הקדמה

חברות רבות ובתי עסקים משקיעים זמן ומשאבים רבים של כסף וכוח אדם בטיפול וניהול הגנה ואבטחת המידע של מערכות המחשוב. שרתים ומערכות מידע מטופלים במערכות אנטי וירוס, חומת אש, וניהול שוטף של עדכוני תוכנה, מניעת פרצות אבטחה, תוכנות אנטי-רוגלה, ואנטי-ספאם. כל הללו מטרתם לשפר את מערך ההגנה אשר יקיף את כל הפעילות העסקית הרלוונטית.

מאמצים אלו אכן מהווים חלק בלתי נפרד והכרחי להצלחה עסקית, אך לעיתים רבות מאמץ רב סביב הגנת מערכות המחשוב בעזרת מומחי תוכנה וחומרה גורמים לנו לשכוח מהי הגנת מידע על כל היבטיה. אותה מטריית הגנה שאנו פורסים סביב הסביבה העסקית לא מגינה על כל הפעילות העסקית שלנו, אנו זקוקים להשקפה חדשה בתחום הגנת המידע, וזאת בשביל להבין אילו עוד סיכונים נמצאים בסביבה העסקית שלנו, כאלו שפשוט לא חשבנו עליהם.

ללמוד מההיסטוריה

לעיתים אנו מחפשים פתרונות שונים ורעיונות חדשים באופן קדחתני, זאת כאשר כל מה שנדרש מצידנו הוא מבט לאחור, ללמוד מניסיון העבר. לשם כך, אלווה את ההסבר בדוגמא על חברה מפורסמת בארצות הברית אשר הציבה אתגר בפני כל אנשי התוכנה המומחים בעולם (או האקרים) לבצע פריצה לשרתי החברה. חברה זו עסקה בייצור, הפצה, שיווק, ומכירה של מערכות הגנה למחשבים שהיא בעצמה פיתחה. הווה אומר, מומחים אמיתיים בתחום הגנת המידע.

הצעת מנכ"ל החברה הייתה מאוד פשוטה, כל אדם באשר הוא, אשר יצליח לפרוץ למחשבי החברה, ישתול קובץ עם הפרטים שלו, ויודיע שהוא הצליח לעשות כך, יזכה בפרס כספי גבוה. כמובן שהחברה התחייבה חוזית שכל נזק שיגרם ע"י הפריצה באשר הוא למערכות ולכל מחשבים בחברה פותר את הפורץ מאחריות נזיקית, תביעות וכיוצ"ב.

Office

מדוע הציע מנכ"ל החברה הצעה מוזרה שכזו? מדוע לחשוף את חולשות החברה? זו השאלה הראשונה שנשאל מנכ"ל החברה, ותשובתו נחלקה ל-2. בראשונה, הוא אמר שהוא מבקש להוכיח שחדירה למערכות המחשוב בחברה זו הינו בלתי אפשרי, ובכך לחזק את מוניטין החברה. ואם תהיה הצלחה בפריצה – תשובתו הייתה שהחברה תשמח ללמוד כיצד הצליחו לעשות זאת, תלמד מכך, ותשפר את מערך ההגנה שלה.

כעת, כל מה שמשתמשי המחשב הטובים ביותר בעולם, מומחי תוכנה, האקרים וחבריהם היו צריכים לעשות בשביל לזכות בפרס כספי גדול (כולל הצעת עבודה בחברה שהגיעה בהמשך) זה בסה"כ לעבור את מערכת ההגנה הטובה ביותר בעולם. אותה חברה עסקה כאמור בפיתוח חומות אש פיזיות (מנגנון אבטחה פיזי), אשר נמכרות למוסדות היוקרתיים ביותר, בינהם מוסדות ממשלתיים בארה"ב. משמע, החברה הייתה מוגנת במכשור המתקדם ביותר, אף יותר מאותם מוסדות.

שבועיים עברו בסה"כ עד שהצליחו לפרוץ את הגנות החברה.

אותו זוכה מאושר, השאיר באחד ממחשבי החברה קובץ טקסט, והדביק על שומר המסך של מחשבי החברה את פרטיו האישיים, וברכה למנכ"ל על הפרס המיוחל.

