נדרשת תפישה חדשה על מנת לאפשר המשך השימוש בטכנולוגיית המידע

טכנולוגיית המידע שבה אנו משתמשים בבית, במשרד, בצבא, בבית החולים, בכל מקום מצויה תחת מתקפה 24x7x365. טכנולוגיית המידע ואנו כיוצריה ומשתמשיה, מצויים אם כך במלחמה. במלחמה מחפשים נצחון. לכל הפחות לא להפסיד. לכותב שורות אלה לא נראה שאנו מנצחים בה. האם אנו מפסידים? נראה שבשלב זה אנו שורדים איכשהוא, לא יותר מכך.

השאלה הינה האם יש לשנות את ההיערכות שלנו על מנת להשיג נצחון? אולי צריך רק עוד קצת (אולי קצת הרבה קצת) כסף והכל יבוא על מקומו בשלום?
בפוסט זה אני אנסה לקשר בין מספר התבטאויות שאני לוקח איתי כבר יותר משנה. לקראת סופו, מספר הערות הבהרה המציגות גישות שיש לנקוט בהן כאבני בניין לתפישה החדשה.
נתחיל מהסוף ונלך אחורנית להתחלה. זה איננו מקרי.
המסקנה הראשונה שלי היא שיש לבסס את התורה החדשה על חשיבה "מהסוף להתחלה":
להתחיל מהסוף, דהיינו, מהו היעד העתידי (מה אנחנו רוצים שיקרה, ומנקודה זו להתייחס כאילו היעד כבר הושג) עכשיו בוא נתכנן מה נדרש לעשות מהיום ועד להשגת היעד, כדי שהוא באמת יושג.

ב-3 במרץ, כותבת אלינור מוריס מאמר ב-CNET שכותרתו:

Why the Security Industry never actually makes us secure

http://news.cnet.com/8301-27080_3-57389046-245/why-the-security-industry-never-actually-makes-us-secure/

כותרת חלופית לטעמי לכתבה (או בכלל למצב של תעשיית אבטחת המידע) הינה "יורים ובוכים". כלומר, רואים את המצב, מבינים שתעשיית האבטחה לא באמת מספקת את הסחורה, אבל מה לעשות, זה היה, זה הווה וזה כנראה גם מה שיהיה, אז בואו נמשיך לעשות עוד מאותו הדבר...
לסיכום מציגה הכתבת את דבריו של אחד מחשובי הגורואים של אבטחת מידע בימינו, מנהל אבטחת המידע של בריטיש טלקום, ברוס שנייר, "בדומה לזיהום סביבתי, אירועי אבטחת מידע הינם משהו שכל אחד בפוטנציה תורם להם וסובל מהם בה בעת. זהו חוסר מיתאם יסודי אשר כוחות השוק לבדם אינם מסוגלים להתגבר עליו ללא התערבות של הממשלות".
ב-21 בפברואר, שבועיים לפני, מפרסם David Lacey בבלוג שלו פוסט שכותרתו:

The Wrong type of loop
http://www.computerweekly.com/blogs/david_lacey/2012/02/the_wrong_type_of_loop.html

כוונתו, המעגל היסודי של ניהול אבטחת המידע כפי שבא לידי ביטוי בתקן לניהול אבטחת המידע 27002, המעגל המתואר ברצף הפעילויות:

PLAN – DO – CHECK - ACT

איננו מתאים לאבטחת מידע.
לפני שאמשיך, מספר מילים על David Lacey, כדי להבין מדוע יש לקחת את אמירותיו בהתייחס לתקן זה ברצינות.
David Lacey הינו אחד מאבותיו של תקן אבטחת המידע 27001/27002.
תקן זה תחילתו במסיבת עתונאים ב-30 בספטמבר 1993 בחברת של הבריטית.
ראו קישור:

Historical records from the birth of BS7799

http://www.computerweekly.com/blogs/david_lacey/2009/04/historical_records_from_the_bi.html

לפני למעלה משנה, בחודש ינואר 2011, הוא יוצא באמירה פרובוקטיבית:

Security: Best practice or ancient ritual?

Time to scrap ISO 27002 security standard says its author

http://www.computerworlduk.com/in-depth/security/3256436/security-best-practice-or-ancient-ritual/

אינני יודע אם זו הפעם הראשונה שהוא חושב כך, אבל ישנו קו ברור המתוח בין אמירתו לפני 14 חודש והאמירה הנוכחית: לדעתו, אנו שבויים בקונספט מוטעה.
האמירה הנוכחית מתייחסת למעגל הניהולי המהותי שב-27000 (החולק אותו עם שני תקני ניהול נוספים: תקן אבטחת האיכות ISO-9001, ותקן איכות הסביבה ISO-14001) שעיקרו: PLAN – DO – CHECK - ACT

לדברי דויד, מהלך זה מתורגם באופן מעשי למעגל שמבוסס על תכנון תקציב שנתי. לדעתו, זהו מהלך איטי, איטי מדי. את התוצאות נמצא בעיתונות. ארגונים רבים וגדולים שנפגעו בשנת 2011 היו מוסמכים לתקן בעת שנפרצו.

