הבטחת ידע / מורן סרף

 

 

בתוך צמד המילים 'אבטחת מידע' מסתתרת גם התשובה לסוג הפתרון הנדרש כדי לממש אותה. ידע.

שוק ה-IT רווי היום בפתרונות אבטחת מידע למיניהם. אנו יודעים למנוע מן המידע להיכנס לארגון, לתעד כל ניסיון פריצה, למנוע מוירוסים לחדור, או לפתוח פרצות משחדרו, אנחנו יודעים להצפין כל תעבורה של מידע חשוב היוצא מן הארגון אל שותפינו, אנחנו יודעים לזהות מתקפות DoS ולהתמודד עימן ברגע האמת, אנחנו יודעים לאכסן את הנתונים החשובים ברמות אחוריות בארכיטקטורת המוצר, להסתיר את כתובות הרשת של מחשבים חשובים, ועוד שלל אפשרויות ודרכים למנוע מה'רעים' לפגוע במידע שלנו.

 

אולם, אבטחת המידע שלנו לוקה עדיין באפקט המכונה – אפקט ה-M&M – על שם אותן סוכריות שוקולד. קשות בחוץ, אבל רכות מאד בפנים. גם העיר טרויה הנצורה ביותר לא יכולה היתה לסוס שנכנס דרך השער הראשי באישורם של שומרי הסף, גם טובי הארגונים אינם יכולים למנוע את 'ההתקפה' הנובעת מטעויות פשוטות ביותר של משתמשים, המביאות לפתיחת מנגנוני האבטחה נוכח שימוש לקוי בהם. וכאמור, בהתאם לאפקט ה-M&M, מרגע שנחדרה החומה הבצורה, אבטחתו הפנימית של הארגון פרוצה ורכה כשוקולד.

 

מטרת דבריי היא לציין כי הדרך הקלה ביותר לחדור היום לארגון, לבנק, לאוסף המסמכים הביתי שלכם, או למעבדות ייצור טילי נשק גרעיניים בארה'ב היא עדיין נוכח ניצול פערי הידע של המשתמשים הפשוטים שאינם עושים שימוש נכון באמצעי אבטחת המידע טובים ככל שיהיו. המסר שאני מנסה להעביר במאמר זה הוא כי יקרים וטובים ככל שיהיו מוצרי האבטחה שתיישמו בארגונכם, המוצר שאני מנסה למכור לכם כאן הוא חשוב יותר מכל המוצרים הללו, שימושי ותכליתי הרבה יותר מהם, ישים, קל ונוח להפעלה – ומעבר לכל: אינו עולה דבר. המוצר הוא ידע, וחשיבה.

 

היום, לאחר שהטמענו בארגון את מערכת אבטחת המידע המשוכללת והיקרה שבחרנו לאחר סקר שוק מעמיק, חשוב שנדע לא לקפוא על השמרים. אבטחת מידע אינה שלמה עד אשר אנו מקשים גם את השוקולד שבתוך הסוכריה. השלב הבא, שיש לשאוף אליו מייד עם תום התקנת מערכת האבטחה בארגון, הוא הכשרה-רבתי של עובדי ואנשי הארגון לשימוש נכון בנהלי אבטחה ברורים, ויישומם בארגון !

 

כאמור, הכשל הגדול ביותר של אבטחת המידע של הארגון עשוי להיות חוסר הידע של אנשי הארגון. עתה נברר כיצד ניתן לפתור את הבעיה ?

שוק אבטחת המידע – בהיותו 'שוק' - מכיל אוסף נרחב של פתרונות. החל בפתרונות זולים, פשוטים, ומהירים, ועד לאלו היקרים יותר, ובהכרח מורכבים יותר. יתרונם של האחרונים אינו ברור, וייתכן בהחלט שהם אינם טובים יותר מהראשונים.

