יומן אבטחה

יצא לי לעבוד לא מעט עם מנהלי אבטחת מידע על הדרכות אבטחת מידע. התפיסה הנפוצה בתחום הנה שעל ידי שינוי תודעתי ניתן יהיה לייצר שינוי התנהגותי. אם העובדים רק יבינו את המשמעות של סוגיות אבטחת מידע הם ינקטו בצעדים נכונים יותר וטובים יותר לארגון. נסיוני מראה כי ניתן לשנות התנהגות עובדים, אך זו דווקא אינה תוצאה של שינוי תודעתי. לכל הפחות לא במובן הרווח. במאמר מוסגר אני חייב לציין כי אני לא חסיד של שינויים תודעתיים; תפיסתי היא כי עובדים עושים כל מה שהם צריכים על מנת לעשות את עבודתם בצורה הטובה ביותר כפי שהם מבינים אותה. אבטחת מידע אינה חלק מהעבודה של איש מהעובדים (למעט מנהל אבטחת המידע וצוותו) ולכן אין טעם כלל לנסות לייצר איזו תודעה אבטחתית או אשליה לקיומה של כזו.

חשוב להבין עוד משהו, מאחר ועובדים אינם מבינים אבטחת מידע, שינוי תודעתי לא בהכרח יוביל לשינוי התנהגותי רצוי. עובד עשוי להבין כי וירוסים הם דבר מסוכן ולכן הצעד הבא שלו יהיה להוריד מהאינטרנט אנטי וירוס ולהתקין אותו במשרד כצעד מונע. לחילופין, עובד עשוי להבין כי מידור הוא חשוב ולכן ישמור את כל המידע הרגיש של החברה דווקא בכונן המקומי של המחשב שלו. מה שאני מנסה לומר הוא שניתוח אבטחתי שנראה לנו כה הגיוני אינו הגיוני ואינו תוצאה טבעית. הוא תוצאה של הכשרה מסוימת שחסרה לרוב העובדים ולכן עובדים רבים "בעלי מודעות" עושים תקלות כה רבות. ההגיון שאנו מפעילים שונה מההגיון שהם מפעילים (וזה בסדר גמור, פשוט צריך לקבל זאת כנתון). 

אם רוצים להדריך עובדים צריך להתמקד בשינויים התנהגותיים ולא תודעתיים. לשם כך צריך בראש ובראשונה לצמצם למינימום את המשאבים הנדרשים מהעובד על מנת ליצור סביבת עבודה מאובטחת. בהדרכה עצמה צריך לצמצם למינימום אפשרי את כמות התכנים לעובדים ולהתאימם בדיוק לשינויים הנדרשים. אנסה להמחיש באמצעות מספר דוגמאות:

• הדרכות רבות מתמקדות בסכנות מוירוסים. מה בדיוק אתם רוצים מהעובדים? שיידעו לזהות וירוס? על מנת לטפל בוירוסים צריך להשתמש בתוכנה מתאימה ולא לצפות מהעובדים להיות אנשי אבטחה. אם החשש הוא מדיה נתיקה, צריך לחסום במידת הניתן והיכן שלא לספק חלופות ראויות.    
• זיהוי אנשים לא מוכרים. ברור לכולנו שגורמים שמסתובבים במשרדים עלולים לגנוב מידע. עובד לא יידע לזהות כאלה גורמים אם לא ניתן בידיו כלים ראויים. כלים ראויים הנם מדיניות ותרבות של תעודות מזהות גלויות. כל הנחיה אחרת תעזור כמו כוסות רוח למת. 
• גלישה לאתרים מסוכנים. עובד לא יכול לזהות אתר מסוכן, גם אם ישימו לו אותו מול העיניים. אין טעם בכלל לנסות להדריך בנושא. אם זה מסוכן - אפשר לחסום וזהו. 

