"ועכשיו קצת על אבטחת מידע". המשפט הזה נשמע יותר ויותר בתחומים שונים בעולם ההיי-טק ולא רק, לטובה או לרעה. אסביר את עצמי – מחד המודעות לנושא בהחלט עלתה בשנים האחרונות בעולם וגם בישראל. מאידך, זה מצביע על כך שהיחס לרוב נשאר ברמת ה- checkbox. למה זה קורה ואיך אנחנו כאנשי אבטחת מידע יכולים לשפר את המצב?
אבטחת מידע בישראל
סביר להניח שהמציאות השיגה את הארץ לפני כשבע שנים, אז החברות הגדולות התחילו לכלול את פרק אבטחת המידע בניהול הפרויקטים ברמת החובה והנושא התחיל לחלחל גם למודעות של העסקים הקטנים. אתרי מכירות למיניהם, אשר נראים כאילו נכתבו על ידי תלמיד כיתה ט', שפעלו HTTPS והוסיפו משפט על "הצפנת" התוכן בתקנון על מנת לכסות את הטוכעס. אל תבינו אותי לא נכון, הנושא היה קיים גם קודם – לדוגמה, האיגוד הישראל לביקורת ואבטחת מערכות המידע הוקם עוד באזור שנת האלפיים. אבל האם כבר אז נתנו את המשמעות הנדרשת לעניין האבטחה? לפי דעתי – ברוב המקרים לא.
אבטחת מידע בארגון
תעצרו לרגע ותחשבו, האם רמת האבטחה בארגון שלכם מספקת בקטגוריות הבאות?
- אבטחה פיזית (שומר, בקרת כניסה, חדר שרתים נעול);
- אבטחת התשתיות (מידור רשתי, ניהול משתמשים והרשאות, patch management וכדומה);
- אבטחת הפרויקט (בין אם ברמת הקוד או ברמת דליפת המידע).
אם התשובה היא "כן" בכל הסעיפים – מזל טוב, אשמח אם תשתפו בתגובות את סיפור ההצלחה של החברה שלכם או בה אתם עובדים. בינתיים אנסה לפרק לגורמים את הסיבות לרמת אבטחה נמוכה:
- שפה משותפת עם ההנהלה;
- הכשרת עובדים;
- הכשרת משתמשים.
1. מה עושים אם המנהלים מתקדמים אל עבר המוצב?
"מה שעשינו ב- 48'", ויקטור היה עונה והיה צודק לגמרי. הגישה שלנו לתקשורת עם הדרג הניהולי דיי לא השתנתה מאז… ומעולם. לצורך הדיוק, אני מדבר על חברות קלאסיות בעלות מבנה היררכי ברור ואשר אינן עובדות במתודולוגיות עבודה וניהול פרויקטים בצורת agile כמו Scrum. הבעיה, כפי שאני רואה אותה, אינה להפנים לדרג הניהולי שאבטחת מידע זה חשוב. לא, את השלב הזה כבר עברנו. האתגר הוא לגרום לכך שכל האספקטים יקבלו את צומת הלב הנדרשת. זה מצוין שנדרש במפורש במסמך אפיון שהמערכת תהיה חסינה ל- XSS. אבל מה עם להתקין איזה מנעול קטן בחדר השרתים? או לשלוח את העובדים לחצי יום הכשרה בנושא הנדסה חברתית? או, אולי, להגיד ל- sysadmin לסדר סוף-סוף את תשתית ניהול ההרשאות למערכות בארגון?
בעיה נוספת בה נתקלתי המון היא חוסר יעילות בהצגת פערי אבטחה במסמכים. נכנסה מערכת חדשה (או ביקרנו ישנה), בדקנו אותה, כתבנו מסמך סיכום ושלחנו למעלה בתקווה שישמעו את הזעקה שלנו על כך שלשמור connection string בצורה גלויה בשרת זה לא בסדר. במקרה הטוב יגידו לפרויקט "נו-נו-נו, אבל בסדר, לא נגיד לאף אחד".
- צריך להציג נכון את פערי אבטחת המידע להנהלה;
- שינוי תפיסה בכתיבת מסמכים ודו"חות.
הנה דוגמה לשינוי תפיסה בכתיבת מסמך שלמדתי מיניב בלמס, מומחה בתחום אבטחת מידע. המחקרים אומרים שכ- 70% מפרויקטי תוכנה נכשלים בצורה כזו או אחרת. אבל זה לא אומר שמישהו אוהב כשאומרים לו במפורש שהפרויקט נכשל, אפילו בתחום מאוד מסוים. השינוי מאוד פשוט – לתת ציון לכל נושא אבטחתי בפרויקט (הזדהות, הרשאות, הצפנה וכו') ועל פי זה לקבוע האם הפרויקט הצליח או נכשל מבחינה אבטחתית. אם נכשל, את פסק הדין יש לרשום בגופן בגודל 72 בצבע אדום מזעזע. טוב, הגזמתי, אבל הבנתם את הרעיון. עד עכשיו השיטה הראתה את עצמה מעולה! "מה נכשל?!", צעקו הנציגים של הפרויקט ומיהרו לזמן דיון נוסף על מנת לסגור את הפערים.
