במקור התכוונתי להעלות עוד פרסום על ניתוח עסקי (אני מנסה להגיע לאיזו פואנטה אבל זה ייקח עוד פרסום או שניים), אבל כנס הסייבר שנערך באוניברסיטת תל אביב לפני שבועיים, ובייחוד הביקור המתוקשר של יוג'ין קספרסקי, מביא אותי לעשות עיקוף קטן בדרך אל היעד ולדבר על אבטחת מידע. החשיבות של הכנס, לטעמי, הייתה בהסתכלות על התחום מזווית חדשה - זווית ביטחונית של מלחמת מידע, או בשמה החדש - מלחמת סייבר*. מהזווית הזאת סיכוני אבטחת מידע מסוימים נראים פתאום הרבה יותר חמורים והרבה יותר רלוונטיים.
דווקא שם יש לנו (וכמובן לא רק לנו) בעיה.
*כן, זו התייחסות קצת שטחית במגבלות הז'אנר. אני מאוד ממליץ לצפות בהרצאות (אפשר להתמקד במושבים האחרונים ולדלג על הפוליטיקאים).
אני לא מתיימר להיות מומחה לאבטחה, בעיקר כי אני לא. אבל הדברים של ד"ר אביתר מתניה, ראש מטה הסייבר הממשלתי, די מעודדים. נראה שהמטה הזה הולך בכיוון הנכון. מקווה שהוא יתוקצב כמו שצריך בשנים הקרובות.
הבעיה היא שחלק ניכר מהטיפול בנושא לא נמצא, וגם לא ימצא בידי הממשלה, אלא בידי מוסדות בטחוניים, משרדי הממשלה, בנקים ומוסדות פיננסיים, חברות הביטוח, בתי החולים, חברות התחבורה הציבורית ועוד עשרות גופים וחברות פרטיות. כל אחד אמור להגן על הפעילות שלו.
אז מה הבעיה? הרי יש טכנולוגיות אבטחה ולא חסרות חברות יעוץ ויישום איכותיות בארץ (מכיר אישית לפחות אחת).
הבעיה היא שאבטחת מידע היא לא רק עניין של טכנולוגיה, לא רק עניין של לקנות את האנטי וירוס / חומת אש / ניהול זהויות הנכונה, ואפילו לא עניין של לכתוב קוד איכותי שקשה לתקוף (למרות שגם זה חשוב).
אבטחת מידע היא האופן שבו הארגון, על כל מערכותיו, עובדיו וספקיו פועל על מנת להגן על המידע שברשותו. אם מדברים על אבטחת סייבר, אפשר להוסיף גם הגנה על השירותים שהארגון מספק.
אי אפשר להפחית בחשיבות האבחנה הזו. למדיניות הארגונית יש השלכות אבטחתיות לא פחות מלתשתית הטכנולוגית. האם לסרבל את השימוש בשירותי אינטרנט כדי להגדיל את רמת האבטחה או שמא לפשט את השימוש כדי למשוך לקוחות לאינטרנט ולחסוך בעלויות? האם לשחרר מידע אישי באינטרנט במסגרת שרות משופר ללקוח ולהסתכן בכך שהנתונים יגיעו למקומות לא רצויים (ראה מרשם האוכלוסין...)?
ולא מדובר רק בהחלטות עקרוניות. בכל ארגון מתקבלות אינסוף החלטות יומיומיות שקשורות לנושא. החלטות שקשורות למשל לזיהוי לקוח, לזיהוי פעולות חריגות ולטיפול נכון בהן. כששואלים אותי מה הדרך הכי טובה לפרוץ למערכת שכר ולארגן "העלאה" במשכורת, אני בדרך כלל עונה שאין צורך. הרבה יותר פשוט ואפקטיבי לדווח דיווח שיקרי (למשל של שעות עבודה).
ושלא תבינו אותי לא נכון, אני לא מנסה ללמד אף אחד לגנוב כסף מהבוס... הנקודה היא שהסתכלות על אבטחה כבעיה טכנולוגית, כבעיה שאפשר לפתור בשיטת "שגר ושכח" על ידי רכישת מוצר האבטחה המתאים, היא הסתכלות חלקית וחסרה.
אז מה האתגר הגדול הבא? של הארגונים הנ"ל?
