יומן אבטחה

1. זיהוי חד חד ערכי של הבוחר: אין שום קשר בין זיהוי הבוחרים להצבעה בבחירות אלקטרוניות. הזיהוי יבוצע בדיוק כמו שהוא מבוצע היום, על בסיס תעודה מזהה לא חכמה שהונפקה על ידי המדינה. בהתייחס להגבלת האפשרות להצבעה כפולה - גם במקרה זה, מאחר ולא מתבצע רישום של מי קיבל איזה כרטיס חכם, ניתן להצביע הצבעה כפולה ולאתר אותה בדיוק כפי שזה היום. באותה המידה לא ניתן יהיה לדעת מי הצביע הצבעה כפולה. לעומת זאת, אם מישהו יחליף כרטיס חכם תקני בכזה שמריץ קוד שמיועד לזייף את רישום מכונת ההצבעה עצמה חברי הקלפי לא יוכלו לזהות זאת (היום כל קלפי חותמת על המעטפות שלה עצמה על מנת שתוכל לזהות שהמעטפות נופקו על ידה).
2. קיצור זמן ההצבעה של כל מצביע ולפיכך צמצום מספר הקלפיות. הניסיון בישראל מלמד שזמן ההצבעה מתארך ולא מתקצר. יתר על כן, הבעיה המרכזית בקלפיות היא ההתפלגות הלא אחידה של המצביעים על פני שעות היום (את זה אני אומר מניסיון אישי כיושב ראש קלפי) שיוצרת עומס ולא כמות המצביעים בקלפי. גם עם קלפי אלקטרוני הרגלים אלה צפויים להשמר.
3. מניעת הצורך בהפקת חומרי בחירות חד פעמיים. לא נכון - עדיין יהיו מרכיבים חד פעמיים כמו שילוט, פרגודים וכדומה. אבל שימו לב לנתון שלא מספרים לכם - עלות כל כרטיס חכם כזה היא סדר גודל של פי כמה מאות מאשר כרטיסי הנייר. הכרטיסים עצמם גם מתקלקלים. התוכנה דורשת שדרוג מעת לעת. רישיונות התוכנה עולים כסף כל שנה (להבדיל מפתקי נייר) לצורך קבלת תחזוקה. כל קלפי כזה יזדקק למחשב (ואולי מחשב גיבוי?). אני אשמח לראות מודל כלכלי שיראה האם בכלל אי פעם בחירות אלקטרוניות יהיו זולות יותר, בהתבסס על הנחות אמיתיות של אחוז אובדן, תקלות וכדומה. כמו כן, צריך להוסיף תלות של המערכת בהפסקות חשמל להבדיל מבחירות ידניות וכדומה.
4. צמצום משמעותי של הקולות הפסולים. מאחר ואין נתונים על התפלגות הקולות הפסולים (כמה מתוכם אלו פתקים לבנים אידיאולוגיים) אין ביסוס לטענה זו. עם זאת, כנראה שיהיו פחות טעויות. ועדיין - אם בוחר שם מספר פתקים מאותו סוג בקלפי מקבלים את הצבעתו. לא נתקלתי במעטפה עם מספר פתקים שונים וגם אם כן - האם זו טעות או אידיאולוגיה? כך שקשה לדעת האם טיעון זה הנו בעל משמעות כלשהי להליך הבחירות בישראל.
5. חסימת אפשרויות לזיופי בחירות: זו טענה יהירה שאינה מבוססת המציאות. אנקדוטה ממחישה - ישבתי בעבר על איפיון של פתרון אבטחה עם מומחה אבטחה מהסקטור הציבורי ושאלתי אותו מה אם הנחת היסוד שלו לגבי חוזק רכיב התוכנה שפיתח כושלת, אילו מנגנוני הגנה חלופיים יתמכו בכשלון זה. התשובה שקיבלתי הייתה שזה לא יכול לקרות ולכן לא צריך חלופות. אם לצטט את ברוס שנייר, כל אחד יכול לתכנן מערכת שהוא עצמו לא יוכל לפרוץ. חוכמה גדולה.
6. מיידיות בספירת הקולות: שוב, חוסר הבנה של תהליך הבחירות. שני מרכיבים מאטים את תהליך הספירה: הספירה בקלפי - זו לא תשתנה כיוון שיהיה צורך להוציא כרטיס כרטיס ולבצע רישום שלו (מקביל להוצאת המעטפות לעיני כל חברי הקלפי). המרכיב השני הוא הסעת הקלפי עצמה למוקד הבחירות האיזורי ורישום הנתונים במחשבי משרד הפנים (כל הקלפיות מגיעות באותה השעה כך שנוצר עומס). שני גורמים אלה לא צפויים להשתנות (זוכרים שמדובר על מחשבי Stand Alone?), כך שהאשליה שמשהו יהיה יותר מהיר מבוססת על פנטזיות.
   
7. צמצום משמעותי בערעורים. יופי - עכשיו שלא ניתן לערער כי לא ניתן להבין את התהליך אלא אם אתה ספק התוכנה, אז יהיו פחות ערעורים. זה שקול לטענה שאם נמנע מאזרחים את זכות העמידה בבג"צ יהיו פחות פניות לבג"צ וזו תהיה עדות לכך שהמדינה מתנהלת טוב יותר. התהליך בכללותו יהיה פחות דמוקרטי וזה נתפס במשרד הפנים כדבר טוב.
   

