JOKOPOST | עיתון המאמרים והבלוגים המוביל בישראל

facebook twitter linkedin
  • ראשי » 
  • IT
  •  » מעגלי אבטחה פרוצים

מעגלי אבטחה פרוצים

הפקרות לכאורה בדוא"ל של הילרי קלינטון

מעגלי אבטחה פרוצים הילרי קלינטון צילום רשמי של הסנט האמריקני en.wikipedia.org
מרץ 13
08:46 2015

שערורייה גדולה הולכת ומתבררת בארה"ב. הילרי קלינטון, הנחשבת למועמדת מובילה מטעם המפלגה הדמוקרטית למרוץ הנשיאות הבא, הותירה כנראה פרצות גדולות בניגוד לחוק בכל הקשור לדואר האלקטרוני הרגיש שלה. כל זאת עת כיהנה בתפקיד החשוב כל כך – שרת החוץ במעצמת העל ארה"ב. מדובר בשנים 2009–2013, תקופה שבה שלחה שרת החוץ דאז ואף קיבלה לא פחות מרבבות מיילים, כולם בתא הדואר האלקטרוני הפרטי שלה. לפי הטענות, כל אותה עת לא היה לה כלל חשבון דוא"ל ממשלתי.

אין צורך להרחיב את הדיבור על משמעות העניין. הדואר של קלינטון כלל ללא כל ספק מידע רב שהרבה גורמים בעולם, בהם כאלה שכוונותיהם שליליות, היו מוכנים לעשות הכול כדי לדעת. אין גם ספק שרק מנגנון ותשתיות המנוהלים בשליטת הממשל ומומחיו הם הדרך לטפל במידע ממשלתי ולהכילו. מערכות כאלה מוגנות הרבה יותר, וללא שיעור מבוקרות יותר מתיבות הדואר האלקטרוני הפרטיות.

השאלה הגדולה היא איך דבר כזה יכול בכלל לקרות. איך ייתכן שלשרת החוץ אין חשבון פעיל במערכת הממלכתית וזה לא מדליק נורת אזהרה אצל אף אחד? אני משוכנע שעל נושאים שוליים בהרבה הקפידו עם הגברת קלינטון כמו עם אחרים, עד קוצו של יוד. אם שר בממשלת ארה"ב היה מקבל הנחיה ברורה ואף נדרש לחתום על הצהרה בנדון, קשה לי להאמין שהוא היה מפר זאת בצורה כל כך בוטה. קיימת בעיה כללית שנושאי משרות לא תמיד מקפידים, וחוטאים פה ושם בחוסר אחריות. אולם כאן מדובר במקרה קיצוני, שבו הכל התנהל כנראה מחוץ למסגרת המוגנת יחסית.

אנחנו מרבים ללמד ולהנחיל את העובדה כי מערכות המידע בכל אחד מן הארגונים, ואפילו בכאלה שהם רגישים הרבה פחות ממשרד החוץ האמריקני, צריכים להיות מוגנים בשלושה מעגלי אבטחה. אחד מהם הוא המעגל הטכני. רובד זה כולל את כל האמצעים הטכניים, הלוגיים והפיזיים שנועדו להתמודד עם האיומים ההולכים ורבים על מערכות המידע, שבהן תלויים הארגונים כולם. המעגל השני מכיל את ההיבטים הפורמליים של האבטחה: הנחיות, חוקים, נהלים וכדומה. מה מותר ומה אסור, מתי וכיצד. על איזה התחייבויות יש לחתום וכיצד אוכפים את כל אלה. המעגל השלישי מתמקד בהיבטים הבלתי פורמליים. אלה מכוונים להביא לאווירה נכונה, שתביא את האנשים להכיר באיומים הפוטנציאליים ותניע אותם להתנהג בדרך שתסייע לנטרל את הסיכונים או לצמצמם.

בארגון השכיח יש השקעה גדולה יחסית בהיבטי ההתגוננות הטכניים, והרבה פחות בשני המישורים האחרים. שוב ושוב מסתבר שאי אפשר לסמוך רק על המומחים ולהותירם לבד במערכה. צריך ליצור הבנה ורגישות לנושאי אבטחה אצל כלל העובדים. כל מי שמתמצא בנושא ועיניים לו בראשו, יודע עד כמה ההפקרות חוגגת לפעמים. קשה למשל להסביר לסטודנטים נאיביים עד כמה לא רצינית יכולה להיות התנהלות ארגונית. ואז כשאתה מגיע לארגון, השומרים הרבים בכניסה מקפידים מאוד שתפקיד אצלם כל דיסק-און-קי טרם כניסתך לפגישה, ובעת היציאה מן הבניין אתה מקבל חזרה אחר כבוד את ההתקן שמסרת. אולם את אף אחד לא מעניינת העובדה שאתה יוצא החוצה מצויד בשני קלסרים עמוסי מסמכים שקיבלת ממישהו באותו ארגון.

