"מעילת ענק בבנק....", "חשודים בפרשת הסוס הטרויאני...", "ניצול חורי אבטחה במערכי...", "ישראלים בין נפגעי גניבת כרטיסי האשראי ...", "גידול דרמטי בהונאות דוא"ל...", "תלמיד שינה ציונים במחשבי...", "המשכיות עסקית - לקחי...", "עונש מאסר להאקר שפרץ לבנק...".
העיתונות המקומית והעולמית עמוסה בכותרות המופיעות לעיל ובמושגים כמו "הונאות מחשב", "פשע מקוון", "ריגול תעשייתי", "אי-זמינות מידע", "פשעי מחשב", "רוגלות" וכיו"ב.
מדוע - האם ארגונים אינם משקיעים די ?
דווקא משקיעים והרבה ! במהלך השנים האחרונות חל גידול גורף במודעות ובהשקעות של חברות וארגונים בתחומי אבטחת המידע, אמינות, שרידות, המשכיות עסקית, אישוש מערכות וכיו"ב.
העיתונות גם יודעת לבשר לנו כי "ענקיות" ותאגידי התוכנה והחומרה מהמובילים בעולם ישקיעו במהלך השנים הבאות תקציבי עתק בפיתוח כלי אבטחה, אמצעי אחסון, מערכי גיבוי ועוד...
היכן "העוקץ" - מה הסיבה לכישלונות ?
אכן, השאלות המנקרות הן: כיצד לא אובחנו כשלי האבטחה הללו בשלב מוקדם - מדוע לא אותרו וזוהו במועד מאוחר יותר - האם אמצעי האבטחה כשלו - היכן הייתה ערנות האחראים - מי אשם - האם ניתן לצמצם את הסיכונים - כיצד נערכים - מה עושים -
התשובה הבסיסית לכל השאלות הללו טמונה בהבנת התמונה הכוללת והמלאה, וביכולת הארגון להקיף את מלוא המשמעויות המשתקפות מתוך אירועי העבר וראיית העתיד לבוא.
מה לכל הרוחות המשפט האחרון אומר?
ראיית אבטחת המידע בארץ ובעולם התאפיינה - ועדיין מתאפיינת בארגונים רבים - בגישה הצרה המנתחת את צרכי האבטחה בארגון באופן נקודתי ובהעדר המוטיב התהליכי.
באופן דומה גם הגישה להמשכיות פעילותו של הארגון בשעת חירום התייחסה אך ורק אל מערכות המידע, והתעלמה לחלוטין מההיבטים וההשלכות של התהליכים הארגוניים והעסקיים.
כיצד העדר הגישה התהליכית פוגם באבטחה?
ארגון הצועד בדרך זו בונה את מעטה האבטחה הארגוני מ"איים" של אבטחה, שחלקם מקושרים ביניהם בקשר רופף כלשהו וחלקם האחר אוטונומיים לחלוטין.
מטבע הדברים שמערך אבטחת מידע אשר מורכב מפאזל של איי אבטחה לוקה בחסר בכל הקשור לרצף האבטחה התהליכי, ויוצר חללים לא מאובטחים במארג האבטחה הארגוני.
באופן דומה גם ההתייחסות להמשך פעילותו של הארגון בשעת חירום מתוך מערכות המידע בלבד ובהעדר ההיבט התהליכי, תיתן מענה לא מלא לשרידותו העסקית של הארגון.
למה הדבר דומה - ל"שועל ולול התרנגולות" !
איכר שהחליט להקים לול תרנגולות הזמין 4 בעלי מקצוע ידועים בתחום אבטחת לולים: מומחה לאבטחת גדרות, מומחה לבקרת שערים, מומחה לטיפול בשריפות ומומחה למערכות טמ"ס.
כל אחד מהמומחים הנ"ל התקין בתחומו את המערך המאובטח/מבוקר ביותר שניתן היה להקים, והאיכר המאושר מיהר למלא את הלול בתרנגולות מקרקרות.
