השד המאיים על ביטחון המידע
השד המאיים על ביטחון המידע
Ron Veisberg
| 19/05/2011
כמויות המסמכים העצומות שנחשפו במשך שבועות ארוכים באתר ויקיליקס מוכיחות (שוב) כי למרות שמדינות וארגונים משקיעים את עיקר מאמציהם בניסיון להגן על סודות מפני אויב חיצוני, הרי שהאויב המסוכן ביותר נמצא דווקא מבית.
במקרה האחרון, מדובר בטוראי בראדלי מאנינג, שהוציא בלחיצת כפתור מחשב כמות עצומה של מידע וגרם לחשיפת סודות מדינה רגישים, על פי הרשויות בארצות-הברית, אבל כבר משחר ההיסטוריה ידוע לכל איש מודיעין כי מקור המידע האנושי - אדם החשוף לסודות הצד השני ומעביר אותם, בין אם המניע הוא מצפוני או כספי או אחר - הוא בעל ערך מהמעלה הראשונה.
כנגד מקור כמו בראדלי לא יועילו הסכומים האדירים שמושקעים בפיתוח מערכות הגנה שיימנעו חדירה לרשתות מחשב מסווגות באמצעות שתילת "תולעים" או "וירוסים". ולמרבה הצער, המידע שיכולים להוציא בראדלי ודומיו הוא בעל הערך הרב ביותר עבור שירותי מודיעין עוינים, מתחרים מסחריים או כלי תקשורת (כמו במקרה זה), שכן הוא מבוסס על נגישות ישירה לסודות הארגון ולעיתים בהיקף נרחב, ולא על נגישות עקיפה או חלקית או המתבססת על השערות או על מידע מ"יד שניה" ו"שלישית".
מה שהשתנה בין העולם ה"חדש" ל"ישן", לפני עידן המחשב והאינטרנט, אינו נעוץ בעובדה שהמקור האיכותי ביותר הוא פנימי, אלא בפוטנציאל ובהיקף הנזק שיכול אדם אחד לגרום לארגונו או לארצו.
הממשק בין האדם לטכנולוגיה הוא השד המאיים על ביטחון מידע בכל רחבי העולם. העובדה שאדם אחד לבדו יכול לאגור, אפילו על דיסק און-קי, כמות עצומה של מידע, ואז להפיץ אותו באותה קלות ממש, אינה יכולה לתת מנוח. הפתרון כנגד הסכנה העצומה אינו נעוץ בעוד תוכנות מחשב אלא במתן מענה רב מימדי הכולל בדיקה קפדנית של אנשי הארגון הנגישים לסודותיו. צריך לקבוע מדיניות מידור שתגדיר מי רשאי לראות מידע מסווג ובאיזה היקף, כלומר איזה מידע רשאי כל אחד לקבל ולמי מותר לו להפיצו. מנגנונים טכנולוגיים בעיקרם יאכפו את מדיניות המידור, ימנעו את הוצאת המידע מהארגון למעט על ידי מי שהוסמך לכך (ובהתאם למדיניות המידור שנקבעה), ויאפשרו בקרה ומעקב אחר חריגות. אם כל זה ייעשה, סכנת הדליפה תישאר בעינה, אך יצומצם באופן משמעותי פוטנציאל הנזק והיקפו.
יש הטוענים כי הקלות הבלתי נסבלת של ההדלפות תוביל בסופו של דבר לעולם ללא סודות. גישתם היא שאם ממילא קל כל-כך להדליף הרי שמוטב להתנהל מראש בעולם שהנחת היסוד שלו היא שהכל "שקוף". אני טוען שאין דבר כזה - עולם ללא סודות. האתגר העצום שלנו הוא להגן על סודותינו. הגישה לפיה מדינות וארגונים, בטחוניים או מסחריים, יכולים להתקיים גם ללא סודות של ממש - היא מופרכת. לכל ארגון יש את סודות הליבה שעליהם הוא חייב לדעת להגן, שכן חשיפתם תסב לו נזק עצום (בטחוני או כלכלי). אנו נדרשים לדעת להגן על סודותינו גם בעידן שבו הטכנולוגיה מהווה הזדמנות ואיום כאחד.
