האיום האמיתי
שתי כותרות מהימים האחרונים: "שמות משתמש של גורמי מימשל מרחבי העולם פורסמו ברשת האינטרנט" ו-"עוד מחשב נגנב: יתכן ונחשפו פרטיהם של למעלה מ-100 אלף משלמי מסים בקוניטקט. הפנטגון נאלץ לנתק מחשבים מהרשת". נבירה מעמיקה יותר בארכיון, היתה מעלה מן הסתם, עוד שורה ארוכה של סיפורים לא פחות פיקנטיים. כך, למשל, בנק גדול בבריטניה טרח לדווח לציבור - באיחור של שלושה חודשים, כי מחשב נייד ובו פרטי כל הלקוחות של הבנק - נגנב. מחשב אחד של עובד בחברת וריסיין, החברה שאמונה על פתרונות אבטחה וזיהוי - גם הוא לא נשמר כראוי.
המשותף לכל הסיפורים הללו, מעבר לנושא של אבטחת מידע - הוא אחריותו של הגורם האנושי. הגורם האנושי הוא המרכיב הקריטי בכל סיפורי כשלי האבטחה המרתקים. זה מתחיל במדיניות אבטחה ארגונית שאינה נאכפת כראוי על ידי אנשי האבטחה, לא מפני שהם לא מסוגלים לעשות זאת, אלא מפני שאין להם גיבוי מספיק חזק מהנהלה, שבעצמה אינה מיישמת נהלים בסיסים של אבטחה.
היטיבה להגדיר זאת מוניקה באסו, אנליסטית בגרטנר, שאמרה בראיון ליוסי הטוני, כי בשנים הקרובות יתקשו ארגונים לשלוט על כל ההתקנים הניידים - שטבעם ללכת לאיבוד. המנמ"ר בעולם המודרני, המתפתח בקצב ומטמיע חידושים טכנולוגיים, יצטרך לעצור לרגע ולחשוב - מה עדיף? זמינות מידע בלתי מוגבלת, עם כל יתרונות הענק שלה, לצד החשש שמידע זה יגיע לידיים לא רצויות. הסיכונים והסיכויים כאן הם שקולים, ואין תשובה חד משמעית לשאלה זו.
גם בישראל, כמו בעולם, נגנבים חדשות לבקרים מחשבים ניידים של בכירים - בצה"ל, במשטרה ובמשרדי ממשלה. שלא לדבר על בעלי תפקידים בכירים בארגונים עסקיים, שסוחבים איתם את המחשב לכל מקום. רק אלוהים ובעל המחשב עצמו, יודעים מדוע קצין בכיר בצה"ל, או מנהל בכיר בבנק, סוחבים איתם מחשב נייד, המכיל פרטים חסויים של חיילים או מידע סודי, או לחלופין - פרטיהם האישיים של לקוחות בבנק, בחברת ביטוח, או במוסד רפואי.
בעידן המאה ה-21, של הפס רחב המודם הסלולרי, והאינטרנט האלחוטי - הטלפון הוא גם מחשב וגם יומן. כך, לקחת את "העבודה הביתה" זו כמעט נורמה, זה סמל סטטוס. גם לעבוד מהבית, להתחבר למחשב ישירות מהסלון - נתפס בעיני רבים כ"זכות" וחלק בלתי נפרד ממעמדו של העובד בארגון.
המידע המסווג שקיים ביחידות הניידות, הוא הסיוט של כל מנהל אבטחת מידע. גם כאן זה מתחיל מהבית - ממדיניות אבטחה מרכזית, שבה מסבירים קודם כל למנהלים הבכירים, מה הסיכונים שהם נוטלים על עצמם בלקיחת יחידות ניידות מחוץ למשרד. אחר כך, זה מגיע לאחריות ולערנות האישית של כל מנהל ומנהל. כל טירון בצה"ל יודע, שהפקרת נשק - דינה משפט ומאסר בפועל. כל עובד יודע שאיבוד נתונים במקום העבודה או פעולה לא נכונה, אשר עלולה לסכן את מקום עבודתו. עד היום לא שמענו, וספק אם יש מקרים כאלו – בהם עובדים פוטרו בגלל אובדן מחשב נייד. מתי שמענו על פקידים בכירים במשרדי ממשלה או בגופים שיש להם מידע רגיש, אשר נשפטו בשל פריצה למחשביהם? אפילו בצה"ל לא ממהרים למצות את הדין עם קצינים בכירים שמפקירים מידע במכונית, במחשב הנייד. הרי זה כאילו הפקירו נשק.
החברות, ספקיות הפתרונות ומנהלי האבטחה - עוסקים יותר מדי בטכנולוגיה. הגיע הזמן לטפל באנשים עצמם. אכיפה וענישה חמורה וכואבת, שתסכן את מעמדו או כלכלתו של כל מי שמחזיק במידע רגיש ונושא אותו עימו לכל מקום - עשויה להוסיף עוד מימד אבטחה על היקר לנו מכל: המידע.