בלילה התעורר האיכר לקול צווחות של התרנגולות, וכשהיגיע אל הלול נוכח בעובדה כי שועל אשר חדר אל הלול עשה שמות בתרנגולות. כיצד אירע המקרה הנורא ?
לאיכר ההמום הסתברה העובדה כי אף אחד מהמומחים שזומנו לא הבחין בנקרה אשר הותקנה מתחת לגדר בפינה, ולנקז את מי הגשמים היא נועדה.
מדוע אף מומחה לא הבחין בנקרה - כי כולם עסקו רק בתחומם ולא ראו את התמונה המלאה !!! האם פקחותו של השועל איתרה את הנקרה - לאו דווקא, השועל אשר היה רעב סקר את כל מערך האבטחה וחיפש את נקודת הכשל אותה הוא מצא בצורה של נקרה.
אז מה המסקנה? אין פתרון טוב לאבטחת המידע -
כלל וכלל לא, הפתרון מצוי בתפיסת נושא אבטחת המידע כמארג כולל אותו יש לנתח מהיבט של התהליך המלא מקצה לקצה (End to End View), ולהשתית את מערך האבטחה והבקרה שיוקם על ניטור מלוא כל הסיכונים והכשלים הקיימים ואיתור מענה הולם לכל אחד מהם.
רק עם השלמת השלב הנ"ל ניתן להזמין את המומחים השונים כדי ש"יתפרו" את הפתרון המקומי שלהם, כאשר התיאום בין חלקי הפתרון השונים ובחינת תפקוד מארג האבטחה והבקרה הכולל מוטל על הגורם/גוף אשר ביצע את מהלך ניתוחו של התהליך המלא.
הגישה הנ"ל נכונה לא רק לגבי תחום אבטחת המידע, אלא גם בתחומי שרידות, המשכיות עסקית, בקרת תהליכים, תכנון מערכי אחסון, ניהול בקרות (Audit), וכיו"ב.
מי הוא אותו גורם שיבצע את הניתוח התהליכי ?
יועצי אבטחת המידע הם הגורם שאמור לעצב את הפתרון הנדרש תוך כדי ניתוח סיכוני האבטחה מהיבט התהליך המלא, והם גם שאמורים לבקר את ההטמעה ובחינת התוצר המוגמר.
דוגמאות.
רכש - בחינת התהליך המלא משלב יצירת הדרישה להזמנת רכש ועד לתשלום החשבונית לספק.
ביטוח - בחינת התהליך המלא משלב הקלדת והפקת הפוליסה ועד לתשלום תביעה של הלקוח.
בנקאות - בחינת התהליך המלא משלב הקלדת הפעולה בסניף ועד ל"הצצת" הלקוח בפעולה זו.
מערכת כלשהי - בחינת התהליך בתוך המערכת, העיבוד, ממשקים, קלט-פלט, בקרות וכיו"ב.
סיכום.
הפתרונות - גם אם נקודתיים - בתחומי אבטחת המידע, המשכיות עסקית, מערכי אחסון וכיו"ב, צריכים להתבסס על ניתוח ואיתור כשלים במסגרת התהליך המלא מקצה לקצה, והטמעתם באופן מבוקר תוך כדי ליווי התהליך כולו במערך של בחינות (Test Plan).
הגורם האמור לבצע את פעולות הניתוח, איתור הכשלים, תכנון המענה, פיקוח ההטמעה ובקרת התוצר המוגמר הינם היועצים, שלהם ראייה כוללת ורחבה ויכולת לבחון את התהליך המלא.
העיתונות המקומית והעולמית עמוסה בכותרות המופיעות לעיל ובמושגים כמו "הונאות מחשב", "פשע מקוון", "ריגול תעשייתי", "אי-זמינות מידע", "פשעי מחשב", "רוגלות" וכיו"ב.
מדוע - האם ארגונים אינם משקיעים די ?
