אבטחת המידע ללא ספק מהווה את אחד הנושאים הבעייתיים ביותר הן בקרב חברות מסחריות והן בקרב גופים ממשלתיים שונים (כגון: עיריות, משרדי ממשלה, מועצות מקומיות, חברות ממשלתיות). הבעייתיות נובעת מצירוף של רמת סיכון גבוהה לארגון עם קיפוח מתמשך של הטיפול בתחום.
מה גורם לתחום זה להיות מקופח, יחסית לתחומים פיננסיים או תפעוליים?
ניתן להצביע על מספר גורמים, בין היתר: חוסר מודעות ארגונית, תקצוב בלתי מספק, ניגוד אינטרסים עם משתמשי המחשב ומנהל מערכות המידע ועוד.
איומי אינטרנט
בדוח איומי אבטחת מידע שפורסם בספטמבר 2007 על-ידי חברת Symantec (מומחית אבטחת מידע עולמית) הוצגו הממצאים המדאיגים הבאים:
הסיכונים אכן מתממשים
סיכוני אבטחת המידע הם לא עניין תאורטי. לרוב הנזק נגרם באופן כזה שהארגון לא מודע כלל לאירוע החריג, במיוחד אם הארגון לא מפעיל מערך אבטחת מידע יעיל.
מאחורי מושגים טכנולוגים והסברים מורכבים עומדים נזקים כספיים ישירים, עבירות פליליות ותביעות משפטיות של לקוחות נפגעים או אזרחים שזכויותיהם הופרו.
לצד איומי האינטרנט הגוברים משנה לשנה, מתממשים סיכוני אבטחת מידע מגוונים שמקורם בארגון עצמו. סיכונים אלה נובעים מרשלנות העובדים, התקנת תוכנות שמכילות וירוסים (גם לא בזדון), גישה בלתי מבוקרת לנתונים ומידע, אי-גיבוי מערכות מחשב ועוד.
מה לכלול בהערכת אבטחת מידע
במרבית הארגונים ניתן להרכיב רשימת תחומים עיקריים שמכסה את מרבית נושאי אבטחת המידע. עם זאת, בארגונים מסוימים תיתכן רשימה רחבה יותר שתכלול תחומים ספציפיים המאפיינים את פעילותם.
לדוגמה: אבטחת מידע בהפעלת מרכזיות טלפוניה חכמות. מורכבות המערכות האלה בארגונים מסוימים חוצה את גבולות הדמיון, כך גם הסיכונים שבהפעלתן.
להלן רשימת תחומים עיקריים להערכת אבטחת מידע ארגונית המתאימה לרוב הארגונים:
הערכה כמותית והצגה גרפית
קיימות שיטות לכמת את ההערכה ולהציג את התוצאות בפורומים המתאימים (כגון: הנהלה, דירקטוריון) באופן גרפי וקליט.
אחת השיטות המקובלות לביצוע הערכת אבטחת מידע על-ידי כימות היא Capability Maturity Model Integration (CMMI)*. השיטה מתבססת על השוואת המצב בחברה למצב האופטימלי (עמידה בתקן ISO 17799:2005 ** במקרה שלנו).
הרמה הנמדדת בארגון, לגבי כל אחד מהקריטריונים (בדומה לרשימת התחומים שהצגנו לעיל), מהווה "רמת בגרות" בנושא אבטחת מידע (Maturity Level). בנוסף, לכל קריטריון מוגדר משקל שונה, בהתאם לרמת הסיכון שנקבעה בסקר סיכונים מקדים.
בסופו של התהליך מתקבלת דיאגרמה קריאה ופשוטה בה מודגשות החולשות הנוכחיות במערך אבטחת המידע הארגוני. על סמך התוצאות הנ"ל קל יותר להנהלת החברה לתכנן צעדים לשיפור המצב.
לסיכום
רוב איומי אבטחת מידע המתממשים בארגונים יכולים להימנע על-ידי בניית מערך אבטחת מידע יעיל. חלק בלתי נפרד ממערך כזה הוא ביצוע הדרכות לעובדים חדשים ורענון ולעובדים ותיקים. הוכח לא פעם, כי ללא תפעול נכון על-ידי עובדי הארגון, כל מנגנון אבטחת מידע ייכשל, יעיל ככל שיהיה.
