ניהול יעיל של אבטחת מידע בעשור הראשון במאה ה – 21 מרובת הרגולציות באמצעות הסמכה לתקן אבטחת מידע ת"י 27001 - עדכון למאמר מלפני שנתיים

מאמר שזו כותרתו פורסם בדיוק לפני שנתיים, כאחד מהמאמרים הראשונים בבלוג.

אם נתמצת את האמור בו תוך עדכון להיום, במשפטים הבאים:

ניהול יעיל של אבטחת מידע בארגון יתבסס על יישום אבטחת מידע באופן יזום ע"י מנהל אבטחת המידע לפני שייאלץ לעשות זאת בגין רגולציה מגזרית או חובה חוקית לאומית או בינלאומית. בתהליך זה מומלץ להשתמש בתקן 27001/27002.

היתרון הוא שבתהליך פרואקטיבי (יזום) ע"י מנהל אבטחת המידע יש סיכוי (מותנה במנהל אבטחת המידע ובהשגת התקציבים הדרושים) לבנות מערך אבטחת מידע ארגוני אפקטיבי המספק מענה סביר לאיומים ולסיכונים בכל מערך טכנולוגיית המידע לאורך כל מחזור החיים שלו ובסביבות השונות שבהן הוא מופעל.

תהליך יישום אבטחת מידע שיתבסס רק על חובה רגולטורית אומנם יתרחש, אבל בדרך כלל יש לו שני חסרונות מרכזיים:

1. לוח הזמנים מוכתב ע"י הרגולטור ועל כן המטרה איננה לעשות אבטחת מידע נכון, אלא לעמוד בדרישות עפ"י לוח הזמנים.

2. מסיימים ליישם אבטחת מידע היכן שמסתיימת הדרישה הרגולטורית. הפורץ איננו מסיים לפרוץ עפ"י קווי ההגנה שהרגולטור קבע. להיפך, נקודת ההתחלה שלו היא בדיוק נקודת הסיום של הרגולטור, ובכך הופך את יישום הרגולציה רק עד לנקודה שבה הרגולטור אמר את דברו לבעייתית. שכן היא יוצרת פירצה מצויינת עבורו. הוא אפילו לא צריך להתאמץ לחפש אותה היא מוגשת לו על "מגש של כסף".

לפני חודשיים,מופיע מאמר שכותרתו פרובוקטיבית:

Security: Best practice or ancient ritual? Time to Scrap ISO 27002 security standards says its author

אמירה נוקבת. הוא איננו מאשים אחרים, שכן לדבריו הוא עצמו כתב את רוב הטיוטה של מה שהפך ברבות הימים להיות התקן.

הוא יוצא בעיקר כנגד העובדה שהגיון בריא ויצירתיות פסו מעולם אבטחת המידע. לדבריו לפני שני עשורים עולם אבטחת המידע היה עשיר ברעיונות תחרותיים ואילו כיום כל מצגת דומה לאחרת. מנהלי אבטחת המידע כבולים לטחנת רוח של דרישות ציות שאבד עליהם הכלח ומונע מהם להסתכל קדימה לעבר הסיכונים החדשים.

לדעתי הברנש צודק וטועה. הוא צודק בעובדה שעולם אבטחת המידע קפא על שמריו, יש המון טכנולוגיות חדשות אבל חשיבה חדשנית ויצירתית חסרה. הוא טועה בכך שהוא מאשים את התקן. התקן נולד מתוך מציאות שבה מוצרי היסוד של מערך טכנולוגיית המידע (חומרות ותוכנות) אינן מספקות אבטחה טובה, ועל כן יישום אבטחת המידע נותר לשלב ההטמעה של הטכנולוגיות הללו בארגון.

התקן לניהול אבטחת המידע (27001/27002) איננו פתרון לשאלה מדוע מוצרי היסוד (חומרה ותוכנה) אינם מאובטחים כראוי. זו בעיה אחרת. התקן מספק מענה שבהינתן חומרות ותוכנות אלו, מהי המעטפת האבטחתית שהארגון מספק. בכך זו כבר שאלה של מנהל אבטחת המידע בארגון לאן הוא לוקח את הארגון במסע להסמכה לתקן.

אשמח לקבל תגובות ולשמוע דעותיכם בנידון.

