הפרשה התורנית

מרכיבים חשובים באבטחת המידע לא מטופלים כהלכה
יונתן קורפל
יונתן קורפל

לפני ימים אחדים הדליף הכתב לענייני משטרה רועי ינובסקי, באמצעות ציוץ קצר דל בפרטים, ידיעה על אודות פרשה חדשה – מדובר בהוצאה ובאחזקה לא חוקיות של מידע על ידי עובד ציבור, וכן בהעברתו לידי גורם חיצוני למערכת. מאז נוספו עוד פיסות מידע ספורות. העובדה שחלפו שבועיים מיום מעצרו של החשוד ועד ההדלפה הראשונה, איננה שגרתית. השמועה אומרת שהטיפול בחקירה הופקד בידי מחלקת הסייבר במשטרה, וזו הסיבה שהמאמר נכתב למדור זה.

טכנולוגיית המידע השתלטה זה מכבר על חיינו, והיא ממשיכה להתרחב ולהתפשט בכל נימיו של הארגון המודרני, כמו גם ברמת האדם הבודד וחייו הפרטיים. הטכנולוגיה מביאה עימה יכולות ויתרונות שפעם אפילו לא יכולנו לחלום עליהם. אולם לצד ההיבטים החיוביים קיימים גם החולשות והסיכונים שטמונים בחובן של המערכות הללו.

הארגונים בימינו תלויים לגמרי במערכות המידע, ופגיעה באלה האחרונות יכולה להביא אותן לפעול בדרך מעוותת ושונה מכוונתן המקורית, יכולה להשבית לחלוטין פונקציות בארגון או את כל תפקודו, ויכולה לגרום לחשיפת מידע פנימי לגורמים שכלל לא אמורים להגיע אליו.

כנגד הסיכונים והאיומים מוצבים כמובן אמצעי התגוננות. ציוד ומכשירים שונים ומגוונים מפותחים כל העת על מנת לנטרל סיכונים וכיווני מתקפות שרק הולכים ומתרבים ואף משתכללים. כמו כן ישנו מגוון אדיר של תוכנות שמשתלבות במערך ההגנה. בהן תוכנות-נגד, כאלה שנועדו לבלום מתקפות באמצעות תוכנות זדוניות מסוימות. יש גם תוכנות למידור והרשאה המכוונות להגביל את יכולות הכניסה, חשיפת המידע, והגדרת הפעולות המתאפשרות לכל בעל גישה. קיימות גם תוכנות הצפנה ופענוח וכן הלאה.

ישראל נחשבת למדינה שלה יכולות גבוהות בתחום לוחמת הסייבר. ראש ממשלתנו אף מרבה להתפאר בכך. אלא שרבים מדי מקרב המקצוענים והמנהלים במדינתנו שוכחים שהפתרונות הטכניים הללו ודומיהם, אינם המישור היחידי שבו עלינו לפעול כנגד האיומים הקיברנטיים. זה מכבר מקובלת הגישה כי התמודדות מול צירוף האיומים על מערכות המידע בארגונים, חייבת לכלול שלושה מעגלים משולבים זה בזה: פיזי, פורמלי, א-פורמלי. ראו למשל בפרסום של Liebenau and Backhouse משנת 1990.

הרמה הראשונה, הטכנית, עוסקת בכל המכשירים, הציוד והתוכנות שהוזכרו קודם לכן. אולם בכך אין די. חשובה מאוד גם הרמה הפורמלית. זו הקובעת למי מותר לראות מה. בכל כמה זמן יש להחליף סיסמה ומה יהיה הרכבה. מה מותר להוציא אל מחוץ לארגון. מהן אמות המידה שעל פיהן ייבחר מועמד למשרה. אילו בדיקות וביקורות ייערכו בארגון בתחום הנדון – תוך כדי העבודה ובדיעבד, איך תופעל האכיפה. וכן הלאה וכן הלאה. אסור להתעלם גם מהרמה הא-פורמלית, זו שעוסקת בהקניית ידע לעובדים ולמנהלים, כדי שיבינו מדוע וכיצד עליהם לפעול, ואיך להפעיל את הכלים. למשל, באילו דברי דואר אלקטרוני לא לגעת, לאילו אתרים לא להיכנס. וזה כולל גם הקניית קוד אתי ומחויבות מוסרית לדרכי פעולה והתנהגות.