1. אתחיל מההערה האחרונה לפיה אין ולא צריך להיות קשר בין מדיניות סיסמאות למדיניות נעילה ואחד לא יכול לכפר על השני. את טענה זו אני לא מקבל (בלשון המעטה). מדיניות אבטחה צריכה להשקל כמכלול. אם אנו מתעלמים ממדיניות נעילת משתמשים, גם סיסמאות של 8 תווים אינן ארוכות דיין בהכרח. אלא שמדיניות נעילת משתמשים היא זו שהופכת את סיסמת כרטיס האשראי שלנו למאובטחת יחסית (הכרטיס נבלע לאחר 3-5 נסיונות), למרות שמדובר בספרות בלבד ורק בארבע כאלה. בוודאות מדיניות נעילת משתמשים יכולה לפצות על מדיניות סיסמאות חלשה ולמעשה ברוב המקרים המלצתי תהיה לעשות בדיוק זאת. אני מעדיף נעילת משתמשים וסיסמא ארוכה על פני דרישה לסיסמא מורכבת, למרות שמדיניות סיסמאות שכזו לכאורה מחלישה את רמת הסיסמאות במערכת.
2. בפועל, על מנת להעריך את מדיניות הסיסמאות של הבנק מבחינה מעשית עלינו לבחון את ההתנהלות בפועל של משתמשים בבחירת סיסמאות. כפי שמתברר מעת לעת במערכות צופן קלוקלות, העובדה שמרחב המפתחות האפשרי עצום אינה משליכה בהכרח על המימוש בפועל. הטענה הסמויה כי סיסמאות של משתמשים שמאפשרים להם לבחור סיסמאות באורך בלתי מוגבל ובעלי אפשרויות מורכבות חזקות יותר בפועל (לא בפוטנציה) מהסיסמאות של משתמשי דיסקונט היא טענה שאני לא מכיר לה סימוכין במחקרים (ואשמח לקבל כאלה סימוכין). בהחלט ייתכן שמשתמשים של מערכות סיסמאות עם דרישות מורכבות ייבחרו כולם באותו מבחר סיסמאות: Q1w2e3, Q1a1z1 וכדומה. אני מעריך שהנטיה הבסיסית של משתמשים היא לבחור בסיסמאות נוחות, כנראה רצפים מסוגים שונים.
   
3. על מנת להעריך את חוזק מערך ההזדהות (להבדיל מחוזק מדיניות הסיסמאות שהוגדרה) של הבנק חסרים נתונים אודות גיל סיסמא נדרש, גיל מינימאלי, הסטוריה של סיסמאות ופתרונות נוספים (כמו מעקב סטטיסטי אחר שימוש בחשבון). אני לא אוהב את הכיוון של דיסקונט, אך קשה לטעון שהוא פתוח לפריצה.
4. אני מעריך שאילוצים אלה נובעים ממגבלות טכנולוגיות ולא ממדיניות אבטחה ואני תוהה מה המשמעות של אמירה זו (במידה והיא נכונה).
   
5. לגבי טענת ה-DoS - ציין ניב בתגובות שניתן לנעול משתמשים בכל מדיניות סיסמאות ובכך הוא צודק. זו טענה חסרת שחר.
6. גיא מציין כי ניתן לנעול כמות רבה של משתמשים ולנצל את העומס על המוקד להנדסה חברתית - זו טענה שעשויה להיות נכונה, אך ישנן דרכים לצמצם חשיפה זו (כמו לצמצם את שיקול הדעת של המוקד הטלפוני בזיהוי לקוח לפרוצדורות מוגדרות). זו בדיוק הסיבה בגללה מערכי אבטחה בארגון צריכים להיבחן כמכלול תוך ביצוע ניתוח סיכונים שיטתי ולא בצורה נקודתית-טכנית.

הסיבה המרכזית לדלדולו של הבלוג בחודשים האחרונים היא שנולדה לי תינוקת לפני כחמישה חודשים ואני מתקשה למצוא שעות ערות ועירנות. הגיעה שעתה של הפעוטה החמודה (מאוד) ללכת לפעוטון. בדקנו פה, בדקנו שם, ראיינו, שאלנו, חיפשנו המלצות וכיוצא באלה דברים שהורים עושים. מצאנו מקום שנראה מוצלח, עד אשר סיפרה לנו הגננת (בגאווה, יש לומר) שבגן יותקנו מצלמות אבטחה שיאפשרו להורים לבחון את הנעשה בגן. בעקבות רצח תאיר ראדה וההצעה לעשות שימוש במצלמות אבטחה בבתי ספר כתבתי על משמעויות מהלך זה והאפקטיביות שלו (כאן וכאן).

חששם של ההורים בגן מובן. בייחוד לאור כתבות תחקיר המפורסמות מעת לעת וחושפות מקרי התעללות בילדים. אלא שחשש זה מוביל לנקיטת צעדי "אבטחה" שבעיקר פוגעים במטרה שלשמם הוקמו ואינם מסייעים לאבטחה (או במקרה הזה לבטחון הילדים). והנה הסיבות המרכזיות:

• כפי שכתבתי בעבר, מחקרים מראים שמצלמות אבטחה אינן מסייעות בהפחתת רמת הפשיעה. אמנם מחקרים אלה אינם מתייחסים לגני ילדים, אך אין סיבה ממשית להעריך שהמצב שונה. גננת המעוניינת להתעלל בילדים באחריותה תמיד תמצא פינה שאינה מכוסה במסגרת מערך הצילום שנפרש בגן. לכל היותר, מצלמות אבטחה בגן ילדים יגרמו להתעללות יצירתית, כאילו שזה מה שחסר לנו בחיים.
• רוב הצילומים על גננות או גננים מתעללים בוצעו באמצעות מצלמות נסתרות. התקנת מצלמות גלויות, שמיקומן ידוע אינו שקול להתקנת מצלמה נסתרת. התקנת מצלמות נסתרות לאחר יידוע הצוות על קיומן שכאלה (ללא חשיפת מיקומן) אמנם יכול לשמש כגורם מרתיע, אך באותה המידה יכול להכניס אוירה של חשש וחשדנות לגן ילדים. בדיוק האווירה הנחוצה להתפתחות תקינה של עוללים. האפשרות האחרונה של שימוש במצלמות נסתרות ללא יידוע הצוות אינה באה בחשבון ומפירה את פרטיות הצוות.
• אנשים אינם מתנהגים אותו הדבר בפני המצלמה ושלא בפניה. ברוב המקצועות אין משמעות רבה להשפעה זו, כיוון שהמרכיב הרגשי/חברתי אינו נוכח בצורה דומיננטית בעבודה. בגן ילדים מרכיב זה דומיננטי ולכן שינוי התנהגות הצוות שכעת צריך לשחק לעיני המצלמות עלול לפגוע בצורה משמעותית בתפקוד הצוות ולפגוע בילדים.
• כאשר נותנים להורים גישה למצלמות הגן בזמן אמת (וגם לא בזמן אמת) הופכים את גן הילדים למופע רייטינג. לכל הורה (אני מניח/מקווה) קשה לראות את הילד שלו בוכה, מקבל מכה וכדומה. אלו מצבים טבעיים לחלוטין, שכאשר הם קורים בסביבתנו אנו מטפלים בהם בצורה שקולה. בין היתר כיוון שיש לנו את היכולת לראות את ההקשר המלא של האירוע. בצילום אין הקשרים - לא ניתן לעקוב אחר כל מה שקורה כל הזמן וניתן (בסופו של דבר) רק לשים לב שהילד בוכה או חטף מכה. כתוצאה מכך הורים יתערבו בניהול התקין של הגן ללא שיש להם כלים מתאימים וללא הצדקה.
• מאחר ולא כל ההורים יעשו זאת, התוצאה תהיה אסימטריה בהתפתחות הגן - יהיו מספר הורים שישפיעו יותר בצורה שהם מאמינים שטובה יותר לילדיהם, תוך הפקעה חלקית של שיקול הדעת של הצוות.  

מצלמות בגן ילדים הן רעיון גרוע. אם לחזור רגע לעולם אבטחת המידע בכללותו, ניתן לומר כי כל פתרון אבטחה משפיע על המציאות ויוצר בעיות חדשות. זה לכשעצמו אינו צריך להרתיע אותנו מיישום פתרונות אבטחה או חיפוש כאלה, אך זה אמור למנוע מאיתנו להסתכל על כל פתרון שהוא כפתרון קסם ולנסות לבחון את השפעות הפתרון הנבחר. במקרה של גני ילדים אין תחליף לפיקוח של הורים, פיקוח ניהולי, קשר בין הורים (על מנת לבנות תמונה שלמה יותר של המתרחש בגן) והקשבה לילדים. מצלמות זה דבר מצוין, בשביל תמונות סוף שנה.

ואנקדוטה אחרונה מהגן ומפתרונות אבטחה - המנהלת הסבירה לנו שיותקן אינטרקום בשער הכניסה המוביל לדלת הפעוטון. לכאורה אמצעי אבטחה מעולה. בפועל, לא ניתן לפתוח את דלת הפעוטון מבחוץ, כך שזהו אמצעי מיותר והשער עצמו מצוי במקום חשוף לגשם ורוח, מה שמעלה את הסבירות שבימים חורפיים הוא יושאר פתוח על מנת שלא לעכב הורים עם תינוקות בגשם. אבל זה עוד אמצעי שקונה שקט של הורים ומסיט את תשומת ליבם מהעיקר.  

הרשימה הזו הייתה צריכה להיכתב מזמן כנראה, אך אולי עדיף מאוחר מלעולם לא. מדינת ישראל הולכת בדרך כל בשר ומתכננת להכניס לשימוש שוטף מכונות הצבעה ממוחשבות. והציבור שותק. כתבו על זה לפני כן (גיא ווסט, אדר שלו, שרית פרקול), אך רק הרשימה של יהונתן קלינגר שהפנתה לידיעה במעריב המחישה לי עד כמה זה קרוב ועד כמה זה עובר ללא תשומת לב אזרחית. בחירות הן אבן יסוד בתהליך הדמוקרטי האמורות לאפשר שיקוף מדויק של רצון הבוחר בצורה שקופה ואנונימית. המשפט האחרון מגלם בתוכו את דרישות האבטחה שלנו ממערכת הצבעה:

• שכל קול יבוא לידי ביטוי כפי שהתכוון המצביע.
• שתהליך הבחירות יהיה שקוף ויאפשר בדיקה ובדיקה מחדש של התוצאות.
• שפרטיות המצביעים תישמר כך שלא ניתן יהיה לדעת מי הצביע לאיזו רשימה.

ללא עמידה בדרישות אלה לא ניתן להעמיד מערכת בחירות דמוקרטית ראויה. לשם כך הוגדרו מספר סידורי אבטחה בקלפיות קיימות:

• יכולים להצביע רק אזרחים מזוהים: תעודת הזהות נבדקת פעמיים מול רשימת המצביעים של הקלפי על ידי חברי וועדת הקלפי (שלושה במספר).
• כל קול תקין נספר, חברי וועדת הקלפי אחראים להמצאות מעטפות תקינות ופתקי הצבעה תקינים במתחם.
• כל מצביע מקבל מעטפה סטנדרטית, לא ממוספרת אך חתומה על ידי חברי הקלפי הספציפי, לתוכה הוא מכניס את פתקית ההצבעה (מאחורי פרגוד) ומשלשל את המעטפה לקופסה נעולה.
• הקולות נספרים במשותף על ידי חברי וועדת הקלפי.
• חברי הוועדה הנם נציגי מפלגות שונות.
• בוועדת הקלפי חבר עובד מדינה - משקיף הבקיא בחוקים ובתקנות.
• על פעילות הקלפי מפקחים משקיפים חסרי מעמד חוקי אך בעלי הזכות להשגיח על התנהלות הקלפי.

