דו"ח בנושא אבטחת מידע

• מבוא
• היבטי אבטחת מידע
  • רשתות תקשורת נתונים
  • הצורך באבטחת מידע
  • ההזדמנות העסקית - מסחר
  • ההזדמנות העסקית - תעשיה
• בעיות ונושאים לטיפול
  • הגבלות על עיסוק בצופן - בעולם ובישראל
    • המצב החוקי בארה"ב
    • המצב החוקי במדינות אחרות בעולם - COCOM, הסכם Wassenaar
    • המצב החוקי בישראל - צו הצופן
    • השלכות על פעילות עסקית
  • אבטחת המערכות הממשלתיות
  • ממשל זמין
  • CERT
• המלצות
  • צו הצופן
    • שינוי מדיניות היישום במסגרת צו הצופן הקיים.
    • עדכון צו הצופן כך שיתאים למציאות הקיימת והמתפתחת.
    • חקיקה שתבחן מחדש ותסדיר את הסמכות והאחריות הכוללת לפיקוח על העיסוק בהצפנה.
  • אבטחת מערכות מידע במערכות תקשוב ממשלתיות
    • הקמת רשות לאבטחת מידע
    • ממונה בטחון מידע
    • יצירת מסגרת נוהלית לנושא אבטחת מידע
  • ממשל זמין וגישה למערכות מידע
  • CERT
  • כוח אדם מקצועי
  • תקינה
• תודות

חברי הצוות:
מר דורון שקמוני, יו"ר
מר מתתיהו אלוש, חבר
מר יונתן בן אברהם, חבר
פרופ' עמנואל גרינגרד, חבר
מר אלי הרשקוביץ, חבר
מר גיל מור, חבר
מר יונתן (ג'וני) רוזן, חבר
מר דוד רשתי, חבר
תהילה ברייטברט, מרכזת הצוות

מבוא

מסמך זה מסכם את עבודתה של הועדה לנושא אבטחת מידע, במסגרת הפעילות להגדרת היערכות מדינת ישראל לקראת עידן המידע, מטעם ועדת הכנסת לתקשוב ומידע.
מטרת המסמך לזהות נקודות בהן נדרשת התערבות או פעילות שלטונית כדי להסיר מכשולים העומדים בפני החברה (והמדינה), בדרכה להיעשות "חברת מידע", ולהמליץ על דרכי פעולה.
אין כוונתו של המסמך לספק סקירה כוללת ו/או מקיפה של תחום אבטחת המידע, שהוא תחום רחב ומגוון. יסקרו אותם תחומים בהם מצאנו לנכון להמליץ על התערבות מצד גורמי ממשל ו/או חקיקה.

היבטי אבטחת מידע

רשתות תקשורת נתונים

בשנים האחרונות חל מהפך של ממש בשימוש בתקשורת נתונים. המחשב הפך להיות כלי עבודה בסיסי המצוי בכל ארגון ומשמש ככלי עזר לביצוע מירב הפעילויות הכרוכות בעיבוד מידע.
רשתות תקשורת נתונים מקשרות בין מחשבים בתוך ארגון, ובין הארגון לגורמים חיצוניים (לקוחות, ספקים, ארגונים המשתפים פעולה, עובדים הנמצאים מחוץ לארגון וכו'). רשתות אלה מאפשרות מעבר מהיר זמין ואמין של מידע בין גורמים שונים. ארגונים רבים משתמשים באמצעי התקשוב כמכשיר עיקרי לביצוע פעילויות שונות כגון העברת דואר אלקטרוני, שיתוף מידע בין גופים שונים העוסקים בפרויקטים משותפים, העברת תשלומים בצורה אלקטרונית, וכו'. ארגונים שאינם משתמשים באמצעים אלה נמצאים במצב תחרותי נחות יחסית לארגונים המשתמשים באמצעי התקשוב ולכן צפוי שכל ארגון ירצה להשתמש באמצעים אלה.
התפתחות רשתות ציבוריות ענקיות בינלאומיות מסוג האינטרנט מאפשרת נגישות מהירה וקלה למידע רב ומאפשרת חסכון רב בזמן ועלות הנדרשים על מנת להשיג את אותו המידע באמצעים אחרים. רשתות אלה מאפשרות לגורמים שונים לתקשר בצורה נוחה ביניהם. שימוש בדואר אלקטרוני הופך להיות תחליף זול ונוח לאמצעי התקשרות אחרים כגון פקס, דואר ולעתים טלפון. פעילויות רבות הדורשות העברת מידע ודיונים בין גורמים שונים נעשות באמצעות תקשורת ע"ג רשתות אלה בקבוצות עבודה מיוחדות. הרשתות הופכות להיות לכלי פרסומי חשוב מאד, זמין וזול עבור ארגונים.
בבתים רבים בישראל מצויים כיום מחשבים המחוברים לאינטרנט ויכולים להיות מנוצלים (אם הדבר יתאפשר מטעמים של בטחון מידע) גם לקשר בין הפרט למוסדות וארגונים לצורך קבלת שירותים, תוך הוזלה משמעותית של עלויות (דיוור, זמן הגעה וכו').