התנאים שבהם מנהל אבטחת המידע לא יובס - מאמר שני

משנה שניה:
איזהו מצביא משכיל בהתקפה, שיריבו אינו יודע על מה יגן.
איזהו מצביא משכיל בהגנה, שיריבו אינו יודע מה יתקיף.
וזוהי כל תורת המלחמה על רגל אחת...

מדברי סון טסו, בספרו אמנות המלחמה. מוערך שנכתב בסביבות 500 לפה"ס, כלומר לפני 2,500 שנה.

במשנה הראשונה למדנו:

הכר את האויב שלך והכר את עצמך. אפילו תילחם במאה קרבות, לעולם לא תובס.

אם אינך מכיר את האויב, אבל אתה מכיר את עצמך, סיכוייך לנצח או להפסיד שווים.

אם אינך מכיר לא את האויב שלך ולא את עצמך – אין ספק שתובס בכל הקרבות.

אמרנו שהמקבילה לעולם אבטחת המידע הנה אחת לאחת:
הכר את האויב: ניתוח מלא של איומים וסיכונים למידע ולמערכות המידע.
הכר את עצמך: הכר את הארגון, מערכות המידע ותהליכי העבודה שבהם הארגון עושה שימוש במערכות המידע

וכעת הוספנו את המשנה השניה.
מהי המשמעות של המשנה השנייה בשדה הקרב של עולם המחשוב ההגנתי וההתקפי?
מנהל אבטחת המידע הבא להכין תוכנית הגנה להתמודדות עם האיומים והסיכונים, יצא מתוך נקודת מוצא של מי שמתכנן לתקוף אותו. מנהל אבטחת המידע צריך למעשה לספק מענה לשאלה הבאה:
כיצד אני בונה את מערך ההגנה שלי כך שהתוקף לא יוכל לקבל מענה מספק לשאלה שהוא מציב לעצמו:

כיצד הכי כדאי לי (לתוקף) לבצע את התקיפה.
אופן בניית מערך ההגנה יספק מענה לכוונתו של התוקף, ולא למחשבתו של המגן. כוונת התוקף איננה לתקוף סתם.
מטרת התוקף הנה לתקוף ולהצליח בתקיפתו. על מנת להכשיל את התוקף, על מנהל אבטחת המידע להכיר את דרכי התקיפה האפשריות העומדות לרשות התוקף ולגרום לכך שהתוקף לא יוכל לספק מענה לעצמו האם קיים סיכוי סביר שתקיפתו תצליח, באף לא אחד מדרכי התקיפה.
זו איננה הגישה הרווחת היום שבה מנהל אבטחת המידע מנסה באמצעות בניית תוכנית האבטחה שלו לספק מענה לשאלה הבאה: כיצד אני מנקודת המבט שלי כמגן, מתכנן מערך הגנה מיטבי. גישה זו רווחת (בין היתר) עקב הדרישה לספק מענה למגוון רגולציות אשר בהן חלקים נרחבים מהמענה האבטחתי כבר נקבעים מראש, בלא שניתן בהן המשקל המתאים לתוצאותיו של ניתוח איומים וסיכונים פרטני.
ההבדל המהותי נעוץ בבחירת נקודת המבט של התוקף כבסיס לתכנון ההגנה שלי ולא נקודת המבט של המגן כבסיס.
באופן דומה יש להתייחס למצב ההפוך. כיצד תוקף אמור לתכנן את תקיפתו.
סון טסו אומר: תכנן את תקיפתך באופן שבו המגן לא ידע על מה כדאי לו להגן יותר.

ואם נשלב את שתי המשנות לכדי משנה מאוחדת נקבל את התובנה הבאה:

מנהל אבטחת המידע יפעל באופן הבא על מנת שלא יובס ע"י האויבים (מבית ומבחוץ):
1. יבצע ניתוח איומים וסיכונים מלא המאפשר לו להכיר מול מה הוא עומד.
2. ילמד היטב את ארגונו הוא, בהבטים הלא טכנולוגיים ובהבטי טכנולוגיית המידע.
3. יכין תוכנית להתמודדות עם האיומים והסיכונים כאשר במרכזה מתן מענה לשאלה: כיצד התוכנית מספקת מענה לאותם איומים וסיכונים, כך שמי שמנסה לממשם יתקשה לספק לעצמו מענה לשאלה באיזה מהלך התקפתי לבחור על מנת שיהיה בעל סיכוי סביר להצליח.

