מהפכת המידע: איך נתמוך ב-SMB בריצה אחר אבטחת המידע?
מאת איתמר קלעי, CISSP, חברת NaSecurity
הירקן בעל הבאסטה השלישית בשוק, הקים אתר אינטרנט כתום, הוא גם העלה מספר דפי נחיתה לאוויר! זה קרה לאחר ששמע על הצלחתו של הנגר למכור שרפרפים ברשת, ולאחר שהבין מהבן שלו שאין צורך ביותר ממספר תמונות ומאמרים, כדי להקים אתר בעלות שווה לכל גזר, וללא כל ידע טכני.
מהפכת הידע והמידע מזמן כבר כאן, אבל המהירות והפתיחות השאירו מאחור את האבטחה של הצריפים הרבים מספור ברשת. כך הוקמו אלפי אתרים ומערכות מידע ללא כל רקע, ידע, או הבנה בסיסית איך לנעול את הדלת, ואיך להבריח את החלון כדי שהמידע לא יגנב (סודיות), יפגע (שלמות) או לא יהיה זמין לגולשים (זמינות).
לפי הנראה כרגע, ההתקפות שבוצעו לאחרונה וקיבלו תהודה רבה בתקשורת, התאפשרו עקב כשלי אבטחת מידע בסיסיים, ולא באמצעות יכולת מתוחכמת של התוקפים (שקיימת בהחלט וגם אליה אנחנו חשופים). זו רק דוגמה לכך שהמידע האישי והפרטי של הגולש, מצוי היום בידיים לא מקצועיות. המידע הרגיש מצוי בידי אנשי תוכן ומנהלי מערכות מידע, אשר אינם מודעים מספיק לצורך להגנה, או אינם מדרגים נכון (או לא מדרגים כלל) את הסיכון למידע המאוחסן, ולאחריות אותה נושא הארגון שהם פועלים בשמו. כמובן שקשה לשכנע ב-ROI של השקעה באבטחת מידע.
בתגובה לפיצוצים ברשת, מומחי אבטחת מידע דורשים אכיפת תקינה על מערכות מידע ואתרי אינטרנט, בדומה לתקינה ברכב או בבניה: הירקן ששומר את הרגלי הקניה שלנו במאגר המידע שלו והרשות העירונית שמאחסנת עלינו את המידע צריכים להיות מחויבים לספק שרות אמין ובטוח. לטעמי, יש הגיון בדרישות אלו, וקיימת התקדמות לכוון באכיפת חוק הגנת הפרטיות, בחלחול תקינות פרטיות ומסחריות כמו תקן ISO27001 ותקן PCI DSS להגנה על נתוני כרטיסי אשראי, אבל את הפערים הגדולים בין המצוי לרצוי, ניתן וכדאי לצמצם באמצעות הפצת ידע והגברת מודעות לנושא. לא צריך להבין במכונאות רכב כדי לבדוק שמן ומים במנוע ולטפל ברכב באופן שוטף במוסך.
באחריותנו להדריך את בתי עסק לשאול את השאלות הפשוטות ולהפעיל בקרות פשוטות כדי לדעת היכן הם עומדים ומהי רמת הפגיעות שלהם. למשל:
* לאכוף עבודה מקצועית של ספקי האחסון התקשורת והרשת(לעיתים קרובות זהו אותו ספק), באמצעות סריקות חדירה חיצונית(ניתן לבצע היום בעלויות סבירות לכל עסק).
* לבדוק בציציות של ספק שרותי הסליקה שלך: האם הוא בעל תעודת הסמכה עדכנית?
* לרכוש ידע בסיסי על אבטחת מידע, שזמין באותה רשת מהירה שהפכה להיות חלק חיוני בשגרת החיים של כולנו, ולדעת לשאול את השאלות! באותו אופן בו אנו מתחקרים את בעל המוסך לאחר טיפול ברכבנו.
זה שצוחק אחרון, בטח עשה גיבוי…
ניתן להפנות תגובות והערות לכתובת הדוא"ל הבאה.