11 |
הביטחון
מרץ-אפריל 4102
והזרמתו, אינו ניהול סיכוני מידע או ניהול סיכוני טכנולוגיית מידע,
הם תחום מקצועי אחר לגמרי. על־כן וכבר מהרמה הסמנטית, אבטחת/
הגנת מידע איננה הכותרת הנאותה לשכאלו. אם היא לא הכותרת
הנכונה, אזי קשה להניח, שניהול אותם הסיכונים הינו בר־בצוע על־
ידי מי שכל ידיעותיו, הכשרתו וסמכותו מצויות בתחום המקצועי של
ההגנה/האבטחה על המידע וטכנולוגיית המידע בלבד.
על הבעייתיות הזו עמדו כל העוסקים בכך בתחילת העשור הקודם,
כאשר החל בעולם, כמו גם בארץ, הטיפול בנושא.
נדרש ליצור שיתוף פעולה בין עולם ההנדסה המייצר את הרכיבים
הללו לבין עולם המחשוב, שהרכיבים הללו משתמשים בתשתיותיו
(חומרה, קושחה ותוכנה) ופועלים בהן בשילוב. נדרש ליצור שפה
משותפת של ידע, כיצד הדברים פועלים ומה הם האיומים בשני
העולמות השונים, כיצד איומים אלה מתורגמים לסיכונים וכיצד
מייצרים יחד תהליך נאות להגנה על התפקוד הנאות של אותו רכיב
(המונח תפקוד נאות רחב הרבה יותר מהמונח מידע), תוך שיתוף־
פעולה בין עולם ההנדסה לדוגמה, במגזר הבריאות, ההנדסה הרפואית
ועולם המחשוב, אגף מערכות מידע, ומנהל אבטחת/הגנת המידע, בין
אם הוא ממוקם בתוך האגף ובין אם הוא ממוקם מחוצה לו.
זו לא אבטחה/הגנה על מידע, זו הגנה על יכולת התפקוד של
הרכיב ושל מה שהרכיב הזה אמור לבצע וזו תוספת להגנת המידע ולא
במקומה.
אז איך נקרא לזה, "הגנת סייבר"? זה אומנם תפס, אבל זהו לדעתי
איננו המונח הנכון. שם אחר שרווח: "אבטחת שרשרת האספקה",
לדעתי, ארוך מדי, מסורבל, לא קליט ולא ממש ברור מה זה. אבטחת/
הגנת מידע זה לא, הגנה בסייבר זה גם לא, אבל זה תפס.
ויש עוד מקום לדיון נוסף, האם מדובר בשני ממלאי תפקיד בארגון:
מנהל אבטחת/הגנת המידע ו"מנהל הגנת הסייבר", כאשר ההפרדה
או פצחנות "רגילה",
APT
היא לא המודיעין, האינטרנט, התוקף, תקיפת
אלא על מה יש להגן, על המידע או על מרכיבים אחרים, שאומנם גם
בהם יש מידע, אבל העיקר בהם איננו המידע אלא יכולת התפקוד.
נקודת המוצא לדיון נוסף זה אמורה להיות לדעתי זו:
ההגנה על מידע מיושמת, בסיכומו של דבר, במערכות טכנולוגיית
המידע. מערכות אלו מיוצרות ברחבי העולם והן בעיקרן מערכות
לשימוש כללי. שרת/תחנת עבודה/מחשב נייד עשויים לשמש תשתית
לסוגים שונים מאד של שימושים. יישום אבטחת מידע מוטל על־כן
בעיקר על הרוכש את הרכיב ומותנה מאד באופן השימוש ברכיב.
הגנה על רכיבים תפעוליים, שמראש מיועדים לשמש מטרה
מסויימת כגון, מכשור רפואי, מותנית בכך, שהיצרן ישלב בהם כבר
בתהליכי התכנון והפיתוח המוקדמים, רכיבי אבטחה נדרשים, שאם
לא יעשה כן, לא יהא באפשרות המשתמש להוסיפם לבד, או יתקשה
לעשות זאת מסיבות הנובעות מחוסר מודעות, אי־מקצועיות וכן,
חוסר־זמן ותקציב.
לסיכום, המיקוד בעיסוק באבטחה או בהגנה על מידע הינו המידע
והמערכות, שבהן המידע נאגר, מעובד ומועבר בתקשורת. הסיכונים
שמפניהם יש לאבטח ולהגן, הינם בתחום הפיסי והמחשובי בהיבטי
סודיות, שלמות ואמינות וזמינות.
על הפעילות הזו מתווסף רובד נוסף הממוקד ביכולת להפעיל
מערכות בעולם הפיסי, שבהם שולבו רכיבי מחשב (מערכות משובצות
מחשב או באמצעות ממשקים) באופן, שסיכוני "סודיות" (ולא זה
הסיכון העיקרי), "שלמות ואמינות" ובעיקר "זמינות" עלולים להתממש
ולמנוע שימוש תקין ברכיב. הידע הנדרש לטפל ברובד נוסף זה מחייב
שידוד מערכות, הן אצל יצרני הרכיבים הפיסיים הללו והן בארגונים
העושים בהם שימוש. זהו בעצם ההבדל בין אבטחת/הגנת המידע ובין
הגנה בסייבר, או איך שנקרא לעולם החדש הזה בעתיד.