הצורך באבטחת מידע

בד בבד עם ההזדמנויות שנוצרו כתוצאה מגידול הרשת, זמינות המידע וקלות הקישוריות, נוצרת בעיה קשה של ביטחון מידע. ארגון שמשתמש בתקשוב חשוף לפריצה לרשתות ולבסיסי המידע שלו, ולהתקפה על מידע המועבר באמצעות רשתות התקשורת - האזנה, שיבוש מידע וכו'.
כמות הפרסומים הרבה על עבירות אבטחת מידע ובכללם פריצות לרשתות פרטיות והאזנה למידע יוצר בחלק מהארגונים מודעות מסוימת לבעיות אבטחת מידע, דבר שמביא לכך שארגונים חוששים להתחבר לרשתות חיצוניות ללא אמצעי אבטחת מידע נאותים ולכן מעכבים את התחברותם - מה שפוגע בפעילותם ובעסקיהם.
באופן מקביל, בחלק אחר של הארגונים, מתקיימת תופעה של חשיפת מערכות מידע לרשתות התקשורת השונות, כאשר המודעות להיבטים השונים של נושא אבטחת המידע אינה מקבלת את המשקל הנכון, ומתוך כך נוצרות פרצות הממתינות לרגע רצון.
יצוין כאן, כי גם ללא התחברות לרשתות חיצוניות, אין מצב אבטחת מערכות המידע בישראל מזהיר, בלשון המעטה. מחקר שנעשה לאחרונה באוניברסיטת ת"א (שרון נכטיגל, המכון למחקר עסקים, 1996), העלה את הממצאים הבאים:
בסולם של 0-4 (חמש דרגות) רמת אבטחת מערכות המידע הממוצעת בארגונים בישראל היא בין 1-2 (כלומר, פחות מבינונית).
בכ 90% מהארגונים הגדולים, רמת אבטחת מערכות המידע היא בין 1-2.
רמת ההכשרה המקצועית של ממוני אבטחת מערכות מידע אינה גבוהה, בדרך כלל, וכפי הנראה אינה מספקת.

ההזדמנות העסקית - מסחר

שימוש ביישומים כגון מסחר אלקטרוני, העברת תשלומים באמצעות רשתות, העברת מידע על פני רשתות לצורך שיתופי פעולה טכנולוגיים ומסחריים, ועוד, מהווה כיום בסיס להתפתחות הכלכלה, המסחר והתעשייה בעולם. ארגונים שמשתמשים באמצעים אלה מממשים שירותים חיוניים לפעילותם בצורה זולה ומהירה מאד.
יישומים אלה מתבססים על העברת מידע באמצעות רשתות תקשורת נתונים. הפעלת אמצעי אבטחת מידע מהווה תנאי הכרחי לשימוש ברשתות כאלה בארגונים. ארגונים ישראליים מוגבלים כיום מאד בשימוש באמצע אבטחת מידע המתבססים על צפינה (ראה להלן) ולכן מוגבלים בשימוש ברשתות תקשורת בכלל וביישומים הנזכרים לעיל בפרט.
הצורך של ארגונים ישראליים להשתמש באמצעי תקשורת אלקטרוניים גדול, לעתים, יותר מאשר בארגונים במקומות אחרים בעולם. זאת, היות שהשווקים הגדולים המשמשים ספקים ו/או לקוחות של מוצרים ושירותים, בסיסי מידע וכו', נמצאים בדרך כלל ביבשת אחרת. לפיכך ברור, שתקשורת אלקטרונית מהירה, זולה ומאובטחת היא בעלת חשיבות מכרעת בסיכויי ההצלחה של הארגונים. מכאן נובע גם כי אי היכולת של ארגונים ישראליים להצטרף לקהילת העסקים הבינלאומית כארגונים שווים ומתוקשרים פוגעת בצורה מהותית בעסקיהם.