לעומת זאת, ניתן לספק הרבה מאוד תכנים בהדרכות לעובדים, אך אלו צריכות להיות ישימות ומנוסחות על דרך החיוב (הנחיות עשה, להבדיל מהנחיות אל תעשה). בכלל, כשרוצים לשנות משהו בארגון חשוב לייצר מערכת תהליכית תומכת. הצרה היא שברוב המקרים, כשמנהלי אבטחת מידע אינם מצליחים לייצר תהליכי עבודה תקינים מבחינה אבטחתית (כמו חובת שימוש בתעודות מזהות גלויות), הם מנסים להטיל על העובד לפתור את בעיית האבטחה (הבעיה היא כאמור זיהוי מבקרים). העובד אינו מסוגל לפתור בעיות מסוג זה ולכן אין טעם להטיל עליו משימות אלה. עובד צריך חמישה כללים שישתלבו לו בתהליך העבודה העסקי וישפרו את רמת האבטחה. זה הכל. אם אתם לא מסוגלים לצמצם את ההנחיות למשהו בנוסח זה, יש לכם בעיית תהליכים, נהלים וטכנולוגיה בארגון. תסדרו אותם לפני שאתם באים לעובד בדרישות. 

1. זמן ההרכשה של טביעות ביומטריות ייקח כ-10 דקות יותר מהזמן שהוא לוקח כיום. מרכיב הזמן לוקח בחשבון שישנם אנשים איטיים יותר מקוראי הבלוג ונודניקים יותר מקוראי הבלוג (בטח נתקלתם בהם בעבר בהמתנה לשירותי משרד הפנים). מניסיון אישי, הרכשה ביומטרית לוקחת זמן, בטח אם האזרחים לא מרוצים.
   
2. בכל גישה של אזרח להנפקת דרכון או תעודת זהות ללא תעודה מזהה קיימת, הבדיקה תכלול בדיקת שתי טביעות אצבע וצילום ביומטרי (שכן על כך נסמכת תפיסת האבטחה של משרד הפנים בכל האמור לשימוש בביומטריה) ולכן כל פנייה שכזו תארך אותן 10 דקות כמו בפעם הראשונה.
3. בחודש עבודה ממוצע של עובד משרד הפנים (22 ימי עבודה בחודש, יום עבודה של 8.5 שעות - נתוני המגזר הפרטי...) יש 1122 הנפקות אפשריות, אם העובד עוסק כל היום רק בהנפקות ואלו אורכות רק עשר דקות יותר ממה שלוקח היום (כלומר, ניקיתי את הזמן הקיים היום) ובשנה 13464 הנפקות.

• כאשר חוזרים מטיסה עוברים בביקורת הדרכונים. בארץ, בניגוד לכל שדה תעופה בו ביקרתי, החליטו לפצל את תהליך ביקורת הדרכונים לשני חלקים: ביקורת הנכנסים ושער הכניסה לאחר ביקורת הדרכונים. ברוב שדות התעופה, לאחר שהבודק סיים את בדיקתו הוא יפתח לך מעין שער קטן באמצעותו תעבור את ביקורת הדרכונים. האחראי לבדיקה ולמעבר לשלב הבא הוא אותו הגורם. בארץ לעומת זאת (אגב, זה כך גם ביציאה) לאחר סיום הבדיקה מקבל הנבדק פתק קטן (שלא לומר עלוב וקל לזיוף) אותו הוא אמור לתת לשוטר שניצב בשער הכניסה מאחורי ביקורת הדרכונים (בלי יכולת לראות מה קורה באיזור ההוא). מאחר וכמות השוטרים קטנה משמעותית מכמות בודקי הדרכונים (עכשיו באוגוסט היו שלושה כאלה וכעשר עמדות בדיקת דרכונים), תמיד יש לחץ באיזור המעבר. ביום שישי האחרון למשל, השוטר אליו פניתי היה כה עסוק שיכולתי לעבור שם שש פעמים בלי שהיה שם לב. המתנתי דקה עד שיחזור לעיסוקיו (אגב, הוא היה עסוק במענה לשאילתות מודיעין של תיירים) ואז נתתי לו את הפתק, עליו לא הסתכל כלל. כמה קשה אם כן להכנס לישראל עם דרכון מזויף? יותר קל ממה שנדמה ובטח יותר ממה שרצוי.
  