הוא לא בצד הטכנולוגי (אני לפחות מאמין ביכולת שלנו בתחום הזה), ולא בצד של זיהוי הסיכונים וגיבוש מדיניות שנותנת להם מענה (אנחנו כבר שם. יש בארץ מומחים מהשורה הראשונה בתחום). האתגר הוא איך מוודאים שהמדיניות מבוצעת באופן עקבי ומבוקר בכל פעולה שמתבצעת בארגון.
כל מי שחושב שמדובר בעניין פשוט, כנראה לא מכיר ארגונים שחשופים לסיכונים מכל הסוגים והמינים, שצריכים לעמוד בדרישות החוק והרגולטור, ובמקביל למימוש אסטרטגיות עסקיות. קשה מאוד לקבוע מדיניות שמתייחסת לכל הגורמים האלו, וקשה עוד יותר ליישם אותה.
אז מה הבעיה? הרי יש טכנולוגיות אבטחה ולא חסרות חברות יעוץ ויישום איכותיות בארץ (מכיר אישית לפחות אחת).
הבעיה היא שאבטחת מידע היא לא רק עניין של טכנולוגיה, לא רק עניין של לקנות את האנטי וירוס / חומת אש / ניהול זהויות הנכונה, ואפילו לא עניין של לכתוב קוד איכותי שקשה לתקוף (למרות שגם זה חשוב).
אבטחת מידע היא האופן שבו הארגון, על כל מערכותיו, עובדיו וספקיו פועל על מנת להגן על המידע שברשותו. אם מדברים על אבטחת סייבר, אפשר להוסיף גם הגנה על השירותים שהארגון מספק.
אי אפשר להפחית בחשיבות האבחנה הזו. למדיניות הארגונית יש השלכות אבטחתיות לא פחות מלתשתית הטכנולוגית. האם לסרבל את השימוש בשירותי אינטרנט כדי להגדיל את רמת האבטחה או שמא לפשט את השימוש כדי למשוך לקוחות לאינטרנט ולחסוך בעלויות? האם לשחרר מידע אישי באינטרנט במסגרת שרות משופר ללקוח ולהסתכן בכך שהנתונים יגיעו למקומות לא רצויים (ראה מרשם האוכלוסין...)?
ולא מדובר רק בהחלטות עקרוניות. בכל ארגון מתקבלות אינסוף החלטות יומיומיות שקשורות לנושא. החלטות שקשורות למשל לזיהוי לקוח, לזיהוי פעולות חריגות ולטיפול נכון בהן. כששואלים אותי מה הדרך הכי טובה לפרוץ למערכת שכר ולארגן "העלאה" במשכורת, אני בדרך כלל עונה שאין צורך. הרבה יותר פשוט ואפקטיבי לדווח דיווח שיקרי (למשל של שעות עבודה).
ושלא תבינו אותי לא נכון, אני לא מנסה ללמד אף אחד לגנוב כסף מהבוס... הנקודה היא שהסתכלות על אבטחה כבעיה טכנולוגית, כבעיה שאפשר לפתור בשיטת "שגר ושכח" על ידי רכישת מוצר האבטחה המתאים, היא הסתכלות חלקית וחסרה.
אז מה האתגר הגדול הבא? של הארגונים הנ"ל?
הוא לא בצד הטכנולוגי (אני לפחות מאמין ביכולת שלנו בתחום הזה), ולא בצד של זיהוי הסיכונים וגיבוש מדיניות שנותנת להם מענה (אנחנו כבר שם. יש בארץ מומחים מהשורה הראשונה בתחום). האתגר הוא איך מוודאים שהמדיניות מבוצעת באופן עקבי ומבוקר בכל פעולה שמתבצעת בארגון.
כל מי שחושב שמדובר בעניין פשוט, כנראה לא מכיר ארגונים שחשופים לסיכונים מכל הסוגים והמינים, שצריכים לעמוד בדרישות החוק והרגולטור, ובמקביל למימוש אסטרטגיות עסקיות. קשה מאוד לקבוע מדיניות שמתייחסת לכל הגורמים האלו, וקשה עוד יותר ליישם אותה.
דווקא שם יש לנו (וכמובן לא רק לנו) בעיה.
*כן, זו התייחסות קצת שטחית במגבלות הז'אנר. אני מאוד ממליץ לצפות בהרצאות (אפשר להתמקד במושבים האחרונים ולדלג על הפוליטיקאים).
אין תגובות:
הוסף רשומת תגובה