אבו נפחא
בעקבות הוצאת המסמכים מהמועצה לביטחון לאומי, חוזה יונתן קורפל המשך לסדרה העצובה של מחדלי אבטחת המידע
לדג הלגינון הנודד ("אבו נפחא", בערבית עממית) חזות מאיימת. אולם בפועל, מאחורי המראה המרתיע, ניצבת בסך הכל יכולת בליעה של כמויות מים שמעצימה מלאכותית את מימדיו. דקירה אחת קטנה מרוקנת הכל ומותירה דג רקק כמעט. התנהלותה של מערכת הביטחון הישראלית בתחום אבטחת המידע שלה, מזכירה לי לעיתים את תדמיתו של יצור ימי ונפוח זה.
לפני למעלה משבוע נתבשרנו שוב על מפגע בטחוני כואב, שאירע כבר לפני כמה חודשים. חיילת מן השורה הוציאה כמות גדולה של מסמכים רגישים ממשרדים של המועצה לביטחון לאומי. הצעירה, המשרתת באגף התיקשוב של צה"ל, הגיעה לבצע פעילויות תחזוקה בארגון האמור, נתקלה בהתקן אחסון חיצוני בטכנולוגיית הפלאש ("דיסק און קי" בלשון העם) ונטלה אותו עמה. בהתקן הנייד נמצאו מאות מסמכים, עשרות מהם ברמת סווג "סודי ביותר". ההמשך פחות חשוב בעיני.
מדהימה העובדה, כי הפרשה כולה העסיקה את העיתונות והציבור בערך יומיים. מאז, נדמה שהעניין כולו נשכח. נראה שאף אחד לא מתרגש מן הקלות הבלתי נסבלת שבה אפשר להוציא כמויות מידע כל כך גדולות ממערכות המחשב זרועות הביטחון. מעשה זה הזכיר לכולם פרשה אחרת שצצה לא מכבר. בפעם ההיא, חיילת בשם ענת קם, נטלה ללא רשות כמות גדולה של מסמכים, כנראה מתוך מניעים אידיאולוגיים. בדיון שהתנהל בשני המקרים הסתמנה תגובה ציבורית מתלהמת כנגד נוטלות המסמכים. למרות זאת, אותי לא מעסיקות החיילות הצעירות הללו. במדינה מתוקנת יש חוקים. מערכת המשפט צריכה לטפל במי שעובר על החוק ויש להניח לה להשלים מלאכתה בכל מקרה לגופו.
אני, בניגוד לטוקבקיסטים, מודאג ממה שנראה לי כרמה לא מספקת – ואולי אף עלובה – של אבטחת מערכות המידע של ממסד הביטחון שלנו. אין ספור מומחים, עם מירכאות ובלעדיהן, כבר השיאו עצות בקשר להתקן האחסון החיצוני, שנגנב על תכולתו. אולם גם זו החמצת העיקר. פעם, בעת שנכנסתי לארגון מוכר מאוד, התעקשו אנשי האבטחה להשאיר אצלם למשמרת את התקן האחסון החיצוני שהיה בתיקי. אולם כאשר הגעתי בתום הביקור לקבלו חזרה, לא הטרידה אותם כלל העובדה שנשאתי קלסר עב כרס גדוש במסמכים שלא היו ברשותי עת נכנסתי.
הבעיה הנה הרבה יותר יסודית. אבטחת המידע אצלנו לוקה בחסר. יש הרבה גינונים, ריבוי מהומה, מנגנונים מסורבלים, אמירות לשמן ומשחקי כבוד. יותר מידי חזות ביטחונית ופחות מידי תוכן רלוונטי. הכל אפוף סודיות ובעצם פרוץ. הרגלי ההסתרה והערפול, בכל מה שקשור בביטחון, נוטעים בי תחושה חזקה כי בפועל המקרים רבים יותר מהמתפרסם. כל מי שעסק בנושא יתקשה להשתחרר מההרגשה הזאת. בכדי לסתום הפרצות הקוראות לגנבים, יש להתמודד עם הסיבות והגורמים שמונחים בשורש הבעיה.
