא משנה מאיזה סוג), שהצפנה כשיטה מצויינת להגנה מפני דלף מידע רגיש לגורם בלתי מורשה תהפוך לשיטה פחות מצויינת, ופחות ופחות מצויינת, עד שעלול לאבד עליה הכלח כליל.
ומה באשר לתיעוד הנרחב שאנו מאמינים שמספק תשתית מצויינת הן להרתעה והן לחקירה?
ובכן, מאגר הנתונים הנאסף באופן זה מהווה את מאגר הזהב לתוקף. מה עשוי להימצא בו? ברמה העקרונית מדובר ברישום המידע עליו בוצעה פעילות, כולל כיצד היא מבוצעת ע"י משתמש מורשה כדת וכדין, שלב אחרי שלב, מסך אחרי מסך. אין חולק על כך שרוב הפעילות המתועדת הנה פעילות חוקית, של משתמשים מורשים. מיעוטה יתעד פעילות חריגה ואפילו פלילית. נובע מכך שמאגר זה הנו מאגר שממנו ניתן ללמוד כיצד יש לעבוד כמשתמש חוקי ולבצע צעד אחר צעד פעילות תקינה במערכת. למיטב ידיעתי, זו הפעם הראשונה בתולדות טכנולוגיית המידע שקם ונהייה מאגר מסוג כזה.
אז מה אתה מציע חושב אחרת? לא לעשות אבטחה? לא להשתמש בהצפנה? לא להשתמש בתיעוד? ואולי בוא ונבטל במחי יד את כל אמצעי האבטחה?
לא ולא. לא זה המענה הנכון.
כמי שאמון על המתודולוגיה של שילוב חשיבת התוקף בתפישת ההגנה ומתן מענה משולב, שהם נר לרגלי יש לנקוט בשני שלבי פעולה:
1.להפנים מנטאלית ובאופן מלא ומיידי מתוך הבנה והשלמה, שגם אמצעי האבטחה, למרות היותם חיוניים למתן מענה ולצמצום הסיכון, אינם נטולי סיכון כשלעצמם. מדובר בשינוי מהותי בגישה (State of mind) ולא בשינוי טקטי גרידא.
2. לאתר במדוייק מהו האיום העתידי שנשקף לאחר הטמעת השימוש באמצעי האבטחה ולכלול מענה לאיום זה.

אתייחס לשתי הדוגמאות:
1. הצפנה. על מנת לצמצם את הסיכוי שמספר גדול יותר של רכיבי מיחשוב ובהם מידע רגיש (אומנם מוצפן) ייגנבו/ייעלמו, יש במקביל ליישום ההצפנה דווקא להגביר את פעילות יצירת המחוייבות והמודעות לשמירה על ציוד המחשוב הנייד מפני אובדן/גניבה ולא לצמצמה.

2. תיעוד. חיוני להגדיר בקרה הדוקה על הגישה למאגר המידע התיעודי. במיוחד חיוני לקבוע מהי פעילות חריגה למול מאגר זה, ולהגדיר מי ינטר את השימוש במאגר. חיוני שפעולת ניטור זו תבוצע על ידי גורם בלתי תלוי בארגון (או מחוצה לו) אשר איננו הגורם העושה במאגר זה שימוש שוטף.

להיות צעד אחד לפני התוקף, משמעותו לחשוב כמוהו ולשלב חשיבה זו בהגנה לאורך כל מחזור החיים של מערכת טכנולוגיית המידע.

