מעגלי אבטחה פרוצים

הפקרות לכאורה בדוא"ל של הילרי קלינטון
הילרי קלינטון צילום רשמי של הסנט האמריקני en.wikipedia.org

שערורייה גדולה הולכת ומתבררת בארה"ב. הילרי קלינטון, הנחשבת למועמדת מובילה מטעם המפלגה הדמוקרטית למרוץ הנשיאות הבא, הותירה כנראה פרצות גדולות בניגוד לחוק בכל הקשור לדואר האלקטרוני הרגיש שלה. כל זאת עת כיהנה בתפקיד החשוב כל כך – שרת החוץ במעצמת העל ארה"ב. מדובר בשנים 2009–2013, תקופה שבה שלחה שרת החוץ דאז ואף קיבלה לא פחות מרבבות מיילים, כולם בתא הדואר האלקטרוני הפרטי שלה. לפי הטענות, כל אותה עת לא היה לה כלל חשבון דוא"ל ממשלתי.

אין צורך להרחיב את הדיבור על משמעות העניין. הדואר של קלינטון כלל ללא כל ספק מידע רב שהרבה גורמים בעולם, בהם כאלה שכוונותיהם שליליות, היו מוכנים לעשות הכול כדי לדעת. אין גם ספק שרק מנגנון ותשתיות המנוהלים בשליטת הממשל ומומחיו הם הדרך לטפל במידע ממשלתי ולהכילו. מערכות כאלה מוגנות הרבה יותר, וללא שיעור מבוקרות יותר מתיבות הדואר האלקטרוני הפרטיות.

השאלה הגדולה היא איך דבר כזה יכול בכלל לקרות. איך ייתכן שלשרת החוץ אין חשבון פעיל במערכת הממלכתית וזה לא מדליק נורת אזהרה אצל אף אחד? אני משוכנע שעל נושאים שוליים בהרבה הקפידו עם הגברת קלינטון כמו עם אחרים, עד קוצו של יוד. אם שר בממשלת ארה"ב היה מקבל הנחיה ברורה ואף נדרש לחתום על הצהרה בנדון, קשה לי להאמין שהוא היה מפר זאת בצורה כל כך בוטה. קיימת בעיה כללית שנושאי משרות לא תמיד מקפידים, וחוטאים פה ושם בחוסר אחריות. אולם כאן מדובר במקרה קיצוני, שבו הכל התנהל כנראה מחוץ למסגרת המוגנת יחסית.

אנחנו מרבים ללמד ולהנחיל את העובדה כי מערכות המידע בכל אחד מן הארגונים, ואפילו בכאלה שהם רגישים הרבה פחות ממשרד החוץ האמריקני, צריכים להיות מוגנים בשלושה מעגלי אבטחה. אחד מהם הוא המעגל הטכני. רובד זה כולל את כל האמצעים הטכניים, הלוגיים והפיזיים שנועדו להתמודד עם האיומים ההולכים ורבים על מערכות המידע, שבהן תלויים הארגונים כולם. המעגל השני מכיל את ההיבטים הפורמליים של האבטחה: הנחיות, חוקים, נהלים וכדומה. מה מותר ומה אסור, מתי וכיצד. על איזה התחייבויות יש לחתום וכיצד אוכפים את כל אלה. המעגל השלישי מתמקד בהיבטים הבלתי פורמליים. אלה מכוונים להביא לאווירה נכונה, שתביא את האנשים להכיר באיומים הפוטנציאליים ותניע אותם להתנהג בדרך שתסייע לנטרל את הסיכונים או לצמצמם.

בארגון השכיח יש השקעה גדולה יחסית בהיבטי ההתגוננות הטכניים, והרבה פחות בשני המישורים האחרים. שוב ושוב מסתבר שאי אפשר לסמוך רק על המומחים ולהותירם לבד במערכה. צריך ליצור הבנה ורגישות לנושאי אבטחה אצל כלל העובדים. כל מי שמתמצא בנושא ועיניים לו בראשו, יודע עד כמה ההפקרות חוגגת לפעמים. קשה למשל להסביר לסטודנטים נאיביים עד כמה לא רצינית יכולה להיות התנהלות ארגונית. ואז כשאתה מגיע לארגון, השומרים הרבים בכניסה מקפידים מאוד שתפקיד אצלם כל דיסק-און-קי טרם כניסתך לפגישה, ובעת היציאה מן הבניין אתה מקבל חזרה אחר כבוד את ההתקן שמסרת. אולם את אף אחד לא מעניינת העובדה שאתה יוצא החוצה מצויד בשני קלסרים עמוסי מסמכים שקיבלת ממישהו באותו ארגון.

ישאל כל אחד את עצמו, ובלי לייפות את התמונה, מה המצב בארגון שלו. יפעל כל אחד בתבונה וברצינות לשנות את המצב, לשלב בצורה אופטימאלית את שלושת המעגלים האמורים בהגנת מערכותיו. אחרת התשלום הקשה בוא יבוא. אם במקום רגיש כמו משרד החוץ האמריקני זה יכול לקרות, הרי במקומותינו, הידועים בהקלת ראש, זה עלול להתרחש שבעתיים.

שיתוף ב facebook
Facebook
שיתוף ב twitter
Twitter
שיתוף ב linkedin
LinkedIn
שיתוף ב whatsapp
WhatsApp
שיתוף ב email
Email

7 תגובות

  1. כבר למדנו מזמן שפוליטיקאים יודעים לשקר. קשה לי להאמין שהיא שלא השתמשה כלל בחשבון דואר ארגוני.
    לעצם העניין, גם בחשבון דוא"ל בגוגל קיימים חלקים משכבות ההגנה, יש למשתמש אפשרות להופיע בשם בדוי (אנחנו לא יודעים איך היא הזדהתה שם) והדרך של חשבון חיצוני, בצורה מדידה ולא גורפת, מקובלת גם במקומות אחרים, לפעמים דווקא כדי להסתיר מידע..
    לדעתי זו לא בהכרח שערוריה אבל הקריאה מעניינת.

  2. רוב המחקרים מוכיחים כי הגורם האנושי הוא ללא ספק החוליה החלשה בשרשרת האבטחה בארגון, בעוד חברות האבטחה מספקות פתרונות טכנולוגיים רבים להתמודדות עם קוד עויין מעטים מחדשים באמת בתחום הגורם האנושי ונוטים לפסוח עליו לא מעט. באשר להילרי, כנראה ומדובר בבאז רפובליקני קלאסי, אבל אם אכן הדבר נכון אז יתכן וקיימות סוגיות שאיננו ערים להם כגון צירי התקשרויות בלתי פורמאליים, שת״פ עם גוגל והכי חשוב הטעיית אויב. מצד שני אם באמת מדובר בטעות אנוש הריי איפה אנשיי האבטחה, קולגות שהיו אמורים להתריע ולהזהיר. אחריות ארגונית לא כך?

  3. היום הייתה בחינה על מערכות מידע ובתוך זה על אבטחת מידע. בשיעור זה נשמע הזוי. אבל אתמול פתאום המחשב של הבורסה האמריקאית ושל חברת התעופה שם נפגעו.

כתיבת תגובה

האימייל לא יוצג באתר.

פרסום תגובה מהווה הסכמה לתנאי השימוש באתר.
התגובות יפורסמו לפי שיקול דעת העורך.

עשוי לעניין אותך