חורים באבטחה

אירועי הסייבר האחרונים העמידו את עולם אבטחת המידע בפני מציאות חדשה. מרבית החברות ומנהלי אבטחת המידע, כך נראה, נתפסו עם המכנסיים למטה בהתמודדותם עם התקפות טרור הקיברנטיות. הסיבה לכך נעוצה הן בחסך בטכנולוגיה מתאימה – כזו המסוגלת להתמודד עם האיומים החדשים, והן בגלל חוסר הערנות של מנהלי האבטחה. הם, מצדם, היו שקועים עמוק בתפישות עולם ובנהלי עבודה של כללי האבטחה שחלף זמנם מן העולם. תמיכה לכך קיבלנו השבוע בדבריו של אדי שוורץ, מנהל אבטחת מידע של RSA – זרוע האבטחה של ענקית האחסון EMC.

שוורץ נגע בליבת נושא אבטחת המידע: היעדר פרדיגמה חדשה, והיעדר ניסיון לאמץ פתרונות מחוץ לקופסה. כך, נוצרו שני עולמות מקבילים: מצד אחד, המשתמשים – מנהלי האבטחה, ומנגד חברות הטכנולוגיה, אשר מנסות למצוא פתרונות לאיומים העכשוויים דוגמת הסייבר. בהיעדר פתרונות הנראים לעין, מעדיפים הארגונים להישאר במצב הקיים, ולהמשיך להגן על חומות אש, שרתים פיזיים ופרצות – בעוד הם מזניחים שערי הכניסה והיציאה של הפעילות העסקית בארגון. טרנד המובייל, לדוגמה, מספק חומר למחשבה עבור מנהלי מערכות המידע, אולם רק אחוזים בודדים מהם יעידו שהנושא נמצא בראש סדר העדיפויות שלהם. בדומה לתחומים אחרים, גם כאן לא מדובר רק בטכנולוגיה, כי אם בנהלים, בתהליכים ובחשיבה רחבה שיודעת לצפות היכן נמצאים האיומים וכיצד מתגוננים מפניהם.

אולם, המילה החמה כיום היא סייבר. במקומות רבים כבר הפסיקו לדבר על אבטחה, ואימצו בחום את מילת הקסם; אמרת סייבר – נכנסת לליגה הבכירה של יודעי דבר, כאלו העוסקים בעניינים ברומו של עולם. נוצרה תחושה, כי לארגונים אין שום אתגרי אבטחה מלבד התמודדות עם הסייבר.

בפועל, המציאות היא הרבה יותר מורכבת. נכון, ישנם איומי סייבר, אך המניע שלהם הוא פוליטי, ובחלק מן המקרים אף כלכלי. עם זאת, לאדם מן הישוב אין הרבה אפשרויות להתגונן מפני הסייבר. כך, אלו שנושאים באחריות של מנהל אבטחת מידע, יכולים וצריכים לעשות שורה של פעולות שלא קשורות בהכרח לסייבר. הן קשורות למדיניות אבטחה, כזו שמהדקת תהליכים עסקיים, ולא מאפשרת לכל האקר מתחיל לפרוץ למערכות המחשבים של חברות האשראי ולדלות משם פרטים חיוניים.

בחזרה לסייבר. ההתמודדות עם איומים אלו צריכה לחזק גם את הטיפול בתפישת ההיערכות לשעת חירום. זהו חור שחור שקיים בכל ארגון, קטן כגדול. כל אחד מהקוראים מוזמן לעשות סקר פרטי בקרב עמיתיו, רק כדי לגלות כי לא נעשו תרגילי חירום, ולא רעננו את נהלי החירום מזה שנים. שכן, גם אם ישנם אתרי חירום והסכמים עם ספקים המיועדים לשעת הצורך, לא בטוח כלל ארגונים רבים ניסו זאת בפועל. כמה מהם השביתו את העבודה ליום עסקים, ועברו לעבוד במתקני גיבוי כאילו אין רשתות ואין שרתים? מהר מאד תגלו, כי לא רק הארגון שלכם נמצא בסירה הזו. צרת רבים חצי נחמה, אך הדבר לא יועיל לאף אחד מכם ברגע האמת. ובישראל, ברוך השם, לא צריך להמתין לטיל, לרעידת אדמה או למתקפת סייבר כדי לשבש את שגרת החיים.

השורה התחתונה: מנהלי האבטחה, בדומה למנהלי הארגונים, יושבי-הראש וחברי דירקטוריונים, צריכים לעצור לרגע, לפתוח את החלונות האטומים ולהבין היטב את המציאות החדשה. יתרה מכך: עליהם להפנים את המציאות, כך שיתעשתו ויבינו בהקדם, כי עליהם להתחיל לפעול במקביל להתפתחות הטכנולוגיה.

מתעניינים באבטחת מידע? הירשמו ל-InfoSec 2012 – ועידת האבטחה הבינלאומית הגדולה בישראל, בהפקת אנשים ומחשבים