11.3 אזורים מפורזים: DMZ
עבור למאמר
ב. מהי אבטחת מידע
המונחים "אבטחת מידע" ו"הגנת סייבר" אינם זהים, ואף מועד הולדתם שונה.
אבטחת מידע, נועדה להגן על כל אלו, בפני תקיפות סייבר. אחד הרכיבים העיקריים (אך לא הבלעדיים), הוא "טכנולוגיה של אבטחת מידע".
המונחים "אבטחת מידע" ו"הגנת סייבר" אינם זהים, ואף מועד הולדתם שונה. יחד עם זאת, הפערים ביניהם מפסיקים להיות תקפים ככל שהתקשורת העולמית מתפתחת, ולכן – אנו נשתמש בהם תחת אותה כוונה.
כאשר מדובר בפרט, קיימת סדרת פעולות שעליו לבצע, ועוד פעולות שעליו להימנע מהן או לפחות, לעשותן בזהירות, ותו לא. עולם הסייבר איננו דן ביחיד, אלא במציאות ארגונית, עסקית, וכאן – נדון באבטחה ארגונית.
מדוע התפתח ענף הסייבר כל-כך מהר? כי האנושות תלויה במחשבים. כליל. תלות מוחלטת.
התפתחות התקשורת והמחשבים, נקראת "המהפכה הדיגיטלית". זו – הביאה לכך שכל המחשבים בעולם מחוברים, או מאפשרים חיבור מבחינה טכנולוגית. מצב חדש זה, הביא לכך, שגורמים עוינים יכולים לנצל לטובת האינטרס שלהם את ה"חיבוריות" ואת "התלות".
ומדוע כה קשה להגן על המידע ועל המערכות הארגוניות? כי קיים ניגוד אינטרסים: מחד – המהפכה פועלת לשיפור ה"חיבוריות והפתיחות", ומאידך – במרחב שנפתח, יש להגביל את העבריינים.
אם לא די בכך, הרי שהמלה "ארגון" מטעה מאוד. הוא מורכב ממחלקות שונות, ובכל מחלקה בנויה מבעלי עניין וזכויות וחובות שונות. הארגון אינו "מקשה אחת". לפרטים מסוימים מותר לגשת למידע מסוים ולמערכות מסוימות, לאחרים - למידע אחר ולמערכות אחרות. לארגון גם לקוחות שאנו מעוניינים כי יתחברו, ספקים, שותפים, רשויות ועוד.
והרי, הארגון נדרש להגן על כל גבולותיו החיצוניים, כולל סוגיית הלקוחות, הספקים והשותפים, ועל כל מרחביו הפנימיים למרות ההבדלים ביניהם והאינטרסים השונים של המחלקות והפרטים, ומנגד, ההאקר, התוקף, זקוק רק לפרצה קטנה אחת, ומשם – עלול להמשיך לזחול בסתר או בגלוי – עד ליעדיו.
מכאן, שסוגיית אבטחת המידע, או הגנת סייבר, נעשתה נושא מורכב ביותר, קריטי ומסוכן לקיום הארגון בעידן הנוכחי, ומחייב סדרות נרחבות מאוד של פעולות בו-זמניות, של גורמים שונים, כדי לקיים בו בזמן גם הגנה נאותה וגם פעילות שוטפת שחיונית למטרות הארגון.
זו הסיבה שתחום אבטחת המידע צמח והתפתח משמעותית בשנים האחרונות. הוא מציע תחומים רבים להתמחות, כולל אבטחת רשתות ותשתיות, אבטחת יישומים ומאגרי מידע, בדיקות אבטחה, ביקורת מערכות מידע, תכנון המשכיות עסקית, גילוי רשומות אלקטרוניות ומערכת משפטית דיגיטלית.
אנשי מקצוע בתחום אבטחת מידע זוכים להוקרה, ועבודתם מובטחת ויציבה. המורכבות הרבה וההיקפים הגדולים של ידע נדרש, הביאו לכך שקיימים בעלי מקצוע שונים לחלוטין בענף הסייבר, כי אף אדם לא מסוגל להשתלט על כל הידע הכרוך בסייבר, ועל כל הפעולות הבו-זמניות הנדרשות להגנת סייבר.
אבטחת מידע (infosec), היא מכלול הפעולות הנהוגות לצורך הגנה על מידע על ידי הפחתת סיכוני מידע, ומהווה חלק מתהליך רחב יותר של "ניהול סיכוני מידע". האבטחה כוללת מניעה או לפחות הפחתת ההסתברות לגישה בלתי מורשית / בלתי הולמת לנתונים, או שימוש בלתי חוקי, גילוי, הפרעה, מחיקה, שחיתות, שינוי, בדיקה, רישום או הפחתה של מידע. היא כוללת גם פעולות שנועדו לצמצם את ההשפעות השליליות של אירועים כאלה.
מידע מוגן עשוי ללבוש צורות מגוונות: אלקטרוני או פיזי, מוחשי (למשל ניירת) או בלתי מוחשי (למשל ידע).
המוקד העיקרי של אבטחת המידע הוא ההגנה המאוזנת על סודיות, שלמות וזמינות של נתונים (המכונה גם CIA, הסבר בהמשך), תוך שמירה על מיקוד ביישום יעיל של מדיניות, כל זאת מבלי לפגוע בפריון הארגון.
