כמה נכון להשקיע באבטחת מידע? חומות גבוהות ופרופורציות

בשבועות האחרונים יוצא לי שוב ושוב לדבר עם אנשים על הנושא הזה. מצד אחד אנחנו רואים שחברות משקיעות מעט מידי, לפעמים בצורה מגוכחת ולא אחראית, באבטחת מידע, ומצד שני, "מומחי" אבטחת מידע דורשים מהציבור יותר מאשר הם דורשים מעצמם.

אז כמה נכון להשקיע באבטחת מידע?
זאת שאלה מאוד לא פשוטה. כולנו, גם בעלי ועובדי חברות וגם אנשים פרטיים צריכים להחליט מה הגובה של החומה שאותה נבנה וכמה  ואילו מנעולים נמקם על השער שלה.
ככול שהחומה תהייה גבוהה יותר ניהיה בטוחים יותר ונרגיש בטוחים יותר. הבעיה היא שחומה בגובה אינסופי תעלה אינסוף ולכן אנחנו צריכים לעצור בשלב מסויים. איש אבטחת המידע ידרוש שהחומה תהייה גבוהה ככול הניתן, ואם אפשר שתתחיל גם מתחת לאדמה, ואילו מחלקת הכספים (או הארנק שלנו) תדרוש חומה זולה וחסכונית – אם אפשר לשים גדר נמוכה מפלסטיק, גם טוב.

בצורה דומה, ככול שיהיו לנו יותר מנעולים כך ניהיה בטוחים יותר, אך העלות תגדל וכך גם הקושי שלנו לצאת ולהיכנס מהמבצר הדיגיטלי שבנינו לנו.

לפני שבוע השתתפתי באירוע החודשי של קבוצת Defcon הישראלית (DC9723) בו העביר אייל מאיגוד האינטרנט הישראלי מצגת שאותה הם מעבירים עכשיו לחברות שונות במשק. המטרה היא להעלות את רמת אבטחת המידע של אותן החברות אשר לא מונחות או מפוקחות ולא הוגדרו כקריטיות על ידי הגורמים הרשמיים במדינה (הרשות הממלכתית לאבטחת מידע).
המצגת עצמה הייתה בסה"כ טובה מאוד והתגובות שעלו מהקהל היו מאוד מעניינות, אבל די מהר התעוררו כל מיני ויכוחים (בריאים) מאוד מעניינים.
לדוגמה, עלתה השאלה האם להמליץ לעובדים לא להתחבר לרשתות Wifi ציבוריות?

השאלה הזאת מעניינת במיוחד בגלל שלמומחה אבטחה הסיכונים מרשתות כאלו ברורים לחלוטין. נקודת המוצא של איש אבטחת מידע הגולש ברשת ציבורית היא שבעל הרשת, או כל גורם זדוני שמחובר עליה, יכול לראות, לחסום או לעצב את התעבורה שלו, בלי שכמעט תיהיה יכולת להתגונן מכך.
ובכל זאת, כולנו גולשים ברשתות Wifi ציבוריות כי בהרבה מקרים אי אפשר להסתמך על רשת הסלולאר.

המלצה שכזאת, אם תינתן לעובדים של חברה ממוצעת במשק, יכולה דווקא להוביל לתוצאה הפוכה ממה שכיוונו. היא יכולה ליצור הפחדה מוגזמת שתפגע בציבור או בתרחיש אחר, להוביל זילזול בשאר ההמלצות היותר "קריטיות".

ההמלצות שניתנות לעובדים ולגופים צריכות להיות תלויות באיומים הייחסיים. בדיוק כמו שקיקס או מועדון צלילה יקחו ביטוח שונה ממשתלה, כך גם חברה להובלת גז צריכה להתמגן בצורה שונה ממאפיה (כזאת שאופה לחמים. Mafia אולי צריכה להתמגן באותה המידה).

האחריות של אנשי אבטחת המידע, במיוחד בתקופה האחרונה של שינוי מהותי ביחס שהתקשורת מעניקה לנושא ולתמונת האיומים העולמית, היא לצייד את הציבור והתעשייה בכלים וידע שמתאימים להם ואפשריים ליישום.
לשים IPS ברשת בייתית רק כי Cybercrime זה Over-Kill בשלב הזה. אנטיוירוס ומודעות לנושא עדכוני אבטחת מידע יהיו מספיקים.

ובכל זאת, נראה שיותר מידי פשוט לא מבינים את הנקודה הזאת או בוחרים להתעלם ממנה. אולי לחלק מאנשי אבטחת המידע נדמה שככול שתיהיה יותר פניקה ככה תעשיית אבטחת המידע תתעשר יותר. ואני חושב שאפשר להתעשר ולפתח יופי של מוצרים גם אם נותנים ייעוץ והנחיות אמינות, לא מפריזים ושומרים על פרופורציות.