ישאל כל אחד את עצמו, ובלי לייפות את התמונה, מה המצב בארגון שלו. יפעל כל אחד בתבונה וברצינות לשנות את המצב, לשלב בצורה אופטימאלית את שלושת המעגלים האמורים בהגנת מערכותיו. אחרת התשלום הקשה בוא יבוא. אם במקום רגיש כמו משרד החוץ האמריקני זה יכול לקרות, הרי במקומותינו, הידועים בהקלת ראש, זה עלול להתרחש שבעתיים.

על המחבר / המחברת

יונתן קורפל

יונתן קורפל

עורך ראשי, עורך מדור: IT, עורך מדור: בארים ומסעדות. בעבר מנכ"ל חברות IT בארץ ובחו"ל. כיום באקדמיה ו-דירקטור בחברות ציבוריות.

7 תגובות

  1. אבנר שרון
    אבנר שרון מרץ 14 2015, 08:26
    לקחת הכל בערבון מוגבל...

    כבר למדנו מזמן שפוליטיקאים יודעים לשקר. קשה לי להאמין שהיא שלא השתמשה כלל בחשבון דואר ארגוני.
    לעצם העניין, גם בחשבון דוא"ל בגוגל קיימים חלקים משכבות ההגנה, יש למשתמש אפשרות להופיע בשם בדוי (אנחנו לא יודעים איך היא הזדהתה שם) והדרך של חשבון חיצוני, בצורה מדידה ולא גורפת, מקובלת גם במקומות אחרים, לפעמים דווקא כדי להסתיר מידע..
    לדעתי זו לא בהכרח שערוריה אבל הקריאה מעניינת.

    השב לתגובה
  2. Hillary
    Hillary מרץ 14 2015, 12:21
    The end of the game

    .

    השב לתגובה
  3. ליאור סידי
    ליאור סידי מרץ 15 2015, 10:54
    הגורם האנושי

    רוב המחקרים מוכיחים כי הגורם האנושי הוא ללא ספק החוליה החלשה בשרשרת האבטחה בארגון, בעוד חברות האבטחה מספקות פתרונות טכנולוגיים רבים להתמודדות עם קוד עויין מעטים מחדשים באמת בתחום הגורם האנושי ונוטים לפסוח עליו לא מעט. באשר להילרי, כנראה ומדובר בבאז רפובליקני קלאסי, אבל אם אכן הדבר נכון אז יתכן וקיימות סוגיות שאיננו ערים להם כגון צירי התקשרויות בלתי פורמאליים, שת״פ עם גוגל והכי חשוב הטעיית אויב. מצד שני אם באמת מדובר בטעות אנוש הריי איפה אנשיי האבטחה, קולגות שהיו אמורים להתריע ולהזהיר. אחריות ארגונית לא כך?

    השב לתגובה
  4. הגרוזיני
    הגרוזיני מרץ 15 2015, 16:41
    לא יאומן כי יסופר

    על מי אפשר לסמוך?

    השב לתגובה
  5. סטודנט תמים
    סטודנט תמים מרץ 20 2015, 07:40
    אם בארזים .....

    מה קורה עם מנכלים ועם עובדים זוטרים

    השב לתגובה
  6. סטודנט
    סטודנט מרץ 31 2015, 11:26
    גם זה יהיה ברשימת הקריאה?

    לגוף העניין
    אם להילרי מותר לפשל שלא יבואו אלי בטענות

    השב לתגובה
  7. י-ר
    י-ר יולי 09 2015, 12:05
    ראיתם מה קרה אתמול?

    היום הייתה בחינה על מערכות מידע ובתוך זה על אבטחת מידע. בשיעור זה נשמע הזוי. אבל אתמול פתאום המחשב של הבורסה האמריקאית ושל חברת התעופה שם נפגעו.

    השב לתגובה

כתוב תגובה

הוסף תגובה:

<

* אני מתחייב לפעול על פי תנאי השימוש באתר


התגובות יפורסמו לפי שיקול דעת העורך

כתבות נוספות

פוסטים אחרונים בIT

יתר המאמרים במדור