תנאים אלו נועדו לספק את האבטחה הנדרשת על מנת לעמוד בדרישות האבטחה שהוגדרו קודם לכן. ברוס שנייר מגדיר זאת כ"אבטחה של אינטרסים מתחרים". כלומר, האבטחה מתאפשרת על ידי כך שמשקיפים ממפלגות שונות מוודאים שרמת האבטחה הנדרשת קיימת מתוך דאגה לקולות המצביעים שלהם עצמם.

עבור מערכות הצבעה ניתן להצביע על מספר היבטים שהופכים את בניית מנגנון ההצבעה למורכב ביותר:

• המערכת נדרשת לשמור על אנונימיות מוחלטת של המצביעים.
• מאידך, המערכת צריכה לאפשר לכל אחד להצביע רק פעם אחת בלבד (לאחר שזוהה על ידי חברי ועדת הקלפי)
• בו בזמן המערכת אמורה לאפשר ניטור וניתוח של תהליכי ההצבעה על מנת שניתן יהיה לוודא שלא נפרצו כללי האבטחה. אלו דרישות שעלולות להיות סותרות במידה - אם אני יודע מה היה סדר המצביעים (ואת זה ניתן לגלות מתצפית על הקלפי) ומאידך, לצורך ניטור ובקרה המכונה מאפשרת לי לראות את סדר ההצבעה, אני יכול להצליב בקלות מי הצביע לאיזו מפלגה.
• המערכת נדרשת לאפשר שקיפות מלאה - ייתכן ועד כדי ספירת קולות ידנית.
• המערכת נדרשת לאפשר קישוריות רבה (על מנת להנות מהיתרון המחשובי של הצבעה בכל קלפי) ולמעשה להיות פרוסה ב-8426 אתרים (לפחות לפי הבחירות האחרונות). אם תקחו את כל סניפי הבנקים בארץ, עם הכספומטים השונים, סניפי תחנות הדלק ועוד כהנה וכהנה, לא תגיעו לכמות כזו של אתרים המקושרים בזמן אמת.
• במקביל לקישוריות הרבה, המערכת צריכה לאפשר זמני תגובה מהירים.
• המערכת צריכה לספור את כל הקולות בדיוק רב. ניסיון העבר בחו"ל מראה שזה קשה מאוד. לפני שנה הלכו לאיבוד 18,000 קולות בפלורידה בבחירות שהוכרעו על חודם של 386 קולות בלבד. מקרים דומים ארעו בשנים קודמות.
• המערכת צריכה להיות מאובטחת ברמת התוכנה וברמת החומרה - וזה לא מאוד סטנדרטי. אבטחת רוב המערכות בהן אנו עוסקים מטופלת ברמת התוכנה. אבטחה בחומרה קיימת במקומות מאוד ספציפיים (כספומטים, כרטיסים חכמים, רכיבים צבאיים וכדומה) ולכן הידע לגביה נפוץ פחות ומלכתחילה חומרות סטנדרטיות מספקות פחות רמת אבטחה.

עם כל הבעייתיות שיש בתהליכי הבחירות הקיימים הם מאפשרים שקיפות רבה ואבטחה של ההמון. לא צריך להיות גאון הדור בשביל לזהות תרמיות מקומיות - חסרים פתקים בקלפי, מישהו הביא מעטפה מהבית וכדומה. המעבר למערכות הצבעה אלקטרוניות מעיף את השקיפות מסדר היום, כי חברי הוועדה או המשקיפים לא יוכלו לוודא שרמת אבטחה נאותה נשמרת, והופך את תהליך ההצבעה לתהליך שתלוי על מנגנון אבטחה יחיד. פריצה של מנגנון האבטחה בנקודה כלשהי (ויש לפחות 8426 נקודות אפשריות) תאפשר שינוי ההצבעה בכל המערכת. למעשה, במחקר שנערך באוניברסיטת פרינסטון לפני שנה על המערכת הנפוצה ביותר בארה"ב לבחירות אלקטרוניות התברר כי זו אחת נקודות הכשל המרכזיות. נגישות פיסית למכונה ויש לך את היכולת להפיץ וירוס שישנה קולות בכל המערכת.

במסגרת בירור שערכה מזכירת מדינת קליפורניה נבדקו כל מערכות ההצבעה בקליפורניה על ידי מומחים מאוניברסיטת קליפורניה (הבדיקות כללו ניסיון פריצה ובדיקת קוד) ולאור הממצאים הוחלט למעשה לשלול את ההיתר למערכות ההצבעה הקיימות או להתנות אותו במגבלות שונות (כמו שימוש רק עבור קלפי לבעלי מוגבלויות). בבדיקה שבוצעה במסגרת פיילוט על ידי וועדת הבחירות המרכזית באנגליה הומלץ להשהות בשלב זה המשך פיילוטים בתחום עד לתיקון כל הליקויים שאותרו, כיוון ש[בין היתר] "סיכוני האבטחה הכרוכים בכך משמעותיים ואינם מקובלים".

