בחודשים האחרונים, לצערי, מיעטתי לפרסם פוסטים, וזאת עקב כניסה מעמיקה לעולם הסייבר.
בחודשים אלו אני משמש כיועץ בתחום בגוף בטחוני גדול.
כל מי שמכיר אותי או לפחות קורא את הפוסטים שלי, יודע שאני דוגל בניהול ארגוני מבוסס עקרונות ממשל. כמו כן הוא יודע שאני מתמקצע בממשל טכנולוגיית המידע וממשל אבטחת מידע.
ניהול זה מתחיל בקביעת המדיניות והאסטרטגיה הארגונית, ומכאן כל מרכיבי ותחומי הניהול, דרך התהליכים העסקיים, הפעילויות הפנים ארגוניות וההתנהלות מול גורמים חיצוניים כגון לקוחות, ספקים ושירות נגזרים מאותה אסטרטגיה. וזאת, תוך כדי ניהול סיכונים (מרכזי במידת האפשר) ומדידת הביצועים אל מול דרישות חוק ורגולציה וכמובן המטרות והיעדים העסקיים.
מה יותר טבעי להנהיג עקרונות אלו בניהול אחד מגורמי הסיכון הגבוהים ביותר בשנים האחרונות – איומי התקיפה בסייבר? ובמיוחד במקומות הרגישים והחשופים ביותר לאיומים אלו – המגזר הבטחוני?
הרי במה צריך ארגון לטפל? בסיכונים בעלי הסתברות גבוהה להתממש ובסיכונים בעלי השפעה פוטנציאלית גבוהה ביותר. תוצאת מכפלת שני הגורמים הללו (סבירות והשפעה) היא המשתנה המשפיע ביותר בתעדוף טיפול בסיכונים.
רבות נכתב, נאמר והופץ בנושא הסייבר. אין ספק שהמילה סייבר נמצאת במודעות של מרבית המנהלים והעובדים, מי יותר ומי פחות, ועדיין מרביתם לא יודעים מה לעשות אם בכלל נדרש לעשות בנידון. חשוב לציין כי למרות שאיומי הסייבר הם איומים טכנולוגיים, הבעיה היא בעיה עסקית לכל דבר. המשמעות של תקיפה בסייבר היא לאו דווקא פגיעה, לעיתים היא נועדה לריגול עסקי, ללימוד ותרגול תקיפות, ולצערנו לעיתים אפילו כשעשוע.
בפוסטים הקרובים, אתמצת סדרת מאמרים שכתבתי, אשר תופיע בגיליונות הבאים של עיתון האיגוד העולמי לאבטחת מידע (ISSA), הצאפטר הישראלי – Global Security. מאמרים אלו באים להציג את השימוש בעקרונות ממשל בתחום הסייבר. פעולות שבעיני ובעיני מומחי סייבר רבים לא רק חשובות לביצוע, אלא אפילו נדרשות לביצוע.
אז בואו נתחיל ללמוד מה עושים עם המושג סייבר.
ראשית, המילה סייבר (Cyber) נגזרת ממילת התואר היוונית “סייברנטיק” (Cybernetic – κυβερνητικός ), שמשמעותה: בעל כישורי הובלה / משילות גבוהים. כבר ניתן למצוא את הקורלציה בין ממשל לסייבר. היום, המילה סייבר מופיעה כקידומת למגוון תיאורים הקשורים להובלה ומשילות בנושאי מחשוב, רשתות, תקשורת ובמיוחד אינטרנט. המושגים העיקריים הינם: Cyber Space, Cyber Security, Cyber Warfare, Cyber Crime ועוד ועוד.
הסייבר, או יותר נכון מרחב הסייבר (לעיתים משתמשים גם במושג מקביל – המרחב הקיברנטי) הוא מרחב לוגי, וירטואלי, המתאר את כל המחשבים ורכיבי התקשורת המחוברים יחדיו באלפי ומליוני רשתות תקשורת שונות, לרבות, כל המידע העובר על גבי תשתיות תקשורת אלו.
במילים פשוטות להדיוטות – כל מה שנמצא על מחשב.
