הגיע הזמן להכיר בכך שתעשיית ההייטק נכשלה בכל הנוגע להגנה על אבטחת המידע והנתונים של הלקוחות
פורסם: 17.12.17 צילום: יח"צ
התעשייה שלנו בנויה על אמון. האמון שמוצרי התוכנה והחומרה משרתים את הלקוחות בצורה הטובה ביותר. האמון בשמירה על חשאיות המידע של הלקוחות, והאמונה ביכולת שלנו להבטיח את היושר והזמינות של מערכות קריטיות לארגון. אנו מרוויחים את האמון הזה מדי יום, על ידי כך שאנו מגנים על היישומים הקריטיים של הלקוחות שלנו ועל המידע הרגיש שלהם בעולם שפונה יותר ויותר לנייד ולענן. האתגר ממשיך להתעצם, בעולם שבו ארכיטקטורות של יישומים מתפתחות במהירות והיישומים עצמם הופכים למטרה עיקרית לפושעי סייבר. אלברט איינשטיין אמר ש"ההגדרה של חוסר שפיות היא לעשות את אותו הדבר שוב ושוב, אבל לצפות לתוצאות שונות". לצערנו, משפט זה מסכם בצורה הטובה ביותר את הגישה הנוכחית לאבטחת מידע. עד שלא נהנדס מחדש את מודל האבטחה שלנו, לא נהיה מסוגלים לשחרר את עצמנו מכך.
השינוי של אבטחת המידע: מ"רדיפה אחר הרע" ל"הבטחת הטוב"
למעשה ישנה חדשנות רבה בתחום אבטחת המידע היום, כך שהבעיה היא לא מחסור בפתרונות חדשניים. הבעיה היא בגישה הבסיסית שלנו, הנשענת על תפיסת "הרדיפה אחר הרע". זהו מרוץ חמוש שלעולם לא נגמר ונדמה שאנו תמיד מנסים לעמוד בקצב. כאשר אתה רודף אחר הרע, אתה מחפש בלי הפסקה אחר המחט בערימה ענקית של שחת. אבל מה אם ננקוט בגישה ההפוכה? במקום לרדוף אחר הרע, נהפוך את המודל על ראשו ונתמקד ב"הבטחת הטוב"? כאשר מתמקדים בהבטחת הטוב, למעשה מסירים את כל השחת הלא נחוצה ומצמצמים את שטח ההתקפה. כיצד עושים זאת?
בלב הגישה של "הבטחת הטוב" נמצאת ההתעוררות מחדש של תפיסת אבטחת המידע של "חסרי הגישה", בה משתמשים במערכת מקבלים גישה מינימלית של גישה, תפקוד ואינטראקציה. במילים אחרות, אלא אם כן יש לכם גישה מפורשת- אין לכם גישה. ההבדל הגדול היום- והפריצה הגדולה בימינו- היא שכיום יש לנו את היכולת לאכוף את השיטה הזו בהיקף גדול, בלי לגרום להאטה בקצב החדשנות של הארגון.
הבטחת הטוב היא מעבר למתודולוגיה של "נעילה" והכחשה. אנו מדברים על גישה יותר רגישה ומתוחכמת. כשאנו רותמים את חסרי הגישה לאכוף את הטוב, אנו משיגים את האיזון הרצוי בין אבטחה והצורך באספקת שירות מהירה וגמישה. במילים אחרות, אנו מבצעים הסמכה של האבטחה ולא הגבלה שלה. כמו במקרה של המעצורים ברכב המטרה גם כאן היא לא להאט אותך, אלא לאפשר לך לנסוע מהר.
שלושת העקרונות של עשיית הטוב
ישנם שלושה עקרונות מאחורי עשיית הטוב. ראשית, מינוף של תשתית האבטחה כדי לבנות סביבות יישומים. שנית, הסמכת הסביבה האקולוגית על ידי חשיפת הגבולות והקונטקסט של סביבות אלו ומתן אפשרות לסביבות האקולוגיות להתחבר לגבולות האלו ושלישית, להפוך את התהליך לפשוט ולקל לתפעול.
תשתית מאובטחת משנה את חוקי המשחק על ידי כך שהיא מאפשרת לנעול יישומים ונתונים חשובים, כאשר הארכיטקט האחראי על הביטחון שולט ומסייע להליך סינון סייבר שחוזר על עצמו. כיום, שליטה רבה באבטחת הסייבר קשורה לחומרה שנמצאת בתשתית- ראוטר, מתג או שרת לדוגמה. מדוע? משום שבעולם החומרה, זהו המקום היחיד שיכולנו למצוא אותם. אך עולם מונע תוכנה, מאפשר לנו שטח עשיר ומשתנה עם מערכת של פתרונות המבוססות בחלקן על תוכנה.
כאשר בוחנים הפרות עיקריות של אבטחה שהגיעו לכותרות בשנים האחרונות, מגיעים למסקנה שניתן היה להימנע מכל אחד מהם באופן מוחלט או לפחות להפחית את הנזק שלו לארגון ששימש כמטרה אם היו עוקבים אחרי העקרונות הבסיסיים שתיארתי כאן. כשזה מגיע לאבטחה השאלות שאנו באופן טיפוסי שואלים הן מהסוג של "כיצד ניתן לאבטח את זה?" בעוד שעלינו למעשה לשאול "כיצד ניתן למנף את ה-IT של הארגון בדרכים חדשות כדי לשנות את האבטחה"? בתקופה שבה תעשיית ההייטק כשלה באבטחת המידע, כנראה שהגיע הזמן להפוך את מודל האבטחה על ראשו.
*הכותב פט גלסינגר, מנכ"ל VMware העולמית
מגזין "סטטוס" מופק ע"י: 
Tags: אבטחת מידע אבטחת סייבר אסטרטגיה ניהול ידע סייבר