חג חנוכה שמח לכל קוראי הבלוג.

יאיר

להיות צעד אחד לפני................ התוקף

תחום אבטחת מידע או בשמו המודרני יותר, ניהול סיכוני טכנולוגיית המידע מספק מענים לאיומים ולסיכונים בשימוש במידע ובטכנולוגיית המידע. אתייחס לשתי דוגמאות:
1. מידע רגיש הנאגר על גבי מחשבים ניידים נחשף כיוון שמחשבים אלה נגנבים/נאבדים בהמוניהם (12,000 בשבוע בנמלי תעופה בארה"ב לבדה, עפ"י סקר של מכון Ponemon מיוני 2008):

http://www.dell.com/downloads/global/services/dell_lost_laptop_study.pdf

מה המענה? הצפנת המידע. אם המידע מוצפן, אזי גם אם יגיע לידי המוצא/הגנב, איננו יכול לצפות בו, לא כל שכן לסחור בו.
2. משתמשי מערכות מבצעים פעילות במערכות אליהן קיבלו הרשאות כדין. דרישות הרגולטורים למיניהן הנן לבצע רישום מלא של פעילות זו. הדרישה מובנת שכן מאפשרת להתחקות אחר פעילות המשתמשים ולחקור האם פעלו כדין או עשו שימוש שלא כדין בהרשאות שהוענקו להם, כמו גם לאתר פעילות שלא נעשית ע"י משתמשים מורשים.
ניקח את שתי הדוגמאות ונתבונן בהם משתי הזוויות: זו של המגן וזו של התוקף.
המגן בשני המקרים עלול לנוח על זרי הדפנה. הנה הגיע המענה המיוחל.
במקרה הראשון, מחשב שנגנב/אבד ובו מידע מסווג. אני כמגן, הסרתי כל דאגה מלבי. המידע מוצפן. מה יעשה המוצא? לא יוכל לגשת למידע.
במקרה השני, מכיוון שכל הפעילויות במערכת נרשמות, אזי כל משתמש אשר יפעל שלא כדין, פעילותו תרשם. ניתן לאתר את הפעילות הזו ועל כן ללא ספק שהוגברה ההרתעה למול משתמשים שינסו לפעול שלא עפ"י הנדרש מהם במסגרת עבודתם.
אבל, זהו רק צד אחד של המטבע. לכל תהליך חדש, במקרה שלנו תהליכי אבטחה חדשים, (הצפנה ותיעוד) ישנו גם מי שינסה להפיק מהם תועלת נזקית, הלוא הוא התוקף.
ננסה כעת להבין את זווית הראיה של התוקף בהתייחס לשני תהליכים אלו.
במקרה הראשון, עד להחלת הקונספט של "הצפנה בכל מקום ובכל עת", שימוש בהצפנה היה יחסית מצומצם. כעת עם נפוצות ההצפנה, הרבה מידע מוצפן יסתובב לו בין הגנבים. יתר על כן, הארגונים יטפלו ככל הנראה פחות במניעת גניבת/אובדן מידע, וישקיעו מאמצים בהצפנתו, מהלך שניתן בהחלט להבין אותו על רקע "פתרון הקסם – הצפנה בכל מקום ובכל עת". מהלך שכזה יביא בהכרח להתעניינות יתר של הגנבים בפיצוחה של ההצפנה. המילה התעניינות הנה בבחינת "הערכת חסר". צפוי על כן, כמו שקורה לכל אמצעי הגנה (לא משנה מאיזה סוג), שהצפנה כשיטה מצויינת להגנה מפני דלף מידע רגיש לגורם בלתי מורשה תהפוך לשיטה פחות מצויינת, ופחות ופחות מצויינת, עד שעלול לאבד עליה הכלח כליל.
ומה באשר לתיעוד הנרחב שאנו מאמינים שמספק תשתית מצויינת הן להרתעה והן לחקירה?
ובכן, מאגר הנתונים הנאסף באופן זה מהווה את מאגר הזהב לתוקף. מה עשוי להימצא בו? ברמה העקרונית מדובר ברישום המידע עליו בוצעה פעילות, כולל כיצד היא מבוצעת ע"י משתמש מורשה כדת וכדין, שלב אחרי שלב, מסך אחרי מסך. אין חולק על כך שרוב הפעילות המתועדת הנה פעילות חוקית, של משתמשים מורשים. מיעוטה יתעד פעילות חריגה ואפילו פלילית. נובע מכך שמאגר זה הנו מאגר שממנו ניתן ללמוד כיצד יש לעבוד כמשתמש חוקי ולבצע צעד אחר צעד פעילות תקינה במערכת. למיטב ידיעתי, זו הפעם הראשונה בתולדות טכנולוגיית המידע שקם ונהייה מאגר מסוג כזה.
אז מה אתה מציע חושב אחרת? לא לעשות אבטחה? לא להשתמש בהצפנה? לא להשתמש בתיעוד? ואולי בוא ונבטל במחי יד את כל אמצעי האבטחה?
לא ולא. לא זה המענה הנכון.
כמי שאמון על המתודולוגיה של שילוב חשיבת התוקף בתפישת ההגנה ומתן מענה משולב, שהם נר לרגלי יש לנקוט בשני שלבי פעולה:
1.להפנים מנטאלית ובאופן מלא ומיידי מתוך הבנה והשלמה, שגם אמצעי האבטחה, למרות היותם חיוניים למתן מענה ולצמצום הסיכון, אינם נטולי סיכון כשלעצמם. מדובר בשינוי מהותי בגישה (State of mind) ולא בשינוי טקטי גרידא.
2. לאתר במדוייק מהו האיום העתידי שנשקף לאחר הטמעת השימוש באמצעי האבטחה ולכלול מענה לאיום זה.