ההזדמנות העסקית - תעשיה

כתוצאה מהצורך המיידי לאבטחת מידע, נוצר שוק למערכות אבטחת מידע. שוק זה גדל במהירות ומלווה בכניסת חברות רבות לתחום תוך כדי תחרות חריפה ביניהן.
התעשייה הישראלית נמצאת בעמדה בה היא יכולה לנגן כינור ראשון בשוק אבטחת המידע ולהוביל אותו. טובי הקריפטוגרפים בעולם נמצאים בישראל, עובדה המקנה לתעשייה יתרון טכנולוגי ותדמיתי. קיימות כיום בישראל חברות צמיחה (Start-up) רבות בעלות יכולת, ידע וטכנולוגיה מהמובילים בעולם. חברות אלה יכולות לגדול בצורה מהירה מאד על מנת לתפוס נתח שוק משמעותי בתחום ולתרום ליצוא של מדינת ישראל.
התפתחות זו נחסמת בפועל, שכן חברות ישראליות מנועות מלפתח מוצרי אבטחת מידע המכילים הצפנה כפי שנדרש כיום בעולם. התהליך הכרוך בבקשת רשיונות ואישרורם מקשה במידה רבה להתחרות בצורה סבירה ולשווק מערכות אבטחת מידע בעולם.
מניעת יכולת התחרות מחברות ישראליות בשוק אבטחת המידע הצומח במהירות גורמת למדינת ישראל לאבד הזדמנות פז לכבוש נתח שוק משמעותי וכתוצאה מכך לאובדן הכנסות הנאמד במיליוני דולרים בשנה.

בעיות ונושאים לטיפול

הגבלות על עיסוק בצופן - בעולם ובישראל

המצב החוקי בארה"ב

עד לסוף שנת 1996 הוגבל בארה"ב היצוא של מוצרים המכילים הצפנה באלגוריתם DES בעל אורך מפתח של 56 סיביות לשוק הפיננסי בלבד. החל מ- 30 לדצמבר 1996, חלה תקנה חדשה מטעם נשיא ארה"ב שבעיקרה קובעת שני שינויים מהותיים:
האחריות על אישורי היצוא של מוצרים הכוללים הצפנה הועברה למשרד המסחר האמריקאי.
ניתן אישור יצוא למוצרי הצפנה המכילים אלגוריתם DES באורך מפתח של 56 סיביות למשך שנתיים לכל חברה שתראה כוונה לשלב בתוך מוצריה טכנולוגיה של שיחזור מפתחות בתוך תקופה זו.
(מבלי להיכנס להסברים טכניים, שחזור מפתחות משמעותו מתן יכולת לשלטונות לפענח, במאמץ מסוים, תשדורות המשתמשות ביכולת ההצפנה של המוצר המדובר).
שינוי מדיניות היצוא בארה"ב מעמיד את התעשייה הישראלית במצב נחות משהייתה, ומקשה עליה להתחרות בצורה סבירה בשוק העולמי.

