5.1 מבוא

הגנת סייבר (infosec), היא מכלול הפעולות הנהוגות לצורך הגנה על מידע על ידי הפחתת סיכוני מידע, ומהווה חלק מתהליך רחב יותר של "ניהול סיכוני מידע". האבטחה כוללת מניעה או לפחות הפחתת ההסתברות לגישה בלתי מורשית / בלתי הולמת לנתונים, או שימוש בלתי חוקי, גילוי, הפרעה, מחיקה, שחיתות, שינוי, בדיקה, רישום או הפחתה של מידע. היא כוללת גם פעולות שנועדו לצמצם את ההשפעות השליליות של אירועים כאלה.

מידע מוגן עשוי ללבוש צורות מגוונות: אלקטרוני או פיזי, מוחשי (למשל ניירת) או בלתי מוחשי (למשל ידע).

איך נסביר את המונח "הגנת סייבר"?

נתאר את האתגר בתיאור הכלים והטכניקות להגנת סייבר, באמצעות אנלוגיה להגנת מחנה צבאי.

1. על מחנה צבאי נגן מתחת לפני הקרקע (מפני מנהרות), על הקרקע, ובאוויר (מפני מטוסים, טילים וכו')

2. על מחנה צבאי נגן באמצעות טכנולוגיות של גדרות, של חומות, של מצלמות וחיישנים, של שערי כניסה (ש"ג), של פילוח לאזורים שלכל אחד נדרשת הרשאה שונה, וכן באמצעות הקמת חדר מלחמה וכו'.

3. על המחנה נגן באמצעות אנשי מקצוע העוסקים בהגנה, בתפקידים שונים בעלי אופי שונה, ובאמצעות נהלים והוראות עבודה של אנשי ההגנה ושל העובדים והמבקרים במחנה.

הסיבוכיות נובעת מהסיווגים השונים שאינם מצויים במישור אחד וברור, ומחייבים פירוק של כל רכיב מחד, ואז: ראיית 'התמונה הגדולה' מחדש. 

כדי לקבל תובנה עמוקה שתסייע "לקשור פרקי לימוד", ננתח את עולם אבטחת מערכות המידע בנפרד בכל תחום בעולם מערכות המידע כי על כל תחום – תופעל הגנה אחרת. ז

על כל אחד מהעולמות הללו נרחיב בהמשך.

בפרק זה נתחיל ללמוד מושגים חשובים מעולם הסייבר: מראשי התיבות CIA (סודיות, שלמות וזמינות), דרך PPT (אנשים, תהליכים וטכנולוגיה), APT (איום משמעותי מתמשך), ואין ספור מונחים לכאורה נשמעים דומים, אך ההבדל ביניהם מהותי להבנת ההגנה: פגיעות, ניצול, איום, פגיעה, וקטור תקיפה, Malware, אירוע אבטחה, היגיינת סייבר, עמידות סייבר ועוד.

כעת נבצע סקירה בגובה 20,000 רגל על עולם הבקרות הטכנולוגיות (טכנולוגיות שונות שמשמשות להגנה על אזורים או תחומים שונים או שכבות שונות של מערכות מידע).

נמשיך לעולם הניהול, ארגון ושיטות של אבטחת מידע – עולמו של ה-CISO.

נבהיר מהו GRC, ונזכיר בקרות מנהליות ומשפטיות שונות (לא טכנולוגיות).

נזכיר מסמכים חשובים שונים של רגולציות, תקנים, מסגרות ומדריכים להגנת סייבר בעולם, ובכלל זה את המסמך הישראלי ""תורת ההגנה בסייבר" של מערך הסייבר הלאומי (מס"ל). כממעט כל תובנה או פעולה בהגנת סייבר, מקורה בהמלצה או בחקיקה המופיעה במסמכים אלו.

כל הגנה, מתבססת על "עקרונות יסוד", ולכן, הפרקים הבאים ידונו בעקרונות אלו, המהווים בסיס לחשיבה הגנתית: הגנת סייבר ואבטחת פרטיות כבר משלב העיצוב, על הגנה לעומק (DiD), על עקרון המינימום ההכרחי לדעת, על בקרת זרימה, הגנת סייבר כתהליך, הפרדת הרשאות וסמכויות, "כשל מבוקר", אימות (Authentication), סינון תוכן, מודל אבטחה Zero trust, בקרת גישה, שיטת הבצל, הגורם האנושי כחוליה חלשה, זיהוי וסיווג נכסי מידע ועוד.