לדוגמה, חברת סוני היא יפנית ומוסמכת לתקן בעת שנפרצה. דרך אגב, החדירה המאסיבית ביותר של התקן הינה ב...יפן. מה זה אומר על התקן? על יפן? על סוני? ואולי זה לא אומר כלום?
על פי מידע הקיים במרשתת (מרשתת, המילה העברית לאינטרנט) תקן 27001/27002 יעודכן במהלך שנת 2013. מה יכלול העדכון? יתווספו בקרות, יבוטלו בקרות. יבוצע איזשהוא "פריש-מיש" סמנטי כדי שהתקן יחלוק תפישה ניהולית וטקסטואלית אחידה עם בין 8 ל-12 תקנים נוספים, ולא רק שניים כפי שהמצב היום.
האם במסגרת מהלך זה יבוטל גם ה- PLAN – DO – CHECK – ACT. ימים יגידו.
בנתיים, מה החלופה המוצעת ע"י David Lacey?
לחלופה ראשי התיבות OODA, עבור: OBSERVE – ORIENT – DECIDE - ACT
רעיון זה פותח ע"י קצין בחיל האוויר האמריקאני בשם ג'ון בויד ומתאר (בין היתר) את האסטרטגיה של השגת נצחון בקרבות אוויר. ההשראה למעגל זה היתה האתגרים שהוצבו להפעלת הכוח האווירי האמריקני במלחמת וויטנאם.
לא אכנס כאן לדיון מהו בדיוק OODA והאם הוא הפתרון המתאים? הנכון? מה שחשוב לי להדגיש שבמקום "לעשות יותר מאותו הדבר"... (וזה בבירור לא עונה על הציפיות) צריך וחיוני לחשוב על מה צריך לעשות אחרת! (וגם מה לא צריך לעשות אחרת).
OODA בהיותה אסטרטגיה לקרבות אויר בהכרח טומנת בחובה תפישה של מהירות תגובה. יתר על כן, איך מנצחים בקרב אוויר? אחת הדרכים הינה להקדים את האויב, "להתלבש על תהליך ה-OODA" של היריב, ולחתוך אותו. מי שרוצה דוגמה, שילך ויראה שוב את הסרט : TOP GUN (אהבה בשחקים).
מספר הערות להבהרה, על מנת למנוע טעויות ואי הבנה ולהסביר מהן לדעתי אבני בניין לתפישה החדשה:
1. אינני מציע לזרוק את תקן אבטחת מידע 27002/27001 וסדרת התקנים הנלווית. ההיפך הוא הנכון. הסמכה לתקן הינה תהליך נכון, אבל "לא באופן עיוור". חובה לקרוא ולהבין את 27002. זו התורה האבטחתית, שם כתוב "למה התכוון ISO". אח"כ יש להפעיל שיקול דעת מקצועי וניהולי, לשלב את הרגולציות הרלוונטיות שמספקות תקדימים, לבצע את ההתאמות הארגוניות ועיקר העיקרים, להפעיל את הראש. לחשוב. לחשוב. לחשוב.
כיוון נכון ש-ISO נוקט הינו להוסיף תקנים מגזריים. כיום ישנם כבר שני תקנים מגזריים: 27011 למגזר התקשורת, ו-27799 למגזר הבריאות. תקן מגזרי שלישי למגזר הפיננסי (27015) נמצא בהכנה. תקינה מגזרית ממקדת דרישות מותאמות למגזר ומחייבת את יישומם, דהיינו, מצמצמת את מרחב חופש הפעולה של הארגונים במגזר לבחור שלא ליישם בקרה ספציפית. התקן הכללי, 27001 מספק חופש בחירה רחב מדי לארגון.
דוגמאות לשילוב רגולציות רלוונטיות:
א. הוראת ניהול בנקאי תקין 357 של בנק ישראל בעניין "ניהולה התקין של טכנולוגיית המידע" וההוראה לניהול סיכוני אבטחת מידע מטעם המפקח על הביטוח באגף שוק ההון במשרד האוצר מספקות לנו מענים לגבי (בין היתר) מספר סוגיות:
(1) חובת מינוי מנהל אבטחת מידע בכפיפות ישירה לחבר הנהלה (כל חבר הנהלה כולל מנהל מערכות המידע במידה והוא חבר הנהלה כמובן),
(2) חובת ביצוע סקר הערכת סיכונים למערך טכנולוגיית המידע כולו. בעקבותיו נדרש תכנון וביצוע סקרי סיכונים למערך זה וביצוע מבדקי חדירה מבוקרים ע"י חברות חיצוניות בעלות ידע ויכולת מקצועית בלבד,
(3) הצגת דרישות מינימום הכרחיות למתן גישה ללקוחות למערכות המידע וביצוע שאילתות לקבלת מידע ופעולות פיננסיות בחשבונותיהם, לדוגמה תוך כדי עשיית שימוש באינטרנט ("בנקאות בתקשורת"),
(4) התייחסות לדרישות בנוגע למיקור חוץ, לגיבוי והתאוששות.
ב. הנחיות הרשות למשפט טכנולוגיה ומידע (רמו"ט) אשר בשלוש השנים האחרונות החלה לייצר סדרת הנחיות (ובקנה גם שינוי חוק הגנת הפרטיות והוצאת צו המעדכן את דרישות אבטחת המידע למידע זה) בכל הנוגע לאבטחתו של מידע אישי המוגן עפ"י החוק והתקנות להגנת הפרטיות. הנחיות הנגישות לכלל באמצעות אתר האינטרנט של הרשות.
ג. פעילות משמעותית במגזר הבריאות שבוצעה במהלך השנים האחרונות ע"י מר איציק כוכב, ממונה הגנת המידע בשירותי בריאות כללית, ואשר כוללת הנחיות מפורטות להגנת מידע בתהליכי העבודה המורכבים והמגוונים בקופת חולים ובבתי חולים.
ד. תקן PCI-DSS מטעם חברות כרטיסי האשראי הקובע דרישות טכנולוגיות במידה ובארגון נאגר, מעובד או מועבר בתקשות מספר כרטיס האשראי.
הדוגמאות הללו (ויש נוספות) מספקות תשתית, תקדימים, מידע מקצועי תומך, תקראו לזה איך שנוח לכם, אבל בשורה התחתונה, יש הרבה ממה ללמוד, לא כל דבר צריך להמציא מהתחלה.