אותו פורץ, לא היה מומחה מחשבים גדול כלל וכלל. אותו פורץ בסה"כ היה פורץ. משמע, הבחור לקח דיסקט פלופי 1.44, יצא לבקר במשרדי החברה, והצליח להציג את עצמו כאיש דואר שצריך להחתים עובד חברה באחד המשרדים. הבחור הצליח לאתר עמדת מחשב פנויה, הכניס את הדיסק, שינה את שומר המסך, קם, ויצא מבניין החברה. לקח לו לפרוץ את מערכות ההגנה בסה"כ חצי דקה.

הפורץ החכם, לא ניסה מעולם לפרוץ את מערכות ההגנה הממוחשבות של החברה, אותו פורץ בסה"כ הפעיל מעט את השכל, ומצא הזדמנות פשוטה. כעת, אנו מבינים כי מטריית הגנת המידע העסקית חייבת לכלול את כל היבטי ההגנה, כי לעיתים, הפרצה האמיתית נמצאת ממש מתחת לאף שלנו, רק צריך להסתכל.

הגנת מידע – גם פיזית ואקטיבית

חברות, בתי עסק, עצמאיים, ואנשים פרטיים, כולם צריכים לבחון האם הם צריכים לאבטח את מערכות המידע אשר הם מחזיקים בביתם, בעסקם, בחברה, וכו'. רמת אבטחה שאנו צריכים להציב סביב מערכת המחשב שלנו נקבעת בהתאם לדרישות ולצרכים שלנו.

לקוח פרטי ממוצע סביר שלא ישלם כסף לשומר אשר יאבטח את ביתו, אך ישנן דרכים רבות להגן על מידע רגיש אם קיים. המשאבים שנדרשים להשקיע יכולים להיות מגוונים, וכולם תלויים בשווי ורמת חשיבות של המידע שאנו מחזיקים.

החל בנעילת חדרים, הצבת מערכות גילוי כגון מצלמות, הצבת מנגנוני שמירה אלקטרונים, שומרים בחברות פרטיות, מידור – כל עובד בחברה רשאי להיכנס רק למשרד מסוים (בדומה לצבא), ליווי אנשים זרים אשר נכנסים למשרדי החברה, שימוש במערכות בקרה ושמירה כגון כרטיסים חכמים, או הצמדת כוננים אופטיים למחשבים, או ביומטרי.

חלק מפתרונות מסוג זה יכולים להיות מיושמים כאמור רק בחברות ועסקים גדולים, אך ישנם פתרונות שאנו יכולים ליישם, בינהם: שימוש בכונן נשלף או נעילת חדר, וכדומה.

פתרונות אלו לא עולים כסף אך יכולים להגן בבתי עסק קטנים על פרויקט כזה או אחר. מידע עסקי רגיש במיוחד אפשר שישמר על התקן נייד (כונן פלש), כך שכל גורם בין אם יפרוץ פיזית למחשב, או דרך רשת האינטרנט לא ימצא את החומר הרגיש. שימוש בהתקן נייד או אפילו כונן נשלף ימנע כמעט ב-100% חשיפה של המידע אל גורמים זרים. גם אם אנו מעדיפים לא לקחת איתנו התקן נייד כלשהו ולטייל איתו לבית, או לאזור אחר, תמיד יהיה עדיף להפריד את התקן המידע מהמחשב, כך שפורץ שמגיע למחשב פשוט לא ימצא את המידע הרלוונטי, ויתייאש. סביר להניח שהוא לא יחפש את החומר במגירות במשרד או בעסק במקום נסתר.

בתי עסק רבים מאחסנים בסוף יום את הכוננים הקשיחים בכספות. פתרון יחסית זול, ויעיל מאוד.

סיכום

הצלחת הפורץ המפורסם בארה"ב למשרדי החברה ה-"מאובטחת" ביותר בעולם מוכיחה לכולנו שמידע קיים יהיה תמיד נגיש מעצם קיומו. כל מה שנותר לעשות זה למצוא את הפתרונות הטובים ביותר בשביל להגן על המידע שלנו, ולחשב מה העלות הכלכלית המתאימה בשביל להגן על המידע. הפרצה כאמור נמצאת תמיד בכל פינה, כל מה שנותר זה לבצע כמה שיותר פעולות בשביל לצמצם פרצה זו.