דווקא משקיעים והרבה ! במהלך השנים האחרונות חל גידול גורף במודעות ובהשקעות של חברות וארגונים בתחומי אבטחת המידע, אמינות, שרידות, המשכיות עסקית, אישוש מערכות וכיו"ב.
העיתונות גם יודעת לבשר לנו כי "ענקיות" ותאגידי התוכנה והחומרה מהמובילים בעולם ישקיעו במהלך השנים הבאות תקציבי עתק בפיתוח כלי אבטחה, אמצעי אחסון, מערכי גיבוי ועוד...
היכן "העוקץ" - מה הסיבה לכישלונות ?
אכן, השאלות המנקרות הן: כיצד לא אובחנו כשלי האבטחה הללו בשלב מוקדם - מדוע לא אותרו וזוהו במועד מאוחר יותר - האם אמצעי האבטחה כשלו - היכן הייתה ערנות האחראים - מי אשם - האם ניתן לצמצם את הסיכונים - כיצד נערכים - מה עושים -
התשובה הבסיסית לכל השאלות הללו טמונה בהבנת התמונה הכוללת והמלאה, וביכולת הארגון להקיף את מלוא המשמעויות המשתקפות מתוך אירועי העבר וראיית העתיד לבוא.
מה לכל הרוחות המשפט האחרון אומר?
ראיית אבטחת המידע בארץ ובעולם התאפיינה - ועדיין מתאפיינת בארגונים רבים - בגישה הצרה המנתחת את צרכי האבטחה בארגון באופן נקודתי ובהעדר המוטיב התהליכי.
באופן דומה גם הגישה להמשכיות פעילותו של הארגון בשעת חירום התייחסה אך ורק אל מערכות המידע, והתעלמה לחלוטין מההיבטים וההשלכות של התהליכים הארגוניים והעסקיים.
כיצד העדר הגישה התהליכית פוגם באבטחה?
ארגון הצועד בדרך זו בונה את מעטה האבטחה הארגוני מ"איים" של אבטחה, שחלקם מקושרים ביניהם בקשר רופף כלשהו וחלקם האחר אוטונומיים לחלוטין.
מטבע הדברים שמערך אבטחת מידע אשר מורכב מפאזל של איי אבטחה לוקה בחסר בכל הקשור לרצף האבטחה התהליכי, ויוצר חללים לא מאובטחים במארג האבטחה הארגוני.
באופן דומה גם ההתייחסות להמשך פעילותו של הארגון בשעת חירום מתוך מערכות המידע בלבד ובהעדר ההיבט התהליכי, תיתן מענה לא מלא לשרידותו העסקית של הארגון.
למה הדבר דומה - ל"שועל ולול התרנגולות" !
איכר שהחליט להקים לול תרנגולות הזמין 4 בעלי מקצוע ידועים בתחום אבטחת לולים: מומחה לאבטחת גדרות, מומחה לבקרת שערים, מומחה לטיפול בשריפות ומומחה למערכות טמ"ס.
כל אחד מהמומחים הנ"ל התקין בתחומו את המערך המאובטח/מבוקר ביותר שניתן היה להקים, והאיכר המאושר מיהר למלא את הלול בתרנגולות מקרקרות.
בלילה התעורר האיכר לקול צווחות של התרנגולות, וכשהיגיע אל הלול נוכח בעובדה כי שועל אשר חדר אל הלול עשה שמות בתרנגולות. כיצד אירע המקרה הנורא ?
לאיכר ההמום הסתברה העובדה כי אף אחד מהמומחים שזומנו לא הבחין בנקרה אשר הותקנה מתחת לגדר בפינה, ולנקז את מי הגשמים היא נועדה.
מדוע אף מומחה לא הבחין בנקרה - כי כולם עסקו רק בתחומם ולא ראו את התמונה המלאה !!! האם פקחותו של השועל איתרה את הנקרה - לאו דווקא, השועל אשר היה רעב סקר את כל מערך האבטחה וחיפש את נקודת הכשל אותה הוא מצא בצורה של נקרה.