2. בה בעת נדרש שינוי גישה בהתייחסות לנושא האיומים, הסיכונים והמענה להם. ויסלחו לי כולם. זה לא להגיד CYBER במקום אבטחת מידע. נקודת מוצא חייבת להיות שמערך טכנולוגיית המידע (טכנולוגיית מידע כוללת גם את המרכיבים הטכנולוגיים של אבטחת המידע. נא לזכור זאת!) מותקף כל העת, 24x7x365.
מערך טכנולוגיית המידע מספק:
א. לפרט, תשתית לפעילויתיו הפרטיות. לדוגמה: גלישה באינטרנט, משלוח דוא"ל.
ב. לארגון, תשתית לפעילות הארגונית. לדוגמה: מערכות מידע בהתאם לשיוך מגזרי.
ג. למדינה, תשתית לפעילויותיה כמדינה. לדוגמה: מערך ממשל זמין, מערכת מרכבה.
בה בעת, אותו מערך מספק את התשתית לביצועה של הפעילות העויינת כנגדו או כנגד הפרט, הארגון או המדינה או כל צירוף אפשרי.
כל עוד מערך טכנולוגיית המידע פועל, וזה קורה 24x7x365, הוא מותקף ללא הרף.

מי המתקיף? וזה הכי כואב: הטכנולוגה היא התוקף והמותקף בה בעת.

למה הכוונה? רכיב אחד תוקף את השני. וזה עשוי להתרחש אפילו בין בני אותה המשפחה, כאשר לכל אחד ישנו איזשהו רכיב טכנולוגיית מידע בבעלותו (כל אחד וסמארטפונו הוא...), האחד עלול לתקוף את האחר, בלא שאיש מהם תכנן זאת או רוצה בזאת...

3. שתי התייחסויות למונח: מערך טכנולוגיית המידע מותקף ללא הרף:

א. מיהו מערך טכנולוגיית המידע, מי מחזיק/מפעיל אותו? מי אמור להגן עליו ואיך?
אנו נדרשים להתחיל לשאול שאלות שלא שאלנו בעבר ולספק תשובות ופתרונות.
זה שמדובר במחשבים הארגוניים זה ברור. האם זה כולל גם את המחשב/הסמארטפון הפרטי שלי? מה נדרש על מנת לבצע הגנה? איפה מתבצעת ההגנה? במחשב הארגוני/הפרטי? אצל ספק האינטרנט? במרחב האינטרנט? מה זה בכלל הגנה? ומה עם הפרטיות? שאלות עתידניות? לחלוטין לא. זה כבר קורה.
פרוייקטי I-Code באוסטרליה (החל מדצמבר 2010), ו – Bot-Frei בגרמניה (החל מאוגוסט 2010) מהעבר האחד, והפעילות של מיקרוסופט וממשלת ארה"ב למיגורם של BotNets מהעבר האחר מהווים הוכחה שבעולם החלו ניצני עידן חדש. זה בהחלט יותר מניצנים, יש גיבוי טכנולוגי ומשפטי לתהליכים אלו.
ב. מחייב שינוי בסיסי ועמוק של תפישת ההפעלה של טכנולוגיית המידע.
"עבודה תחת מתקפה", זה שם המשחק. חלק מהמתקפות ייעצרו לפני מערך טכנולוגיית המידע הרלוונטי לאספקת השירות, וחלקן יחדרו.
אלו שיחדרו, מערך טכנולוגיית המידע כולל מרכיבי האבטחה נדרשים להכיל את החדירה ולהתמודד איתה באופן המאפשר לטכנולוגיית המידע להמשיך לפעול, לספק את השירות (אם כי ברמה שעשוייה להיות מופחתת) ולטפל במפגע בו זמנית, עד לחזרה לכשירות מלאה וברצף תפעולי.
טכנולוגיית מידע שבעת שמצויה תחת מתקפה תחייב כמענה ברירת מחדל השבתה, איננה מהווה מענה מקצועי מספק בעידן החדש.

