סודיות המידע – מאת: רומן זאיקין מרצה לאבטחת מידע ב- HackerU – לעוד כתבות מאת רומן זאיקין
אבטחת מידע, נועדה להגן על הסודיות, השלמות והזמינות של המידע מפני בעלי כוונות זדוניות המעוניינים להשיג מידע זה. היום ניתן לראות את תחום אבטחת המידע משתלב בשלל תחומים שונים – תחום האינטרנט, השרתים, הרשתות והתכנות.
מהו מידע?
מידע יכול להיות כל דבר שהארגון לא מעוניין לחשוף לשאר העולם כגון סיסמאות, חשבונות משתמשים, פרטי כרטיסי אשראי וסודות אחרים אשר נמצאים במערכות המחשוב של הארגון.
אותו מידע יכול להתאכסן בכל מקום בארגון הן במחשב של המנכ"ל והן בשרתי הארגון . לכן הסכנה אורבת בכל מקום, גם למשתמש הפשוט אשר גולש באינטרנט להנאתו.
תפקיד מנהל אבטחת המידע של הארגון הוא תפקיד מאוד מסובך שדורש ידע רחב בתשתיות הרשת הרבות. אלה כוללות בתוכן את חבילות המידע והפרוטוקולים השונים שהארגון משתמש בהם והגדרות מאובטחות של שלל ציוד התקשורת בארגון כדי שלא יישאר מקום לפרצות אבטחה בציוד התקשורת. בנוסף לידע הרחב בתחום הרשתות וחבילות המידע עליו להבין איך עובדים השירותים שמקבלים את חבילות המידע ומה מכילה אותה חבילת מידע.
עליו להבין גם את תפקיד השרתים השונים בארגון הן במערכות ה- windows ( הכוללות שרתים רבים ואף טכנולוגיות מתקדמות כגון עננים ועוד ) והן במערכות הלינוקס השונות אשר יכולות להתבסס על כל סוג של הפצה .החשוב מכל לוודא שהכל מוגדר בצורה הטובה והמאובטחת ביותר.
ואם זה לא מספיק , עליו להבין גם במסדי הנתונים של הארגון ואופן פעולת האתר של הארגון שעלול להוות פרצת אבטחה לתוך הארגון מהאינטרנט.
מנהלי אבטחת מידע נתקלים בקשיים רבים בעבודתם כיוון שהטכנולוגיה מתפתחת במהירות כה רבה שמאוד קשה לעקוב אחר כל החידושים ובמקביל לוודא שאין בארגון שירותים פגיעים ולא מעודכנים.
שירות פגיע הינו פגם בקוד התוכנה או מערכת שמשאירה חלק בקוד לפוטנציאל לניצול בצורה של גישה לא מורשת למערכות או התנהגות זדונית כגון וירוסים, תולעים, סוסים טרויאניים וצורות אחרות של תוכנות זדוניות.
פרצות אבטחה יכולות לנבוע מבאגים בתוכנה, סיסמאות חלשות או תוכנות שנדבקו בווירוס מחשב ופגיעות. פרצות אבטחה אלו בדרך כלל נגרמות בשוגג על ידי החברה המפתחת ומיד לאחר זיהוי הפגיעות בשירות , אותה חברה מוציאה עדכון לתוכנה שבא לפתור בעיות אלו.
מנהלי אבטחת מידע מנהלים את אבטחת הארגון באופן שוטף אך יחד עם זאת נקודת מבט נוספת על אבטחת הארגון אף פעם לא תזיק, תחום אבטחת המידע כה רחב ויש כל כך הרבה דרכים לבצע את אותה המטרה. כאן בעצם נכנסים לתמונה חברות האקינג אתיות שיבדוק את האבטחה בארגון.
האקר אתי הוא מומחה מחשב ורשת שתוקף את מערכת האבטחה בשמם של הבעלים שלה, מחפש נקודות תורפה שהאקר זדוני יכול לנצל. כדי לבחון את מערכת אבטחה ולבצע את המשימה, על ההאקר האתי להשתמש באותן שיטות שהאקר בעל הכובע השחור משתמש (ההאקר הזדוני). השוני המרכזי בתמונה הוא שההאקר האתי מדווח על כל בעיה שהוא מוצא ומציע פתרונות במקום לנצל פרצות אבטחה למען התועלת האישית שלו.
פריצה אתית ידועה גם כבדיקות חדירה, בדיקות חדירות ותיאום עם בעלי העסק. לפעמים האקר אתי נקרא האקר בעל הכובע הלבן, מונח שמגיע מסרטים מערביים ישנים, שבו" הבחור הטוב " חבש כובע לבן ו" האיש הרע " חבש כובע שחור.
אחת הדוגמאות הראשונות של האקרים אתיים בעבודה הייתה ב1970 , כאשר ממשלת ארצות הברית השתמשה בקבוצות של מומחים שנקראים צוותים אדומים לפרוץ את מערכות המחשב שלה.
כיום ישנם האקרים מקצועיים רבים הן זדוניים והן אתיים . מנהלי אבטחת המידע חייבים להיות מאוד מיומנים ובעלי ראייה מרחבית מקיפה של כלל שירותי הארגון הכוללים גם מתן הדרכות לאנשי הצוות.
קורה לא פעם בארגונים רבים שעובדי הארגון הם אלה האחראים לפרצות האבטחה ולאו דווקא בכוונה תחילה, אלא רוב עובדי הארגון כלל לא מודעים לפרצת האבטחה ולסכנות באינטרנט . יתרה מכך , הם אפילו מורידים קבצים, ותוכנות מפוקפקות במחשבי הארגון וזה בעצם מה שגורם לפרצת האבטחה.
אפילו באמצעות דיסק און קי תמים ניתן לגרום לקריסת הארגון כולו ולנזקים בשווי מיליוני שקלים.
במידה ואנשי אבטחת המידע בארגון אינם מעבירים הדרכות לצוות , שלא יתפלאו שנוצרות פרצות אבטחה בארגון.
טיפול בחורי אבטחה הוא חשוב לארגון ולפעילות השוטפת שלו.
מוזמנים לבקר באזור למדריכים בנושאי טיפול בוירוסים, רוגלות ונוזקות למחשב.