אז מה המסקנה? אין פתרון טוב לאבטחת המידע -
כלל וכלל לא, הפתרון מצוי בתפיסת נושא אבטחת המידע כמארג כולל אותו יש לנתח מהיבט של התהליך המלא מקצה לקצה (End to End View), ולהשתית את מערך האבטחה והבקרה שיוקם על ניטור מלוא כל הסיכונים והכשלים הקיימים ואיתור מענה הולם לכל אחד מהם.
רק עם השלמת השלב הנ"ל ניתן להזמין את המומחים השונים כדי ש"יתפרו" את הפתרון המקומי שלהם, כאשר התיאום בין חלקי הפתרון השונים ובחינת תפקוד מארג האבטחה והבקרה הכולל מוטל על הגורם/גוף אשר ביצע את מהלך ניתוחו של התהליך המלא.
הגישה הנ"ל נכונה לא רק לגבי תחום אבטחת המידע, אלא גם בתחומי שרידות, המשכיות עסקית, בקרת תהליכים, תכנון מערכי אחסון, ניהול בקרות (Audit), וכיו"ב.
מי הוא אותו גורם שיבצע את הניתוח התהליכי ?
יועצי אבטחת המידע הם הגורם שאמור לעצב את הפתרון הנדרש תוך כדי ניתוח סיכוני האבטחה מהיבט התהליך המלא, והם גם שאמורים לבקר את ההטמעה ובחינת התוצר המוגמר.
דוגמאות.
רכש - בחינת התהליך המלא משלב יצירת הדרישה להזמנת רכש ועד לתשלום החשבונית לספק.
ביטוח - בחינת התהליך המלא משלב הקלדת והפקת הפוליסה ועד לתשלום תביעה של הלקוח.
בנקאות - בחינת התהליך המלא משלב הקלדת הפעולה בסניף ועד ל"הצצת" הלקוח בפעולה זו.
מערכת כלשהי - בחינת התהליך בתוך המערכת, העיבוד, ממשקים, קלט-פלט, בקרות וכיו"ב.
סיכום.
הפתרונות - גם אם נקודתיים - בתחומי אבטחת המידע, המשכיות עסקית, מערכי אחסון וכיו"ב, צריכים להתבסס על ניתוח ואיתור כשלים במסגרת התהליך המלא מקצה לקצה, והטמעתם באופן מבוקר תוך כדי ליווי התהליך כולו במערך של בחינות (Test Plan).
הגורם האמור לבצע את פעולות הניתוח, איתור הכשלים, תכנון המענה, פיקוח ההטמעה ובקרת התוצר המוגמר הינם היועצים, שלהם ראייה כוללת ורחבה ויכולת לבחון את התהליך המלא.
צביקה גורן
Bsc - מתמטיקה, פיסיקה ומחשבים
Msc - ביופיסיקה
משנת 1971 בתחום המחשוב
משנת 1986 בתחום אבטחת המידע
נסיון רב באבטחת מידע בארץ ובחו"ל
כיום:
חברת Secure Horizons LTD
בעלים ויועץ בכיר לאבטחת
מידע והמשכיות עסקית בתחומים:
הוראות תקנים ורגולציות
ניהול ובקרת סיכונים
שרידות והמשכיות עסקית
טל: 03-6321537
פקס: 03-6323967
נייד: 054-3399090
אתר: www.secure-horizons.co.il
Bsc - מתמטיקה, פיסיקה ומחשבים
Msc - ביופיסיקה
משנת 1971 בתחום המחשוב
משנת 1986 בתחום אבטחת המידע
נסיון רב באבטחת מידע בארץ ובחו"ל
כיום:
חברת Secure Horizons LTD
בעלים ויועץ בכיר לאבטחת
מידע והמשכיות עסקית בתחומים:
הוראות תקנים ורגולציות
ניהול ובקרת סיכונים
שרידות והמשכיות עסקית
טל: 03-6321537
פקס: 03-6323967
נייד: 054-3399090
אתר: www.secure-horizons.co.il