אבטחת המידע: הגיע הזמן לחזור למקורות

פסח מתקרב אלינו בצעדי ענק ומחר (ב') נסב לשולחן הסדר ונקרא על ההשתחררות של בני ישראל מהעבדות במצרים לחרות. גם כיום יש דברים שאנחנו רוצים להשתחרר מהם – הסייבר, למשל.

אלא שרצון לחוד ומציאות לחוד. מתקפות הסייבר וכתוצאה מכך ההיערכות להן יישארו אתנו עוד הרבה זמן ולא יזוזו מסדר היום של המנמ"רים ומנהלי אבטחת המידע. קיבלנו לכך תזכורת לפני כמה ימים, עם המתקפה של אנשי אנונימוס (Anonymous), גם אם היא כמעט שלא גרמה נזקים. על פי ההיגיון הזה ניתן להניח שני דברים: שהשוק הארגוני ערוך למתקפת סייבר ושהסייבר עומד בראש סדר היום של מנהלי האבטחה.

מומחי אבטחה וסייבר שהתכנסו באחרונה בבית אנשים ומחשבים לקראת כנס Infosec 2014 ביקשו לעשות סדר בנושא זה. ראשית, הם ציינו שההיסטריה סביב ההיערכות לסייבר הייתה מוגזמת לחלוטין. כמקובל במקומותינו, האשימו חלק מהדוברים את התקשורת בכך שהיא מלבה את ההיסטריה ולמעשה משתפת פעולה עם אותם ארגונים, שלצורך העניין נכנה אותם ארגוני טרור קיברנטי. גם על המונח הזה היו לחלק ממשתתפי הפגישה השגות. עוד הם טענו שהסייבר לא היה ולא יהיה הנושא המרכזי על סדר יומם של המנמ"ר ומנהל האבטחה. לא מאחר שהם מזלזלים בתחום אלא מפני שאין להם זמן. את מרבית זמנו משקיע מנהל אבטחת המידע בביורוקרטיה. את החלק האחר של זמנו, אם הוא עובד בגוף שנתון לפיקוח, הוא משקיע כדי לשרת את הרגולטור, וזו עבודה שיכולה לספק משרות למאות אנשים לפעמים. בסוף, אחרי שנותר לו משהו כמו 5% מהזמן, הוא מתפנה לעסוק באיומים האסטרטגיים.

משתתפי הדיון לא רואים בזה אסון גדול, כי לדעתם, ההיסטריה סביב הסייבר אולי שיפרה במעט את ההיערכות הארגונית למתקפות קיברנטיות, אבל היא טומנת בחובה סכנה גדולה: זניחת הטיפול בדברים החשובים באמת. האיומים הקיברנטיים האמיתיים על מדינת ישראל הם לא מתקפות DDoS ואפילו לא פריצות למאגרי מידע רגישים, אלא פגיעה בתשתיות, למשל מים, חשמל ורמזורים, במפעלי ייצור ביטחוניים, במרכזים לוגיסטיים של יצרני מזון וחומרי גלם, ועוד.

על כך אמונים אמנם הגופים הרלוונטיים במדינת ישראל, אלא שגם הארגונים צריכים לתת את דעתם על כך. ברמת הארגון קראו משתתפי הדיון "לחזור לבייסיק", לשוב ולהתייחס לנושא של אבטחת המידע כפי שנהגו להתייחס אליו במשך שנים. הכוונה היא לחפש דרכים להגן על מערכות הליבה של הארגון, לתת מענה לאיומים הולכים וגוברים של מתקפות על הרכיבים הניידים שנמצאים אצל המנהלים והעובדים. אלה חשופים לאיומים ידועים ולא ידועים. מנהל אבטחת המידע מזיע באמצע הלילה, רק מהמחשבות מה יכול לקרות לטלפון של המנכ"ל אם יאבד או מישהו יפרוץ אליו.

יש עוד הרבה מה לעשות בתוך הארגונים. אם תשאלו את מנהלי אבטחת המידע, בזמן המעט שנותר להם לחשוב על הדברים הבאים, ההגנה על רכיבים ועל מקורות מידע שזורמים מחוץ לארגון הרבה יותר מדאיגה אותם מהסייבר.

עניין של סמנטיקה
פן מעניין נוסף שעלה בדיון מצוי בשדה הסמנטי. הדיבור הרווח הוא על תקיפה, על איום שלכאורה אין מה לעשות נגדו. במקום זאת, כך המשתתפים, צריך לדבר על הגנה אקטיבית, על פעולות שינטרלו מראש את האפשרות של פגיעת סייבר. זה שיח אחר, ששייך לעולם האמיתי והישן של מנהלי האבטחה.

אם כן, החג הזה יכול להיות קו פרשת המים שממנו והלאה ימשיכו מנהלי האבטחה להיערך לסייבר, אבל בפרופורציות הנכונות, ובמקביל יחזרו למקורות, לשורשים שעליהם מושתתת תורת האבטחה הארגונית. ובפעם הבאה שמישהו ישמיע איומי מתקפת סייבר, יעשה כל אחד את הנדרש מלבד דבר אחד: לזרוע היסטריה ופחד.

חג שמח