 

אנסה להציע אחדים מהם:

  1. לגייס אנשים בעלי ידע/ניסיון בתחום אבטחת מידע. היום – כששוק העבודה מוצף באנשים ובכח אדם, ניתן להוסיף דרישה נוספת מן המועמדים. להיות בעלי ידע מסויים בתחום אבטחת המידע. לכל תפקיד שהוא. ידע באבטחת מידע דרוש היום כמעט לכל תפקיד בארגון בינוני עד גדול. דרישה כזו יכולה לסייע עד מאד ליצירת אקלים ותשתית ידע טובים ונוחים יותר להתקדם מהם.
  2. לכתוב נהלים ברורים. בפעם האחרונה שהצטרפתי כעובד לארגון, ניתן לי ביום הראשון לעבודתי קלסר עב-כרס ובו אוסף 'נהלי הארגון'. היו שם הנהלים הנוגעים למשך זמן ארוחת הצהריים, ול'שיתוף' במידע הנוגע לתחזיות הבורסאיות של החברה, אולם לא היה שם דבר הנוגע לאבטחת מידע. לדעתי, דבר זה מעיד הן על מקומה של אבטחת המידע בארגון, והן על החשיבות שמייחסים לנושא. אילו היה העובד מקבל קלסר נהלים כזה ביום הראשון, נראה לי כי הוא מייחס לנושא חשיבות רבה יותר. אפשר אפילו להרחיב את מידת החשיבות על ידי בחינת העובד על הנהלים, לאחר שלמד אותם. לא מדובר בהכרח בבחינה מורכבת שמדירה שינה מן העובד, אפשר בהחלט להסתפק בבחינה בסגנון 'מבחן הנשק' של הצבא. 'אחיו של עוזי הוא איש IT. הוא לימד את עוזי לפרק פאקטים של IP, ולנקות את קבצי הלוג. עוזי מלמד את חבריו למחלקה, וכולם ביחד מנקים את כל קבצי הלוג.
    1. אסור למחוק קבצי לוג.
    2. יש למחוק קבצי לוג רק באישור נשק מוסמך.
    3. מותר למחוק קבצי לוג רק בזווית של 60 מעלות.
    4. כל התשובות נכונות.
  3. אם כבר עסקנו במבחני הסמכה, הרי שלעובדים בעלי תפקידים הנוגעים ישירות לאבטחת המידע של הארגון, ראוי וחשוב לדעתי, להעביר מבחני הסמכה מקצועיים יותר, ורציניים יותר. חברות דוגמת מייקרוסופט, צ'ק פוינט, סיסקו, ועוד אמונות על חיבור מבחנים רציניים ביותר בנושאים שונים, שבהחלט עשויים לשפר את רמת המקצועיות של העובד מחד, ולכפות עליו לימוד מעמיק של הנושאים השונים.
  4. לא די בעיצוב וגיבוש ידע אצל העובד בארגון בנושא. עולם אבטחת המידע פורח ומתעדכן חדשות לבקרים. חשוב בנוסף על יצירת מילון מונחים ומושגים בסיסי בקרב כל עובדי הארגון גם להמשיך ולרענן את הידע בנושא. על אחראי האבטחה בארגון, ואנשי ה-IT, 'להפציץ' את העובדים בדואר, בקישורים, ובמידע הנוגע לקורות בשוק. בתקופה האחרונה כשחברות דוגמת מייקרוסופט מוציאות שלל עדכוני אבטחה, נוכח גידול משמעותי בסוגי ובמידת המתקפות, כדאי להסביר לעובדים מהם אותם עדכונים שהם מתקימים בהינף 'כפתור ימני', ולמה הם נועדו. הדבר מסייע מאד להבנת האיומים והבעיות.
  5. לתגמל את האנשים שמצליחים. פה נכנסים כבר שיקולים חינוכיים פסיכולוגיים, אבל בעידן שבו מתוגמלים אנשי סיסטם מוכשרים, ומוענקים פרסים למנמ'רים יעילים, כדאי אולי לחשוב על תגמול לאנשי אבטחת מידע.
