האחריות ארגונית
מרץ-אפריל 4102
הביטחון
| 10
יאיר רודיאקוב*
בחלקו הראשון של המאמר, שפורסם
בגליון הקודם מס' 45, דנתי בדילמות
הקיימות בארגונים באשר לחלוקת האחריות
לאבטחת המידע בין בעלי התפקידים השונים
בארגון לטיפול בסיכוני הפגיעה בסודיות,
בשלימות, באמינות ובזמינות המידע, ובסופו
של דבר, המענה
ידוע והבעייה הינה חלוקת האחריות בארגון
להתייחסות לשלושת המרכיבים.
כעת נותרנו עם השאלה, האם קיימים
תחומים, שאינם עיסוק במידע ובאבטחתו
והם עדיין כלולים בדיון על הגנת "סודיות",
"שלמות ואמינות" וזמינות". מסתבר שכן.
על־מנת להבין את הנושא נתחיל בדוגמה,
מתחום המכשור הרפואי, מכשיר הרנטגן.
מכונת צילום רנטגן כוללת רכיבים כגון,
מכשיר ליצירה ולירייה של קרן אלקטרונים
ולוח צילום המאפשר לקלוט את תוצאת
הקרנתקרן האלקטרוניםהזו עלחפץ, שבחלקו
בולע את הקרן ובחלקו, לא בולע אותה. אין
קשר לעולם המחשבים הדיגיטאליים. בנוסף
קיימים שם הרבה רכיבים מכאניים וחומרים
כימיים לפיתוח התמונה. לבסוף, נותר בידינו
פילם, שאתו אנו הולכים לרופא והוא, קובע
את האבחנה הרפואית על־סמך אותו הפילם
ושולח אותנו לטיפול.
אבטחת המידע במקרה הזה נועדה להגן
על המידע המצוי בפילם. כן הייתה חשיבות לשלמות ואמינות המידע
, מינהל
FDA
המצוי בו. לכך דאגו הרשויות המוסמכות, לדוגמה, ה־
התרופות והמזון האמריקני, שאישר כי המכשיר הרפואי מבצע את
פעילותו כנדרש.
כמו־כן, נדרש איחסון הפילמים במקום שמור כיאות, כך שניתן יהיה
לאחזרם בעת הצורך (עד שנמאס לקופות החולים והן מעבירות את
CR
-
Computerized
האחריות לחולים). כיום מכשיר הרנטגן קרוי,
משום שאין יותר מידע על
.
DR
-
Direct
Roentgen
או
Roentgen
פילם אלא מכונה ממוחשבת המייצרת מידע דיגיטאלי כגון, תמונת
רנטגן, הנוצרת בקרבי מערכות המחשוב. המשמעות הינה, שכל תהליך
הפעולה של המכונה כבר מבוקר ומנוהל על־ידי מערכות מחשוב.
מה היא כאן אם כן "אבטחת/הגנת המידע"? על מה מנהל אבטחת/
הגנת המידע אמור להגן? האם הידע ותחומי האחריותו מספיקים
ורלוונטיים?
באופן דומה, אנו יכולים להתייחס לכל
מערכות הייצור והבקרה, ייצור ובקרה על
אנרגיה לסוגיה השונים (חשמל, דלק, גז),
מערכות חיים כדוגמת מים וביוב, מערכות
שליטה ובקרה בתחומי הטיס, השיט, תנועת
הרכבות ועד מערכות ניהול מעליות, מיזוג־
אוויר, מקררים תעשייתיים ומעבדתיים
ומערכות חמצן בבתי חולים. הדוגמאות
הינן מכל שטחי חיינו. כל העולמות הללו
שהיו בעבר עולמות מכאניים, חשמליים
והידראוליים וכללו מנגנוני טיפול בסיכוני
בטיחות למפעיליהם ולתהליכים שבוצעו
באמצעותם, הפכו לעולמות, בהם משולב
ומעורב שבב המחשב ואיתו כל העולם
הדיגיטאלי, כולל ממשקים מהרכיב
הממוחשב לעולם החיצוני למטרות שונות,
החל מהצגת הנתונים, קבלת פקודות לביצוע
פעולות, פתיחה וסגירת שסתום להזרמת
מים, דלק, גז, ניהול מערך ייצור החשמל,
ניהול מערך הרמזורים וכיו"ב וכמובן, ביצוע
תחזוקה מרחוק באמצעות ממשק אלחוטי, אינטרנטי או כל ממשק
תקשורתי אחר.
מה לאמור לעיל ולאבטחת מידע/הגנת מידע? קיימת אמנם מעורבות
בהתייחסות למידע, אבל ניהול הסיכונים של מערכות הנדסיות כדוגמת
מכשור רפואי, מערכות שליטה ובקרה, ייצור חשמל, ניהול רמות דלק
אבטחת/הגנת המידע והגנה
בסייבר - עולמותשונים או
?....
Buzzword
סתם
*הכותב הינו מתודולוג ומידען בתחום אבטחת מידע ומנהל תחום תקינה ומתודולוגיה ב"אבנת אבטחת מידע וניהול סיכונים"
חלק ב' - הגנה בסייבר