לפני הכל מדובר בבעיה של ניהול. יש לבודד את הרגיש והמשמעותי ועליו בלבד להגן בצורה נאותה. בבסיס הניהול ניצבים מנגנוני שליטה ובקרה, שבמקרים הנדונים התבררו כריקים מתוכן. חשוב לטפל במשמעת הלקויה כל כך, באי הקפדה על נהלים שהופכים לחוכא ואיטלולא ובהנחלת האחריות הפיקודית. מעל לכל נחוצה שקיפות. אצלנו מערבבים בטעות שקיפות עם חשיפת סודות. בארגון נאור, השקיפות עוזרת להלחם בחשיפות לא רצויות של מידע רגיש. אם כל מקרה של מחדל ומעידה, יתפרסם וידון בצורה רשמית, הם גם יחקרו. כך יש גם סיכוי שהאחראים יענשו ולקחים יופקו. הכל חייב להיעשות ברצינות ע"י סמכות מפקחת ולא להימרח, תוך קריצה, בתוך המשפחה. בארצות העולם זה מובן מאליו. אצלנו, עדיין לא. אשר על כן מובטח מראש, כי מדור זה ימשיך להיגדש בסיפורים נוספים באותה סידרה עצובה.
הנקודה שאני מעריך כנקודה הכי חשובה קשורה לכך שתפשת מרובה לא תפשת לא צריך להגן ולישמור על כל דבר אפילו אם אין לו חשיבות צריך כמו שכתוב במאמר לראות מה באמת חשוב ולהגן עלי אבל הכי טוב שרק אפשר
אני גאה בכל מי שכתב כאן סתם סתם רציתי רק להודיע לכם שחזרתי
מה שקצת מפריע לי זה שבכל פעם שמתפרסמת כזאת כתבה איננו מופתעים כלל. כולנו היינו בצבא וראינו עד כמה קל זה "למעוד" ועוד יותר קל לחבל. ססמאות כאלה ואחרות נזרקות באויר ואף אחד לא באמת אוכף אותם. רובנו היינו שותפים ואולי אפילו עדיין שותפים לפשע, אבל שורש הבעיה ממוקמת בצמרת.
בתור אחת שתפקדה כמש"קית אבטחת מידע ובטחון מערכות מידע בשירות הצבאי, נתקלתי וטיפלתי לא פעם באירועים כאלה ואחרים ואני חושבת שהציבור מתעלם מהבעיה האמיתית פה, או יותר נכון- לא יורד לשורש הבעיה. כולם מתלהמים מהבחורה שהוציאה את הדיסק און קי מלא המסמכים הסודיים אך אף אחד לא שואל את עצמו איך הוא הגיע לידיה מלכתחילה. ככלל- דיסק און קי הוא לא חוקי בצבא, ויותר מזה, במידה וחייל/ת יחברו התקן יו.אס.בי למחשב צבאי, תישלח התראה אוטומטית בזמן אמת ליחידת אבטחת המידע ו/או ליחידת המחשוב בבסיס אשר דקות ספורות לאחר מכן יגיעו למקום החיבור על מנת לעצור את המתרחש. אמנם ישנם כמה יוצאי דופן- מפקדים בדרגות בכירות בבסיס מקבלים דיסק און קי צבאי לשימושיהם בלבד ועליהם לשמור עליו עפ"י נהלי אבטחה כבדים. אז אני שואלת, למי שייך הדיסק און קי הזה? ואיך הוא הגיעה לידיה של החיילת הצעירה? זאת השאלה שהקהל צריך לשאול את עצמו. שם לדעתי, תמונה הבעיה.
רוב הכותבים בעיתונים המקצועיים כותבים בצורה פרווה. לא מביאים עמדה ברורה או ביקורת. רק עובדות. כאן יש לנו דוגמא טובה לביקורת אמיצה וגלויה ומועילה. בעיתון שלכם יש כמה כאלה.