ניהול אבטחת מידע - מה זה ניהול אבטחת מידע ומה מיקומה בארגון: חלק א'

הפוסט השלישי יתחלק לשלושה חלקים:
בחלק הראשון ננסה להבין מה זה בכלל ניהול אבטחת מידע. את מה בדיוק מנהל מנהל אבטחת המידע.
בחלק השני, אחרי שנבין את מה מנהל מנהל אבטחת המידע ננסה לענות על שתי שאלות:
1. מהו הידע הנדרש לבצוע המשימה? האם נדרש ידע טכנולוגי, יכולות ניהוליות, מה חשוב יותר?
2. מה קשת המשימות שמנהל אבטחת המידע נדרש לבצע במסגרת התהליך הניהולי. האפשרויות הינן: הנחייה בלבד, הנחייה ובקרה בלבד, הנחייה תפעול ובקרה.
בחלק השלישי ננסה לענות על השאלה היכן המיקום הארגוני הנכון של מנהל אבטחת המידע וזאת בהתאם למענים שנתנו בשני החלקים הראשונים. האם במסגרת האגף למערכות מידע או שחס וחלילה שכן זה מתכון שלא תהיה אבטחת מידע כי מנהל מערכות המידע תמיד יתעלם מהמלצותיו/דרישותיו של "האיש שלעולם אומר לא". ואם לא באגף מערכות מידע היכן כן? תחת הביטחון? ואולי בלשכה המשפטית ואולי.... ואולי.... הרבה ואולי...
ואם מותר להקדים את הסוף להתחלה, אז לפני מספר שבועות פורסם שבמדינת מישיגן בארה"ב, מנהל אבטחת המידע ומנהל הביטחון הפיזי שניהם כפופים למנהל אחד. לא, לא מנהל הסיכונים של המדינה, אלא למנהל מערכות המידע, כן, מנהל מערכות המידע הינו מנהלו של מנהל הביטחון הפיזי וגם של מנהל אבטחת המידע.
ואולי פיסקה אחרונה זו קצת "תפתח את הראש" לחשיבה פתוחה יותר בנושא.