  6. לתחקר אירועים. הצבא שוב ישמש לי כקרקע לשאול ממנה את אחד הנהלים היותר מוצלחים שמיושם שם. התחקור. קרתה תקלת אבטחת מידע. משהו אבד, מידע חרג החוצה, מישהו חדר פנימה. לתחקר. לפרסם את הבעיה. דרך הפתרון. זה כמעט מבטיח שהדבר לא יישנה באותו ארגון.
  7. להביא מרצים, ולשלוח לקורסים. היום יש חברות רבות שמפתחות התמחות בתחומי אבטחת המידע. מישהו כבר הלך ואסף בשבילכם את שלל התחקירים משלל החברות השונות, עטף אותם במצגת פוורפוינט נעימה לעין, וסידר את הידע ברמות קושי שונות. למה שלא נזמין אותו לארגון, ונאפשר לו לחסוך לנו את התחקיר הבא אצלינו.
  8. להחזיק אנשים מוכשרים, ובעלי מודעות, בצמתים חשובים בתחום – מנהל אבטחת מידע. לאחרונה נטבע מונח חדש שלא היה מוכר לי – אם כי ייתכן בהחלט שהוא שכיח בארצות שמעבר לים: CSO. Chief Security Officer. בדומה למנהלים פיננסים, טכניים, ואחרים, ראוי ונכון שיחזיק ארגון רציני וגדול מומחה אבטחת מידע במשרה מליאה. הדרישה שיהיה מוכשר, ובעל מודעות היא ברורה ומובנת, ונכונה במידה רבה לכל איש בארגון. אולם, במקרה האחרון מדובר בהיבט נוסף שלה. לאחדים מן התפקידים בעולם ה-IT די בידע רב. איש אבטחת מידע צריך להיות לא רק בעל ידע רב, אלא – ואולי בעיקר- בעל דמיון ויצירתיות. האנשים שבצידו האחר של המתרס נוטים להיות כאלה. כדאי שמולם נציב מישהו דומה להם.
  9. לבקש גרפים של סיכונים והפסדים – זה עובד טוב מאד על ההנהלה. היום רוויות מצגותיהן של חברות מכירות מוצרי אבטחת מידע בגרפים המעידים על כמות הכסף שהפסידו חברות כאלו ואחרות בטיפול בבעיות אבטחת מידע שונות, בנתונים מרעישים על כמות הסיכונים, והפרצות במוצרים שונים, ועל האימה שמטיל הנושא על השוק. כדאי שכל איש אבטחת מידע יחזיק באמתחו כמה כאלו, או שיהיה בקשר עם אנשי שיווק של חברות מוצרי אבטחת המידע. בכל פעם שנדרשת העלאת התקציב בתחום, ניתן בקלות ל'לחוץ על ההדק' הזה. הגרפים מראים היום נתונים מרעישים, שישכנעו אפילו את פנטאלון - 'הקמצן' של מולייר - להתקין מערכת אבטחת מידע משוכללת סביב הכספת שהוא מטמין מתחת למיטה.

 

כאמור, כל הדרכים הללו עוסקות באיסוף מידע, נתונים, וידע בקרב האנשים. לא הזכרתי בכלל את הצורך ברכישת מוצרי הגנה, ושימוש בהם. הנחתי היא כי הללו יצטרפו לאחר שיהיה בידיכם את כל הידע הדרוש, ותוכלו להחליט לבד במה להשתמש, ובמה לאו.

ידע הוא הדבר החשוב ביותר באבטחת הארגון, וכאמור הוא בחינם.

מאידך – זהו 'מוצר' שההתקנה שלו לא פשוטה, הוא דורש תחזוקה, והבאגים שלו קשים הרבה יותר לאיתור, ולהשרשה.

פעם היה לי חבר שהיה מדגים במהלך הרצאות על אבטחת מידע – בשידור חי – 'פריצות' לארגונים בעזרת מכשיר טלפון וקול בס מרשים, מה שמכונה היום 'הנדסת אנוש'. הוא נהג תמיד להגיד בתום דבריו שההגדרה של הנדסת אנוש היא 'מציאת באגים בבני-אדם'. ידע הוא ה'דיבאגר' של הבאגים באבטחת המידע מסוג זה.