איציק כוכב, שירותי בריאות כללית: "אבטחת המידע הקלאסית פשטה את הרגל וקרסה"

"הזמנים השתנו: אבטחת המידע הקלאסית, שלאורה גדלנו ואותה מימשנו שנים רבות, פשטה את הרגל וקרסה", כך אמר איציק כוכב, ממונה הגנת מידע בשירותי בריאות כללית.

כוכב דיבר אתמול (ד') במפגש פורום CISO, מנהלי אבטחת מידע של אנשים ומחשבים. את המפגש הנחה יו"ר ועדת ההיגוי של הפורום, אבי ויסמן, מנכ"ל שיא סקיוריטי.

"הארגונים טובעים במידע, בתקשורת ובמערכות", אמר כוכב. "אבטחת המידע בתפיסה הנוכחית, עם הטכנולוגיות הקיימות ועם המורכבות האנושית, בארגונים בעולם כולו – קרסה". הוא תיאר את המושג "נתיב המידע" אותו טבע, המתאר את הדרך בה נתונים אודות לקוחות עוברים בארגונים. בהקשר של שירותי בריאות כללית, אמר, "המונח מקבל משמעות עצומה בחישוב ובניהול הסיכונים הארגוני, בהקשר של המידע כנכס והמידע כגורם מעיק".

"נתיב המידע", אמר, "גורם לכך כי בפוטנציה, כמות עצומה של אנשים נחשפת למידע על המטופל". מסקנות אלה, אשר נתמכות גם על ידי מה פעילויות ארגוני ביון, ונתמכות בקושי העצום שקיים לבצע חקיקה ואכיפה של חוקי הגנת הפרטיות, הובילה את כוכב לתפיסה שונה מהמקובל עד כה: את המשולש המסורתי, שכל מנהל אבטחת מידע מתחנך עליה, הוא החליף במשולש שונה.

"אנחנו מלמדים כל מנהל אבטחת מידע ארגוני להגן בחירוף נפש על אמינות, סודיות וזמינות", אמר כוכב, והחליף את המילה "זמינות". לדבריו, "עתה ניתן לייצר מחדש אבטחת מידע במקום ההיא שקרסה, על ידי המשולש – אמינות, סודיות ובקרה".

המשמעות, לטענתו, "היא בכך שהדגש הדרמטי הוא על הצפנה של כל מידע שעומד או זז ברשת. אפשר להתחיל בהצפנת מידע הרגיש ביותר, ולאחר מכן – לעלות בדרגת החלת ההצפנה. כיום, בטכנולוגיות הקיימות, ההצפנה אינה כל כך יקרה ובלתי אפשרית, וכמעט שאינה משפיעה על הביצועים, ולכן היא נעשתה אפשרית, הכרחית, ולמעשה – תנאי לאבטחת מידע, במקום זו שקרסה".

לדבריו, האלמנטים אותם יש להצפין הם: בסיס נתונים (רק מידע רגיש הקיים בו), תקשורת, דואר אלקטרוני, וכן מידע בציוד נתיק. הוא שירטט את מודל הכוכב להגנה על המידע: הצפנה, מדיניות (מדיניות הגנה על המידע ומדיניות כלל ארגונית), פיתוח מאובטח, אותנתיקציה חזקה וידידותית ובקרה.

בדרך זו, סיכם כוכב, "ניתן היה להתמודד עם השינויים שחלו בעולם הטכנולוגי, ועם האיומים החדשים הקיימים".