את מה מנהל מנהל אבטחת מידע?
טוב , אז הרבה שאלות ותהיות וצריך כמובן להתחיל מאיזושהי פינה וללכת שלב שלב באופן סדור.
במאמר הראשון הדגמנו שבהתייחס להגדרה המאד מאד נפוצה ומקובלת של אבטחת המידע, דהיינו אספקת מענים ל-CIA (סודיות - Confidentiality, שלמות ואמינות - Integrity, זמינות ושרידות -Availability), מדובר ברוב רובם של המקרים בשלושה ראשי חץ שונים. אפשר להזיל דמעה ולהתאבל עד מחרתיים, מכרו לנו לוקש... ה-CIA הינה דרישה כוללת לארגון. כיצד זה ממומש זו כבר שאלה אחרת. זה ששכחו את הסיפא, איך מממשים זו אופרה אחרת. על כן ככל הנראה ישנם שלושה מנהלים שונים שמטפלים בנושא. אחד מטפל ב-C, אחד מטפל ב-I והאחרון מטפל ב-A.
ברוב רובם של המקרים אנו קוראים למנהל המטפל ב-C (סודיות), מנהל אבטחת המידע. זו טעות. הוא אחראי על הטיפול במרכיב הסודיות של אבטחת המידע. נוכל לקרוא לו מנהל אבטחת המידע רק ואך ורק אם הוא יהיה מנהל של כל שלושת המרכיבים, ה-C, ה-I וה-A.
אם הבעיה הזו לא מספיקה על מנת "להפיל אותנו לקרשים", הנה צצות שתי בעיות נוספות.
הראשונה אסקור בקצרה, ואז אתעלם מנה... ה-CIA איננו כולל את כל ניהול סיכוני השימוש במידע ובטכנולוגיית מידע. הלוואי שטיפול מלא ב-CIA היה הכל אבל זה לא. לדוגמה: הסיכון שמערכת שסודיותה מטופלת כיאות, הנתונים בה שלמים ואמינים והיא פועלת בזמינות הנאותה ואף הוגדרה בתוכנית להמשכיות לשעת עסקית, פשוט לא עושה את מה שהארגון חשב שהיא תעשה הינו סיכון נוסף ו-CIA לא מטפל בו... אמרתי ועזבתי את הבעיה הזו.
הבעיה השניה הינה שאם ניקח את התקן הישראלי/בינלאומי לניהול אבטחת המידע, 27001/27002 ונפרק אותו לרכיביו המעשיים, נראה שקיימת חלוקה נוספת על זו שכבר נגזרת מהגדרת האבטחה כפי שהוסברה לעיל.
מסתבר שישנן דרישות בתקן שעל מנת למלא אותן, צריך מנהל אבטחת המידע להיות לא פחות מאשר המנכ"ל, כיוון שעל מנת למלאן על מנהל אבטחת המידע להיות מנהל משאבי אנוש, שכן ישנן דרישות אבטחת מידע לשלבי גיוס כוח אדם, הטיפול בו במהלך עבודתו בארגון ולפני תום העסקתו. אח"כ מנהל אבטחת המידע צריך להיות גם מנהל הרכש, שכן ישנן דרישות המופנות לתהליך הרכש. בתהליך הרכש נרכשות טכנולוגיות מידע וטכנולוגיות אחרות להן השלכה על אבטחת המידע של הארגון. כמובן שמנהל אבטחת המידע צריך להיות גם קצין הביטחון, שכן קיימות דרישות למערך האבטחה הפיזי של הארגון. מנהל אבטחת המידע צריך להיות גם היועץ המשפטי של הארגון, שכן לא מעט מהתשתית לביצוע עבודתו הינם חוקים ורגולציות, לאומיים ובינלאומיים.
נשמע מופרך?
אז תאמינו או לא, היה כבר נסיון כזה במדינת ישראל. הוא נכשל.
בחוק הגנת הפרטיות הישראלי שנחקק בשנת 1981 והתקנות על פיו הותקנו בשנת 1986 נקבע כי מנהל המאגר הוא אחראי על אבטחת המידע במאגר המידע ומנהל המאגר הינו לא אחר מאשר מנהל הארגון. אומנם ניתנה לו הסמכות להסמיך מישהו אחר, אבל באם לא הסמיך הוא מנהל המאגר והוא האחראי לאבטחת המידע במאגר המידע. וסמכותו כוללת החל מאבטחה פיזית ועד לאבטחה במערך המיחשוב. זה לא הצליח.
בתיקון בשנת 1996 כבר הוסיפו את ממונה אבטחת המידע כאחראי על אבטחת המידע בנוסף על מנהל המאגר.
אז בואו נחזור לעולם המציאות.
ניהול אבטחת המידע הינו:
א. ברוב רובם של הארגונים ניהול של מרכיב ה-C – סודיות, במסגרת המשולש C – סודיות, I - שלמות ואמינות, A – זמינות ושרידות.
ב. איננו כולל אחריות ניהולית לדרישות בתחומי הרכש, כוח אדם (כולל מהימנות כוח האדם), ייעוץ משפטי וכיוצ"ב. בתחומים אלה אבטחת המידע הינה לכל היותר גורם מנחה המבקש כי דרישות אבטחת המידע בתחומים הללו ישולבו במסגרת תהליכי העבודה שהאחריות הניהולית לתהליכים אלו מסורה בידי מי שמנהל את התהליך. לדוגמה: מנהל משאבי אנוש לגבי תהליכים באגף משאבי אנוש.
ג. שני תחומים הינם יוצאים מן הכלל: ביטחון פיזי ובטיחות. אלו למעשה תחומים מקצועיים שמעמדם דומה למעמד אבטחת המידע. מעגל האבטחה הפיזי שמסופק לעובדים ולנכסים (עוד ללא התייחסות ספציפית לנכסי טכנולוגיית המידע), משמש בסיס לחלק מעבודתו של מנהל אבטחת המידע עצמו. לדוגמה: האבטחה שמסופקת ע"י מערך השומרים בבניין, אופן וסדרי עבודתם מספק אבטחה גם למחשבים בבניין. וזאת מבלי שמנהל אבטחת המידע דרש ולו דרישה אחת. יחד עם זאת, זה עשוי שלא להספיק באם מצוי בבניין אזור חשוב יותר, דהיינו מרכז חישובים, שלו יש להעניק תשומות אבטחה פיזיות מיוחדות. על כן, בתחומים אלו יש צורך בשיתוף פעולה של שלושת גורמי הניהול הללו על מנת ליצור שילוב אופטימאלי של רצף אמצעי אבטחה פיזיים ומיחשוביים בשילוב אמצעי בטיחות. יש לציין שככל שאנו מתקדמים על ציר הזמן, יותר ויותר אמצעי אבטחה פיזיים הופכים הם עצמם להיות דיגיטליים. לדוגמה: מצלמות. בעבר אנאלוגיות והיום דיגיטליות. במצב זה מוצא עצמו מנהל האבטחה הפיזית פורס אמצעי אבטחה שמנהל אבטחת המידע מנחה אותו כיצד יש להגן עליהם מפני תקיפות של פורצי מחשב. סימביוזה מעניינת.

לסיכום החלק הראשון ניתן לומר שלמרות שלכאורה המצב איננו ברור ניתן לראות שהבעיה איננה בלתי פתירה.

