אבטחת מידע: יותר מדי זה פחות מדי

מניסיון של מומחה אבטחת מידע בארגונים
תמונה של אבי
אבי רוזנטל

בוודאי פגשתם הורים המגנים יותר מדי על ילדיהם הקטנים מפני סיכונים. כך למשל, ההורה חייב לשמור על הילד בן השנתיים מפני נפילה מהמרפסת או מהחלון, אבל אין צורך לשמור עליו מפני נפילה על השטיח בסלון. התוצאה, בחלק מהמקרים, היא ילד שאינו מסוגל להתמודד עם סיכונים שהיה אמור להיות מסוגל להתמודד איתם בכוחות עצמו. בפוסט זה אציג כמה מקרים של עודף אבטחת מידע בארגונים, שפועל באופן דומה להורה המגונן יתר על המידה. גם התוצאות עלולות להיות דומות או לפחות לגרום יותר נזק מתועלת.

ברוס שנייר הוא מומחה אמריקני לאבטחת מידע במערכות ממוחשבות. את חוזקה של אבטחת מידע הוא מתאר כך: "השרשרת חזקה כמו החוליה החלשה ביותר בה" (התרגום מאנגלית לעברית הוא תרגום חופשי שלי). העיקרון שתיאר ברוס שנייר שימש אותי כשנשכרתי על ידי ארגונים כדי לבצע Penetration Test למערכות שלהם. מטרת מבחנים אלה היא לשפר את אבטחת המידע של הארגון, על מנת שהמערכות לא יהיו פרוצות לאנשים בעלי כוונות זדוניות. כשהצלחתי למצוא את החוליה החלשה, גיליתי שהגנת יתר בחוליות אחרות לא ממש עזרה לארגונים כאלה.

למה לחסום את אתר TechCrunch?

אתר האינטרנט TechCrunch הוא אתר מקצועי בתחום המחשבים. יש בו מאמרים מקצועיים וידיעות מקצועיות. כשהייתי יועץ בתחום המחשוב, קריאת מאמרים טכניים שהתפרסמו בו הועילה לעבודתי. אצל אחד מלקוחותיי נחסמה הגישה לאתר זה. פניתי לאנשי אבטחת המידע של הארגון שיאפשרו גישה לאתר.

נתקלתי בסירוב מנומס ולא מנומק. כעבור מספר שבועות נתפס אחד העובדים בארגון כשהוא צופה בתמונות באתר פורנוגרפיה במקום לעבוד. בשונה מ-TechCrunch, אתר הפורנוגרפיה לא נחסם.


קשה עם כ.א.ל

לפני מספר ימים התעוררתי בחמש בבוקר. החלטתי לשלם שני חשבונות באמצעות האינטרנט. העסקה של תשלום חשבון המים לחברת "הגיחון" בוצעה. תשלום ארנונה שנתי לעיריית ירושלים נדחה כעסקה חשודה. ניסיתי פעמיים נוספות ובפעם השלישית אושרה העסקה. חצי שעה לאחר מכן קיבלתי הודעה שכרטיס האשראי שלי נחסם בגלל חשד להונאה. התבקשתי להתקשר למספר טלפון בחברה. לאחר המתנה ארוכה ענה לי נציג, אך הוא לא הצליח להסביר לי מה היה חשוד בעסקה.

הוא דרש ממני פרטים מזהים: ארבע ספרות אחרונות של הכרטיס ותאריך חיוב (סביר לבקש זאת), גובה מסגרת האשראי (לא סביר) ושם בעל החשבון. כשאמרתי שאני בעל החשבון, הוא אמר שאני טועה. אמרתי לו שעד לגירושיי לפני שנתיים גם גרושתי הייתה בעלת חשבון יחד איתי. התברר שהחברה שכחה לעדכן את השינוי בבעלות החשבון.

מסתבר שכשבעל חשבון מבצע עסקה בסכום נמוך ואחריה עסקה בסכום גבוה בשעה חמש בבוקר, הוא הופך אוטומטית לחשוד. ללא קשר לכך שהתשלומים בוצעו לרשויות בעיר מגוריו. התשלום הנמוך משולם בסכומים דומים פעם בחודשיים. ולמי שעדיין לא יודע זאת בכ.א.ל, ארנונה משולמת בינואר. למזלי, לא הייתי נשוי לעבריינית מחשוב. עבריינית הייתה יכולה בקלות לנצל את הפרצה ולמשוך כסף מהחשבון שלי באדיבותה של חברת כרטיסי האשראי.