נציין, כי ביצוע הערכת אבטחת מידע בארגון אמור להתבצע באופן תקופתי, לפחות אחת לשנה. אי-קיום הערכות באופן תקופתי ובתדירות מספקת עלול להביא להיווצרות מוגברת של חשיפות חדשות (כגון: אי-ביטול הרשאות לעובדים שעזבו, הפעלת תוכנות בלתי מורשות, גיבויי מידע כושלים ועוד).
זאת ועוד, לא מדובר בבדיקה מסובכת שמצריכה השקעת משאבים משמעותית, אלא בסדרה של בדיקות פשוטות המבוצעות על-ידי מומחה לביקורת מערכות מידע. כתוצאה מההערכה נוצר פרופיל אבטחת מידע ארגוני. בהתבסס על הפרופיל הנ"ל נקבעת תוכנית ישימה לטיפול בליקויים המהותיים ביותר, על-מנת להבטיח המשך צמיחת הארגון עם הרבה יותר בטחון בימים שיבואו.
הערות
CMMI * השיטה פותחה ב- Software Engineering Institute, USA.
ISO 17799:2005 ** תקן אבטחת מידע המקובל בעולם, פורסם על-ידי ISO ו- IEC.
רמי איצלב, M.B.A, CISA
בעל תואר ראשון במדעי המחשב וסטטיסטיקה ותואר שני במנהל עסקים מאוניברסיטת בר-אילן, חוקר פלילי מוסמך ומבקר מערכות מידע (CISA) מוסמך.
מייסד חברת "ארה שירותי ביקורת" - eRA IT Audit Services המתמקצעת בביקורת מערכות מידע, אבטחת מידע, בדיקות חדירה, SOX IT וניהול סיכונים.
אתר: http://www.era-ita.com
דוא"ל: rami@era-ita.com
מה גורם לתחום זה להיות מקופח, יחסית לתחומים פיננסיים או תפעוליים?
ניתן להצביע על מספר גורמים, בין היתר: חוסר מודעות ארגונית, תקצוב בלתי מספק, ניגוד אינטרסים עם משתמשי המחשב ומנהל מערכות המידע ועוד.
איומי אינטרנט
בדוח איומי אבטחת מידע שפורסם בספטמבר 2007 על-ידי חברת Symantec (מומחית אבטחת מידע עולמית) הוצגו הממצאים המדאיגים הבאים:
- ישראל היא אלופת העולם במספר פעילויות זדוניות (ממוצע לגולש) ברשת האינטרנט. הפעילויות כוללות התקפות על מחשבים, הפצת וירוסים, גניבת סיסמאות ועוד.
- פושעי האינטרנט נעשים יותר ויותר מקצועיים, ואפילו מסחריים, בפיתוח, הפצה ושימוש בקוד ושירותים זדוניים.
- Spam (דואר זבל) מהווה יותר מ- 60 אחוזים מכל תעבורת הדואר האלקטרוני.
- גניבה או אובדן של מחשבים או אמצעי אחר לאחסון נתונים מהווים כמחצית מכלל הפגיעות בנתונים שעלולות להוביל לגניבת זהות (identity theft או phishing). גניבת זהות מאפשרת חדירה למערכות החברה וביצוע פעילות בלתי מורשית, במסווה של עובד ארגון תמים.
- כלים אוטומטיים רבי עוצמה זמינים להאקרים באופן חופשי, כך שכל אדם (גם ללא ידע מקצועי נרחב בתחום) עלול להוות סיכון אבטחת מידע ממשי לארגון. שלוש ערכות כלים אוטומטיים מסוג זה היו אחראיות ליותר מ- 40 אחוזים מכל מתקפות ה- phishing שאותרו במהלך התקופה שנסקרה.
הסיכונים אכן מתממשים
סיכוני אבטחת המידע הם לא עניין תאורטי. לרוב הנזק נגרם באופן כזה שהארגון לא מודע כלל לאירוע החריג, במיוחד אם הארגון לא מפעיל מערך אבטחת מידע יעיל.
מאחורי מושגים טכנולוגים והסברים מורכבים עומדים נזקים כספיים ישירים, עבירות פליליות ותביעות משפטיות של לקוחות נפגעים או אזרחים שזכויותיהם הופרו.
