באיזה סרט חיים מנהלי אבטחת המידע?
הפער העצום שהתגלה במחקר שפורסם השבוע בין התפיסה של מנהלי אבטחת המידע במציאות חייב להעיר אותם - ומהר ● וגם: הקמת רשות הסייבר היא צעד חשוב בטיפול בפערים שקיימים בתחום בין המגזר הביטחוני לסקטור הפרטי
ענקית אבטחת המידע סיסקו (Cisco) פרסמה השבוע דו"ח ממנו עולה כי קיים פער עצום בין תפיסת אבטחת הסייבר למציאות בארגונים. כלומר, מרבית מנהלי אבטחת המידע משלים את עצמם שהארגון שלהם מוגן מפני מתקפות, בעוד שעל פי המחקר של סיסקו, המציאות שונה לגמרי. במילים אחרות, מנהלי האבטחה חיים בסרט על פי תסריט שלא ברור מהיכן המציאו אותו, והם מאמצים אותו ובכך מסכנים את הארגונים שלהם.
עיקר הבעיה, על פי סיסקו, היא לא רק בקונספציה השגויה של מנהלי האבטחה אלא גם בעובדה שהצד השני נעשה מתוחכם. ההאקרים גילו את הפערים שקיימים בין המציאות לבין מה שמנהלי האבטחה סבורים ומבצעים מתקפות בהתאם לכך. דומה הדבר לגבול פיזי שיש בו פרצות, איש לא סותם אותו והאויב מזהה זאת מיד. בנוסף, החוקרים כתבו שהתוקפים הנמיכו פרופיל ועוברים למתקפות חכמות ושקטות, שאורכות אולי יותר זמן אבל הן הרבה יותר משמעותיות.
לסיסקו, כמו לרבים אחרים, אין הסבר לתופעה זו, שאינה חדשה וקיימת כמובן גם בשוק הישראלי. אפשר להיאחז בנימוקים פסיכולוגיים, כמו שאנשי סיסקו מסבירים בדו"ח ש-"זהו טבע האדם". אלא שכבר בשיעור ראשון באבטחת מידע לומדים כי כדי להילחם בפריצות ולהגן על הארגון צריך לעשות הרבה דברים שהם נגד טבע האדם וההיגיון, במטרה לסכל מחשבות של הצד השני.
במקורות שלנו כתוב: "בתחבולות תעשה לך מלחמה". בעולם אבטחת המידע, התחבולות שייכות בינתיים לצד התוקף ואילו הצד המותקף עדיין מבוצר מאחורי חומות האש שלו, הגנה פיזית ו-וירטואלית של השרתים והתשתיות. רבים ממנהלי האבטחה לא מפנימים את הסיכונים החדשים שקיימים בארגון, שבאים ממקורות חיצוניים, מאותם רכיבים ניידים שנמצאים אצל מרבית המנהלים והעובדים. הטלפון החכם הוא המחשב האישי החדש ודרכו מבצעים העובדים את המשימות שלהם במשרד או מחוצה לו, בארץ או בחו"ל.
ההגנה על הרשת מפני סיכוני המובייל שונה לגמרי מההגנה הפיזית אליה מורגלים מרבית מנהלי האבטחה. זו הסיבה ש-59% מהם השיבו לסקר של סיסקו שאצלם הכול בסדר. הם יכולים לומר זאת כי כנראה שלמזלם, הם לא חוו תקיפה אלימה מכל סוג שהוא ולא היו צריכים להסביר לדרג הניהולי כיצד זה קרה. הם גם יכולים לקבל גיבוי עקיף, כי אם יש כבר מנהלי אבטחה שמודעים לנושא, פניות שלהם להנהלה לקבל עוד משאבים כדי לעמוד במשימה זו נדחות מיד. אם הגבול שקט ולא רואים את האויב בטווח הנראה לעין, מדוע להשקיע?
גם חברות האבטחה המסורתיות לא פטורות מאחריות למציאות זו. הן, שעובדות בצמוד עם הארגונים ובמשך שנים פמפמו להם את הפתרונות המסורתיים, מתקשות כיום לייצר פתרונות חדשניים ויעילים מפני התקפות מהדור החדש.