1. ניהול אבטחת מידע הינו באופן מעשי ניהול של אחד ממרכיבי אבטחת המידע, מרכיב הסודיות. האם זה מעט מדי? ובכן ממש לא. על מנת לממש את מרכיב הסודיות, מנהל אבטחת המידע נדרש להיות מעורב בכל אחד מהמרכיבים הטכנולוגיים: ארכיטקטורת פריסת מערכת המידע, מערך התקשורת, מערכות ההפעלה בשרתים, בתחנות הקצה, היישומים, תהליכי העבודה, רמת החוסן של המערכת ועוד. מרכיב הסודיות הינו המרכיב רחב ההיקף הגדול ביותר מבין השלושה. זו אחת הסיבות שנדרש מנהל ייחודי ומקצועי לסעיף זה. אין זה בהכרח אומר שהוא הסעיף היקר ביותר.
2. שני המרכיבים האחרים מתחלקים בדרך כלל באופן הבא:
א. מנהל מערכות המידע אחראי על מרכיב ה-I (שלמות ואמינות), בעיקר עפ"י החלטות המתקבלות בשלבי הפיתוח של מערכות מידע חדשות, או תוך כדי עדכונן. מנהל אבטחת המידע עשוי לתרום לנושא. לדוגמה: באמצעות שילוב שימוש בכלים ייעודיים שהוא "נושא באמתחתו". חתימה דיגיטלית הינו אחד מהם. אך נחזור ונדגיש, מנהל אבטחת המידע איננו האחראי להשגת ושימור מרכיב ה-I במסגרת אבטחת המידע.
ב. מרכיב ה-A מתפצל מעשית לשניים:
§ מרכיב הזמינות, דהיינו יכולתה של מערכות טכנולוגיית מידע לספק שירות בשגרה בהתאם לרמת השירות שנקבעה עבורה. רכיב זה שהינו באחריות מנהל מערכות המידע מהווה פן תפעולי יומיומי של אחריותו.
§ מרכיב השרידות, דהיינו יכולתו של הארגון להפעיל את מערך טכנולוגיית המידע לאחר התרחשות אסון לדוגמה השבתת המערך עקב חדירת קוד זדוני, או חבלה פיזית או כל תרחיש אחר. בדרך כלל ובארגונים גדולים במדינת ישראל, מנהל בכיר ברמת חבר הנהלה נקבע כמי שאחראי לנושא זה ועל כתפיו פיתוח, יישום ותרגול התוכנית שקרויה כיום: התוכנית להמשכיות עסקית. Business Continuity Plan – BCP. מנהל מערכות המידע הינו איש המפתח בתוכנית זו בכל הקשור למערך טכנולוגיית המידע. יש לזכור שתוכנית BCP כוללת מרכיבים נוספים על מערכות המידע עצמן, כגון: היכן יעבדו העובדים בהינתן תרחיש שבו הנכס הפיזי (הבניין) נהרס או הפך לבלתי נגיש, מיהם העובדים שיעבדו, כיצד יינתנו שירותי משרד לארגון ועוד מגוון נושאים שאינם בתחום הידע והאחריות של מנהל מערכות המידע. מנהל אבטחת המידע ברוב המקרים איננו אחראי לתוכנית זו. אין זה אומר שאין לו תפקיד במסגרתה. ההיפך הוא הנכון. תפקידו לשלב את דרישות האבטחה בתוכנית בדיוק כפי שהוא עושה זאת במערך טכנולוגיית המידע הפועל בשגרה בארגון..
3. לגבי בטחון ובטיחות, שני תפקידי ניהול מקבילים לניהול אבטחת המידע אשר נדרשים לשיתוף פעולה הדוק ביניהם על מנת לאפשר מתן מענה משולב אופטימלי ויעיל.
4. הנחייה מטעם מנהל אבטחת המידע לשאר הגופים בארגון כגון משאבי אנוש, רכש וכד' באשר לדרישות אבטחת המידע (כפי שאלו נגזרים מתחום אחריותו) אשר הם מתבקשים לשלב בתהליכי העבודה שלהם כפי שהוגדרו בתחומי אחריותם.

לאחר שדי ברור לנו מהו מרחב האחריות של מנהל אבטחת המידע וכיצד הוא פועל בשאר התחומים נוכל לעבור לדון בשאלה הבאה: מהו אופי התפקיד: טכנולוגי או ניהולי ובשאר הסוגיות כפי שהוצבעו בתחילת הפוסט.

מה בין רגישות המידע במערכת ובין חיוניותה של המערכת (קריטיות המערכת)

לאחר מספר חודשי יובש בכתיבה, (טוב היה קיץ...) חוזר ומקווה להתמיד בכתיבה.
נושא זה הינו תורתי ועוסק באחד מאבני היסוד של אבטחת מידע.
שני מרכיבי סיכון מהותיים תחת נושא אבטחת מידע הינם סודיות המידע במערכת (Confidentiality) וחשיבותה של המערכת להתנהלות היומיומית של הארגון (Criticality).
האם אלו שני דברים שונים תכלית השינוי, או דווקא שני שני צדדים של אותה המטבע?
אני חייב לציין שתקן ניהול אבטחת המידע 27001, מחבר את שני הנושאים תחת אותו פרק שתכליתו סימון ותיוות (פרק 7.2: המידע יסווג לפי ערכו, לפי הדרישות עפ"י דין, לפי רגישותו ולפי מידת הקריטיות שלו לארגון) ואולי בכך תורם גם הוא לחוסר הבהירות הקיים בנושא זה.
אנסה בפוסט קצר זה להבהיר את הנושא.

כמו כן יהווה פוסט זה גם הקדמה לנושא הבא שיתפרס עלפני מספר פוסטים ויעסוק בהבטים שונים של ניהול אבטחת מידע: מיקומו של מנהל אבטחת המידע בארגון, תחומי אחריותו, השילוב בין אבטחה פיזית ואבטחת המידע, התייחסות לניהול כולל של סיכונים בארגון ועוד.