לצד איומי האינטרנט הגוברים משנה לשנה, מתממשים סיכוני אבטחת מידע מגוונים שמקורם בארגון עצמו. סיכונים אלה נובעים מרשלנות העובדים, התקנת תוכנות שמכילות וירוסים (גם לא בזדון), גישה בלתי מבוקרת לנתונים ומידע, אי-גיבוי מערכות מחשב ועוד.
- להלן דוגמא חמורה לחוסר מודעות וזהירות של עובדי חברה אשר גרמה לחדירה למערכת הממוחשבת וחשיפת מידע רגיש (מבוסס על פרסום ב- Ynet מ- 16.08.2007):
"..בחברת קו-אופ בירושלים היו משוכנעים כי נפלו קרבן לריגול תעשייתי, אבל בדיקת המשטרה חשפה ממצאים מפתיעים: חובב כלכלה בן 14 התחבר בקלות למחשבי החברה ונחשף למידע פנימי רגיש..".
במקרה זה העבריין חתר לחשוף נתונים רגישים, כולל: עלויות רכישת מוצרים, מחיר מכירה לצרכן ונתוני מאזן חשבונאי של החברה.
בחקירתו מסר כי על-מנת לפרוץ למחשבי החברה הוא התקשר בטלפון למשרדיה, הציג את עצמו כעובד חברה שמאבטחת את המחשבים של קו-אופ, ביקש קוד כניסה, קיבל אותו מאחד העובדים ונכנס למערכת תוך התחזות לעובד קו-אופ.
נציין כי בחברת קו-אופ השקיעו כסף ומאמץ באבטחת מערכות המחשוב, אך חוסר מודעות של עובדיה אפשר חדירה לנתונים תוך דקות ספורות.
- מקרה בולט נוסף של כשל אבטחת מידע הוא פרסום קובץ נתונים מפנקס הבוחרים של משרד הפנים לכל הדורש (זמין להורדות באינטרנט גם כיום), במהלך שנת 2007.
הקובץ הועבר בשנת 2006 על-ידי משרד הפנים לכל המפלגות שהיו רשומות ברשם המפלגות. הקובץ הכיל פרטים אישיים על יותר מ- 9,000,000 ישראליים, בזה: מספרי תעודת זהות, שמות ומספרי תעודת זהות של ההורים, מספרי טלפון, מצב משפחתי, כתובת, תאריך לידה.
בעקבות כשל של גורם לא ידוע (החקירה המשטרתית הסתיימה ללא תוצאות) גורם פלילי אלמוני הצליח לגנוב את המאגר ולחשוף אותו בפני כל דורש (עבירה על מספר חוקים, כולל חוק הגנת הפרטיות התשמ"א 1981).
- בתאריך 20.10.2007 חדרו האקרים אנונימיים למחשבים שאחסנו את אתר הכנסת (מבוסס על פרסום ב- (Ynet. ההאקרים הכניסו שינויים בדפים השונים באתר, כולל הוספת כתובות נאצה בדפי קורות חיים של ראש הממשלה, ח"כ ישראל כץ, ח"כ צחי הנגבי, ח"כ אברהם הירשזון ועוד.
דובר הכנסת מסר כי "..שירותי האבטחה של אתר הכנסת ניתנים באמצעות חברה חיצונית. קצין אבטחת המידע של הכנסת יצר מיד קשר עם החברה האמורה. במקביל, מנכ"ל הכנסת הורה לקצין הכנסת להגיש תלונה למשטרת ישראל על האירוע ונגד אלו שחיבלו באתר..".
התקשרות עם ספק שירותי מערכות מידע חיצוני מחייבת ביקורת ובקרה רציפה על רמת אבטחת המידע שהספק מקיים. ניתן ליישם זאת על-ידי ביצוע בדיקות חדירה (penetration testing) והערכות אבטחת מידע תקופתיות.
מה לכלול בהערכת אבטחת מידע
במרבית הארגונים ניתן להרכיב רשימת תחומים עיקריים שמכסה את מרבית נושאי אבטחת המידע. עם זאת, בארגונים מסוימים תיתכן רשימה רחבה יותר שתכלול תחומים ספציפיים המאפיינים את פעילותם.
לדוגמה: אבטחת מידע בהפעלת מרכזיות טלפוניה חכמות. מורכבות המערכות האלה בארגונים מסוימים חוצה את גבולות הדמיון, כך גם הסיכונים שבהפעלתן.