מסתבר היום, שגם בארה"ב הנושא לא בדיוק נשלט! לא יאומן שכל כך פשוט להוציא "החוצה"-לתקשורת כל הרבה מידע מסווג!!
שהם לא ירדפו אותך ...
הבעיה לא לא רק באבטחת מערכות מידע. הבעיה היא מובנית בתפיסה של הצבא שאפשר לסמוך על אנשים, ויותר גרוע בתפיסה של אנשים שהכל מותר
אכן, בצהל נורא קל לקחת מידע הביתה. אפשר נורא בקלות לנתק את המחשב מהרשת (על ידי משיכת הכבל) לחבר כונן נייד ולהעתיק מה שאתה רוצה (למרות שכיום ליותר ויותר מחשבים בצהל מנתקים את אפשרות החיבור של כוננים חיצוניים).
כתבה מעניינת! באמת חבל שכל כך בקלות אפשר לפרוץ את מערכתהביטחון שלנו.. מה שאומר שאם זה בא מבפנים אז זה גם יכול בקלות מאוד לבוא מבחוץ ולהמשיך לצאת החוצה ליידים לא נכונות ... כרגע המודיעין של מדינות האויב שלנו מצחקק לו בשמחה... ומבין שאם חיילת ישראלית פורצת בכל כך פשטות למידע סודי ביותר, גם הם יכולים לפרוץ אלינו בפשטות הזאתי.... לפני שיקרה אסון ... יש לעצור את זה .. יש גם להפעיל את מערכות המידע הטובות ביותר ובנוסף לכך למנוע מאנשים בתלי מסווגים להיכנס לאזורים מסוווגים...
אני חושבת שהבעיה נעוצה בסוג הארגון שאליו מוכנסת אותה טכנולוגיה. הצבא מתעקש להיות ארגון בעל ערכים שאתה לא עובד אלא משרת, אין לך בוס אלא מפקד והוא אחראי על כל רמ"ח איברייך. עם זאת, מוכנסים לתוך הצבא כל כך הרבה חידושים טכנולוגיים שטומנים יתרונות כגון נגישות למידע ואיתם גם הסיכונים. אז אותו ארגון צריך לעשות סוויץ בראש מבחינת "ארגון" הערכים שלו. אם מלבישים עליו כל כך חליפות אזרחיות אז הוא צריך להתנהג יותר כמו ארגון אזרחי. בקיצור ולעניין למשל, קצינים בקורס הקצינים מן הראוי שיעברו כמות שעות נכבדת שקושרת באבטחת מידע וכמובן כל דרג אחר שרלוונטי לעניין המחשבים... אז נדבר פחות על מנהיגות ועל רוח צה"ל- אבל לפחות לא נראה בושה וחרפה בעיתון של מחר.
הדברים שאתה אומר מעניינים מאוד, וכמוך גם לי צר שבמדינה כמו שלנו, אבטחת גופים כל כך חשובים, "פרוצה לכל" . במקום לנהל הכל תוך שליטה וביקורת , עסוקים יתרה בלטייח ולהטיח האשמות. בכל אופן , שמחה להיות הראשונה לתגובות :-) נתראה בהרצאה הבאה.
הפתרון הוא בענישה. צבא מתבסס על משמעת, והיא כלי חשוב כדי לשמור על החוקים. כמה שננסה לאבטח ולאכוף תמיד יהיו פירצות. שינוצלו בכוונה או בלעדיה.(למשל שדה חובה בכתיבת ההודעה - אימייל שכמו מרבית התגובות לא יוביל לשום מקום) חיילים צריכים להענש בהתאם. השקיפות היא כלי שעוזר להפיץ. איך זה עבד פעם? קודם תולים מהצוואר ואז תולים בכיכר העיר.
זה לא רק בנושאי אבטחת מידע
האם יצירת מערכת תקנים ואכיפה מספיקה כדי לפתור את הבעיה?