• עד כאן - ניתוח האבטחה. עכשיו לגבי ניתוח העלות - בהנחה ובמהלך השנה יש רק שוטר אחד (ולא שלושה כמו שהיו בשישי), ניתן להניח כי עלות מנגנון האבטחה הזה הוא 21 משמרות שבועיות של שמונה שעות שמבוצעות על ידי 4.5 שוטרים המבצעים כל אחד 5 משמרות שבועיות (לא כולל מפקחים). אלה עולים למדינה כל אחד לפחות 7000 ש"ח בחודש (לדעתי כפול מבחינת עלויות כוללות, בהנתן גם שבתות וחגים, אבל אני מעדיף להדגים את האבסורד עם נתונים מצומצמים). כלומר, פתרון האבטחה הזה עולה כל שנה כמעט ארבע מאות אלף ש"ח. מדי שנה. החלופה - בניית שערונים קטנים לכל בודק דרכונים בעלות של כמה אלפי שקלים לשער (מה שיציב את הפתרון באיזור של עד 150,000 ש"ח הקמה ונניח 30 אחוזי תחזוקה בשנה). וזה בהערכות אופטימיות לעלות הנוכחית ופסימיות לעלות האלטרנטיבית.
  
• לאחר שחזרתם לארץ והתפלחתם כיוון שבביקורת הדרכונים השוטרים היו עמוסים ובודקי הדרכונים לא משגיחים באמת מי עובר דרכם, החלטתם לקחת מונית. ביציאה משדה התעופה ישאלו אתכם כל מיני אנשים אם תרצו מונית. אלו הם החאפרים - החאפרים אינם באמת חאפרים, הם פשוט בעלי מוניות שלא משלמים לרשות שדות התעופה דמי מונית. בתור המוסדר מתייצבות כל המוניות המשלמות את דמי המונית של הרשות - אלו הנהגים המקוריים. לאחר שתעלו על מונית, אם בחרתם במונית "אורגינל", המונית תעצור בשולי הדרך לפני היציאה משטח שדה התעופה ושם תתעכבו על מנת לתת פתק עם אישור תשלום דמי מונית למפקחת. מה קורה אם נסעתם עם חאפר? הוא לא יעצור ולא יראה ששילם דמי מונית. פתרון האבטחה מתבסס על זה שהמפקחת תאסוף את הפתקים מהמוניות האמיתיות (רוב המוניות) בעוד שהיא רושמת את מספרי המוניות של החאפרים. בפועל, חוץ מלהפריע לנוסעי המוניות ששילמו דמי מונית להגיע למחוז חפצם, המפקחות אינן תורמות להגנה על נכסי הרשות. איך יוכלו אם הן צריכות גם לטפל במוניות שעוצרות וגם לרשום את מספרי המוניות החולפות בכביש מהיר, חשוך עם שלושה נתיבים?
  
• לאחר שברור למה הפתרון גרוע, בואו ננתח את העלות והחלופה. העלות היא 5 עובדים לאורך כל השנה (פה כבר צריך מפקח) והעלות לעובד היא 5000 ש"ח בחודש (מה שמציב את כולם בשכר מינימום). אני מתעלם מעלויות נגזרות כמו מדים, הסעת העובדים לחור שבו החליטו למקם אותם, תחזוקת המבנה הקטן שבנו להם, סיכונים מקצועיים (דריסה) וכדומה. הפתרון עולה כל שנה כמעט שלוש מאות אלף ש"ח ומספק רמת אבטחה ששואפת לאפס. הלוא בלאו הכי אלו שעומדים בתור משלמים את המיסים גם אם לא ינסו לתפוס אותם. החלופה היא לשים שלוש מצלמות עם תוכנה לזיהוי מספרי לוחות רישוי, מהסוג שמשתמשים בו בכביש 6. כאן אנו מדברים על תוכנה שממש תבדוק מספר רישוי בהצלבה לנתוני משרד התחבורה (מונית רשומה) והוצאת חשבונית תשלום בסוף כל חודש. מנגנון אבטחה אופטימלי שיגדיל את ההכנסות, אך כנראה שעלותו לפחות בשלב הראשוני עולה על לאיזור מאות אלפי השקלים. גם במקרה זה אני מעריך שבטווח זמן הפתרון הזה יהיה יותר כלכלי, כאשר משקלים לא רק את עלויות התחזוקה הנמוכות משמעותית אלא גם את העליה בהכנסות.