להלן רשימת תחומים עיקריים להערכת אבטחת מידע ארגונית המתאימה לרוב הארגונים:
- מדיניות אבטחת מידע ונוהלי עבודה
- ניהול אבטחת מידע בארגון
- אבטחת מידע בתחום משאבי אנוש
- אבטחה פיזית וסביבתית (הגנה מפני אסונות, אבטחת גישה לאזורים רגישים)
- אבטחת מידע בתהליכי רכש, פיתוח ותחזוקה של מערכות מידע
- אבטחה לוגית (שימוש באמצעי אבטחה ייעודיים כגון חומת אש, אנטיוירוס)
- בקרות גישה ומידור מידע
- טיפול באירועי אבטחת מידע חריגים
- ניהול משתמשים וקיום הרשאות במערכות המחשב
- גיבוי נתונים
- תוכנית המשכיות עסקית
- אבטחת מידע שאינו ממוכן
- הפצה והשמדה של מסמכים רגישים
הערכה כמותית והצגה גרפית
קיימות שיטות לכמת את ההערכה ולהציג את התוצאות בפורומים המתאימים (כגון: הנהלה, דירקטוריון) באופן גרפי וקליט.
אחת השיטות המקובלות לביצוע הערכת אבטחת מידע על-ידי כימות היא Capability Maturity Model Integration (CMMI)*. השיטה מתבססת על השוואת המצב בחברה למצב האופטימלי (עמידה בתקן ISO 17799:2005 ** במקרה שלנו).
הרמה הנמדדת בארגון, לגבי כל אחד מהקריטריונים (בדומה לרשימת התחומים שהצגנו לעיל), מהווה "רמת בגרות" בנושא אבטחת מידע (Maturity Level). בנוסף, לכל קריטריון מוגדר משקל שונה, בהתאם לרמת הסיכון שנקבעה בסקר סיכונים מקדים.
בסופו של התהליך מתקבלת דיאגרמה קריאה ופשוטה בה מודגשות החולשות הנוכחיות במערך אבטחת המידע הארגוני. על סמך התוצאות הנ"ל קל יותר להנהלת החברה לתכנן צעדים לשיפור המצב.
לסיכום
רוב איומי אבטחת מידע המתממשים בארגונים יכולים להימנע על-ידי בניית מערך אבטחת מידע יעיל. חלק בלתי נפרד ממערך כזה הוא ביצוע הדרכות לעובדים חדשים ורענון ולעובדים ותיקים. הוכח לא פעם, כי ללא תפעול נכון על-ידי עובדי הארגון, כל מנגנון אבטחת מידע ייכשל, יעיל ככל שיהיה.
נציין, כי ביצוע הערכת אבטחת מידע בארגון אמור להתבצע באופן תקופתי, לפחות אחת לשנה. אי-קיום הערכות באופן תקופתי ובתדירות מספקת עלול להביא להיווצרות מוגברת של חשיפות חדשות (כגון: אי-ביטול הרשאות לעובדים שעזבו, הפעלת תוכנות בלתי מורשות, גיבויי מידע כושלים ועוד).
זאת ועוד, לא מדובר בבדיקה מסובכת שמצריכה השקעת משאבים משמעותית, אלא בסדרה של בדיקות פשוטות המבוצעות על-ידי מומחה לביקורת מערכות מידע. כתוצאה מההערכה נוצר פרופיל אבטחת מידע ארגוני. בהתבסס על הפרופיל הנ"ל נקבעת תוכנית ישימה לטיפול בליקויים המהותיים ביותר, על-מנת להבטיח המשך צמיחת הארגון עם הרבה יותר בטחון בימים שיבואו.
הערות
CMMI * השיטה פותחה ב- Software Engineering Institute, USA.
ISO 17799:2005 ** תקן אבטחת מידע המקובל בעולם, פורסם על-ידי ISO ו- IEC.
רמי איצלב, M.B.A, CISA
בעל תואר ראשון במדעי המחשב וסטטיסטיקה ותואר שני במנהל עסקים מאוניברסיטת בר-אילן, חוקר פלילי מוסמך ומבקר מערכות מידע (CISA) מוסמך.
מייסד חברת "ארה שירותי ביקורת" - eRA IT Audit Services המתמקצעת בביקורת מערכות מידע, אבטחת מידע, בדיקות חדירה, SOX IT וניהול סיכונים.
אתר: http://www.era-ita.com
דוא"ל: rami@era-ita.com