ונחזור לעניינינו בפוסט זה.
רגישות מידע במערכת או סודיות המידע במערכת הינו מדד לעוצמת הנזק שתגרם לארגון אם מידע מסווג של המערכת ייחשף בפני מי שאיננו זכאי להיחשף אליו, ויהיה זה גורם פנימי או חיצוני. הנזק הינו בעצם חשיפת המידע לבלתי מורשה והוא בלתי הפיך. מידע מסווג שנחשף לגורם לא מורשה = נזק. ניתן לבצע הערכת נזקים (לכמת כמה נזק נגרם), אך לא ניתן להחזיר את המצב לקדמותו, המידע כבר מצוי גם ברשות הגורם האחר.
חיוניות (קריטיות) המערכת הינה עד כמה הארגון יכול לתפקד ללא אותה המערכת מאחר וזו הושבתה, לאחר שעבדה ושירתה את הארגון. סיבת השבתתה איננה רלוונטית לרמת חיוניותה. במידה והארגון התכונן כראוי לאירוע כזה (התכונן כראוי, משמע, הגדיר מהו משך הזמן המכסימלי שיכול לסבול אי פעולת המערכת, כיצד פועל בזמן שהמערכת מושבתת, כיצד מתכונן להעלאת המערכת בתום הזמן המכסימלי שיכול לפעול בלעדיה וכיצד מפעיל את המערכת לאחר חלוף פרק הזמן המכסימלי לאי פעילותה). נזק נגרם, אך במסגרת ניהול משברים זהו נזק שנלקח בחשבון וניתן לו המענה שהוגדר מראש.
מעיון בשני ההסברים לשני הנושאים, סודיות מידע במערכת וחיוניות מערכת ניתן להבין שמדובר בשני פרמטרים בלתי תלויים האחד בשני. אם כך הוא הדבר, אזי אמורים להימצא ארבע קטגוריות שונות של מערכות:
1. מערכת שבה המידע מסווג והמערכת חיונית לתפקוד השוטף של הארגון. (מסווגת וחיונית).
2. מערכת שבה המידע מסווג ואיננה חיונית להתנהלות השוטפת של הארגון. (מסווגת ולא חיונית)
3. מערכת שבה המידע איננו מסווג והיא חיונית להתנהלות השוטפת של הארגון. (חיונית ואיננה מסווגת)
4. מערכת שבה המידע איננו מסווג והמערכת איננה חיונית להתנהלות השוטפת של הארגון. (איננה חיונית ואיננה מסווגת)
נראה דוגמאות לארבע סוגי המערכות:
1. במערכת בנקאית, המערכת באמצעותה מבצע פקיד הבנק את פעילותו כאשר מולו יושב לקוח, (נהוג לקרוא למערכת מרכזית זו "המערכת הסניפית"). הפעילות של הפקיד כרוכה בגישה למידע הלקוח המצוי במחשבי הבנק ומן הסתם זהו מידע המוגן עפ"י החוק להגנת הפרטיות כמידע על מצבו הכלכלי של אדם, דהיינו, מידע מסווג. יחד עם זאת, באם המערכת מושבתת בשעות שבהן אמור הסניף לעבוד, הפקיד איננו מסוגל לשרת את הלקוח, על כן, זו מערכת חיונית להתנהלות העסקית השוטפת של הבנק.
2. מערכת השכר של הארגון. במערכת נאגר מידע המוגן עפ"י החוק והתקנות להגנת הפרטיות, מידע על מצבו הכלכלי של אדם, דהיינו, מידע מסווג. יחד עם זאת, במידה ומערכת השכר מושבתת ומדובר בטווח התאריכים שבהם חובה עפ"י החוק לשלם שכר לעובדים, ניתן לשלם להם את שכרם גם מבלי שהמערכת תפעל. לדוגמה, באמצעות העברת מקדמה בגובה לדוגמה השכר הקודם. כאשר המערכת תחזור לפעול, יבוצעו החישובים המדוייקים וישולם הפרש הכולל לדוגמה שעות נוספות וכד'.
3. מערכת המציגה את שערי הבורסה במהלך המסחר בבורסה. המידע איננו סודי, ההיפך הוא הנכון, מטרת הצגת המידע הינה להנגישו לציבור. יחד עם זאת השבתת המערכת עלולה לגרום להפסקת המסחר בבורסה מכיוון שהמידע על שערי המניות הנסחרות הינו חיוני לתהליך העסקי של קניה ומכירה של מניות בבורסה.
4. מערכת המאפשרת עריכת חישובים פיננסיים מפורטים למטרות סימולציה בלבד. אין בה כל מידע מסווג ובאם איננה פועלת מאחר ומדובר בסימולטור בלבד אין פגיעה בתהליך העסקי העיקרי של הארגון.
הדוגמה ממחישה היטב (לדעתי) את העובדה שסודיות המידע במערכת וחיוניותה של מערכת הינם שני פרמטרים בלתי תלויים.
ישנו גם הבדל בולט נוסף:
לסודיות ישנו ביטוי מוחשי ומעשי למול משתמשים. הסיווג מוצג באמצעות כותרת מילולית. לדוגמה: "סודי-אישי". הכותרת מודפסת על דוחות או על תווית המודבקת על מדיה מגנטית או אופטית ניידת או על מחשב נייד/SMARTPHONE. מטרתה פשוטה ותכליתית: להגדיר באמצעות הכותרת ובאמצעותה בלבד את כל תכולת המדיה נושאת הכותרת בהיבט סודיות המידע, וזאת ללא כל צורך לעיין בתכולה עצמה. גורם מוסמך בארגון יכול על כן להגדיר בפשטות מהן דרישות ההגנה לאותו נשא מידע בהתאם לכותרת וללא צורך להכיר תכולה ספציפית של כל דוח מודפס/מחשב נייד/מדיה מגנטית או אופטית ניידת.
לחיוניותה של מערכת אין כל צורך ליצור כותרת. אין זה מעניינו של משתמש במערכת להכיר את חיוניותה של המערכת. עליו להכיר כיצד הוא עובד במערכת בשגרה ומהם תהליכים חלופיים במידה והמערכת מושבתת. אין ולא אמור להיות לכך ביטוי בצורת כותרת למערכת או למדיה מגנטית או אופטית ניידת המהווה מרכיב שבו נעשה שימוש במערכת.