כמויות המסמכים העצומות שנחשפו במשך שבועות ארוכים באתר ויקיליקס מוכיחות (שוב) כי למרות שמדינות וארגונים משקיעים את עיקר מאמציהם בניסיון להגן על סודות מפני אויב חיצוני, הרי שהאויב המסוכן ביותר נמצא דווקא מבית.
במקרה האחרון, מדובר בטוראי בראדלי מאנינג, שהוציא בלחיצת כפתור מחשב כמות עצומה של מידע וגרם לחשיפת סודות מדינה רגישים, על פי הרשויות בארצות-הברית, אבל כבר משחר ההיסטוריה ידוע לכל איש מודיעין כי מקור המידע האנושי - אדם החשוף לסודות הצד השני ומעביר אותם, בין אם המניע הוא מצפוני או כספי או אחר - הוא בעל ערך מהמעלה הראשונה.
כנגד מקור כמו בראדלי לא יועילו הסכומים האדירים שמושקעים בפיתוח מערכות הגנה שיימנעו חדירה לרשתות מחשב מסווגות באמצעות שתילת "תולעים" או "וירוסים". ולמרבה הצער, המידע שיכולים להוציא בראדלי ודומיו הוא בעל הערך הרב ביותר עבור שירותי מודיעין עוינים, מתחרים מסחריים או כלי תקשורת (כמו במקרה זה), שכן הוא מבוסס על נגישות ישירה לסודות הארגון ולעיתים בהיקף נרחב, ולא על נגישות עקיפה או חלקית או המתבססת על השערות או על מידע מ"יד שניה" ו"שלישית".
מה שהשתנה בין העולם ה"חדש" ל"ישן", לפני עידן המחשב והאינטרנט, אינו נעוץ בעובדה שהמקור האיכותי ביותר הוא פנימי, אלא בפוטנציאל ובהיקף הנזק שיכול אדם אחד לגרום לארגונו או לארצו.
הממשק בין האדם לטכנולוגיה הוא השד המאיים על ביטחון מידע בכל רחבי העולם. העובדה שאדם אחד לבדו יכול לאגור, אפילו על דיסק און-קי, כמות עצומה של מידע, ואז להפיץ אותו באותה קלות ממש, אינה יכולה לתת מנוח. הפתרון כנגד הסכנה העצומה אינו נעוץ בעוד תוכנות מחשב אלא במתן מענה רב מימדי הכולל בדיקה קפדנית של אנשי הארגון הנגישים לסודותיו. צריך לקבוע מדיניות מידור שתגדיר מי רשאי לראות מידע מסווג ובאיזה היקף, כלומר איזה מידע רשאי כל אחד לקבל ולמי מותר לו להפיצו. מנגנונים טכנולוגיים בעיקרם יאכפו את מדיניות המידור, ימנעו את הוצאת המידע מהארגון למעט על ידי מי שהוסמך לכך (ובהתאם למדיניות המידור שנקבעה), ויאפשרו בקרה ומעקב אחר חריגות. אם כל זה ייעשה, סכנת הדליפה תישאר בעינה, אך יצומצם באופן משמעותי פוטנציאל הנזק והיקפו.
יש הטוענים כי הקלות הבלתי נסבלת של ההדלפות תוביל בסופו של דבר לעולם ללא סודות. גישתם היא שאם ממילא קל כל-כך להדליף הרי שמוטב להתנהל מראש בעולם שהנחת היסוד שלו היא שהכל "שקוף". אני טוען שאין דבר כזה - עולם ללא סודות. האתגר העצום שלנו הוא להגן על סודותינו. הגישה לפיה מדינות וארגונים, בטחוניים או מסחריים, יכולים להתקיים גם ללא סודות של ממש - היא מופרכת. לכל ארגון יש את סודות הליבה שעליהם הוא חייב לדעת להגן, שכן חשיפתם תסב לו נזק עצום (בטחוני או כלכלי). אנו נדרשים לדעת להגן על סודותינו גם בעידן שבו הטכנולוגיה מהווה הזדמנות ואיום כאחד.