ניר צוק, המייסד וסמנכ"ל הטכנולוגיות של פאלו אלטו. צילום: קובי קנטור
ניר צוק, המייסד וסמנכ"ל הטכנולוגיות של פאלו אלטו (Palo Alto), הופיע השבוע בפני פורום הקצינים הבכירים C5I מבית אנשים ומחשבים ואף העניק לנו ראיון בלעדי. הוא אמר שחברות האנטי וירוס, מבלי לנקוב בשמן, הן דינוזאוריות שלא מספקות את הסחורה למנהלי האבטחה. צוק, שבדרך כלל מתבל בנאומיו התקפות עסיסיות על יריבתו, צ'ק פוינט (שבעבר היה מועסק בה), התאפק הפעם, ודיבר על עולם האבטחה בכלל. גם הוא, כמו החוקרים של סיסקו, אמר כי המתקפות על מחשבי הארגונים היו מאז ומעולם, ומה שהשתנה הוא הטכניקה, האופי של התוקפים. בניגוד לעבר, אז הם לקחו אחריות על כל פריצה קטנה לשרת דואר ארגוני, כיום הם פועלים בשקט ובזהירות. גם היעדים השתנו, על פי צוק: בעוד שפעם הם תקפו הרבה מאוד מחשבים בבת אחת, כיום הם מכוונים לדטה סנטר אחד גדול וגורמים לנזקים חמורים. גם כאן מנהלי האבטחה האמונים על שמירת מתקנים אלה חיים בתוך תסריט שהם אימצו, ושמחים לקום בכל בוקר ולהיווכח שאף אחד לא קלקל להם את ההצגה.
רשות סייבר חדשה
הממשלה אמורה לדון בקרוב בהקמת רשות סייבר חדשה, שתפעל במקביל למטה הסייבר הקיברנטי. השמות והכיבודים פחות מעניינים, מה שמעניין הוא מה יהיו תפקידיה של הרשות וכיצד היא תועיל לנו.
על פי ההסברים, הרשות תתמקד בהגברת אבטחת המידע במגזר האזרחי. זהו תפקיד חשוב ומתבקש שמשום מה לא הוגדר עד היום לאף גוף אחר. בישראל, במציאות הביטחונית הפוליטית המיוחדת שלה, יש פער ענק בין מערכות הגנה והסייבר הצבאיים והביטחוניים למערכות האבטחה בשוק האזרחי. הטיפול בפערים אלה אינו פשוט ולא ייפתר כמובן רק על ידי הקמת מסגרת ארגונית, אבל הקמת המסגרת הזו היא צעד חשוב.
עוד לפני שהרשות החלה לפעול, כבר נמצאו מספר גורמים שמנסים לשמור בקנאות על הפרטיות של כולנו גם בעידן הקיברנטי. הם טוענים כי החוק נוסח בצורה קצת רשלנית, מאחר שלא הושמו בו גבולות ברורים היכן הרשות צריכה להפקיע את זכויות הפרט והיכן אסור לה.
זכויות הפרט, לצורך העניין, הן קודם כל על המידע האישי שלו, מידע רב שמצוי בארגונים. אף ארגון עסקי לא רצה עד היום, ובוודאי לא יסכים בעתיד, שבמועצת המנהלים שלו ישבו נציגים של רשות ממשלתית שאוכפת נהלי אבטחה ויש לה גישה למידע רגיש. וגם אם הנציגים לא יושבים שם, יש את חובת הדיווח הרגוליטורי, שעלולה ליצור קונפליקטים שעניינם נוגע לעקרונות המדינה הדמוקרטית: חופש העיסוק והפרטיות.
אלא שגם אם סוגיות אלה ייפתרו, עדיין קיים הצורך להעיר את המגזר העסקי מהתרדמה אליה נקלע בכל מה שקשור לאבטחת סייבר – ויפה שעה אחת קודם.
הם חיים בסרט בו חלקם הלא קטן מרוויח הרבה, ואילו הם ישנים בעמידה.