הדבר מושג ברובו באמצעות תהליך ניהול סיכונים מובנה הכולל:
• זיהוי מידע ונכסים קשורים, בתוספת איומים, פגיעויות ופגיעות אפשריות;
• הערכת הסיכונים;
• ההחלטה כיצד לטפל בסיכונים או לטפל בהם, כלומר להימנע, להקל, לשתף או לקבל אותם;
• כאשר נדרש הפחתת סיכונים, בחירה או תכנון של בקרות אבטחה (אמצעי נגד) מתאימות והטמעתם;
• מעקב אחר הפעילויות, ביצוע התאמות לפי הצורך כדי לטפל בכל נושא, שינויים והזדמנויות לשיפור.
כל הגנה, מתבססת על "עקרונות יסוד", ולכן, הפרקים הבאים ידונו בעקרונות אלו, המהווים בסיס לאבטחת מידע:
אבטחת מידע ואבטחת פרטיות כבר משלב העיצוב, על הגנה לעומק (DiD), על עקרון המינימום ההכרחי לדעת, על בקרת זרימה, אבטחת מידע כתהליך, הפרדת הרשאות וסמכויות, "כשל מבוקר", אימות (Authentication), סינון תוכן, מודל אבטחה Zero trust, בקרת גישה, שיטת הבצל, הגורם האנושי כחוליה חלשה, זיהוי וסיווג נכסי מידע ועוד.
כדי לתקנן תחום זה, אנשי מקצוע מציעים , "מדיניות", "נהלי עבודה", "הנחיות" ו"תקני תעשיה" בנושאים שונים בתחום האבטחה, כמו: סיסמא, תוכנת אנטי-וירוס, חומת אש, תוכנת הצפנה, אחריות משפטית, מודעות לאבטחה והדרכה וכדומה. התקינה מחוזקת בעזרת מגוון רחב של "חוקים ותקנות" המשפיעים על אופן הגישה, העיבוד, האחסון, ההעברה וההשמדה של נתונים. עם זאת, ליישום כל סטנדרטים והנחיות בתוך ישות עשויה להיות השפעה מוגבלת אם לא תופץ בארגון "תרבות אבטחת מידע" ותרבות של שיפור מתמיד.
כאמור, בבסיס אבטחת המידע עומדת פעולת השמירה על "סודיות, שלמות וזמינות (CIA)" של מידע, יצירת הבטחון שמידע לא ייפגע בשום צורה כאשר מתעוררים סוגיות קריטיות. נושאים אלה כוללים התייחסויות לאסונות טבע, לתקלה במחשב וגניבה פיזית.
יש לזכור שפעילות עסקית מבוססת-נייר עדיין קיימת, ומחייבת מערכת אבטחת מידע משל עצמה.
במקביל, פעילות דיגיטלית אוחזת בנפח גדול יותר ויותר של הפעילות העסקית, ולכן - אבטחת המידע מטופלת על ידי מומחי אבטחת טכנולוגיות מידע (IT). מומחים אלה מיישמים אבטחת מידע על טכנולוגיה (לרוב צורה כלשהי של מערכת מחשבים). יש לזכור ש"מחשב" אינו בהכרח מחשב עבודה ביתי, ויכול להיות כל מכשיר עם מעבד וזיכרון. מכשירים כאלה יכולים לנוע בין התקנים עצמאיים שאינם מחוברים לרשת, פשוטים כמו מחשבונים, וכלה במכשירי מחשוב ניידים ברשת כמו סמארטפונים ומחשבי לוח. לכן, יימצאו מומחי אבטחת IT בכל מפעל / מפעל מרכזי בגלל אופי הנתונים וערכם בתוך עסקים גדולים יותר. המומחים אחראים לשמור על כל הטכנולוגיה בחברה מפני התקפות סייבר זדוניות המנסות לעתים קרובות להשיג מידע פרטי קריטי או להשיג שליטה במערכות הפנימיות, ויועצים לאנשי המחשבים למקצועותיהם, כיצד לבצע זאת נכון יותר.
להלן הגדרה של "אבטחת מידע":
"אבטחת מידע היא תחום לימודי ופעילות מקצועית רב תחומית העוסקת בפיתוח ויישום של מנגנוני אבטחה מכל הסוגים הזמינים (טכניים, ארגוניים, מונחים אנושיים וחוקיים) על מנת לשמור על מידע בכל מיקומיו (בתוך ומחוץ למתחם הארגון), וכתוצאה מכך, מערכות מידע, בהן מידע נוצר, מעובד, מאוחסן, מועבר ומושמד, נקי מאיומים. ניתן לסווג את הטרדות למערכות מידע ומערכות מידע וניתן להגדיר יעד אבטחה מתאים לכל קטגוריה של איומים. יש לעדכן מעת לעת סט של יעדי אבטחה, המזוהים כתוצאה מניתוח איום, על מנת להבטיח את מידת התאמתו ואת התאמתו לסביבה המתפתחת. מערך יעדי האבטחה הרלוונטי כיום עשוי לכלול: סודיות, אמינות, זמינות, פרטיות, אותנטיות ואמינות, אי-דחיית דין וחשבון ודיווחיות. " (Cherdantseva והילטון, 2013)