מלחמה לנצח

אבטחת מידע כבר אינה אופציה לארגונים - היא הכרח

איתן כספי
שתפו כתבה במיילשתפו כתבה במייל
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקים
איתן כספי

נושא אבטחת המידע קיבל את הכבוד הראוי לו רק כאשר אנשים וחברות החלו מתחברים זה לזה דרך רשת האינטרנט. כל עוד אתה לבד או בתוך קבוצה ידועה ונשלטת, הבעיה פחות בוערת או מציקה (בתלות בתחום עיסוק החברה, כמובן).

פרוטוקול ה-IP הוא כה פתוח, מחורר ונפיץ (תרתי משמע - קל להתרחבות והפצה וגם מסוכן), עד שפעם עלה בי הרעיון שאולי זו קונספירציה של ממשלת ארה"ב, שנועדה לאפשר לה גישה קלה מרחוק למחשבים ברחבי העולם, ואילו היא משתמשת בפרוטוקול תקשורת עלום שיצרה לעצמה.
הילד הרע של הארגון מלבד חברות גדולות, בהן יש מחלקת אבטחת מידע ייעודית, נושא אבטחת המידע נשאר תמיד לסוף בניהול הרשת. תמיד יש דברים בסיסיים ודחופים יותר לטפל בהם, וכיוון שה"סוף" תמיד מתרחק - נושא אבטחת המידע לעולם לא מטופל.

בחברות בהן יש מחלקת אבטחה ייעודית, מחלקה זו היא שקובעת למעשה את הגבולות וכיווני ההתפתחות במערך המחשוב של החברה, כיוון ש"בטיחות קודמת לכל". אם נקצין במקצת את הדיון, הרי שמבחינת מחלקת אבטחת מידע - "שאף אחד לא יעבוד והמערכות יהיו מנותקות זו מזו - זה הכי בטוח".

גישה זו מבטיחה התנגשות תמידית בין מחלקת אבטחת המידע לבין שאר מחלקות המחשוב בארגון, הואיל ולמחלקות אלו יש רצון לקדם טכנולוגיות ולהבטיח את שביעות רצון המשתמשים, תוך מעבר חופשי של מידע בין חלקי הארגון.

נדמה שגם מפתחי התוכנות לא ממש מכניסים למערכת השיקולים שלהם את נושאי אבטחת המידע - לא בצורה יזומה (כגון רשימת משתמשים והרשאות) ולא בצורה עקיפה (טעויות תכנות).

אם לפני עידן הרשתות, באג בתוכנה נחשב לכזה שיצר הודעת שגיאה או קריסה של היישום, הרי שכיום באג יכול לעבור ללא כל התראה בממשק המשתמש, אך הוא פותח פירצה להאקר מיומן.

עיון בעדכוני התוכנה לנושאי אבטחת מידע, שמספקת מיקרוסופט ~10003604-Q~ , יכול לסמר את שערותיו של כל מנהל רשת - כאן יכול משתמש רגיל לקבל הרשאות של מנהל המערכת, שם יש אזור בזכרון המחשב שניתן לנפח עד לקריסת המערכת וכן הלאה.
מלחמה לנצח הבעיה היא שכל הזמן יש צורך לעקוב אחר אתרי היצרנים ולהתקין את התיקונים בכל המחשבים ומתקני התקשורת - עבודה די שוחקת ומסריחה, Pardon my French.

והכי מעצבן - גם זה לא מספיק. כל התיקונים והעדכונים הם לבעיות כלליות, המתקיימות ברמת היצרן ועל פי מיטב ידיעתו.

אך מה קורה אם יש פירצה, אבל איש לא הודיע ליצרן (שבהתאמה גם לא הכין תיקון)? או יותר גרוע - מישהו החליט לפרוץ/להזיק לחברה שלך (או "סתם" ריגול תעשייתי): הוא לא יפתח וירוס או סוס טרויאני שיפיץ את עצמו לכל העולם. הוא "יתפור" כלי פריצה ייעודיים לרשת החברה שלך, וינסה להבטיח שהם לא ייצאו מחוץ לגבולותיה.

במצב זה לעולם לא תגיע הידיעה על נזקים אלה לידיעת יצרני התוכנות, ולחברה שלך לעולם לא יהיה תיקון לבעיה, ורק מזל או באג בכלי הפריצה יחשפו אותם. אם זה קרה למיקרוסופט (החברה אישרה שהפורצים הגיעו עד לחלקים מקוד המקור של מערכות ההפעלה שלה), זה בוודאי יכול להתרחש גם אצלך.

בצד הפילוסופי של העניין, הרי שתחום אבטחת המידע הוסיף הרבה פלפל וריגושים בצד של מנהלי הרשתות. בנוסף לעבודה השוטפת של התקנות, עדכונים ופתרון בעיות, כעת אנו גם "משחקים" ב"טובים ורעים" ומגינים על ה"בית" שלנו - על המערכות שהקמנו בעמל רב.

