מי שומר על השומרים?

10 פברואר, 2025

הגישה שקיבלה הוועדה להתייעלות ממשלתית בראשון אילון מאסק למידע ממשלתי היא חסרת תקדים. יש הטוענים כי הדבר טומן סכנות בתחום אבטחת הסייבר. האמנם? [טור אורח]

[קרדיט תמונה: עודד קרני]

מאת עינן ליכטרמן, CTO סייבר, ליאקום מערכות

בדורנו המנוע המרכזי של היכולת לבצע עסקים ולנהל את העולם וניתן אף לומר ה"גביע הקדוש" הינו מידע: מי שמסוגל לאסוף יותר מידע, לעבד ולהצליב אותו מקבל יתרון תחרותי על פני המתחרים ולפעמים יכול אף להשיג ידיעה על המתרחש בעולם ועל כל יחיד בצורה העולה על כל דמיון. את הנקודה זו זיהו כבר לפני מספר שנים גורמי פשיעה ועשו שימוש בתקיפות המכוונת אל המידע הארגוני כמשאב המרכזי – תקיפות כופרה באמצעות מניעת גישה למידע הארגוני, והשתמשו במניעה זו על מנת לסחוט את הארגון. בשנים האחרונות מנגנון הסחיטה המרכזי עבר להיות מנגנון של גניבת המידע ופרסמו או מכירתו לכל המרבה במחיר, מתוך ההבנה כי המידע הארגוני שווה זהב, באופן מטפורי ובאופן מעשי.

בימים האחרונים, עם היכנסו של נשיא ארצות הברית דונלד טראמפ לתפקידו, ו"ניקוי האורוות" המבוצע על ידו בממשל האמריקאי, עולה דאגה על ידי גורמים שונים להשתלטות וריכוז של מידע ממשלתי פדרלי רב בידי גורמים שונים, דבר הטומן בחובו סכנה לשימוש לרעה או לחשיפה של מידע זה. דאגה זו ניתן לראות לדוגמא בכתבה הבאה באתר הטכנולוגיה TechCrunch. תחת הכותרת The biggest breach of US government data is under way | TechCrunch ("פריצת האבטחה הגדולה ביותר בתולדות הממשל האמריקאי").

בכתבה מביע אחד מעורכי האתר, זאק ויטקר, דאגה מאיומים פוטנציאליים בתחום אבטחת המידע, זאת לאור הגישה שניתנה לוועדת היעילות הממשלתית (DOGE), בראשות אילון מאסק, למידע של סוכניות ממשלתיות רבות. היחידה, שאמורה לקדם בקרה על הוצאות הממשל האמריקני, פועלת לקבל גישה למסדי נתונים שונים בממשל האמריקני ולבצע בקרה וחשיפה של פעולות הממשל על ידי ניתוח והצלבת מידע ממקורות שונים.

גם אם הטור נובע מעמדה פוליטית של כותבו, הוא עדיין מעלה נקודות שבעלי מקצוע בתחום המידע ובתחום אבטחת המידע ראוי שיתייחסו אליהם, למשל:

מעולם לא ניתן כוח גדול כל כך בידם של מעטים כל כך – מידע מהווה בסיס של כוח לא רק ביכולת לצפות את העתיד אלא אף ביכולת לבקר את העבר וביכולת להשפיע על ההווה עד רמת האזרח הבודד. מתן גישה לוגרם אחוד למידע, שבמקור מפוצל לגורמים שונים כאמצעי מידור והגנה, מהווה סיכון. הפרקטיקה של חלוקת הכוח, חלוקת התפקדים ופיצול המידע בין גורמים שונים מהווה פרקטיקה בתכנון על של מערכות ומקורות כוח. עקרון זה הופר כאן ולכן נוצר סיכון פוטנציאלי.
היכולת לשכוח – מידע שמור לא ניתן למחיקה אמיתית, ושמירת מידע מהווה סיכון פוטנציאלי. כחלק מבקרות על המידע יש לבחון אי שמירת מידע על מנת למנוע שימוש עתידי פוטנציאלי. כך לדוגמה, בעולם הפרטיות נקוטה הפרקטיקה של החובה למחיקת מידע לאחר פרק זמן מוגדר (retention), ובעולם הפיננסי ישנה חובה לא לשמור נתוני חיוב של גורמים שונים (כגון מספרי כרטיסי אשראי) על מנת למנוע דליפה שלהם.
משרתי ציבור – אחד ההבדלים בין השוק הפרטי לבין השוק הציבורי הוא שבעוד שבשוק הפרטי הכול מותר מלבד אם נאסר במפורש (כגון על ידי חוק), בשוק הציבורי הכול אסור מלבד אם הותר במפורש על ידי חקיקה. מתן גישה לגורמים בעלי תרבות של שוק פרטי למידע הקיים בשוק הציבורי יכול להביא לשיכרון כוח, ולביצוע פעולות של גורם פרטי במידע השייך לכולם ואמור להוות כלי לטובת הציבור ולא לשמש ככלי בציד פוליטי.
תרבות של אבטחה – במסגרת המגבלות המוטלות על השירות הציבורי ובמסגרת מגבלות המימוש בשוק הציבורי, קיימת מגבלות רבות על הנגישות למידע ולמשאבי מחשוב. מגבלות אלה, שבחלקן מוכוונות מראש ובחלקן נובעות מחוסר בשלות והתקדמות של השוק הציבורי, יוצרות מעגלי אבטחה מובנים המונעים תופעות של השתוללות או שימוש בלתי מבוקר. כמו ילד שנכנס לחנות ממתקים כך כאשר בעלי יוזמה בשוק הפרטי נחשפים לכמויות העצמות של המידע בשוק הציבורי, ללא המגבלות התרבותיות והטכנולוגיות, הדבר יכול לגרום ל"כאב בטן דיגיטלי" אם על ידי שימוש בלתי ראוי של פקידי הממשל החדשים ואם על ידי גורמים זרים הרואים בפתיחת הדלתות ובחוסר בישום תרבות אבטחה הזדמנות לחדור למידע ולקבל אחיזה וגישה למידע בצורה שאינה מוגנת.
בשבח הבירוקרטיה – כולנו מלאים תלונות על הבירוקרטיה, על התהליכים הממושכים במשק הציבורי, ועל חוסר יעילות ועוד. יש לזכור כי איטיות בירוקרטית, ריבוי אישורים ותהליכים ארוכים נוצרו על מנת להגן עלינו האזרחים בפני השתוללות של בעלי הכוח. בעלי המידע. על פי הכתבה במקרה זה, הוסרו המגבלות (או חלקן) ובכך אנו נחשפים לאיומים הנובעים מגישה ושימוש במידע שלא על פי הסטנדרטים האמורים לנהוג בממשל הציבורי.

מה ניתן לעשות? האם אנו עומדים בפני שוקת שבורה.

כל עקרון מקצועי בו אנו עושים שימוש, כל תיכנון של מערכת או מוצר אבטחה, מושתת על הנחות יסוד, על תפיסות כיצד העולם מתנהל וכיצד יעשו המשתמשים שימוש במערכת. עקרונות יסוד אלו מהווים את משטח התקיפה הרחב ביותר לתוקף. עיוות הדרך בה נגישים למידע עלול לייצר פעולה שאינה נכונה במוצר או במערכת. אחד השיטות החשובות בתחום תכנון אבטחת המידע הינו החשיפה של הנחות היסוד:

הנחות יסוד טכנולוגיות – על איזה טכולוגיה וספקים אנחנו סומכים
הנחות יסוד ביחס ללקוח – מי הלקוח ומהן הפעולות שיעשה במערכת
הנחות יסוד בנוגע לחקיקה – מה החקיקה הקיימת והאם כולם עומדים בחקיקה זו
הנחות יסוד טכנולוגיות – אילו טכנולוגיות יהיו בשימוש, אילו יכולות טכנולוגיות קיימות בעולם

הנחות יסוד אלו מכתיבות את הדרך שבה ניתן המענה, כמאמר הפתגם הידוע לפיו היתרון של התוקף הוא הצורך בנקודת כשל אחת בלבד לשם יצירת הפגיעה, ואילו המגן נדרש להגן על כלל המגרש. ואולם, היתרון האמיתי של המגן הוא ביכולתו לקבוע את מגרש המשחקים. הסרה של יכולת יסוד זו של המגן, אי הבנה של זירת הפעילות או שינוי של חוקי היסוד בפעילות, יכולה לגרום לפער מהותי בתחום אבטחת המידע או בתחום תפעול נכון של מערכות.

פורסם בקטגוריות: חדשות

Analytics

[email protected]

WP Engine – Hosting Provider

Cloudflare – Cloud based security and web performance processor.

Google Cloud Platform – data centers provider for WP Engine

Sucuri – Website security provider

Mailchimp – Newsletter service provider

Google Analytics, Adwords, Webmasters

Facebook – We use Facebook for advertising and place tracking code on our website for enhancing digital marketing campaigns (i.e – Facebook Pixel).

Planwize Ltd – Digital Marketing Agency.

מי שומר על השומרים?

Who we are

What personal data we collect and why we collect it

Comments

Media

Analytics

How long we retain your data

Request for Receiving Data Associated with One’s Email Address

Where we send your data

Contact information

How we protect your data

What data breach procedures we have in place

What third parties we receive data from

What automated decision making and/or profiling we do with user data