תתפלאו, אבל גם ה-CIA

כאיש מקצוע נחשפתי לפחות למאות מערכות מחשוב. היו ביניהן גם מערכות גרועות במיוחד. מערכת המחשוב הכושלת ביותר שנתקלתי בה נקראה Triangle. לא תאמינו, אבל זה היה פרויקט גדול של ה-CIA לחידוש מערכות המחשוב שלו מיד אחרי פיגועי ה-11 בספטמבר 2001.

מסתבר שיש גם מנהלים נבונים ב-CIA. אחרי שגמרו להקים את הפרויקט ורצו להפעיל את המערכות בשטח, מישהו עצר זאת ודרש בדיקה. הם פנו למאה מומחים באקדמיה ובתעשייה. לאחר שאלה בדקו, הם הוציאו מסמך קשה של עשרות עמודים שבו הסבירו מדוע אסור להפעיל את המערכות החדשות.

כשאני אומר שזה פרויקט המחשוב הכושל ביותר שנתקלתי בו, אני אומר זאת אחרי שקראתי את אותו מסמך במלואו ובעיון. במאמר זה לא אתייחס לטעויות תפיסתיות חמורות המוסברות במסמך. אתמקד בטעות אחת באבטחת מידע. כדי שלא תהיה פריצה למערכות המחשוב של הארגון, אבטחת המידע מנעה לחלוטין גישה לאינטרנט, אף על פי שיש סוכני CIA שזקוקים לגישה הזו כחלק אינטגרלי מעבודתם.

לבעיה זו יש פתרון – מחלקים את המערכות לאזור מוגן, שבו יש מערכות סודיות ואין בו גישה לאינטרנט, ולמערכות באזור מוגן פחות שבו יש גישה לאינטרנט. זהו פתרון מוכר בארגונים רבים. כמובן יש לוודא שהמעבר מאזור לאזור מאובטח היטב.

השורה התחתונה היא שיותר מדי אבטחה מקשה על עבודה, אבל לא בהכרח מספקת אבטחת מידע טובה יותר.

Facebook
Twitter
LinkedIn
WhatsApp
Email

7 תגובות

  1. לא יותר מידי
    אבל גם לא פחות מיד
    פשוט כמה שצריך
    וזה בדיוק המדד לניהול טוב

  2. התחום הכי מוזנח ברוב הארגונים
    ובסוף משלמים על כך ביוקר רב

  3. בכל מקרה עדיף יותר מידי מאשר פחות מידי
    בטח כשמדובר באבטחה
    אבל הסוגיה העקרית אחרת
    הכל תלוי בניהול

    1. מרים, תודה על תגובתך.
      אני לא לגמרי משוכנע שאת צודקת. הניסיון שלי מראה שיש לא מעט מקרים שדווקא עודף אבטחת מידע יוצר בעיות אבטחת מידע.
      זה גם מה שניסיתי להסביר, בין השאר, במאמר.

  4. אצלנו לא מבינים שאבטחת מידע זה לא רק כלי התגוננות והנחיות
    חשוב אפילו יותר לתת אוירה וערכים של שמירה על הכללים
    וכן הקפדה ואכיפה חזקים

  5. אכן אבטחת מידע מוגזמת לעיתים פוגעת בהתנהלות העסק וגורמת להפסד של לקוחות ועסקאות בגלל עודף חסמים.
    החוכמה היא למצוא את שביל הזהב של אבטחה סבירה לא על חשבון התפעול השוטף של העסק , יש להשקיע בזה הרבה מחשבה וניתוח שוטף בכדי לשפר את כללי החסימה וההגנות – אתגר .

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

פרסום תגובה מהווה הסכמה לתנאי השימוש באתר.
התגובות יפורסמו לפי שיקול דעת העורך.

עשוי לעניין אותך

תמונה של בורוכוב

סיבות לדאגה

סקירה כללית על חברת "אפל" (Apple)

תמונה של מיקי

את כולם, עכשיו!

ממשלת ישראל חייבת לשחרר את החטופים ללא דיחוי

דילוג לתוכן