אצלנו כאמור המצב חמור הרבה יותר מאשר אצל דוברי האנגלית. דבר ראשון, המדינה לא תעביר לגופי מחקר באקדמיה מערכות שכאלו לבדיקה. גם אם כן (ולא!), הנתונים יישמרו חסויים כך שניתן יהיה להתעלם מהם. מצד שני, אצלנו אף גוף ציבורי לא יקום ויעשה משהו בנידון, כמו לבחון באופן עצמאי מערכת שכזו. בתור מדינה של מומחים ומנהלים, קטנים מאוד הסיכויים שנלמד מכשלונם של אחרים וכנראה שהתהליך הדמוקרטי בישראל יימצא בשנים הקרובות בסכנה מוחשית.

לאחר חמש ומשהו שנים כיועץ אבטחת מידע אני עוזב את תחום הייעוץ ועובר לעבוד בחברת תוכנה (עדיין בתחום אבטחת המידע). זו הזדמנות טובה לסכם את השנים האחרונות בשוק אבטחת המידע בארץ מנקודת מבט של יועץ.

• מאוד קל להיות יועץ אבטחה. כמות חברות הייעוץ וכמות היועצים מוכיחה זאת. כתבתי בעבר על שוק הלימונים של אבטחת המידע ואכן תחום הייעוץ בארץ (ואולי גם בחו"ל) הוא בהחלט שוק לימונים. הלקוחות אינם מסוגלים להבדיל בין היועצים הטובים יותר לטובים פחות ולכן אינם מוכנים לשלם תעריף שונה ליועצים שונים על סמך מומחיותם (הבדלי תעריפים נובעים רובם ככולם מהבדלי מיקוח ושיקולים עסקיים כאלה ואחרים). התוצאה היא שאיכות אמנם אינה מילה גסה בתחום הייעוץ, אך גם אינה יעד נחשק. אחראים לכך הלקוחות לא פחות מהיועצים (ואולי אף יותר).  כמובן שמעבר ליועצים הסוגיה תקפה גם לכל מיני מומחים שמסתובבים פה ומפרסמים כתבות ומידע מקצועי אחר (עיין ערך דני קושמרו)
• בתחום אבטחת המידע אין הסמכות כמעט ואלו שיש אינן מספקות. בחו"ל כמות הקורסים המוצעת רבה בצורה משמעותית (בין אם לימודים אקדמיים ובין אם קורסים מקצועיים במקומות רציניים) ואילו בארץ אין כמעט קורסים מקצועיים. כבר אמרתי בעבר שהקורס בבית הספר להכשרה בניהול בו אני מרצה (או ליתר דיוק, הרציתי) באוניברסיטת תל אביב הוא לטעמי הקורס המוביל בארץ, אך עניינו הוא רק ניהול אבטחת מידע והוא רק קורס אחד. התוצאה היא כמובן הסעיף הראשון ברשימה זו - מאוד קל להיות יועץ אבטחת מידע.
• ניהול אבטחת מידע הוא מקצוע ניהולי לכל דבר, אך מעטים הם האנשים הרואים בו ככזה. לטעמי מעטים הם האנשים שאף תופסים ניהול כמקצוע לכל דבר (למרות שלל התארים במנהל עסקים והעובדה שכל ישראלי רוצה להיות מנהל). התוצאה היא מיקוד יתר בנושאי טכנולוגיה וחוסר הבנה של תהליכים ארגוניים ומתודולוגיים בתחום אבטחת המידע.
• האינטגרציה בין התחום הטכנולגיים לתחום הלא טכנולוגיים באבטחת מידע חיונית, אך כמעט שאינה קיימת (בחלקה כתוצאה מהסעיף הקודם ובחלקה כתוצאה מהסעיף הראשון). התוצאה היא שמנהלי אבטחת מידע רבים מפספסים בבחירת פתרונות אבטחה ומטמיעים פילים לבנים.
• תחום אבטחת המידע התחיל כתחום לא טכנולוגי בעליל (טוב, בערך) ועבר לשלב הטכנולוגי שלו. בשנתיים האחרונות, בעיקר כתוצאה מכניסת הוראות הפיקוח על הבנקים והביטוח וכן כתוצאה מפריחה בעולם של תקן 7799 ו-27001 קיימת חזרה לתחומים המתודולוגיים. האינטגרציה בין השניים עדיין לא לחלוטין קיימת, אבל אולי נגיע לשם יום אחד.
• עקב היות תחום אבטחת המידע לא ממוקצע וצעיר יחסית התחום נשלט על ידי זמזומיות (Buzzwords). התוצאה היא שיצא לי לנכוח בדיונים מדיונים שונים בהם שמעתי מומחים, מומחים למחצה ומומחים לעתיד מתבטאים בנושאים ברהיטות רבה ללא כל הבנה. מ-PKI ועד SIM, דרך Common Criteria ועד 27001, כולם יודעים לדבר על הדבר, אך מעטים מבינים את הדבר עצמו. התוצאה היא אופנות מתחלפות (ראו security 2.0). וכמו שאמר ברנארד שואו (ציטוט לא מדויק) - אופנה היא דבר כה גרוע שכל מספר שנים יש להחליף אותו.
• חסר ידע בתחום אבטחת המידע בארץ. לא חסר ידע בעולם, אך חסר ידע בעברית. מעטים מדי קוראים ספרות מקצועית או עוקבים אחר דיונים מקצועיים על בסיס שוטף באנגלית וכמות הידע בעברית מועטה מדי (בין היתר, הסיבה להקמת בלוג זה). מאידך, הידע שנצבר בארץ (ויש לא מעט מזה) אינו מופץ ואינו מפורסם. זה קצת חבל שארגונים לא רואים לנכון לפרסם יותר על סוגיות אבטחת מידע עמן התמודדו (ואני לא מתכוון לכתבות פרסומיות של חברות שהטמיעו פתרון אבטחת מידע בארגונים). ישנו מחקר בארץ בנושאי אבטחת מידע, אך משום מה הוא לא מתפרסם כמעט (בכלל?) בעברית.
• סך הכל ישנה שונות רבה בין ארגונים בכל האמור להשקעה ומקצועיות רמת אבטחת המידע ומנהליה. ישנם ארגונים המשקיעים תשומות רבות ומגיעים לתוצאות מאוד יפות וישנם כמובן את אלה שלא מגיעים לשום מקום.
• אין האקרים עבריים. משפט מפוצץ משהו, אך נכון לצערי. אם נקבל (ואני לא בטוח שאני מקבל) את ההגדרה הרובין הודית של האקרים - כאלה שפורצים מערכות כדי לשפר את רמת אבטחת המידע שלהן, אזי אין האקרים עבריים. יש הרבה האקרים אולי בישראל, אך משום מה הם לא פועלים בארץ. לחילופין, ייתכן וכל האתרים הגדולים בארץ מאובטחים בצורה מושלמת (אך אני מתקשה להאמין בכך). היחידי שעונה להגדרה הזו (והמדד הסובייקטיבי שלי הוא כמובן פרסום) הוא גיא מזרחי שמעת לעת עולה על פרצות באתרים ומדווח עליהן. אני תוהה מדוע זה כך וכבר כתבתי על זה כאן.