במוצר שלנו מנגנון ההרשאות נראה אחרת מהמקובל. במקום לאפשר למשתמשים לתת הרשאה לכל אובייקט במערכת אנו מנהלים הרשאות ברמה אחת בלבד - רמת הכספות. בתוך כל כספת ניתן לבנות עץ תיקיות שלם עם מגוון קבצים, כולם יקבלו את אותן ההרשאות היורשות מההרשאות ברמת הכספת. בהרבה מאוד מקרים, כאשר אני מציג מבנה זה ללקוחות או לקוחות פוטנציאליים אני נשאל האם יש לנו או תהיה לנו תמיכה בהרשאות ברמת האובייקט הבודד. ממבט ראשון זה באמת נראה כאילו שמנגנון ההרשאות שלנו חסר, אך בפועל לא רק שהוא לא חסר, אלא שהמבנה המוגבל שלו מאפשר לארגונים לנהל הרשאות ברמה אפקטיבית יותר. רוב הלקוחות המבקשים הרשאות ברמת האובייקט הבודד עושים זאת כיוון שאפשרות זו קיימת ברוב המערכות. הם לא עושים בה שימוש, אך עצם קיומה משרה ביטחון שניתן לעשות בה שימוש. בפועל, היכולת לתת הרשאות ברמת כל אובייקט מאפשרת לארגון לבחור שלא לקבוע מדיניות הרשאות סדורה (כיוון שמנגנון ההרשאות מאוד גמיש) וכתוצאה מכך הארגון מנהל מנגנון הרשאות גמיש מאוד (שזו דרך מנומסת לומר שיש לו בלגאן בהרשאות). דווקא המבנה של חדר הכספות, עם היכולת לתת הרשאות רק בנקודה אחת, יוצר מצב בו כל כספת מוגדרת בצורה מדויקת ובמבט חטוף ניתן לדעת מי המורשים לה ואף לנהל הרשאות אלה. ברוב המקרים התשובה שלי לשאלה אם תהיה תמיכה בהרשאות ברמת האובייקט (יש, יש) היא שלמרות שיש אני ממליץ לא לנהל כך את ההרשאות, כי זו אשליה לחשוב שניתן לנהל הרשאות ברמת אובייקט או תיקייה כאשר יש לך אלפי תיקיות (להבדיל מכמה עשרות או מאות כספות).

בהרבה מוצרי אבטחה כמות האפשרויות הופכת להיות אחד הקריטריונים לבחירה. אלא שברוב המקרים (לא בכולם) הלקוחות לא יודעים מה לעשות עם האפשרויות האלה ולאורך זמן אינם עושים שימוש באפשרויות או עושים בהן שימוש שגוי ובפועל מייצבים את רמת האבטחה על רמה נמוכה יותר מזו שהייתה מתקבלת אם היצרן היה בוחר לבד כיצד תיראה תצורת האבטחה ומכתיב זאת ללקוח. זה נכון שבעולם אידיאלי אפשרויות מרובות וגמישות אינסופית בהטמעה עדיפים. אבל זה לא עולם אידיאלי.

הרשימה הקודמת שלי היא אחת המוגבות בבבלוג (עשר תגובות...). אז חשבתי לענות לתגובות ברשימה נפרדת. לכאורה הרשימה עסקה בשאלה פשוטה - האם יש דבר כזה סיסמא פשוטה. והנה הבעיה האמיתית. מבחינה סטטיסטית, בהנתן התפלגות אחידה של סיסמאות, הסיסמא 123456 אינה חלשה או חזקה יותר מהסיסמא q1$%^d. שתי הסיסמאות נמצאות בתוך מרחב האפשרויות שנקרא סיסמאות בנות שישה תווים. מבחינה סטטיסטית טהורה, אם אני אדרוש מורכבות בסיסמא אני אחליש את מנגנון הסיסמאות (תחת הנחת ההתפלגות האחידה) כיוון שאוריד את כל הסיסמאות ה"פשוטות". אין לי כוח לחשב בכמה המערכת תיחלש, אך אני מעריך שזה משמעותי (מתנדבים לחישוב?).