אתייחס לשתי הדוגמאות:
1. הצפנה. על מנת לצמצם את הסיכוי שמספר גדול יותר של רכיבי מיחשוב ובהם מידע רגיש (אומנם מוצפן) ייגנבו/ייעלמו, יש במקביל ליישום ההצפנה דווקא להגביר את פעילות יצירת המחוייבות והמודעות לשמירה על ציוד המחשוב הנייד מפני אובדן/גניבה ולא לצמצמה.

2. תיעוד. חיוני להגדיר בקרה הדוקה על הגישה למאגר המידע התיעודי. במיוחד חיוני לקבוע מהי פעילות חריגה למול מאגר זה, ולהגדיר מי ינטר את השימוש במאגר. חיוני שפעולת ניטור זו תבוצע על ידי גורם בלתי תלוי בארגון (או מחוצה לו) אשר איננו הגורם העושה במאגר זה שימוש שוטף.

להיות צעד אחד לפני התוקף, משמעותו לחשוב כמוהו ולשלב חשיבה זו בהגנה לאורך כל מחזור החיים של מערכת טכנולוגיית המידע.

אם זה לא היה ברור קודם, אז עכשיו זה ברור. המשרד לביטחון המולדת (DHS) מחפש "פורצים ברשיון" על מנת לשפר את הגנת התשתיות החיוניות

עכשיו זה רשמי. הגישה שיש לשפר את האבטחה באמצעות שילוב חשיבת התוקף או בצורה יותר מדוייקת, פעילות התקפית "ע"י כוחותינו" הופכת להיות נחלת הכלל.

הנשיא הנבחר, ברק אובאמה, אדם המקושר היטב לעולם הטכנולוגי, הבין עוד טרם כניסתו לתפקידו כנשיא עד כמה הבעייה של הגנת התשתיות החיוניות בארה"ב חמורה, ומה רמת הפער בין הקיים לנדרש.

צוות שהוקם עפ"י הנחייתו אמור היה להגיש את המלצותיו בסוף השבוע. נראה שזו אחת ההמלצות שכבר החל יישומה "תוך כדי תנועה".

מה צופן העתיד? ימים יגידו.

ובנתיים, מתפרסמת לה בשעות אלו ידיעה על גניבת מידע צבאית:

http://online.wsj.com/article/SB124027491029837401.html

האקרים פרצו למחשבים בהם הנתונים על תוכנית מטוס הקרב המשולב. התוכנית היקרה ביותר של הפנטגון מעולם: 300 מליארד דולר. הפורצים הצליחו לשים את ידם על מספר טרהבייטס של נתונים, בהם מידע על תכנון ומערכות אלקטרוניות. הגניבה עלולה להקל על התגוננות מפני כלי הטיס הזה.