משרד המסחר הבריטי הקצה 4 מיליון לירות שטרלינג למחקר שמיועד לטיפול בגורם האנושי בתחום אבטחת המידע. כולם יודעים לצטט משפטים כמו "הגורם האנושי הוא החוליה החלשה", "אבטחת מידע אינה בעיה של טכנולוגיה, אלא בעיה של אנשים" וכדומה. מה שיפה באמרות שפר זה מרגע שאמרת אותן אתה פטור מלנסות לעשות איתן משהו (אבל זו רק הערה צדדית). אלא שנדמה שלמרות שברור לכולם כי חלק גדול מתקלות האבטחה מגיעות מעובדי הארגון, ארגונים אינם מצליחים להתמודד עם הסוגיה בצורה אפקטיבית.

לפני כחודש היה לי דיון נוקב עם מנהל אבטחת מידע באחד הגופים הפיננסיים בארץ. אני טענתי (ואני ממשיך לטעון) כי אנשים אינם בעיית אבטחת מידע אלא יש לראות בהם אילוץ שאינו משתנה ואילו הוא התעקש להתייחס אליהם כאל בעיית אבטחה. הוא לא לבד בסיפור, זה בטוח. הרבה מנהלי אבטחת מידע מתייחסים לגורם האנושי כאל "בעיה". הגישה הזו היא הסיבה שמנהלי אבטחת מידע אינם מצליחים לטפל בגורם האנושי. ההתייחסות לעובדי הארגון (למעשה לכל הארגון) כאל בעיה שקולה לאמירה שהמדינה בסדר, צריך רק להחליף את העם. זה נחמד בתור בדיחה, אך לא ניתן לבסס על טיעון כזה אסטרטגיה.

מאידך, ההתייחסות לעובדים כאל אילוץ במשוואת התכנון שלנו מובילה אותנו להכרה כי ישנם מנגנונים פסיכולוגיים בסיסיים המשותפים לכל העובדים אותם אנו לא יכולים לשנות. מאחר והעובדים הם הרוב ומאחר וניתן לאפיין את ההתנהגות שלהם, אך קשה מאוד לשנות אותה, כל שעלינו לעשות הוא לתכנן את מערך האבטחה סביב אילוצים אלה ולנסות לרתום אותם לטובתנו.

אתן דוגמא קטנה. משתמשים רבים מעבירים סיסמאות מאחד לשני. על פי הגישה הנפוצה העובדים הם בעיה ומעבירים סיסמאות כיוון שכעובדים בעייתיים הם נוטים לזלזל בנהלים. המסקנה המתבקשת היא אכיפה מוגברת. לדעתי, בבסיס תהליכי העברת סיסמאות בין עובדים ישנן הנחות מסוימות שצריך לחפש. ברוב המקרים אני מגלה כי עובדים מעבירים סיסמאות כיוון שאין להם ברירה אחרת או כיוון שמכל נקודת מבט זהו הצעד ההגיוני ביותר לעשות. הפתרון ברוב המקרים הוא לספק לעובדים כלים מתאימים כך שלא יזדקקו להעברת סיסמאות. לדוגמא (מאותו ארגון) עובדים מעבירים סיסמאות כי צוות הסיסטם לא מקים הרשאות מהר מספיק, כך שעובדים חדשים יכולים להיות חודש בעבודה ללא הרשאה לרשת. ברור שבמצב הזה עובדים חדשים יעשו שימוש בהרשאות של עובדים ותיקים. זה הצעד ההגיוני. הטיפול בבעיה הוא טיפול בתהליכי העבודה של הסיסטם ולא אכיפה משמעתית מול העובדים.

בכלל, אני מניח לצורך עבודתי שעובדים הם אנשים טובים בעלי כוונות טובות. מבחינת ניתוח אבטחתי גיליתי שפרספקטיבה כזו הרבה יותר אפקטיבית. הכי קל לנסות לאתר מה עובד בעל כוונת זדון יכול לעשות לארגון. הבעיה היא שזה לא יוביל אותנו רחוק כיוון שזה יגרום לנו להתמקד בתרחישי קיצון (לא חסרים כאלה) בעלי סבירות נמוכה למימוש. לעומת זאת, אם ננסה למצוא את הדרכים בהן העובד הטוב, שמחפש את טובת הארגון, עלול לפגוע באבטחת המידע, שלא מרצונו, נגיע לתרחישים מציאותיים שיחשפו בפנינו ליקויים בתהליכי העבודה בארגון.

