אקדים לומר שאני לא מדבר על התועלת שבדבר באופן כללי
אלא על מיקרים מסויימים שבהם למשתמש יש גישה לציוד

למשל במוסדות חינוך דורשים מהמשתמשים לקנות ציוד יקר שנועד לאבטח את המידע על התלמידים
באחד מהמקומות שאני מטפל שיכנעו אותם לקחת ראוטר של ג׳וניפר במחיר של מעל 1000 ש״ח
כשסה״כ מדובר במוסד של 70 תלמידים באיזה מושב בדרום כשהמשרד הוא בכלל בבית פרטי
כשבדקתי את הרשת ראיתי שהם יצרו שני רשתות שונות
האחת למתחברים באלחוט 192.168.2
ואחת למתחברים פיזית 10.25.30
בקשו ממני לצרף נייד לרשת כדי שמזכירה נוספת תוכל לעבוד על המסמכים שבנייח
בין הרשתות היה פינג אבל לא הייתה גישה לשיתוף
אז חשבתי לעצמי מה החכמה בכל העסק הזה
הרי אפשר לחבר כרטיס אלחוטי נוסף לנייח ואז יהיו לו שני רשתות
מול אותו ראוטר וכך תהיה גישה מהנייד לחומר שעל הנייח

וכאן אני שואל על מה כל הביזבוז והפראנויה
נכון שהמשתמשים צריכים לעמוד בנהלים אבל אם באם כבר לאבטח משהו
מה התועלת בדבר שבר עקיפה בצורה כ״כ פשוטה.

כיצד מאבטחי מידע במקומות רגישים מתמודדים עם היכולות של היום ?
היום יש כ.רשת wifi בגודל ציפורן שניתן לחבר לנייח מאחורה
ולהריץ סקריפט שיהפוך אותו ל-AP ואף אחד בכלל לא ידע
או לגשת לאיזה שקע רשת באירגון ולחבר לו ראוטר ולהתחבר מרחוק באלחוט.

מה דעתכם בנושא

יש איזו תאוריה (אם אני זוכר נכון את המספרים...) - שכ 90% מהפריצות למערכות מחשב, נעשות באמצעות עובדים בתוך הארגון. לפיכך, על האחראי לאבטחת המידע בארגון להניח, שעליו להגן על ה"נכסים" שלו גם מפני עובדים בארגון. לא תמיד זה אפשרי (למשל: עלי כפו פעם לתת גישה לשרת בצורה מסויימת שלדעתי לא היה צורך בכך, כי הייתה דרך אחרת שהיא just as good והרבה יותר בטוחה. קרה מה שחשבתי שיקרה; שהתגלה באג 0-day בקרנל, היה מפתח אחד שכנראה סיים לתקן את כל הבאגים שלו (yeah right), שרצה לבדוק האם הוא יכול לעשות privilege escalation על באג שכולם גילו לפני כמה דקות, ולא היה סיכוי לעשות פאצ' לקרנל בזמן הזה. כמובן שהוא הצליח; אותה הנהלה שכפתה לתת לו גישה (שבלעדיה - לא היה מצליח), גם לא דאגה להעיף אותו מהארגון בעקבות האירוע כי "הוא לא התכוון להזיק" - מאיפה להם לדעת - מי יודע מה הוא עשה שם כשהוא יכל... וכמה שאני צוחק על גופי "בטחון מידע" בדברים ממשלתיים - שם - בנאדם כזה היה עף על טיל הביתה, ולא מקבל סב"ט ever again...)

לרוב אין הבדל בין ציוד ב 1000 שקל לציוד ב 300 שקל מבחינת ההפרדה שניתן וצריך לעשות... באופן כללי, רצוי שרשת אלחוטית לא תוכל להיכנס לרשת הארגונית בשום מצב, ודינה יהיה כ"חיבור חיצוני לאינטרנט". משם אפשר כבר לעשות VPN וכו'.

נמאס לכם לזכור סיסמאות? לחצו כאן!

ובכן, כפי ששימי ציין, אבטחת מידע בארץ זה יותר SHOW מאשר משהו פרקטי.
ישנם דוגמאות רבות לכך שאין המטרה לאבטח את המידע, אלא לעשות SHOW TIME חביב
כאילו יש אבטחת מידע בארגון.
ארגונים ציבוריים רבים לוקים בחוסר הבנה זו, וכאשר מעלים את נושא אבטחת הפנימית, רובם
אומרים... "אל תכנס לזה..". בכך למעשה הם מבטלים את המושג אבטחת מידע, קל וחומר עבודה
לפי חוקי מדינה ישראל (כדוגמת: חוק הגנת הפרטיות...).
בקשר למספרים, העצוב בנושא שזו לא תיאוריה, אלא סטיסטיקה של אירועי אבטחה. גם אם ניתן להערכה רמת דיוק של +-30%, מדובר ברמה גבוהה של סבירות לבעיות אבטחה ממקור פנימי.

מה שטוב במקרה שלך, שיש ל Juniper חומרה טובה, שבד"כ עובדת ללא בעיות מיוחדות, ולאורך זמן

ואם למוסדות היה ממש אכפת מאבטחת מידע, הם היו מגיעים למסקנה שאסור לאחסן מידע על מחשבים, והדרך היחידה (שהינה יעילה בצורה פרקטית) הינה לעבוד עם סביבת טרמינל מרכזית.

חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

אתה מבלבל בין אבטחת מידע, ללייצנות...

בד"כ כשיודעים ומבינים מה עושים אז יש בזה הרבה מאוד תועלת. כשסתם זורקים כסף\חומרה\נהלים, אז אין...