בעולם המציאותי, זה שאנו חיים בו, הכל ממוחשב. ולכן האיומים רלוונטיים לאדם הפשוט, לחברות קטנות, לארגונים גלובליים ואף למדינות, מהקטנה ביותר ועד למעצמות.
כולם חשופים. חשופים לפשעי סייבר וללוחמת סייבר. חשיפות אלו באות לידי ביטוי ממתיחות קטנות של אנשים פרטיים ללא סיבה מוקדמת (בעיקר להוכיח “שאני יכול”), דרך התחזות לאנשים באופן דיגיטלי (למגוון סיבות שונות), הונאות כספיות, ניצול מיני ועד לתקיפות מכוונות של מדינות במדינות אחרות
(כיוון שאינני פושע סייבר, יכול להיות שפספסתי איומים וחשיפות נוספות 🙂 )
האם באמת הכל כל כך שחור? אז מה עושים? איך מגנים? על מה מגנים?
ובכן, קודם כל לא הכל שחור. אולי קצת אפור ולעיתים אפילו קהה, אך לא שחור.
הפעולות שכל אדם או ארגון יכולים לעשות על מנת להבהיר את האפור ולהלבין אותו הם קודם כל לחשוב ולהבין מה השתנה ואיך זה משפיע עלינו כפרטים וכארגון. התאמת מדיניות הגלישה באינטרנט כפרטים והתאמת מדיניות אבטחת המידע כארגון הוא צעד ראשוני להתמודדות מול איומי הסייבר.
לארגונים, ממליץ לעבור על היעדים העסקיים של הארגון ולבצע התאמות בהתאם ליעדים אלו.
כארגון, החליטו מהי מדיניות ניהול הזהויות בארגון, השימוש במחשוב נייד, במחשוב ענן, השימוש בביג דטה ושאר הנושאים הטכנולוגיים, כאשר לכל ההחלטות הללו, קבעו קריטריוני סף לאבטחה, הושיבו את המנהלים הטכנולוגיים והעסקיים יחד והבינו משמעויות.
פעולה נוספת היא הגברת המודעות. כפרטים, קצת קשה לומר להגביר מודעות, ועדיין אפשר להעמיק בהבנה ובמשמעות של פעולות שאנו עושים. לארגונים, לעומת זאת, אני מאוד תומך בתוכניות הגברת מודעות לעובדים. מחקרים רבים מצביעים על הגורם האנושי כחלק החלש בשרשרת האבטחה. הינדוס אנושי (Social Engineering) הוא עדיין כלי התקיפה הטוב ביותר לתקיפות סייבר ולכן, גם כפרט וגם כעובד חברה, אל תפתחו מיילים שלא מזוהים, אל תגלשו לאתרים “מפוקפקים”, אל תריצו קבצי קוד והרצה שאינכם מכירים וכאשר אתם משלמים באינטרנט, הקפידו על פרוטוקול מאובטח (HTTPS), בדקו שהכתובת אכן שם הספק, השתמשו בגורמי תשלום צד שלישי וכדומה. קצרה היריעה מלספק את מגוון האפשרויות ומצבי ההתגוננות, אך לסיכום, המנעות מדברים שאינם מוכרים תצמצם אפשרויות תקיפה בהינדוס אנושי.
פעולות נוספות הרלוונטיות בעיקר לארגונים היא סיווג המידע והתהליכים על מנת להקצאות משאבים (כספיים ואנושיים) להגנה על “נכסי מידע” חשובים יותר. ככל שהתקציבים קטנים יותר, כך המשמעות לסיווג מידע גבוהה יותר. הרי בסופו של דבר, לא ניתן להגן על הכל ומול הכל.
.
כיוון שיש פעולות אקטיביות נוספות שניתנות לעשייה, בפוסט הבא, אתמצת את המאמר המדבר על הפעולות הטנוכלוגיות המומלצות להתמודדות ארגונית מול איומי ותקיפות סייבר.
אשמח לשמוע את דעתכם ותובנות נוספות העולות מקריאת פוסט זה. כמו כן, אני קורא ומזמין את כולכם לכנס השנתי השני של איגוד אבטחת המידע לשמוע על אופני התמודדות מול איומי הסייבר. הרישום כאן.
בתקווה שהפוסט הבא לא יחכה חודש ליציאתו 🙂
תגובה אחת