אבטחת מידע – בעידן מאזן האימה

1. שלשום בבוקר קראתי לי מסמכים שכתבתי לפני 4-5 שנים הכוללים תמצית של אירועי אבטחת מידע מאותן השנים. לפתע הבנתי שבעצם אין כל הבדל בין אז והיום, למעט אחד. אז האירועים היו גניבה של עשרות אלפי מספרי כרטיסי אשראי ועד מליונים בודדים של מספרי כרטיסי אשראי. בשנה האחרונה, אירועי הגניבה של מספרי כרטיסי אשראי מתחילים במאות אלפים, מליוני מספרים, עשרות מליוני מספרים, ואירוע אחד ייתכן ואף עבר את 100 מליון מספר כרטיסי האשראי שנגנבו באירוע יחיד.
2. מה זה אומר עלינו, על תעשיית אבטחת המידע. לא משהו טוב במיוחד אני חושש. היכן הבעיה אם כך? השקענו הרבה יותר, הכנו מתודולגיות, תקנים, חוקים, רגולציות, הפעלנו על הנהלות הארגונים מכבש לחצים לביסוס אבטחת מידע וניהול סיכוני טכנולוגיית המידע, הגדרנו תהליכים ההולמים את קווי העסקים. מה לא עשינו? ובכל זאת, בהסתכלות מפוקחת, כאילו דבר לא השתנה.
3. לדעתי, כמי שמצוי בתחום כרבע מאה, אפשרות להצגת המצב הנה הבאה:
4. יצרני רכיבי טכנולוגיית המידע אומנם משקיעים בשנים האחרונות הרבה יותר באבטחתה, אבל עדיין רחוקים אנו מאד מיצירת מוצרים שניתן להגדירם "Secured by design". הסיבה העיקרית הינה שגם היצרנים וגם הלקוחות עדיין לא הגיעו למסקנה שהיקף הנזקים הנגרמים מאי האבטחה מצדיקים את הגידול בעלויות והאיחור בהגעת המוצר החדש לשוק עקב תוספת האבטחה. מצב זה מביא לכך שמערכות טכנולוגית המידע המשרתות את החברות אינן בטוחות במידה מספקת. הנסיון להוסיף אבטחה לאחר התקנתה של מערכת מסוג זה איננו מאפשר מתן מענה אבטחתי סופי. תמיד יישארו "חורים" אותם יכול פורץ כלשהו לנצל לתועלתו.
5. מן העבר השני, העושים שימוש לרעה בטכנולוגיית המידע, נהנים מהעובדה שהוצבע עליה לעיל בנוסף לעובדה שהטכנולוגיה זמינה ופועלת. באופן זה, אין למנסים לעשות בה שימוש לרעה, לדוגמה, גניבת מספרי כרטיסי אשראי או גניבת זהות, אינטרס לשתק אותה או לפגוע בה מעבר למידה מסויימת המשרתת אותם.
6. ניתן על כן לראות במצב זה מקבילה לעידן מאזן האימה אשר בו היו שרויות שתי המעצמות הגדולות, ארה"ב וברה"ב בתקופת המלחמה הקרה ביניהן, במהלך עשרות שנים במאה הקודמת. כל אחד מהצדדים ממשיך לפתח כלים ויכולות אשר ביכולתם לחסל את הצד השני, אך הפעלתם איננה כדאית אף לא לאחד משניהם. באופן זה, מופעלות יכולות חלקיות, מוגבלות בעוצמתן ובהיקפן, אשר כל אחת משרתת כל אחד מהצדדים, אך איננה מכריעה את הכף.
7. מהו הסיכון במצב זה? כל עוד הצד העושה שימוש לרעה בטכנולוגיית המידע מסכים לשחק את המשחק בתנאים שהוצגו לעיל, אזי קיים סיכון, אך הוא איננו טוטאלי. הם אינם פוגעים באופן פאטאלי, אף לא באחד מהתהליכים החיוניים לקיומה של החברה תלויית טכנולוגיית המידע, כיוון שגם הם תלויים בהמשך פעילותה של אותה הטכנולוגיה שאותה הם תוקפים.
8. מה יקרה באם אחד מהעושים שימוש לרעה בטכנולוגיית המידע יחליט שכללי המשחק כבר אינם מקובלים עליו. אזי למיטב הבנתי מצבה של החברה התלוייה בטכנולוגיית המידע הנו עגום למדי. הציטוט הטוב ביותר שאוכל להביא על מנת לתמוך במסקנה זו הנו מדוח שהוכן לקראת הנשיאות ה-44 בארה"ב, מטעם וועדה שהוקמה יותר משנה לפני הבחירות האחרונות בארה"ב זמן רב לפני שנודע מי יהיה הנשיא הבא:

Securing Cyberspace for the 44th Presidency
A Report of the CSIS Commission on Cybersecurity for the 44th Presidency

הקובע (בין היתר) כי:

America's failure to protect cyberspace is one of the most urgent national security problems facing the new administration that will take office in January 2009…. It is a batlle we are loosing.

אין תמה איפה שהנשיא אובמה מיהר לטפל בנושא זה. הרשימה הקודמת הציגה את ההבהקים של מסיבת
העיתונאים שערך לפני מספר שבועות. יש לראות כיצד יתורגמו הדיבורים למעשים.