בכל העולם קיים פער גדול בין המאמצים והמשאבים המושקעים ברמה הטכנית, שם פחות נוטים לחסוך, לבין תשומת הלב הארגונית והאישית לשתי רמות ההתגוננות האחרות. למדינה החזקה בעולם – ארה"ב – לא הועילו כל תקציבי הענק ואין סוף מומחי הסייבר. לראיה, הפרשה הידועה שבה זוטר – רב"ט ברדלי מאנינג – העביר בקלות רבה יחסית, כמיליון מסמכים סודיים ממאגרי המידע לחשיפה באתר ההדלפות "ויקיליקס". זה קורה בכל העולם ובארגונים רבים מכל הסוגים, אבל לדעתי בארצנו הבעיה גדולה אף יותר.

בישראל, שילוב גישות ה"סמוך", "יהיה בסדר", "הכול שטויות" ודומיהן מביא למחדלים ולנזקים גדולים. די אם נזכיר את העובדה שבמהלך השנים נחשפו עשרות מקרים של קציני צה"ל, אחד מהם אפילו אלוף, שבניגוד לפקודות הברורות הוציאו מהבסיס או מהמשרד מחשבים ובהם חומר סודי, ולאחר מכן אלה נגנבו מבתיהם או ממכוניותיהם. מובן שגם אזובי הקיר לא טמנו ידם בצלחת. לכולם זכור משפטה של החיילת ענת קם שהעבירה מידע סודי ממערכות המידע הצבאיות לעיתון "הארץ". כל הגאווה על היכולות הטכנולוגיות של יחידות למיניהן שבהן אנחנו משתבחים, נמחו שוב ושוב בעיקר בשל דלותן עד אי-קיומן של שכבות ההגנה הפורמלית והא-פורמלית.

כל הדוגמאות עד כאן הובאו מהמערכות הביטחוניות. המצב קשה שבעתיים בארגונים אחרים שאינם ביטחוניים, אשר גם פרצות במערכות המידע שלהם יכולות לגרום נזקים גדולים, לעיתים ברמה לאומית. אפשר להיזכר לדוגמה בהפיכת תכולת המידע של מערכת מרשם האוכלוסין לפתוחה וגלויה לעין כול. או למערכת המידע של "לאומי קארד" שנתוניה הועתקו, מה שאיים אפילו על דירוג הבנקאות הישראלית כולה. בשני המקרים היו אלה אנשים שקשורים למערכות המידע בארגון. מדובר בתופעה גדולה שלהערכתי איננה מנוטרת דיה, היא מתרחשת בהרבה ארגונים קטנים, שם מודעים עוד פחות לבעיה ולסיכונים. יתרה מכך, גם ארגונים שמגלים מה עוללו להם, מסתירים לא פעם את האירועים מסיבות מובנות. יֵדע כל מנהל שהחולשה הגדולה בשכבות ההגנה המדוברות מחייבת התייחסות רצינית הרבה יותר.

שיתוף ב facebook
Facebook
שיתוף ב twitter
Twitter
שיתוף ב linkedin
LinkedIn
שיתוף ב whatsapp
WhatsApp
שיתוף ב email
Email

8 תגובות

  1. תודה למאמר תזכורת חשוב זה, במיוחד בימים בהם מודלפים פרטי חקירות חסויים בטרם משפט, ולמרות שהדלפות הן בניגוד לחוק, אין בית משפט בישראל שיממש את הענישה שהחוק מתיר.
    ובהיעדר משפט, או שהוא נתון ללחצים פוליטיים, הנושא פרוץ ומזמין את המקרה הבא

  2. אני לא מגלה שום דבר חדש, רוצה למקד.
    החינוך האישי מתחיל בבית.
    החינוך הארגוני בעבודה.
    כאשר אלו לוקים בחסר התוצאה הרסנית למשפחה ולארגון.
    העולם של היום כיאוטי ואנחנו מנסים להתנהל בו בכלים שהוטמעו בנו בילדות, בנעורים ולאורך חיינו הבוגרים.
    התנהלות לא פשוטה, לא קלה והרבה פעמים גם יש לה טעם לא טוב…מי שמוכר מידע ארגוני תמורת כסף או שווה כסף זו לא הבינה המלאכותית אלא האדם שמוביל אותה

  3. למרות שאתה מתחיל בהצהרה הקבועה על השתלטות טכנולוגיית המידע, כאילו היא אחראית ומשפיעה, דבריך בעיקר מופנים, ובצדק רב, אל האחריות האנושית והאישית שאינה מתמודדת עם הכלים שהומצאו על ידי בני אדם.כפי שטען מקלוהן עוד לפני 57 שנים, בני-אדם ממציאים כלים ולא חוקרים אותם לאשורם.

כתיבת תגובה

האימייל לא יוצג באתר.

פרסום תגובה מהווה הסכמה לתנאי השימוש באתר.
התגובות יפורסמו לפי שיקול דעת העורך.

עשוי לעניין אותך