עכשיו אחרי שסיימנו לדבר טכנית, בואו נדבר אנושית. משתמשים בוחרים סיסמאות קלות. בהנתן האפשרות, המשתמש הפשוט יעדיף (אולי) סיסמא כמו 123456 על פני הסיסמא q1$%^d. כך שאנו מסוגלים לקבוע ברמה סבירה של וודאות שהתפלגות הסיסמאות אינה אחידה אלא בעלת נטיה ברורה לכיוון הסיסמאות הקלות לזכירה. בתגובות לרשימה הקודמת שאלו יוסי וגנאדי מה מגדיר בכלל סיסמא פשוטה. נעזוב לרגע את ההגדרה, כי לצורך הדיון אני חושב שהגדרה פחות חשובה ולכן אתן מספר דוגמאות. סיסמא פשוטה היא כל סיסמא שלמשתמש ממוצע קל לזכור. אלו רצפים לוגיים (123456), רצפים ויזואליים (q1w2e3), רצפים שנשמעים טוב (omertaran), מושגים משמעותיים (תאריך לידה לדוגמא). כמות הסיסמאות הפשוטות עצומה למעשה. יותר מזה, אנשים נבדלים זה מזה בסוג הזכרון שלהם ובמה משמעותי עבורם.

עכשיו עולה השאלה הבאה. נניח לרגע שהעלמנו את כל הסיסמאות הפשוטות מהמערכת (פשוט בנינו רשימה של כל הסיסמאות הקלות ואיננו מאפשרים אותם). האם המערכת יותר מאובטחת? לכאורה כן. כעת יש רק סיסמאות קשות לניחוש. אלא שמה שהופך סיסמא לקלה לניחוש, או יותר נכון - מה שגורם למשתמשים לבחור סיסמא קלה על פני קשה, הוא (לדעתי) לא הקושי האובייקטיבי (ובלאו הכי מבחינה סטטיסטית כבר אמרנו שאין סיסמא יותר קשה מאחרת), אלא הקושי הקוגניטיבי. בהנתן עולם של סיסמאות מורכבות בלבד. מה משתמשים יעדיפו? את הסיסמא q1w2e3 או את W33$%g6? כנראה שאת הראשונה. ואם נעלים אותה (כי היא קלה), מה משתמשים יעדיפו? את הסיסמא W454E$$# או את הסיסמא yRu2?IM2 כנראה שאת האחרונה. כך שלמעשה בכל מאגר סיסמאות נוכל לדעתי למצוא אחוז של סיסמאות סביר יותר לשימוש, ללא קשר ל"מורכבות" שלהם.

אני מסכים עם ההערה של ניב מהתגובות לרשימה הקודמת, שחוזרת על משהו שכתבתי כבר בעבר, כי אם מנגנון הסיסמאות בכללותו בנוי טוב (קובץ סיסמאות לא נגיש ומוצפן בצורה נכונה, נעילת משתמש לאחר מספר נסיונות, אורך מינימלי וחינוך משתמשים), אין משמעות אמיתית למורכבות. אני אגב מדריך משתמשים לבחור סיסמאות קלות לזכירה ומשמעותיות עבורם. בפירוש כאלה שניתן להגדיר כקלות. אני מעדיף סיסמא "קלה" בראש מסיסמא "מורכבת" על פתק או קובץ (אני גם ממליץ לבחור סיסמא שלא תהיה קלה לניחוש).

אני לא חסיד בכלל של דרישה של סיסמאות מורכבות. לדעתי הדרך הנכונה לגשת לעניין הסיסמאות הוא סביב חינוך המשתמשים והצבת גבולות מנחים בלבד (אורך מינימלי וזהו). כל שאר הדברים אמורים להיות מטופלים על ידי המערכת עצמה.

ברשימתי הקודמת שעסקה בתקלות אבטחת מידע שמקורן בעובדים, טענתי שההתמודדות עם עובדים צריכה להיעשות דרך קבלת הפסיכולוגיה האנושית ולא דרך ניסיון "לתקן" את הזן האנושי. אני רוצה להבהיר מספר נקודות:

• העובדה שאני מתייחס להתנהגות אנושית כנתונה אינה מהווה טיעון כאילו לא ניתן להתמודד עם הגורם האנושי באבטחת מידע. אני מאמץ את הערתו של ניב בתגובות שיש להתייחס לעובדים כאל מערכת מיושנת שלא ניתן להטמיע בה אבטחה ויש להשתמש בבקרות מפצות. במקביל להנחה זו יש לפעול לשינוי התרבות הארגונית שכן זו אכן ניתנת לשינוי, אך לא מיידית.
• טענתי כי ההתמקדות במקרי קיצון כתרחישי איום מזיקה. לא התכוונתי לטעון כי תרחישי קיצון אינם אמורים להטריד או שלא אמורים להתמודד איתם, אלא שתרחישי קיצון, על כל הנזק הכרוך בהתממשותם, הרבה פחות סבירים ולא בהכרח מהווים את גורם הסיכון הראשון במעלה. ההתמקדות שלנו בתרחישי קיצון נובעת מעצלנות בלבד ולא מהיגיון אבטחתי מוצק. לשנות דפוסי חשיבה בתוך הארגון מאוד קשה, הרבה יותר קשה ומורכב מלהתמודד עם תרחיש קיצון שלטובתו ניתן לרכוש איזו טכנולוגיה. צריך להתמודד עם שניהם, אך כרגע האיום האמיתי נמצא בטיפול חסר לטעמי.
• אחת הטעויות הנפוצות בהקשר זה הוא הטיפול באירוע אבטחה כאירוע נקודתי. אחת המטרות שלנו בטיפול באירוע אבטחה הוא (אם לצטט את קליפורד גירץ, בערך...) לראות את הדומה בשונה. כלומר לראות מה לא חריג במה שקרה ומדוע זה יכול לקרות שוב. פעמים רבות אנו נוטים להניח כי העובדים שגורמים נזק או תקלות אבטחת מידע לארגון נגועים במניעים זדוניים. אחת מהטיות החשיבה הקלאסיות היא טעות הייחוס (לא זוכר את המינוח המדויק) - אנו נוטים לייחס הצלחות שלנו לגורמים פנימיים לנו (חוכמה, ידע וכדומה) וכישלונות לגורמים חיצוניים (הרצפה עקומה, המנכ"ל דפוק וכדומה). אותו הדבר, רק הפוך עם אחרים. הצלחתם היא פועל יוצא של גורמים חיצוניים וכישלונות לגורמים התלויים בהם ישירות. אני לא בטוח אם יש קשר ישיר בין המושג התיאורטי הזה לטענתי, אך נראה לי שהנטייה הטבעית שלנו היא להניח שעובדים שגרמו נזק עשו זאת בגלל גורמים פנימיים (ממורמרים, בעלי כוונות זדון וכדומה). הנחה זו יכולה להיות מכשלה רצינית אם ברצוננו לשפר את רמת אבטחת המידע בארגון - כדי לעשות זאת אנו חייבים להניח כי העובד עשה את התקלה ממניעים חיוביים. כי הנחת מניע שלילי מובילה אותנו לחריג, למקרה שקורה פעם בכמה שנים. אך הנחה בדבר מניע חיובי עשויה לפתוח לנו נקודת מבט על איך כל אחד מהעובדים יכול לגרום את אותו הנזק בכל רגע נתון - רק בגלל שניסה לעשות את עבודתו.
• ברשימה מעניינת של בועז רונן ב-themarker (גיליון מודפס, לא מצאתי את העותק המקוון) הוא כותב כי ארגונים נוטים לטפל בבעיות מזדמנות יותר מאשר בבעיות קבועות ומוצאים דרכים להצדיק את קיומן של הבעיות הקבועות. כך שטיפול בתאונות דרכים מוסבר באמצעות "הגורם האנושי", אך כאשר רכבת נתקעת במכונית מייד מקימים וועדת חקירה. כך מטפלים במקרים שבגללם נהרגים בממוצע כמות זעומה של אנשים ומזניחים את הטיפול בבעיה החמורה יותר שהורגת מאות כל שנה. אני חושב שזה סיכום טוב לטיעון שלי לגבי הטיפול בגורם האנושי.