ברשימה הקודמת הראיתי תמונה מתחנת הרכבת השלום בתל אביב ושאלתי מה ליקוי האבטחה. כפי שציין דן בתגובות הבעיה היא שהסבסבת שאמורה למנוע מאנשים להיכנס דרך היציאה נמצאת מאחורי השומר. התוצאה היא שבכניסה יש שני מנגנוני אבטחה (שומר וסבסבת) וביציאה אין אף מנגנון אבטחה. מבחינה סטטיסטית, אגב, בממוצע בכל פתח יש מנגנון אבטחה אחד.

באחת הרשימות הקודמות כתבתי על Defense in Depth, או מה שקרוי גם מעגלי הגנה, שיטת הבצל, או כל שם אחר שתרצו. אחד העקרונות המהותיים במימוש מעגלי אבטחה הוא שכל מעגל אבטחה צריך להיות בעל ערך סגולי משל עצמו למערך האבטחה. במקרה הזה, מיקום סבסבת שאינה מאפשרת לצאת דרך הכניסה, כאשר היציאה ממוקמת בצמוד לכניסה, חורג מהכלל הזה. מנגנון האבטחה הזה אינו תורם במאום לתכנון האבטחה הכולל ובפועל המצב הוא שכל אחד יכול להכנס דרך היציאה, כאשר אין ממש איום של יציאה דרך הכניסה.

הנקודה בה רציתי לעסוק היא בעצם זו - רובנו מקבלים החלטות על סמך הנחות לא מודעות. אחת ההנחות הנפוצות בתחום אבטחת המידע (מהתרשמות אישית) היא ההנחה שפורצים/פושעים ושאר מרעין בישין ינסו לפרוץ מאותם מקומות בהם מיקמנו אמצעי אבטחה. בעת האחרונה אני שם לב יותר ויותר למערכי בקרת כניסה המשקיעים אנרגיה רבה בסינון הנכנסים, אך משאירים את היציאות פרוצות. כאשר בוחנים את מערך האבטחה הנטייה הטבעית של מנהלי אבטחת המידע היא לנסות לעקוף את בקרת הכניסה המתוכננת - זו שהמבקרים שאינם מנסים לפרוץ נכנסים דרכה. אלא שהפורץ הממוצע לא ינסה להיכנס משם בהכרח, אלא עשוי לנסות להכנס מהיציאה דווקא.

בעבר היה נהוג לנסות לפרוץ מנגנוני הצפנה דרך פיצוח האלגוריתם. היום מקובל לנסות מתקפות עקיפות (side channel attacks). מתקפות שכאלה מנסות למצוא פרצת אבטחה במערכת כמכלול ולא מנסות לפרוץ את רכיב האבטחה המרכזי בלבד (האלגוריתם). פעמים רבות אני נתקל במערכות מידע בהן מושם דגש רב על תכנון מנגנון ההזדהות, אלא שמתברר שישנה דלת אחורית, או שהשרתים עליהם מורצת המערכת פרוצים וכך אנו נשארים עם מנגנוני אבטחה מעולים ומערכת פרוצה. כדי לבנות מערך אבטחה ראוי, עלינו להניח כי ניתן לחדור למערכת או לארגון מכל נקודה ובכל נקודה במערכת עלינו לשאול את עצמנו לא האם פורץ ינסה לפרוץ מנקודה זו, אלא כיצד הוא יעשה זאת.

הבטחתי ברשימה קודמת לפרט יותר על הנושא הביומטרי ומדוע הוא פחות טוב ממה שנהוג לחשוב. אז דבר ראשון אני מפנה למשהו שכתבתי לפני כשנה. בעיקרון ביומטרי הוא מנגנון המבוסס על:

• סיסמא (טביעת האצבע).
• (סיסמא) קבועה (טביעת האצבע אינה משתנה).
• (סיסמא) שלא ניתן להסתיר (אנו משאירים טביעות אצבעות בכל מקום).

בניגוד לתדמית הרווחת, מנגנון ביומטרי אינו יודע לזהות טביעות אצבע (או כל טביעה אחרת), אלא הוא מסוגל להשוות דגימה של טביעה ביומטרית לדגימות הקיימות במאגר הנתונים. כך שהכשל הפוטנציאלי הראשון במנגנון ביומטרי הוא כשל הדגימה. נניח שלכל בנאדם טביעת אצבע ייחודית (אני כותב נניח כי למיטב ידיעתי אין מחקרים רבים בנושא), אין בכך כדי להעיד כי החיישן שלנו מצליח לדגום את טביעות האצבע השונות בצורה ייחודית. לשם המחשה - יש מיליארד הודים בהודו, אך למי שמבקר בהודו הם כולם נראים אותו דבר. כלומר, העובדה שיש שונות באוכלוסיה אינה מעידה בהכרח שהשונות תבוא לידי ביטוי במנגנון הדגימה והתצפית שלנו. כמובן שאם השונות לא באה לידי ביטוי בחיישנים שלנו, היכולת שלנו להבדיל בין הפרטים השונים אינה קשורה למידת השונות בין הפרטים אלא למידת הרגישות של המכשיר.