הזכרנו קודם את ראשי התיבות PPT? ובכן, אבטחת מידע מלאה מבוצעת באמצעות אנשים, תהליכים וטכנולוגיה.

הדרך "לבצע הגנה" היא שימוש ב"בקרות". בקרות בהגנת סייבר הן אמצעים שנועדו להפחית את הסיכונים לאירועי סייבר. המטרה של בקרות היא להגן על נכסי הארגון, כגון נתונים, מערכות ומידע, מפני אירועי סייבר, כגון פריצה, וירוס או מתקפת מניעת שירות.

כפי שנלמד בהמשך, ניתן לסווג את הבקרות הרבות בדרכים שונות, ולמשל: בקרות יכולות להיות טכנולוגיות, ניהוליות או תפעוליות. בחלוקה אחרת הן יכולות להיות מונעות, מגלות או מפצות.

כדי לתקנן תחום זה, אנשי מקצוע מציעים , "מדיניות", "נהלי עבודה", "הנחיות" ו"תקני תעשיה" בנושאים שונים בתחום האבטחה, כמו: סיסמא, תוכנת אנטי-וירוס, חומת אש, תוכנת הצפנה, אחריות משפטית, מודעות לאבטחה והדרכה וכדומה. התקינה מחוזקת בעזרת מגוון רחב של "חוקים ותקנות" המשפיעים על אופן הגישה, העיבוד, האחסון, ההעברה וההשמדה של נתונים. עם זאת, ליישום כל סטנדרטים והנחיות בתוך ישות עשויה להיות השפעה מוגבלת אם לא תופץ בארגון "תרבות הגנת סייבר" ותרבות של שיפור מתמיד.

כאמור, בבסיס אבטחת המידע עומדת פעולת השמירה על "סודיות, שלמות וזמינות (CIA)" של מידע, יצירת הבטחון שמידע לא ייפגע בשום צורה כאשר מתעוררים סוגיות קריטיות. נושאים אלה כוללים התייחסויות לאסונות טבע, לתקלה במחשב וגניבה פיזית. 

יש לזכור שפעילות עסקית מבוססת-נייר עדיין קיימת, ומחייבת מערכת הגנת סייבר משל עצמה.

במקביל, פעילות דיגיטלית אוחזת בנפח גדול יותר ויותר של הפעילות העסקית, ולכן - אבטחת המידע מטופלת על ידי מומחי אבטחת טכנולוגיות מידע (IT: Information Technology). מומחים אלה מיישמים הגנת סייבר על טכנולוגיה (לרוב צורה כלשהי של מערכת מחשבים). יש לזכור ש"מחשב" אינו בהכרח מחשב עבודה ביתי, ויכול להיות כל מכשיר עם מעבד וזיכרון. מכשירים כאלה יכולים לנוע בין התקנים עצמאיים שאינם מחוברים לרשת, פשוטים כמו מחשבונים, וכלה במכשירי מחשוב ניידים ברשת כמו סמארטפונים ומחשבי לוח. לכן, יימצאו מומחי אבטחת IT בכל מפעל / מפעל מרכזי בגלל אופי הנתונים וערכם בתוך עסקים גדולים יותר. המומחים אחראים לשמור על כל הטכנולוגיה בחברה מפני התקפות סייבר זדוניות המנסות לעתים קרובות להשיג מידע פרטי קריטי או להשיג שליטה במערכות הפנימיות, ויועצים לאנשי המחשבים למקצועותיהם, כיצד לבצע זאת נכון יותר.

פרק זה מתעמק בהגדרה ובמשמעות של "עקרונות הגנת סייבר", וממחיש את היישום האסטרטגי שלהם בכל ההיבטים של הגנת סייבר. עקרונות אלה צריכים להיות בלב כל שיקול עיצובי של הגנה, והם חלים הן באבטחה פיזית והן בהגנה לוגית, אבטחת רשת או מערכת, אבטחת חומרה או תוכנה. זו אינה רשימה סגורה, לא רשימה "סופית", אלא מתווה תובנתי המתפתח ללא הרף, ויש להתייחס לרשימה כאל עוגן שממנו והלאה, מפתחים את החשיבה ההגנתית.

אין ברשימה זו "חשוב יותר" או "פחות", כפי שלא ניתן לקבוע שמלפפון הוא ירוק יותר או ארוך יותר.

בפרק זה נעסוק בהיבטים הבאים:

• המסגרת של אנשים, תהליכים וטכנולוגיה
• מושגי מפתח
• עקרונות ארגון OECD
• עקרונות הגנת סייבר
• בקרות הגנת סייבר, ושיטות סיווג שונות.

עבור למאמר הבא