רגע אחד למחשבה על אבטחה
ברחבי העולם מציינים היום (ה') את יום האבטחה הבינלאומי. המדובר באירוע גלובלי שמטרתו למקד לרגע אחד את תשומת הלב לחשיבות האבטחה של המידע, של המחשבים ושל כל מה שקשור בנושא זה. הרעיון החל לקרום עור וגידים ב-1988, כאשר איגוד הגנת המחשבים ACM, הפועל בארצות הברית, הגיע למסקנה כי יש לקיים פעם בשנה אירועים מקבילים בכל העולם, כדי להגביר את המודעות לנושא האבטחה.
בשנים האחרונות אין צורך להסביר מדוע חשוב לציין את יום האבטחה פעם בשנה, לאור הנתונים על הפגיעויות ההולכות וגדלות מדי חודש בחודשו, כאשר עקומת הנזקים הכספיים הנגרמים לחברות וליחידים הולכת וגדלה. במקור, צויין יום האבטחה הבינלאומי בתאריכים שונים במדינות השונות, בדרך כלל בסמוך לעונת החגים, לקראת סוף שנה האזרחית.
ב-1977 החליטו כל המדינות החברות בארגון להתמקד ביום אחד, שנוח ומתאים לכולם. התאריך שנקבע: ה-30 בנובמבר. הפעילות נעשית בדרך כלל במסגרות אקדמיות ומחקריות, שבהן דנים בנושאים החמים הקשורים לאבטחה. במסגרת האירועים שקשורים ליום זה, ייערך היום בחיפה כנס בנושא הגנת המידע, במרכז הקונגרסים, בשיתוף עם לשכת המסחר בצפון וחברת מטריקס. בגוף המארגן את היום הזה חברות כ-57 מדינות, מלבד ישראל, ביניהן אפילו מדינות כגון איראן ולבנון, לצד מדינות מערביות, דוגמת ארצות הברית וגם הודו ומדינות באסיה.
לא בטוח שאירועי היום הזה יקטינו את מימדי הנוזקות כתוצאה מסיכוני אבטחה שונים, אבל חשוב שבכל ארגון, כולל בישראל, יקדישו היום כמה דקות שבהן ירעננו את זיכרונם ואת השכלתם של העובדים כיצד ניתן, בפעולות פשוטות, לשמור יותר על המידע.
לקראת יום האבטחה, פרסם ארגון ה-ACM באתר האינטרנט שלו, 50 טיפים לפעולות פשוטות שכל אחד יכול וחייב לבצע - פעולות שעשויות להפוך את חיינו לקצת יותר רגועים. ההמלצה הראשונה אומרת להשתמש באלמנטים ויזואליים - פוסטרים וכדומה - שיציגו את יום האבטחה הבינלאומי. ה-ACM עצמו מפרסם בכל שנה פוסטרים שניתנים להורדה בחינם מאתר האיגוד. פעולות מומלצות נוספות: שנה מדי פעם את הסיסמאות למחשב שלך, בדוק וירוסים במחשבים, דאג שהמחשב שלך יהיה בסביבה בטוחה ככול האפשר ודאג לתקינות ונקיון הדיסקים עליהם אתה נוהג לגבות מידע מדי פעם.
טיפים אחרים מתייחסים כבר למדיניות אבטחת המידע שצריכה להיות נהוגה בכל ארגון וארגון - מדיניות שצריכה להיות מבוססת על נהלים, על הגדרה מפורשת של איזה תוכנות מותר ואסור להתקין על המחשבים, על הגדרה שתחסום באופן מוחלט את הכתיבה על שרתים וספריות רגישים, על הגדרה של בדיקת קודים - וכבר עם סיום יום האבטחה, להתחיל לתכנן את השנה הבאה.
לכאורה מדובר בפעולות שאין בהן חדש, אבל ידועה הסטטיסטיקה שמרבית הנזקים שנגרמים לארגון מגיעים כתוצאה מפעולה זו אחרת של העובדים בו, אם מתוך רשלנות או בזדון. מדיניות האכיפה של האבטחה בארגון היא אתגר לא פשוט למנהל אבטחת המידע, שצריך למצוא את האיזון הדק בין יד חזקה, אוכפת ודורשת משמעת, לבין השגת הבנה ושת"פ בין כל הגורמים, כדי שיפנימו ויבינו את חשיבות ערך האבטחה. למרבה הצער, המצב הוא כיום שבמרבית הארגונים יש הסכמה כי אבטחה זה חשוב, אבל מעטים מאוד הם הארגונים שמעניקים סמכויות של ממש בידי מנהלי האבטחה. בשנת 2006 תפקיד ה-CISO הוא עדיין תפקיד שצריך להסבירו, זאת למרות שהנזקים הכספיים שנגרמים לארגונים כתוצאה מאירועי אבטחה הם ברמה של סכנה קיומית.
בתחילת השבוע נערך כנס הלקוחות של קומסק, שאחת התובנות העיקריות שעלו ממנו היתה ש-92% מאיומי האבטחה עלולים לפגוע ביישומים ארגוניים. את הכנס הזה פתח נסים בר-אל, מומחה האבטחה הוותיק ביותר בישראל, שסיפר על אירוע בו השתתף לפני כמה שבועות, שממנו ניתן ללמוד על מעמדו של מנהל האבטחה בארגון. בר-אל סיפר, כי בישיבת ההנהלה של בנק, התפתח עימות בין מנהל האבטחה, שדרש מהנהלת הבנק לשנות בצורה מהותית חלק מתוכנית ארגונית עליה החליט, שיש לה משמעות כספית גדולה. בר-אל, שהשתתף כצופה מהצד בדיון, אמר כי נדיר לראות שבפורום כל כך בכיר, יועץ אבטחה פנימי מעז לצאת נגד מנהלים בכירים ואף לגרום לכך שהנהלת הבנק תעצור את התוכנית ותקים ועדת היגוי שתמליץ על ההמשך. בר-אל יודע היטב, כמו כולנו, כי זהו באמת מקרה חריג. בישראל, כמו במדינות רבות אחרות, מעמדו של ה-CISO לא מוגדר ופעמים רבות אין ביכולתו לעצור תהליכים בארגון שלדעתו עלולים לסכן את ביטחון המידע בו.
שאלת מיליון הדולר, היא האם במקרים כאלו על מנהל האבטחה להלחם עד הסוף, תוך סיכון מעמדו ועבודתו, או להתיישר עם הקו לאחר שווידא כי הזהיר את מי שהזהיר על הסכנות הצפויות. ואם נחזור ליום האבטחה הבינלאומי: אם כל אחד מאיתנו בכל ארגון יקדיש יום אחד בשנה למחשבה בנושאי האבטחה, ויעשה את הפעולות הדרושות להגנה על הנתונים שלו, תמונת המצב בתחום האבטחה עשויה להיות קצת יותר ורודה.
שיהיה לכם יום בטוח.
