יומן אבטחה

בהמשך לרשימה הקודמת שעסקה בשאלה מיהו מומחה אבטחת מידע ובהשראת הרשימה של אורי ברוכין, הרשו לי להציג את עשרת החטאים הנפוצים של מומחי אבטחת מידע (לא לפי סדר חשיבות):

1. השענות מוגזמת על טכנולוגיה. אבטחת מידע קיימת לשם מטרה מסוימת, לרוב עסקית, לעתים ארגונית אך כמעט אף פעם לא טכנולוגית. הטכנולוגיה הנה אמצעי חשוב ומרכזי, אך ישנם עוד היבטים לאבטחת מידע. לחלק למשתמשים כרטיסים חכמים עם מפתחות פרטיים והצפנות קצה לקצה בשכבה השביעית נשמע מעולה, אבל אם כולם משאירים את הכרטיסים תקועים במחשב לא התקדמנו הרבה מבחינת רמת האבטחה. מומחה אבטחת מידע אמור לכסות את כלל הזויות, גם זו.
2. היכרות מועטה מדי של הטכנולוגיה. כולנו מגיעים עם סדר יום מסוים שמבוסס על הנסיון והידע הנצבר שלנו. זה בסדר כל עוד לא נותנים לזה לשבש את צורת החשיבה. יותר מדי מומחים מנסים לפתור בעיות אפליקטיביות בדרכים תקשורתיות או להיפך, פשוט כי הם מפתחים בהשכלתם או אנשי תקשורת בנסיונם. מומחה אבטחת מידע אמור לספק ראייה אינטגרטיבית טכנולוגית ולזהות נקודות כשל בכל הרמות. זה בסדר לא לדעת, כל עוד המומחה מודע לזה ולא מציג מצג שווא.
3. חוסר היכרות טוטאלי עם תחום ההצפנה. אף מומחה אבטחת מידע לא חייב להבין בהצפנה. אבל מכיוון שהצפנה זה תחום מאוד סקסי, שמאוד קל להתייחס אליו ולהיראות חכם, יותר מדי מומחים מספקים פתרונות הצפנה או חוות דעת הצפנתיות בלי להבין באמת מה הם עושים (או מה הצפנה עושה). כך שפעם באה שאתם שומעים מישהו אומר שפרצו את sha-1 תשאלו אותו מה זה אומר ואם הוא יודע לקחת גיבוב ולחלץ ממנו סיסמא.
4. שימוש מוגזם במידע אנקדוטלי ולא בדוק. לדוגמא - רוב התקיפות מגיעות מבפנים/רוב התקיפות מגיעות מבחוץ. מישהו יודע על סמך מה מבוססות האמירות האלה? מישהו בדק את הנתונים? מישהו קרא את הסקרים השנתיים (שאגב, שאלת המהימנות והתוקף שלהם מעולם לא עלתה לדיון רציני). נייר עמדה שנכתב עבור הקונגרס האמריקאי מציג נתונים מעניינים - שאין באמת נתונים תקפים עבור יותר מדי דברים.
5. חוסר הבנה בניהול אבטחת מידע. רוב המומחים לא ניהלו אבטחת מידע בארגון ובכל זאת מחשיבים עצמם מומחים באיך לנהל אבטחת מידע (והרי הם מייעצים למנהלי אבטחת מידע). עזבו אותכם מפוליטיקה ארגונית, עזבו אותכם מניהול תקציב ותוכנית עבודה רב שנתית. שימו פיירוול אפליקטיבי ואתם בסדר.
6. Best Practices. שם הקוד האהוב עליי. מסתיר מאחוריו את האמירה - ניתוח איומים זו עבודה מורכבת שלאחריה צריך לקבל החלטות אמיתיות. למה שלא פשוט תקנה את כל מוצרי האבטחה שיש ותתקין אותם? Best Practices הפך ממונח שמתאר מקצוענות למונח שמתאר עצלנות. (לשם הבהרה - לעתים זה נכון להשתמש ב-Best Practices).
7. וויתור כליל על הסקת מסקנות. לקוח מציג בעיית הזדהות, במקום לנסות להבין מה לא טוב בקיים - חוזרים על אותם טעויות רק עם טכנולוגיה חדישה (ויקרה).
8. שימוש שגוי וחוסר היכרות עם מודלים תיאורטיים. כולם יודעים מה זה CIA, AAA וכן הלאה. כמעט אף אחד לא עושה בהם שימוש אמיתי, שימוש בכלל, או שימוש נכון. להגיד ללקוח שהמטרה היא להגן על סודיות המידע, זמינותו, שלמותו ואמינותו זה לא שקר. זה פשוט לא תורם שום דבר מבחינה מקצועית. אצרף למשפט זה גם חוסר היכרות עם חומרים מקצועיים. יש שפע של ספרות בנושא אבטחת מידע וניתן ללמוד המון מאנשים אחרים. משום מה בתחום אבטחת המידע קיימת תחושה כאילו זה תחום שכולו נסיון hands on ואפשר לוותר על ספרות מקצועית.
9. תסמונת שטוקהולם, או הזדהות יתר עם גורמי התפעול. מגיע מומחה אבטחת מידע ובמקום לחשוב כל הזמן מה יכול לגרום למערכת לא לעבוד, הוא מתחיל להסביר למה זו מערכת מעולה ואיך אפשר לשפר את הביצועים שלה. לא בשביל זה משלמים לכם כסף!!
10. אחרון חביב - היעדר ביקורת עצמית.
11. אחד אחרי אחרון חביב, שימוש מוגזם באלגוריתמים פחוסים. אלגוריתם פחוס הוא אלגוריתם "פחד, חוסר וודאות, ספק". או בקצרה - אם רק תפחיד את הלקוח שהאקר יכול להשבית לו את כל החברה אולי הוא ישכור אותך כיועץ. אבטחת מידע צריכה להבנות מתוך בטחון בצרכים העסקיים ולא מתוך פחד מהלא נודע. גם הלקוחות מבינים את זה. לפעמים.

ואחרי כל זה אומר רק שיש אנשי מקצוע שבאמת מבינים באבטחת מידע בארץ. אבל יש גם שרלטנים.