המצב החוקי במדינות אחרות בעולם - COCOM, הסכם Wassenaar

ברוב המדינות לא קיים פיקוח על שימוש באמצעי הצפנה בתוך המדינה, וקיימות מגבלות מסוימות על יצוא הצפנה. במדינות רבות חל שינוי מהותי בכל הקשור לחוקים ומגבלות סחר. בעיקר שונו חוקי יצוא בנושאי הצפנה בצורה מהותית במדינות שונות, כך שניתן להשיג כיום בקלות רבה מוצרים בעלי חוזק הצפנה שבעבר לא ניתן היה להשיגו.
COCOM - Coordinating Committee for Multilateral Export Control היה ארגון בינלאומי שעסק בבקרה של יצוא של מוצרים טכנולוגיים אסטרטגיים. בארגון היו חברות 17 מדינות: אוסטרליה, בלגיה, קנדה, דנמרק, צרפת, גרמניה, יוון, איטליה, יפן, לוקסמבורג, הולנד, נורווגיה, פורטוגל, ספרד, טורקיה, בריטניה, וארה"ב.
בשנת 1991 COCOM החליט לאפשר יצוא של מוצרים המכילים הצפנה לכל המדינות למעט מספר מדינות שהוגדרו כמדינות טרור (לוב, עיראק, צפון קוריאה). רוב המדינות החברות ב-COCOM קיבלו ומימשו את ההנחיות (מלבד ארה"ב, שבה לא שינו אז את חוקי היצוא, וגרמניה).
ב-1994 COCOM הפסיק לתפקד, והמדינות החברות בו החליטו לשמר את המצב הקיים מבלי לשנותו. החלטה זו עוגנה בהסכם Wassenaar, עליו חתמו 31 מדינות ביולי 1996.
יש לציין כי ההסכמים עוסקים בחוקי יצוא בלבד. השימוש באמצעי הצפנה בתוך המדינה, ויבוא של אמצעים כאלה, אינו מוגבל בדרך כלל.
גם השוק המשותף באירופה עסק בנושא ההצפנה והגדיר חוקים דומים ל-COCOM, כלומר קיים פיקוח על יצוא - כדי שלא יתאפשר יצוא למדינות טרור.
מדינות רבות כגון בלגיה, ברזיל, דנמרק, פינלנד, יוון, מקסיקו, סינגפור, דרום אפריקה, ואחרות מאפשרות יצוא של מוצרי הצפנה ללא מגבלות.

המצב החוקי בישראל - צו הצופן

בהתאם לצו הצופן, סעיף 10, שהוצא ע"י שר הביטחון בשנת 1974 ובהתאם לחוק הפיקוח על מצרכים ושירותים הוגדר כי קצין הקשר האלקטרוניקה והמחשבים הראשי בצה"ל (קשר"ר) הינו מנהל צו הצופן ומוסמך בלעדית:
להתיר או לאסור עיסוק בצופן על כל גוף, חברה, אדם, תאגיד ובכל תחום עיסוק בצופן, לרבות: פיתוח, מכירה, יבוא, תפעול, שימוש, השאלה והחכרה, קניה וכד'... כל מי שבדעתו לפתח, להשתמש, לייבא, לייצא, למכור, להתקין, לתחזק, לשלב, לתפעל, ללמד, לרשום פטנט, או כל פעילות אחרת באמצעי, המצאה, תיאוריה העוסקים בהצפנה או הסתרה של מצעי-זיכרון מגנטיים או אחרים, קווי תקשורת נתונים/טלפון/פקס, תקשורת רדיו או מוצר/אמצעי/תווך אחר מכל סוג שהוא - חייב לקבל תחילה רשיון עיסוק מוגדר ממנהל הצו למוצר, לגרסא, לתחום העיסוק, ליעדי המוצר, לסוגי הלקוחות, לתאריכי התוקף, ולעוסקים בנושא בהתאם לבקשתו.
צו הצופן במתכונתו הנוכחית מקשה מאד ולעתים חוסם אפשרות מארגונים מלעסוק בנושאי אבטחת מידע. ההגדרות הגורפות המצויות בו הינן כמעט אבסורדיות כיום, וגורמות לאזרחים רבים להיות עבריינים - מחד, ולגופים הנדרשים לעמוד בכללי החוק, קשיים רבים - מאידך.
ההנמקה המרכזית לקיומו של הצו בצורתו הנוכחית היא ביטחונית. רשויות הביטחון נזקקות לאפשרות פענוח שדרים מוצפנים, מסיבות מובנות. הטיעון הבסיסי (שהיה בעל תקפות מסוימת בעת מתן הצו - כאמור, 1974), קובע כי הגבלות ורגולציה על טכנולוגיית הצפנה בכלל, ואי מתן אישור לשימוש בהצפנה "חזקה" מדי בפרט, ירחיקו טכנולוגיה כזו מידם של גורמים שבתשדורותיהם מעונינת מערכת הביטחון; מערכת רישוי ורישום מסודרת, במקביל, יכולה לתת מידע ושליטה מסוימים על השימוש בהצפנה.
כמעט מיותר לציין, שטיעון זה נחלש במידה רבה כיום, כאשר טכנולוגיית הצפנה זמינה, במאמץ מינימאלי, לכל המעונין. מכאן, שהצו נאכף, למעשה, רק על הציבור שומר החוק.