הכשל השני של מנגנון ביומטרי הוא שהוא מבוסס על סיסמא קבועה, שאינה מתחלפת ושאותה לא ניתן להסתיר. למעשה, כל אחד יכול לקחת טביעות אצבעות שלנו מכל מקום בו היינו. הסיבה היחידה שהדבר לא נעשה עד היום הוא שאין לכך כל שימוש. המשטרה לא רשאית לעשות זאת ולאחרים זה פשוט לא מקנה זכויות כלשהן. כמובן שככל שמנגנונים ביומטריים יהיו יותר זמינים ובשימוש התמונה זו תשתנה. נניח והצליחו לגנוב לי את טביעת האצבע ולייצר טביעה מזויפת, מה עושים? אני לא יכול להחליף את האצבע והמשמעות הרחבה יותר היא כשל של המנגנון כולו. להבדיל ממנגנוני אבטחה המתבססים על מתמטיקה ובהם כשל בנקודה אחת (אובדן המפתח) אינו מעיד על כשל במערכת, במנגנון ביומטרי כשל בנקודה אחת מהווה כשל של כל המערכת.

הכשל השלישי של מנגנון ביומטרי הוא שחלק מאוכלוסיית העולם בלתי דגימה. כלומר, היא לא תעבור מערכות ביומטריות ולטובת אוכלוסיות אלה צריך להחזיק מנגנון אבטחה נוסף. אם אנו מקבלים את הטענה (השגויה לטעמי) שאין יותר מאובטח מביומטרי, המשמעות היא שלעד נצטרך לעשות שימוש גם במנגנונים לא מספיק מאובטחים במקביל לביומטרי. אגב, ההערכות מדברות על סדר גודל של חמישה עד עשרה אחוזים שלא יעברו ביומטרי.

הכשל הרביעי של מנגנון ביומטרי הוא הקשר בין נוחות תפעולית לאבטחה. זהו קשר שלילי - ככל שהמערכת יותר מאובטחת יהיו בה יותר מקרים של הכשלת גורמים מורשים. ככל שהיא יותר נוחה לשימוש יהיו בה יותר מקרים של הכנסת גורמים לא מורשים. פועל יוצא הוא שנוחות המשתמש מתנגשת בצורה די ישירה עם רמת האבטחה, מה שלא קיים במנגנונים אחרים.

זה בקצרה על ביומטרי. ועדיין במקרים מסוימים אני בהחלט ממליץ לעשות שימוש במנגנונים ביומטריים. הכל בהתאם לניתוח הסיכונים ולצרכים הארגוניים.

צנזורה היא אבטחה של כישלון. כאשר חברות או ארגונים מפעילים צנזורה פירושו של דבר שמנגנוני האבטחה שהיו אמורים לפעול נכשלו. במובן זה צנזורה היא דבר חיובי - היא מהווה את מנגנון האבטחה האחרון לפני כשלון מלא. לעתים, לעתים רבות מדי, הצנזורה משמשת כמנגנון האבטחה הראשי ובמקרה זה מדובר בכשלון. כותבת שושנה פורבס על כך שהבעיה האמיתית של פורנו מגיעה דרך ספאם ותוכנות פרזיטיות. היא צודקת. הבעיה אינה גלישה רצונית לאתרי פורנו - אלא גלישה לא רצונית. גלישה לא רצונית היא תולדה של מחשבים אישיים לא מאובטחים וגם קניית שירותי סינון תוכן מספק האינטרנט (כפי שהציעו חברי הבלוגוספירה) לא תפתור אותם. במקום יום לאינטרנט בטוח, בו משרד החינוך מפרסם את חברת מייקרוסופט וחבורה של אנשים עושים כלום חד פעמי לעידוד הפחד מהאינטרנט, צריך לספק כלי אבטחה בעלות מגוחכת לתלמידים וללמד תלמידים בסדנאות (לא הרצאה חד פעמית) כיצד להגן על המחשב האישי. באותה הזדמנות אפשר גם ללמד הורים שהאינטרנט הוא לא מקום מפחיד, אלא כמו כל מקום ציבורי אחר - בעל הפוטנציאל החיובי והשלילי.

כמובן שבכל מה שקשור לגלישה רצונית לאתרי פורנו פתרון מעין זה לא יעבוד. במקרה זה השאלה שצריכה להישאל היא כיצד הגענו למצב שילדינו רוצים לגלוש לאתרי פורנו כל היום. ייתכן וצנזורה היא אכן הפתרון הראוי, אני לא יודע. אבל גם אם כן, קודם לכן צריך למצות את הפתרונות המונחים על דרך המלך - חינוך. הבעיה היא שכולם מפחדים מהאינטרנט. המורים, ההורים, המחוקק. כולם כל כך פוחדים והאינטרנט במקרה זה משמש כשעיר לעזאזל איכותי - עליו אפשר להטיל את כל הכשלים. מדוע הנוער שותה אלכוהול? אינטרנט. מדוע לא קוראים ספרים? אינטרנט. מדוע יש אלימות? אינטרנט. זה יותר קל מלהגיד על כל אחת מהשאלות - כי אני נכשל בתפקידי כהורה, כמורה, כמחנך.

חוק חסימת האתרים הוא חוק ראוי. במובן זה שהוא מיועד להתמודד עם בעיה אמיתית - חשיפה של קטינים לתכנים לא ראויים. על מנת לפתור את היבלית מציע המחוקק לכרות את שתי הרגליים, עם אופציה לעריפת ראש וכמו שאמרו חז"ל, הדרך לגיהנום רצופה כוונות טובות.

אני מעריך שהחוק לא יעבור וגם אם כן הוא לא ימומש (מסיבות טכניות). אך זו לא צריכה להיות סיבה למסיבה. כיוון שהבעיות שהחוק מנסה להתמודד עמן יישארו גם אחרי שהחוק ילך.