רק אתמול הייתי בתוקף עבודתי בארגון יצרני-בטחוני חשוב בפתח נשאלתי אם יש ברשותי טלפון עם מצלמה וזה אכן נלקח ממני למשמרת אולם אף אחד לא שאל אותי אם ברשותי התקן זיכרון (דיסק-און-קי), או PDA שכידוע יש לו גם יכולת צילום ואכסון נתונים. כנראה שבאמת אנשי הביטחון צריכים לעבור דחוף השתלמויות בביטחון מידע.
שלום לכולם ! ראשית , אני גם מקווה מאוד שמי שאשם בפרשות הנ"ל ייתן את הדין . שנית , אני , כאיש צבא בעבר , ראיתי הרבה דברים סודיים , ואף סודיים ביותר , יכול להגיד בביטחון מלא שצה"ל משקיע המון משאבים ע"מ לאבטח את המידע בצורה הכי טובה שניתן . אני מבין את מר יונתן קורפל , כמומחה באבטחת המידע , ולמה הוא מתקוון בכתבה שלו ואני בטוח שיש עוד הרבה דברים שניתן לשפר באבטחת מידע של צה"ל . אבל אני יכול להגיד שהרבה ( הרוב ) הטעויות שקורות זה בגלל האנשים , שאחראים על אותם הסודות של המדינה שלנו . כמו שרשום בכתבה, האירוע האחרון קרה עקב "הפקרת" אותו התקן אחסון חיצוני שזה מצביע על חוסר אחריות בסיסית של בעל ההתקן . כולנו יודעים שהיום ניתן לפרוץ כמעט כל דבר בכל תחום , אבל אם אנשים יתחילו לעזור לעצמם לאבטח את המידע שלהם , אז סיכויים שאנחנו נשמע עוד סיפורים כאלה - אפסיים . המשך שבוע נעים לכולם , ובהצלחה לכל הסטודנטים !!!
אין כל פלא, תרבות ה"חפיף" שולטת בכל
כתבה מעולה! אהבתי את משל דג האבו נפחא-אמת לאמיתה!!! הבעיה היא באנשי הצבא הנגישים למסמכים/התקנים ונותנים ליצר הרע להשתלט עליהם!! המחדלים האלו תופסים את הכותרות יומיים שלושה ונעלמים כאילו לא היו עד שיום אחד נקבל מכה מתחת לחגורה כשחלילה וחס המידע יגיע לגורמים עויינים שבת שלום!
צודק! צודק! צודק!
לפי הפירסום הבעיה כאן היא כבר לא באוכלסיה אלא בממשל עצמו, במדינה מתוקנת עבירת ביטחון שכזה מזכה את הנאשם בכלא על בגידה או ריגול ובמדינות מסוימות אף לעונש מוות. לצערי מערכת המשפט הישראלית לא מאמינה שיש צורך בענישה כבדה לעברייני אבטחת מידע, ראה ערך ענת קום. הם פשוט לא יודעים מה לעשות איתה. כמו כן לגבי האבטחת מידע במשרד הביטחון, ילד בן 18 מתגייס לצבא, כמובן מוצאים את הכי מחוננים שבעולם זורקים אותם לקורס אחרי הטירנות של 5 שבועות ושם מנסים להסביר לאותם הילדים מזה בכלל אבטחת מידע ולמה זה חשוב, וכמובן ילד אחרי קורס של 5 שבועות יוצא משם מומחה אבטחת מידע והכי גאון. במקום זה יש להביא אנשי אקדמייה לצורך שיפור ויעול המערכות הללו, אנשים שהם למדו וניסו ועמלו כדי להבין מה זה עולם האבטחת מידע. ואולי כך ארגון כמו ערכת הביטחון יצליח לשמור על עצמו. לדוגמא אפשר לקחת את מערכת הביטחון האמרקאית שהיא ממדורת כולה, כמובן שגם היא לא מושלמת אבל רוב האנשים שעובדים בה הם אנשי מקצוע אקדמיים ולא אנשי תעודה כמו שאוהבים בארץ.
בדיוק כמו שהמיני בר בבתי המלון מלא, ורק באילת לא :)