השלכות על פעילות עסקית

בישראל, ע"מ להשתמש בצופן, חייב ארגון לפנות בבקשה ולהוכיח את הצורך ואת צורת התפעול. תהליך קבלת הרשיון אורך בדרך כלל תקופה ארוכה (מספר חדשים).
על מנת לעסוק בפיתוח ייצור ויצוא של מוצרים הכוללים הצפנה ברמה הנחשבת למזערית (DES 56 סיביות) יש צורך בקבלת אישורים נפרדים לפיתוח המוצרים, הצגת חומר שיווקי ללקוחות בכוח, ניהול משא ומתן, הדגמה, ומכירה. תהליך קבלת האישורים לכל אחד מהשלבים הנ"ל הינו ארוך, קל וחומר לתהליך כולו. הסיכוי לקבלת אישור ברמות הצפנה חזקות יותר קלוש מאד.
כתוצאה מכך נוצרות המגבלות הבאות:
ארגונים רבים שנבצר מהם להשתמש באמצעי הצפנה נמנעים משימוש ברשתות חיצוניות ולכן אינם יכולים ליהנות מהיתרונות הנובעים מהתחברות לרשתות אלה. צו הצופן במתכונתו הנוכחית מונע מארגונים רבים משימוש באמצעי הצפנה ולו בגלל התהליך הבירוקרטי הכרוך בקבלת אישור כזה, וע"י כך פוגע בפעילותם ובעסקיהם.
לחילופין קיימים היום ארגונים רבים העוברים על החוק ע"י שימוש בתוכנות הצפנה לצרכים שונים כגון הצפנת דואר אלקטרוני, זיהוי משתמש ועוד. יש לציין שהנגישות לאמצעים כאלה היא קלה שכן קיימות תוכנות ציבוריות (Public Domain) ברשת במקומות שונים ובלחיצת כפתור ניתן לקבלן. יתרה מזו, קיימים כיום מוצרי מדף רבים (כולל חבילות תוכנה למימוש דואר אלקטרוני, ניהול קבצים וכו') המאפשרים לשמור ולהעביר מסרים וקבצים בצורה מוצפנת. אזרחים וארגונים הרוכשים ו/או משתמשים במוצרים אלה בצורה תמימה עוברים על החוק.
שיווק של מוצרי אבטחת מידע הכוללים הצפנה נחסם בפועל שכן יצוא מוצרים המכילים מנגנוני הצפנה ברמה הנחשבת לסבירה בעולם (אלגוריתמים באורך מפתח 128 ביטים ומעלה) אסורים עפ"י המדיניות הקיימת לשימוש וליצוא לשוק האזרחי. אפילו יצוא מוצרים המכילים הצפנה הנחשבת כיום כנחותה וקלה לפיצוח נחסם, באופן מעשי, שכן תהליך קבלת אישורי היצוא הינו ארוך (בדרך כלל מספר רב של חודשים) ופרטני לכל לקוח. לקוחות יעדיפו לקבל מוצרי מדף זמינים ובאספקה מיידית על פני מוצרים שתהליך אספקתם כרוך בהמתנה ארוכה. בנוסף לכך, במקרים רבים לקוחות גדולים מעונינים לרכוש מוצרי אבטחה ולבחון את אופן מימושם על מנת לוודא ולהשתכנע שמוצרים אלה מומשו כהלכה בהיבטי אבטחת מידע. הצגת תכנון ומימוש המוצרים ללקוחות אסורה על פי החוק הקיים.
בו בזמן שבישראל נאסר שימוש באמצעי הצפנה, אנו עדים להתפתחות בעולם בה מוסרות מגבלות על שימוש באמצעי צופן לשימושים פנימיים וחיצוניים. במספר מדינות באירופה ניתן היום לרכוש ולהשתמש במוצרים המשלבים הצפנה בתוך יישומים (לדוגמא דואר אלקטרוני) בצורה חופשית ללא מגבלות לתקשורת בתוך המדינות ומחוצה להן.
ארגונים מעדיפים לקיים קשרי מסחר ושיתופי פעולה עם גורמים שניתן לתקשר איתם בקלות ובנוחות. לכן ארגון שאינו מסוגל לתקשר בצורה נאותה ולהגן על המידע המשודר מוצא עצמו במצב נחות.
במצב הנוכחי ארגונים שרוצים לשמור על החוק נאלצים להימנע משימוש באמצעי הצפנה בעוד שארגונים אחרים יכולים בקלות למצוא, להעתיק ולהשתמש באמצעים אלה ללא כל מגבלה.
כתוצאה מהרחבת השימוש באינטרנט והגברת החשיפה לפגיעות וחדירות מבחוץ, מתפתח שוק מוצרי אבטחת המידע במהירות ומלווה בכניסת חברות רבות לתחום תוך כדי תחרות חריפה. התחרות מתבטאת באיכות המוצרים, מחיריהם, זמינותם לבדיקות, הדגמות וזמני אספקה. במצב זה של השוק, כשלקוח מצפה לקבל מוצרים להדגמה, ניסוי ורכישה מן המדף באספקה מידית, המוצרים צריכים להיות זמינים במלאי אצל משווקים בשווקי היעד. חברה שאינה מסוגלת לספק מוצרים ממלאי מקומי לא תוכל למכור שכן מתחריה יספקו מוצרים בזמן אפסי. לא כל שכן הבעיה חמורה כשתהליך המכירה ארוך בהגדרה (על החברה לקבל אישורים לניהול משא ומתן, אישורים להדגמת ציוד ומכירתו. קבלת כל אחד מהאישורים אורכת בדרך כלל מספר שבועות או חדשים).

