סיוט האבטחה. תשאלו מנכ"לים ומנמ"רים. הם יספרו לכם. והם יספרו לכם עוד פעם ועוד פעם. הם בעצם יגלו לכם שוב עד כמה הם חוששים שלמרות כל ההשקעה הענקית שלהם באבטחה בכל הרמות – בפיירוול, ברשימות לבנות ושחורות, בסריקה אוטומטית וממוכנת של הודעות דואר אלקטרוני נכנסות, חסימת יציאות במכשירים ועוד כיד הטובה על כל דמיון וכל יצרן אבטחה כזה ואחר – איך למרות כל זאת הם יגלו יום אחד באתר ההוא וההוא את רשימת הלקוחות שלהם או את ססמאות הכניסה למערכת שלהם או בכלל יגלו שהאתר של העסק שלהם ממש לא דומה למה שהוא צריך להיות.
ועכשיו תוסיפו לזה את הענן. איזה כאב ראש. רוב אלו שמיודעים בנושא, פועלים בתחום או מייעצים בקשר אליו, יספרו לכם שנושא האבטחה היה ונותר החסם העיקרי שעומד בין חברות ובין העברת הפעילות העסקית שלהן, כולה, חלקה או מקצתה, לסביבת הענן. אני מעדיף שהקבצים החשובים ישבו במערכת שלי ולא בהשגחה של מישהו אחר, ואם תהיה תקלה, ואם הקבצים יאוחסנו בארץ אויב? ואם יפרצו לשרתים שלהם? סיבות למניעת המעבר לא חסרות, למרות שמול השוללים עומדים אלה שאומרים וטוענים שההפך, בהרבה מאוד מקרים הענן יכול לספק יכולות אבטחה מרובות לעסקים שלא היו יכולים להרשות זאת לעצמם עד עתה.
איפה האמת? האמת היא שבסופו של דבר לא משנה אם זה בענן או במחשב שלידכם על הרצפה. כל מה שצריך כדי להוריד השקעות עתק באבטחה לטמיון, זה משתמש אחד "חכם" שיהרוס את הכל. הגורם האנושי היה ונותר תמיד עקב האכילס של כל אבטחה, בכל תחום, בכל נושא. בעצם הגורם האנושי הוא בפשטות פגע רע וכנראה חסר תרופה.
תזכורת טובה לכך קיבלנו רק השבוע. שוב גילינו איך אפשר באמת ברגע של חוסר תשומת לב לבצע פעולה שנוגדת כל כלל אבטחה מינימלי.
טוב, ב-"קיבלנו" ו-"גילינו" אני לא מתכוון לכל העולם אלא למגזר מאוד מצומצם של כמה עשרות כתבים ובלוגרים, אבל כך או כך, בתיבות הדואר שלנו נחתה הודעה בה סופר לנו על השקת מוצר חדש. ההודעה הגיעה משרת של משרד יחסי ציבור שהינו יחסית די מפורסם בתחום שלנו, שכמובן איני מתכוון לחשוף את שמו. להודעה לעיתונות היה מצורף קובץ אקסל שהכיל את שמותיהם של אותם כתבים ובלוגרים שכנראה קיבלו את הרשימה. עיתונאים כאלה או אחרים, ברמת עדכון נכונה כזו או אחרת, ובכל מקרה רשימה שמאוד תעניין כל משרד יחצנות שמתחרה באותו משרד יחצנות.
די ברור מה קרה: במקום לצריף קובץ תמונה להודעה היא צירפה את קובץ הכתבים. שנייה אחת של חוסר תשומת לב, זה כל מה שצריך כדי לפתוח שערים לרווחה. היא עוד ניסתה באופן די פתטי לבצע אחזור דואר, כנראה לאחר שכמה ממקבלי הרשימה יצרו עמה קשר כדי להודיעה לה על טעותה, מה שכמובן עורר גיחוך נוסף.
באותה מידה שהיא צירפה בטעות את קובץ הכתבים היא הייתה כמובן יכולה לצרף קבצים אחרים חשובים – הסכמי עבודה, הכנות לאירועים, קשרים שיצרה עם לקוחות פוטנצאליים, וכך לגרום נזק אמיתי למשרד שלה.
האם יש פתרון לגורם האנושי בשרשרת האבטחה? האם חינוך יכול לעזור? ומה עם משרדים קטנים כמו משרד היח"צ המסוים המעורב בסיפור הזה, למי בכלל יש זמן וכסף למערכת מורכבת, ועוד יותר לחינוך?
בסופו של דבר גם יודעת אותה אשת יחצנות שלא ייגרם למשרד שלה נזק של ממש. קשה לי להאמין שיש מישהו ברשימת המקבלים שמסוגל לחשוף את כל הרשימה קבל עם ועדה או להעבירה למשרד אחר. זה גם לא ימנע ממנה לזכות בחוזים נוספים. טוב, אולי אם הייתי חברת אבטחה הייתי חושב פעמיים. לא, לא בגלל המעשה עצמו אלא בגלל המוניטין שיש לו.
עדכון, 4 בנובמבר, בוקר:
וכאילו לא עברו בקושי כמה ימים מאז האירוע הקודם, ושוב נוחתת בתיבת דואר אחרת שלי הודעה מלבבת נפש, באופן עקרוני, אבל פחות באופן טכני: כמה עשרות כתובות דואר הופיעו ברשימת הנמענים להודעת הדואר, וזה כבר מראה על כשל טכני, של חוסר ידע, כשבמקום לשלוח את ההודעה לקבוצה סגורה, בלי שמות, היא נשלחה באופן פתוח כך שכל אחד יכול לראות את כל הכתובות.