אז איך בכל זאת עושים זאת? כמו שאמרתי, ההתחלה היא להכיר בכך שאנשים הם אנשים. בדיוק כמונו הם מעגלים פינות וחותכים נהלים שלא מתאימים להם. כדי לבנות מערכת אבטחת מידע טובה ברמה הארגונית, אין ברירה אלא לבנות מערכת גמישה שתיקח בחשבון את הצרכים של העובדים. הנחת היסוד צריכה להיות שאבטחת מידע חשובה כל עוד היא תורמת לתהליכים העסקיים של הארגון. בבחירה בין להעביר סיסמא לעובד אחר או לקדם תהליך מכירה, כל עובד יבחר במכירה. לכן אנחנו צריכים לזהות את הקונפליקטים הפוטנציאליים הללו ולנטרל אותם מבעוד מועד. במקום לשים את העובדים במקום בו הם צריכים לבחור בין המנהל הישיר למנהל אבטחת המידע, החוכמה היא לנטרל את הקונפקליקט כך שביצוע הנחיות המנהל משמעותו גם קיום תהליכים מאובטחים.

משרד המסחר הבריטי הקצה 4 מיליון לירות שטרלינג למחקר שמיועד לטיפול בגורם האנושי בתחום אבטחת המידע. כולם יודעים לצטט משפטים כמו "הגורם האנושי הוא החוליה החלשה", "אבטחת מידע אינה בעיה של טכנולוגיה, אלא בעיה של אנשים" וכדומה. מה שיפה באמרות שפר זה מרגע שאמרת אותן אתה פטור מלנסות לעשות איתן משהו (אבל זו רק הערה צדדית). אלא שנדמה שלמרות שברור לכולם כי חלק גדול מתקלות האבטחה מגיעות מעובדי הארגון, ארגונים אינם מצליחים להתמודד עם הסוגיה בצורה אפקטיבית.

לפני כחודש היה לי דיון נוקב עם מנהל אבטחת מידע באחד הגופים הפיננסיים בארץ. אני טענתי (ואני ממשיך לטעון) כי אנשים אינם בעיית אבטחת מידע אלא יש לראות בהם אילוץ שאינו משתנה ואילו הוא התעקש להתייחס אליהם כאל בעיית אבטחה. הוא לא לבד בסיפור, זה בטוח. הרבה מנהלי אבטחת מידע מתייחסים לגורם האנושי כאל "בעיה". הגישה הזו היא הסיבה שמנהלי אבטחת מידע אינם מצליחים לטפל בגורם האנושי. ההתייחסות לעובדי הארגון (למעשה לכל הארגון) כאל בעיה שקולה לאמירה שהמדינה בסדר, צריך רק להחליף את העם. זה נחמד בתור בדיחה, אך לא ניתן לבסס על טיעון כזה אסטרטגיה.

מאידך, ההתייחסות לעובדים כאל אילוץ במשוואת התכנון שלנו מובילה אותנו להכרה כי ישנם מנגנונים פסיכולוגיים בסיסיים המשותפים לכל העובדים אותם אנו לא יכולים לשנות. מאחר והעובדים הם הרוב ומאחר וניתן לאפיין את ההתנהגות שלהם, אך קשה מאוד לשנות אותה, כל שעלינו לעשות הוא לתכנן את מערך האבטחה סביב אילוצים אלה ולנסות לרתום אותם לטובתנו.

אתן דוגמא קטנה. משתמשים רבים מעבירים סיסמאות מאחד לשני. על פי הגישה הנפוצה העובדים הם בעיה ומעבירים סיסמאות כיוון שכעובדים בעייתיים הם נוטים לזלזל בנהלים. המסקנה המתבקשת היא אכיפה מוגברת. לדעתי, בבסיס תהליכי העברת סיסמאות בין עובדים ישנן הנחות מסוימות שצריך לחפש. ברוב המקרים אני מגלה כי עובדים מעבירים סיסמאות כיוון שאין להם ברירה אחרת או כיוון שמכל נקודת מבט זהו הצעד ההגיוני ביותר לעשות. הפתרון ברוב המקרים הוא לספק לעובדים כלים מתאימים כך שלא יזדקקו להעברת סיסמאות. לדוגמא (מאותו ארגון) עובדים מעבירים סיסמאות כי צוות הסיסטם לא מקים הרשאות מהר מספיק, כך שעובדים חדשים יכולים להיות חודש בעבודה ללא הרשאה לרשת. ברור שבמצב הזה עובדים חדשים יעשו שימוש בהרשאות של עובדים ותיקים. זה הצעד ההגיוני. הטיפול בבעיה הוא טיפול בתהליכי העבודה של הסיסטם ולא אכיפה משמעתית מול העובדים.