ניהול יעיל של אבטחת מידע בעשור הראשון במאה ה – 21 מרובת הרגולציות באמצעות הסמכה לתקן אבטחת מידע ת"י 27001 - עדכון למאמר מלפני שנתיים

מאמר שזו כותרתו פורסם בדיוק לפני שנתיים, כאחד מהמאמרים הראשונים בבלוג.

אם נתמצת את האמור בו תוך עדכון להיום, במשפטים הבאים:

ניהול יעיל של אבטחת מידע בארגון יתבסס על יישום אבטחת מידע באופן יזום ע"י מנהל אבטחת המידע לפני שייאלץ לעשות זאת בגין רגולציה מגזרית או חובה חוקית לאומית או בינלאומית. בתהליך זה מומלץ להשתמש בתקן 27001/27002.

היתרון הוא שבתהליך פרואקטיבי (יזום) ע"י מנהל אבטחת המידע יש סיכוי (מותנה במנהל אבטחת המידע ובהשגת התקציבים הדרושים) לבנות מערך אבטחת מידע ארגוני אפקטיבי המספק מענה סביר לאיומים ולסיכונים בכל מערך טכנולוגיית המידע לאורך כל מחזור החיים שלו ובסביבות השונות שבהן הוא מופעל.

תהליך יישום אבטחת מידע שיתבסס רק על חובה רגולטורית אומנם יתרחש, אבל בדרך כלל יש לו שני חסרונות מרכזיים:

1. לוח הזמנים מוכתב ע"י הרגולטור ועל כן המטרה איננה לעשות אבטחת מידע נכון, אלא לעמוד בדרישות עפ"י לוח הזמנים.

2. מסיימים ליישם אבטחת מידע היכן שמסתיימת הדרישה הרגולטורית. הפורץ איננו מסיים לפרוץ עפ"י קווי ההגנה שהרגולטור קבע. להיפך, נקודת ההתחלה שלו היא בדיוק נקודת הסיום של הרגולטור, ובכך הופך את יישום הרגולציה רק עד לנקודה שבה הרגולטור אמר את דברו לבעייתית. שכן היא יוצרת פירצה מצויינת עבורו. הוא אפילו לא צריך להתאמץ לחפש אותה היא מוגשת לו על "מגש של כסף".

לפני חודשיים,מופיע מאמר שכותרתו פרובוקטיבית:

Security: Best practice or ancient ritual? Time to Scrap ISO 27002 security standards says its author

אמירה נוקבת. הוא איננו מאשים אחרים, שכן לדבריו הוא עצמו כתב את רוב הטיוטה של מה שהפך ברבות הימים להיות התקן.

הוא יוצא בעיקר כנגד העובדה שהגיון בריא ויצירתיות פסו מעולם אבטחת המידע. לדבריו לפני שני עשורים עולם אבטחת המידע היה עשיר ברעיונות תחרותיים ואילו כיום כל מצגת דומה לאחרת. מנהלי אבטחת המידע כבולים לטחנת רוח של דרישות ציות שאבד עליהם הכלח ומונע מהם להסתכל קדימה לעבר הסיכונים החדשים.

לדעתי הברנש צודק וטועה. הוא צודק בעובדה שעולם אבטחת המידע קפא על שמריו, יש המון טכנולוגיות חדשות אבל חשיבה חדשנית ויצירתית חסרה. הוא טועה בכך שהוא מאשים את התקן. התקן נולד מתוך מציאות שבה מוצרי היסוד של מערך טכנולוגיית המידע (חומרות ותוכנות) אינן מספקות אבטחה טובה, ועל כן יישום אבטחת המידע נותר לשלב ההטמעה של הטכנולוגיות הללו בארגון.

התקן לניהול אבטחת המידע (27001/27002) איננו פתרון לשאלה מדוע מוצרי היסוד (חומרה ותוכנה) אינם מאובטחים כראוי. זו בעיה אחרת. התקן מספק מענה שבהינתן חומרות ותוכנות אלו, מהי המעטפת האבטחתית שהארגון מספק. בכך זו כבר שאלה של מנהל אבטחת המידע בארגון לאן הוא לוקח את הארגון במסע להסמכה לתקן.

אשמח לקבל תגובות ולשמוע דעותיכם בנידון.