מנהל הרשת הוא בעל ההרשאות החזקות ביותר בארגון, ועל כן, על פי רוב, כל המידע פרוש בפניו (אלא אם מערכות מסוימות מנוהלות על ידי אחרים וקיים מידור. במקרה זה אין אדם אחד שרואה את כל התמונה, אולם כל מנהל רואה את כל התמונה בתחום שלו).

בשל כך, חשוב שלמנהלי מערכות המידע יהיה אמון רב במנהל הרשת ובאמינותו, ובהחלט גם רצוי שהוא יזדהה עם הארגון וירגיש בו טוב (כן, תנו לו העלאה במשכורת!) - כי כך הוא גם יגן על הארגון בצורה טובה יותר.
בקרת נזקים אחת הפעולות הראשונות באבטחת מידע היא הערכת סיכונים (Security Assessment), המגלה בעיות במבנה הרשת, במערכות ההפעלה של השרתים וביישומים מרכזיים. בעקבות פעילות זו מתבצעת סתימת פרצות או הקשחה (Hardening), שהיא פעולה הממפה את בעיות האבטחה בשרתים ובמתקני תקשורת, וממליצה על העדכונים שיש להחיל ועל הפעולות שיש לבצע.

פעילות ההקשחה יכולה להתבצע ע"י אדם או ע"י תוכנה. מניסיוני עדיפה תוכנה.

במקום עבודתי נעשו שני נסיונות לבצע הקשחה על ידי חברת אבטחת מידע, מהידועות בישראל, ושני הנסיונות נגמרו בעוגמת נפש. לשני הצדדים.

בשני המקרים ניכר היה כי האנשים שהוכשרו לביצוע העבודות (למעט האחראי עליהם, שביצע רק חלק קטן מהעבודה), היו ללא ניסיון משמעותי בעבודת סיסטם, והם עברו הכשרה ייעודית לתחום, וזהו.

- יש סיסטם בלי אבטחת מידע, אבל אין אבטחת מידע בלי סיסטם. אבטחת מידע היא הליכה במשעולים הנסתרים והאפלים של הסיסטם, לאחר שהעובד כבר מכיר בעל פה את הפעולות המרכזיות והמשניות בתחומי החומרה, התוכנה והתקשורת.

בשני המקרים נפגעה הפעילות השוטפת של אחד השרתים, ובכל פעם בדיוק באותו השרת ובאותה הנקודה - בגלל בעיה שיצרו ה"מקשיחים", עקב הגדרות גורפות ושגויות.
תחושת הביטחון - אשליה בשל ניסיון מר זה החלטנו לתת לתוכנה לבצע את העבודה, ורכשנו את Internet Scanner של ISS. אין מה להגיד - תוכנה מאוד יקרה, אבל אושר גדול.

לחברה יש צוות של אנשי אבטחת מידע, שאוספים ובוחנים מידע על פרצות מכל היצרנים ומרחבי הרשת. פרצות אלו מוזנות לתוך מסד נתונים, המזין בתורו את "מנוע" התוכנה שמפעיל התקפות כנגד פרצות אלו וגם מדווח על חולשות קונפיגורציה. הייתי קורא לזה "ההאקר לשירותך".

מי שרוכש מנוי עדכונים, מקבל פעם במספר חודשים עדכון של מסד הנתונים, כדי להתגונן בפני בעיות חדשות שהתגלו.
להקשחה על ידי תוכנה יש מספר יתרונות:

1. התוכנה נשארת אצלך באופן קבוע, לשימוש לא מוגבל. יש צורך לבצע סריקות לאחר קבלת עדכונים ובאופן תקופתי, הואיל ומתקנים ברשת עוברים שינויים תכופים.

2. התוכנה מבצעת את הבדיקות בצורה מדויקת ועקבית.

3. התוכנה מתעדכנת (בתשלום של מנוי שנתי), לאחר שנעשו בדיקות על ידי צוות מומחים.

4. התוכנה אינה אדם שמקבל גישה רחבה למערכות החברה, ואח"כ הידע על המערכות ממשיך איתו לכל מקום בו יעבוד. נכון, יש הסכמי סודיות, אבל...

5. התוכנה שומרת היסטוריה מתועדת ומסודרת של ממצאיה.

ככל שאני עוסק יותר בנושאי אבטחת מידע, כך אני מבין יותר עד כמה הדברים מסובכים באמת, כמה נסתר מהעין ועד כמה תחושת הביטחון היא רק אשליה של שכנוע עצמי.

איתן כספי הוא מנהל רשת ומחשבים בבנק למשכנתאות. הכותב או החברה שבה הוא עובד קונים ומוכרים לעתים ניירות ערך המוזכרים בטור זה. המידע המובא בטור אינו מהווה בשום אופן המלצה לרכוש או למכור מניות.

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר TheMarker