בכלל, אני מניח לצורך עבודתי שעובדים הם אנשים טובים בעלי כוונות טובות. מבחינת ניתוח אבטחתי גיליתי שפרספקטיבה כזו הרבה יותר אפקטיבית. הכי קל לנסות לאתר מה עובד בעל כוונת זדון יכול לעשות לארגון. הבעיה היא שזה לא יוביל אותנו רחוק כיוון שזה יגרום לנו להתמקד בתרחישי קיצון (לא חסרים כאלה) בעלי סבירות נמוכה למימוש. לעומת זאת, אם ננסה למצוא את הדרכים בהן העובד הטוב, שמחפש את טובת הארגון, עלול לפגוע באבטחת המידע, שלא מרצונו, נגיע לתרחישים מציאותיים שיחשפו בפנינו ליקויים בתהליכי העבודה בארגון.

בשבועיים האחרונים שני אירועי דלף מידע ממחישים לכאורה את הצורך במערכות DLP (ראשי תיבות של Delef Lemeida Prati), המטפלות בדלף מידע. אני כותב לכאורה כי בשני המקרים מדובר על דלף של כתובות דואר אלקטרוני שדרכן ניתן להקיש כמובן על קהל הלקוחות. המקרה הראשון הוא של אל-על שבטעות שלחה לכל הלקוחות העסקיים דואר אלקטרוני המכיל את כתובות כל הלקוחות. והרשות הטכנולוגית לטכנולוגיות מידע והגנת הפרטיות כבר החלה לחקור (אני תוהה מה לרשות ולסוגיה הזו, הסברים יתקבלו בברכה). המקרה השני דומה מאוד וקרה רק מספר שבועות אחרי לבית ההשקעות מיטב.

ברור שאם אשאל מנהל בארגון מהו מידע רגיש בארגון, רשימת הלקוחות תופיע היכן שהוא ברשימה. היכן? לא במיקום מאוד גבוה, אך היכן שהוא. אי שם מתחת לשכר העובדים, נתונים כספיים, אסטרטגיות שיווק וכדומה. אבל בכל זאת נתון רגיש. אלא שכל מה שדלף זה כתובות דואר אלקטרוני. מי שראה פעם עבודת מודיעין יודע שמודיעין הוא סוג של פאזל. ובפאזל כמו בפאזל, גם החלק הכי בנאלי הוא בעל משמעות אם אתה מצליח למקם אותו במקום הנכון. הבעיה המרכזית של ארגונים היא שפעמים רבות הם מבינים את משמעות המידע רק לאחר שדלף. עד אז זו רק הייתה רשימה של כתובות דואר אלקטרוני. אולי היא הוגדרה נכס רגיש ואולי אף אחד לא חשב שיש משהו מטריד ברשימה של כתובות דואר אלקטרוני, שאינן מוגנות מתוקף חוק הגנת הפרטיות, שאין בהן מידע אישי או התייחסות לעסקים עצמם. שתי האפשרויות סבירות. מה שבטוח הוא שעבור הפלח העסקי אוסף של כל רשומות הדואר האלקטרוני בנקודה אחת הופכת את המידע הכה טריוויאלי לרגיש. אגב, אני לא בטוח אם זו כזו דרמה לנמענים, כמו שזה נזק תדמיתי לאל על, פשוט כיוון שזה נחשף בעיתון.

כך שבפועל מה שעשוי להיות סתם רשימת דיוור בנקודה אחת בארגון יכול להפוך לחומר נפץ במקום אחר בארגון. בהרצאות שאני מעביר על הנדסה חברתית אני מדגים איך מידע לכאורה חסר משמעות - חוברת הדרכה למערכת מידע - יכול לשמש תוקף מיומן לצורך הוצאת מידע עסקי רגיש. כך שמצד אחד כל מידע הוא בעל פוטנציאל להפוך להיות מידע רגיש ביותר ומצד שני הכללות הנן בדיוק הדרך לייצר יותר מדי תחושת אבטחה ופחות מדי אבטחה. בקיצור, זו רשימה בלי פתרונות. רק בעיות. התחלתי בכך שלכאורה זה מסביר מדוע צריך מערכות DLP והלכאורה קיים שם כיוון שבמערכות DLP צריך לומר למערכת מה רגיש. בשביל זה צריך לדעת.