לקראת אירוע | אבטחת מידע – ככה עושים עסקים היום
מאת צורי תמם, מהנדס PreSale בכיר, F5 ישראל
קשה לדמיין את עולמנו ללא אבטחת מידע. אנו מוקפים במנגנונים שכל ייעודם הוא לשמור ולהגביר את אבטחת המידע ומחונכים לחשוב בצורה מאובטחת, גם אם לעיתים משתמשים בסיסמה קלה לניחוש – הרי לא נקנה באתר שלא דורש הזדהות, לפחות שם משתמש וסיסמה, לפני שהוא מאפשר לנו לבצע רכישה. לא נפקיד קורות חיים, תיק רפואי, פרופיל ברשת חברתית, אוסף תמונות, אימיילים או כל פרט אחר מחיינו ללא הידיעה שהאמון שאנחנו נותנים בגורם שמבקש את אותו המידע הוא אמון מוצדק. אנחנו מורגלים באמצעי אבטחת מידע כי הם הגיוניים. הם מאפשרים לנו לחיות את חיינו, המתנהלים בעולם דיגיטלי, בצורה שמאפשרת לנו לסמוך על אנשים שאנחנו לא מכירים, לעיתים גם עם הכמוסים שבסודותינו.
כשנביט בעולם מכיוון נותני השירות, נופתע לגלות שדווקא שם אנו נכשלים. דווקא שם אנחנו בוחרים שוב ושוב במתן שירות על פני אבטחת המידע שהפקידו בידינו המשתמשים בשירותינו. בכל פעם שתצטרך ליפול החלטה שמצידה האחד אבטחת מידע טובה יותר, ומצידה השני נוחות השימוש לצרכנים, ברוב המוחלט של המקרים נעדיף "להחליש את מנגנון ההזדהות", "לבטל את ה-CAPTCHA", "לכבות את ה-WAF" או כל החלטה אחרת שעלולה להפר את האמון שיש ללקוחות שלנו ביכולתנו להגן עליהם.
קשה להאשים מישהו במצב בו אבטחת מידע הפכה להיות מחסום לעסקים. עוד שלב בזיהוי המשתמש, עוד מורכבות בסיסמא, עוד אמצעי הזדהות ועוד מנגנונים שעלולים לחסום משתמשים לגיטימיים מלהשתמש בשירותים – כולם עומדים בסתירה מוחלטת לעצם קיומם – זמינות. מנגנוני אבטחת מידע כבר מזמן איבדו את ה-A ב-"שילוש הקדוש" – CIA. האות C היא Confidentiality – המידע שלי צריך להיות מוגן וחסוי. I היא Integrity, כמובן – אני לא רוצה שמישהו אחר יעשה פעולות במקומי, או יזריק נתונים שגויים למערכת. אבל A, כלומר Availability – פה כבר הגופים האחראיים על אבטחת המידע בארגון שוכחים את הנדבך השלישי ואולי החשוב מכל: תפקיד אבטחת המידע הוא להבטיח את זמינות השירות לאלה הדורשים אותו.
בין אם הסיבה לדו-קרב הנצחי בין עסקים לאבטחתם נעוצה באופי המוצרים, אופי האנשים או משהו אחר, עולם אבטחת המידע משווע לסט כלים שיאפשרו לאנשים האמונים על ההגנה להיות אמונים גם על הזמינות, היות שחד הם. מערכת אבטחת מידע לעולם לא תוכל להרשות לעצמה להוות צוואר בקבוק ועליה להיות יציבה וחזקה דיה כדי שתוכל ביד אחת להדוף מתקפות וביד השנייה להראות ללקוחות את הדרך פנימה. עליה להיות בנויה בצורה שתאפשר לארגון להגן על עצמו כדי לאפשר את התנהלותו התקינה של העסק, ולא למרות הצרכים העסקיים.
מערכות רב-שכבתיות להגנה על הארגון, כמו מוצרי BIG-IP של חברת F5, המבוססים כולם על מערכת ההפעלה הייחודית TMOS, יכולות לספק מצד אחד חוסן על-מנת לעמוד בחזית ההתקפה, משל היו Doorman שרירי ומקועקע, ומצד שני לזהות בצורה מדויקת את ההתנהגות האפליקטיבית הן מצד המשתמשים והן מצד השרתים הנענים לבקשותיהם, כמו רב-המלצרים, כדי לאבחן מי מהשוהים בבית העסק מתנהג כראוי ומי מהמשרתים (לא סתם הם נקראים Servers) לא עומד בעומס, ומצד שלישי לדעת להפחית את העומס הכללי על האפליקציה, על-מנת שתוכל להמשיך לשרת.
ימים באים ובהם רכיבי אבטחת המידע בארגון חייבים להפסיק להיות החסמים לביזנס, אלא להפוך להיות הכלים שבאמצעותם מבטיח הארגון את זמינות השירותים אותם הוא מציע. חברת F5 חרטה על דגלה את ערכה של אבטחת המידע ככלי המשרת את העסק.