לא המצאתי את הגלגל מחדש. מזמן חוברו מלא שיטות, נכתבו טונות של ספרים וג'יגות של כתבות באינטרנט על תקשורת יעילה עם ההנהלה. אז מה עשינו ב- 48'? "שלושים שנה, לך תזכור"!
2. עמית לעמית זאב
אם המנהלים לפחות מבינים את הצורך באבטחה, עמיתינו מצוותים אחרים (שותפים עסקיים, מנהלי הפרויקטים) רואים את אנשי אבטחת מידע לרוב כמכשול שחייבים לעבור על מנת להגיע ליעד.
פה יש פרדוקס מעניין. אם נתבונן בעולם האבטחה שמחוץ לתחום התוכנה, נראה כי האנשים מקבלים בסבלנות ובהבנה את הצורך בגורמים אלו. לדוגמה – מנעול על הדלת לדירה, אזעקה ברכב, אבטחה בשדה תעופה, קוד אישי לכרטיס האשראי וכדומה. בישראל המצב עוד יותר טוב (מבחינת המודעות ולא הנסיבות, לצערי). הרי אף אחד לא מתלונן על כך שנמצא שומר בכניסה לכל מקום ציבורי ומחטט בתיק ושהחיילים מסתובבים עם נשק ברחובות.
אז למה כשמדובר על ביטחון המערכת, אנחנו מקבלים מבטים עגומים? אין לי יותר מדי מה לומר בנושא, חוץ משלוש מילים – הכשרה, הכשרה, הכשרה.
3. הלקוח תמיד צודק
נעבור עתה למשתמשים שלנו. הכוונה למשתמשים כעובדים של הארגון ולא ללקוחות של מוצר החברה. לפני שאמשיך, ברצוני להעלות מחקר מעניין שבוצע בשנת 1998 ע"י החוקרים יאן בנווי ודייויד ליין בנושא שימושיות באינטרנט. במהלך המחקר גילו החוקרים כי הגולשים נוטים להתעלם לגמרי מבאנרים פרסומיים, לא משנה מה גודלם, צבעם או מיקומם. מחקרים רבים דומים לזה בוצעו בעשור האחרון והם כללו טכנולוגיות מתקדמות, כמו מעקב אחר העין ורישום גלי המוח, אבל כולם הגיעו לאותה מסקנה. תופעה זו נקראת עיוורון הבאנרים (banner blindness) ואנחנו יכולים להחיל תוצאות מחקרים אלו בתחום אבטחת המידע.
אם נחליף את המילה "באנר" ב- "אזהרת אבטחה" או "נוהל שינוי סיסמה" נגיע לאותם התוצאות. המשתמשים למדו עם הזמן להתעלם מהזהרות (“כמובן שאני רוצה להמשיך לגלוש באתר”) והסתגלו למדיניות אבטחת המידע הנכפית עליהם (“פשוט אגדיל את המספר בסוף הסיסמה באחד”).
תתארו את המצב הבא: החלטתם להעלות את רמת האבטחה בחברה ולממש הזדהות חזקה. הנפקתם כרטיסים חכמים לכל עובד וההנהלה ישנה עם ראש שקט, הרי עכשיו אין סיסמאות שאפשר לגנוב. בטוח הטכנולוגיה הזו עם השם המסובך two-factor authentication שווה את המאה אלף שהשקענו בה. אבל כמו שנאמר בסרט "פארק היורה" – "life will find a way" ועכשיו במקום לשתף סיסמה למשתמש "זונה", משתפים את ה- PIN ואת הכרטיס בלי לחשוב פעמיים.
אין בכוונת המשורר כי יש לבטל את השיטות הישנות. הקפידו על מדיניות סיסמאות ותנפיקו כרטיסים חכמים. השלב הזה נהיה כבר ברירת מחדל ועבר לאוטומציה מלאה. אבל הפער הגדול הוא הכשרת המשתמשים, פער שניתן לסגור בעלות נמוכה עם תועלת מאוד גבוהה.
- תעבירו ימי עיון פנימיים בנושאי אבטחת המידע בכלל ובארגון שלכם בפרט;
- תשלחו מיילים על סכנות ההנדסה החברתית;
- אל תהססו לשלוח את העובדים לכנס או קורס מקצועי;
- תעשו מספר הדגמות חיות של גניבת זהות – עובד מצויין!
אם אסד היה מקשיב טוב בהדרכות, לא היו פורצים למייל שלו.
לסיכום
99% מאובטח זה 100% פרוץ – משפט נהדר ששמעתי מאלעד שפירא. מצב האבטחה בשוק נמצא במצב מעניין – מצד אחד רמת האבטחה בהחלט עלתה, מצד שני כמות הטכנולוגיה החדשה, אותה אנו חייבים לאבטח, גדלה באופן אקספוננציאלי. תסתגל או תמות תהיה פרוץ.