אבטחת המערכות הממשלתיות

נושא אבטחת המידע קיים כסעיף בנוהל מפת"ח, שהוא נוהל מחייב בהתקשרויות ממשלתיות. להלכה, אם כן, אמור הנושא להיות מכוסה כחלק מהליך יזום פרוייקטים, כתיבת מכרזים וביצוע התקשרויות.
דא עקא, אין נושא זה מיושם במלואו כיום. במכרזים רבים נדחק נושא זה לפינה או לא מטופל כלל. גם במקרים בהם יש טיפול בנושא, לא קיימים נהלים ברורים המחייבים את כל המערכת, ולא קיימת בדיקה אבטחתית של כל התקשרות, בדומה לבדיקה משפטית או בדיקה ביטחונית. עובדה זו מותירה את מערכות המחשוב הממשלתיות ברמת אבטחת מידע בלתי מוגדרת.
יצוין כאן, כי המחקר שהוזכר לעיל (נכטיגל, 1996) בדק גם משרדים וגופים ממשלתיים, והנתונים המצוטטים לעיל מייצגים גם אותם.

ממשל זמין

אחד האתגרים העומדים בפני הממשלה הוא יצירת ממשל זמין דרך רשתות התקשורת הציבוריות, קרי, מתן גישה לאזרח אל מקורות מידע המנוהלים ע"י גורמי ממשל. חלק ממידע זה הוא ציבורי וזמין לכל; חלקו האחר הוא מידע פרטי, כזה שבין האזרח לרשות.
ברור מאליו, שאין כל אפשרות מעשית להיחשף לתפיסה כזו, בלא לספק אמצעים לאבטחת מידע, שיאפשרו, כמינימום:
זיהוי חד משמעי של האדם (או הגוף) הניגש למידע.
שמירת פרטיות המידע, ועובדת הגישה למידע.
כל זאת, בצורה שתהיה שוה לכל נפש, נגישה לכל אזרח - וכמובן, חוקית (ראה לעיל, צו הצופן).
הגדרת אמצעי זיהוי ואבטחה כזה הינו נושא מורכב, המציג פנים רבות. קיימת כיום פעילות, במספר גופים וועדות, המוכתרת בדרך כלל בכינוי "כרטיס חכם". עיקר הפעילות בנושא מובלת ומכוונת ע"י המערכות המסחריות, השואפות לראות באמצעי כזה "ארנק אלקטרוני" (מעבר להיותו אמצעי זיהוי ואבטחה), שיכיל בתוכו את כל הדרוש לביצוע מסחר אלקטרוני מול גורמים רבים ושונים. אמצעי כזה עשוי להכיל, מעצם הגדרתו, מידע רב על האדם (או הגוף) הנושא אותו, כולל, אולי, גם מידע פיננסי, רפואי וכו'.
במחשבה ראשונית, ניתן להניח כי בהינתן אמצעי כזה, ניתן ואף רצוי להיעזר בו לכל השימושים הנזקקים לאמצעי זיהוי כזה, כולל גישה למערכות הממשל הזמין. עם זאת, גישה כזו יוצרת בעיות קונספטואליות, שיש לכל הפחות לתת עליהן את הדעת. דוגמאות:
מתן אמצעי גישה למידע פרטי רגיש במערכות הממשל יוצר "ערוץ שיחה" פרטי בין האזרח לרשות. לדוגמא, הוא עשוי לאפשר גישה לתיקו של האזרח במס-הכנסה, או לרשומותיו הרפואיות, או לפרטים חסויים במאגר מרשם האוכלוסין. במידה ואותו אמצעי עצמו משמש גם לגישה אל גוף מסחרי, עלול (תיאורטית לפחות) להיווצר מצב בו הגוף המסחרי יוכל להגיע אל מידע פרטי של האזרח, ללא הרשאה.
שמירת מידע על גבי "כרטיס חכם" כזה, עלולה לחשוף את המידע לגורמים שיחפצו בכך, ללא ידיעת בעל המידע. למשל, שמירה של מצב חשבון, נתוני אשראי, או מידע רפואי - כולם רעיונות שהועלו בעבר בהקשר לכרטיסים אלקטרוניים, לצורך שימושים שתועלתם רבה - עלולה לאפשר לבעל עניין למשוך מידע כזה כאשר הכרטיס בא במגע עם מערכות המחשוב של אותו בעל עניין. זאת, ללא ידיעת בעל הכרטיס.
יש לתת את הדעת לאפשרויות מסוג זה, ולוודא את מניעתן (ניתן, ע"י בחירה נכונה של הטכנולוגיה). בתהליך בחירת אמצעי הזיהוי העתידי חייבים להשתתף, בנוסף לגורמים בעלי עניין ואנשי מקצוע, גם משפטנים ונציגי מדעי הרוח, כדי לתת משקל לשיקולים החברתיים, המוסריים והחקיקתיים הקשורים בנושא.

CERT

CERT - Computer Emergency Response Team הוא גוף שיסודו בארה"ב, ושלוחות שלו קיימות במדינות רבות. גוף זה מנסה להתמודד באופן שוטף עם איומי אבטחת המערכות, בעיקר (אך לא רק) בסביבת האינטרנט. אחת מהבעיות הקשות בסביבת הרשת הפתוחה, היא שכל פרצה המתגלה ע"י אדם כלשהו, הופכת תוך זמן קצר ביותר (מספר שעות) לנחלת העולם כולו, ומרגע זה כל המערכות ברשת נעשות פגיעות להתקפה זו. CERT מנסה לתת תשובה מסוימת לבעיות אלה.
התפקידים העיקריים של CERT הם:
ריכוז מידע על התקפות, ניסיונות חדירה וחדירות, למערכות מחשב ברשת.
העברת מידע על פרצות במערכות מחשב, ליצרני אותם מערכות, במהירות האפשרית ובערוצים מוסתרים, בכדי שיוכלו לספק פתרונות לפרצות בזמן קצר ככל האפשר.
העברת מידע, בערוצים מוסתרים, לגופים מקבילים ברחבי העולם, כדי שיוכלו לסייע בתגובה מהירה לאיומים חדשים, ולאתר מקורות פריצה.
פרסום המלצות (Advisories) הכוללים פתרונות מומלצים לבעיות אבטחת מערכות, כולל הפניה לפתרונות היצרן במידת הצורך.
בישראל קיימת שלוחה של CERT, שהוקמה בסביבה האקדמית, בתקופה בה היה האינטרנט בישראל נחלה כמעט בלעדית של המוסדות האקדמיים. גוף זה אינו מתוקצב ואינו מעסיק עובדים ייעודיים. בשל כך, השפעתו מוגבלת (לעולם האקדמי), ובודאי אין ביכולתו לקבל משימות נוספות.

