מיומנו של איש היי-טק: אבטחת מידע מרתקת - מעין סיפור בלשי

אחרי הדיון הסוער שהתרחש בארץ בעקבות פרשת ענת קם, שקעתי כהרגלי בהרהורים נוגים בנושא אבטחה, סיסמאות ומה לא. כל הניסיון של הטובים למנוע מהרעים לפרוץ למערכות, לגנוב מידע, להשתמש במערכות בצורה זדונית, הוא ממש מרתק

אחרי הדיון הסוער שהתרחש בארץ בעקבות פרשת ענת קם, שקעתי כהרגלי בהרהורים נוגים בנושא אבטחת מידע, סיסמאות ומה לא. לא יודע למה, אבל כל הניסיון של הטובים למנוע מהרעים לפרוץ למערכות, לגנוב מידע, להשתמש במערכות בצורה זדונית, הוא ממש מרתק, סוג של סיפור בלשי.

בגלל הנושא הביטחוני, התפתחה פה תעשייה ענפה של מוצרים שתפקידם להגן ולאבטח מידע, לנעול מסמכים רגישים בכספות וירטואליות, לזהות ולמנוע ניסיונות פריצה, ובתחום זה אין ספק שתעשיית ההיי-טק שלנו נמצאת בין המובילות העולמיות.

אף פעם לא הבנתי דבר וחצי דבר בתחום הזה. אלגוריתמים של הצפנה נשמעים לי כמו מדע בדיוני, מערכות שמזהות דפוסי התנהגות וניסיונות פריצה הן בעיני סוג של פלא. תמיד הבטתי בקנאה/הערצה באותם אנשים חכמים שהמציאו את כל הדברים המתוחכמים הללו והצליחו להפוך אותם להצלחות מסחריות בקנה מידה עולמי.

נזכרתי בנסיעה שלי לפני מספר שנים לאחד מהלקוחות הגדולים שלנו בארה"ב. לנסיעה הזו התלווה אלי ג', מומחה תקשורת ואבטחה. נסענו להיפגש עם ה-CIO של החברה, כדי להבין כיצד מתנהל הנושא אצלם ואת הדרישות המיוחדות שיש להם מהמערכות שלנו בנושא אבטחה. במשך שעה וחצי ארוכות שמענו הרצאה מרשימה בנושא היחס הרציני של החברה למידע וההגנה עליו. שמענו על Firewalls, מערכות ניטור, רכיבי חומרה ותוכנה להצפנה, כספות וירטואליות, DMZ ועוד שלל קיצורים שנשמעו לי מופרכים לחלוטין, אך כפעמונים לאוזניו של ג' ידידי המלומד. לקראת סוף הפגישה שטח המנהל בפנינו את הדרישות שלו מהמערכות שלנו, וביקש שנבדוק תוך כמה זמן נוכל ליישם אותן.

"אתה יודע איך זה..."

"מרשים, מה?", אני אומר לג' ביציאה מהפגישה. "נו שוין", אומר ג'. "אפשר לחשוב שהם מחזיקים שם את השרטוטים של הכור האטומי בבושהר. כולה כמה כרטיסי אשראי ופרטי לקוחות". "ומה דעתך על הדרישות שהציג לנו?", אני שואל. "מצחיקות", הוא עונה בקצרה. "מצחיקות?", אני נחרד מההתייחסות המזלזלת כל כך לנושא אבטחת מידע. "מצחיקות", הוא חוזר.

"קודם כל, אם נשמור מידע על כל כניסה, יציאה, שינוי שדה וכל תו שמקלידים המשתמשים - המערכות שלנו פשוט יקרסו. שנית - צריך שלושה מחשבי-על מחוברים במקביל על מנת להיות מסוגל לעבד ולעשות הגיון מכמויות כל כך גדולות של אינפורמציה. ושלישית - ממילא עקב האכילס של המערכות שלו נמצאת במקום אחר, כך שיישום הדרישות שלו לא ישנה דבר". "אני דווקא התרשמתי שהנושא הזה מטופל אצלם ברמה מאוד גבוהה ומקצועית", אני אומר בניסיון להרשים את ג'.

"אתה יודע איך זה", אומר ג', "בסוף הסיסמה לרשת של כל המשתמשים כתובה על פתק צהוב ומודבקת על המוניטור. את הסיסמה לדלת הכניסה כולם יודעים (כולל ספקים ושליחי פיצה), וברירות המחדל של הסיסמאות לכל התוכנות והשרתים בעולם ידועות לכולם (או לפחות למי שבאמת רוצה להשיג אותן)".

"כאילו שלא כולם יודעים שהמשתמש והסיסמה למוצר NiceLog של נייס הם: Nice-Admin/Nicecti, וכאילו שלא כולם יודעים שהכניסה ל-weblogic זה security/Admin. לחצי מהמוצרים של סיסקו הסיסמה היא: cisco, למערכות אמדוקס בכל העולם זה Unix11, ל-SAP זה Sap*/pass".

המום מהגילוי אני שוקל לשאול את ג' אם הקריירה המפוארת שלו היא בעצם חסרת כל משמעות, אבל ג' מקדים אותי: "ואת הקוד הסודי של כרטיס האשראי שלך הייתי ממליץ שתחליף, 1397 זה כבר מה-זה פאסה...".