ועל כך, ברשימות ובמאמרים שייכתבו בעתיד.

לאן פניה של אבטחת המידע בפרוס שנת 2009

לאן פניה של אבטחת המידע?

כל תחילת שנה אותן הכותרות: יותר מודעות, יותר מנהלי אבטחת מידע, יותר כלי אבטחת מידע, יותר מהכל. כן, גם יותר פריצות, יותר איומים, יותר צרות. האם זה הגיוני, או שמשהו מאד, אבל מאד לא מתאים פה.

אבטחת מידע אמיתית נמצאת ככל הנראה במקום אחר:
1. אבטחה משולבת בתהליך פיתוח המוצר.
2. אבטחה המשלבת את גישת התוקף באופן אינטגראלי בתהליך, לאורך כל מחזור החיים.
שני אלו אינם מבוצעים הלכה למעשה וזהו לצערי סוף המחזה...
(1) לא מבוצע כיוון שגם היצרנים וגם הלקוחות אינם מעוניינים בשלב זה. שני סקרים שהתפרסמו בשנים 2005-2007 הצביעו על כך. באחד נבדקה רמת ירידת ערך המניה של חברות תוכנה יום לאחר פרסום vulnerability עם Patch. הסתבר שהמניה אומנם יורדת, אך לא מספיק. בתגובה לסקר זה אמר מי שהיה אז סגן נשיא אורקל לפיתוח: Time to market is more important than security
סקר דומה שנערך לגבי דעתם של הלקוחות (של מוצרי טכנולוגיית המידע) שנה ויותר לאחר מכן, הצביע על מגמה דומה. רק באם הכיס "יחטוף" מנה יותר רצינית (בדומה למה שחטפה מיקורוספט לאחר code red ו-Nimda, כאשר גרטנר יצאה בהמלצה לנטוש את IIS ולעבור ל-iPlanet ו-Apache... בחודש ספטמבר 2001), נראה שינוי בכיוון זה.
(2) לא מבוצע כי קיים קבעון מחשבתי מוחלט בין המגינים שרואים את תהליך ההגנה כמתחיל בנקודה מסויימת ומסתיים היכן שהרגולציה/חוק/BEST PARCTICE מסתיים. כל הקיימים והמוכרים היום בשוק האזרחי (הוראה 357, הוראה 257, PCI ,GLBA כל דבר) בנוי בדיוק בשיטה של מכאן ועד לנקודת הסיום. מה פסול בשיטה זו? התוקף מחוץ לתמונה בכל תהליך בניית תוכנית ההגנה. אבסורד מוחלט. מפניו מגינים, אבל את אופן התקיפה וצורת החשיבה שלו משאירים לסוף (אם בכלל). בסוף, זה מאוחר לשנות משהו ממשי בכל מערך ההגנה.
ואז מה עושה הפורץ? קורא וצוחק צחוק ענק. כי נקודת ההתחלה שלו, היא נקודת הסיום של עבודת המגן. על כן "כאילו" כל ההגנה שקופה. דומה לסוגי תקיפת Social Engineering, גם הם הופכים את ההגנה לשקופה...
האמריקנים עלו על הבעיה ומנסים לעשות משהו בנושא בשנה הקרובה. השאלה כמה זמן ייקח לסובב תעשייה שלמה לכיוון הנכון...

בנתיים, עושים מה שאפשר לעשות עם האמצעים הקיימים. זה יותר מאשר לא לעשות כלום, אבל זה לא ממש לייצר אבטחה אמיתית.

ולמרות האמור לעיל, שתהיה לנו שנה טובה ומאובטחת.

יאיר

הערת הכותב:

זוהי לי התנסות ראשונה בכתיבת בלוג, ומאמר ראשון בבלוג שלי.

הרבה שנים עסקתי בכתיבה של מסמכים עבור מעסיקי ועבור לקוחותיהם, שהם לקוחותי, וממשיך לעשות כן.

יחד עם זאת, חשבתי שהגיע הזמן גם לשתף את הקהל הרחב יותר במחשבותי.

מקווה שאהיה מקורי ומעניין. בת זוגתי העירה לי שייתכן ואתקל בדעות מנוגדות לשלי. עניתי שזו בדיוק אחת מהמטרות של כתיבת הבלוג. לשמש במה גם לדעותי וגם לדעות אחרות. זו הדרך הנכונה ללמוד, וכבר נאמר בעבר: מכל מלמדי השכלתי.