המלצות

צו הצופן

על מנת לאפשר לארגונים ישראליים להשתמש באמצעי תקשוב בצורה מאובטחת, ולאפשר לחברות ישראליות להתחרות בהצלחה בשווקי העולם, יש צורך בשינוי מהותי ומידי במגבלות החלות על ישראלים בכל הקשור לעיסוק ושימוש באמצעי צופן. מובן שעלינו להתחשב בשיקולים ביטחוניים; עם זאת, אל לנו להגביל שימוש באמצעים שניתן להשיגם בצורה חופשית ממקורות רבים וגלויים. יש למזער את מגבלות השימוש הפנימי, ולאפשר תהליך קל ומהיר של יצוא מוצרים תחרותיים שניתן יהיה לשווקם ברב מדינות העולם באמצעות ערוצי שיווק, כמוצרי מדף.
אנו ממליצים לפעול בשלושה אפיקים במקביל:

שינוי מדיניות היישום במסגרת צו הצופן הקיים.

צו הצופן הינו רחב ומקיף כל פעילות בנושא. תהליכי מתן האישורים והחלטה על אכיפת החוק נתונה בידי ה"מנהל" בהתאם להנחיות שהוא מקבל ממשרד הביטחון. ניתן לשנות את המדדים והתהליכים למתן האישורים ללא חקיקה וללא שינוי הצו, בצורה "שקטה" ומבוקרת. השינוי המיידי המתבקש הוא להתאים את המדיניות בישראל למקובל בתחום זה בעולם.
יש לציין כי החוקים בארה"ב עדיין מחמירים מאד (גם לאחר השינויים האחרונים) יחסית למדינות אחרות והתהליך כולו מלווה בהתנגדות פנימית קשה מצד מוסדות וחברות בארה"ב.
לפיכך:
יש לאפשר שימוש במוצרי אבטחת מידע המכילים מנגנון הצפנה באורך מפתח של 56 סיביות.
יש לאפשר יצוא של מוצרים המכילים מנגנון הצפנה באורך מפתח 56 סיביות בצורה חופשית לכל חברה שתתחייב למממש את מנגנון שיחזור מפתחות בהתאם לתקנים ולמועדים שיוגדרו בארה"ב.
יש לאפשר שימוש ויצוא חופשי של מוצרים המממשים מנגנוני הצפנה כלשהם לצורך זיהוי ואימות (Authentication), לצורך בדיקת מהימנות המידע (Integrity), ולצורך מנגנוני אי-הכחשה (Non-Repudiation).
יש להקל על מתן אישורי יצוא למוצרים המכילים מנגנוני הצפנה באורך מפתח גדול מ- 56 סיביות, ולבצע את תהליך הרישוי בצורה מהירה (תוך ימים ספורים).

עדכון צו הצופן כך שיתאים למציאות הקיימת והמתפתחת.

הגדרה ברורה של המדדים לרישוי השימוש באמצעי צופן.
הגדרה ברורה של תהליך הרישוי (כולל הגדרת הפעילויות הנדרשות, מסגרת הזמן וכו').
הטלת מגבלות יצוא אמצעי צופן רק למדינות הנמצאות בעימות בטחוני ישיר עם ישראל או מדינות המוגדרות כמדינות טרור.

חקיקה שתבחן מחדש ותסדיר את הסמכות והאחריות הכוללת לפיקוח על העיסוק בהצפנה.

מומלץ להתחיל בהכנת הצעת חוק בנושא ככל המוקדם.
יצוין כאן, כי שינוי מהותי בתחום זה הוא תנאי הכרחי לחלק לא מבוטל מיתר המלצות מסמך זה.

אבטחת מערכות מידע במערכות תקשוב ממשלתיות

על מנת ליצור תשתית אבטחת מידע אמינה במערכות המידע והתקשוב הממשלתיות, יש ליצור מצב בו יהיו מודעות, ידע, יישום ואכיפה של נושאי אבטחת המידע במערכות.
לשם כך, אנו ממליצים על הפעולות הבאות:

הקמת רשות לאבטחת מידע

הקמת רשות שתהיה כפופה למשרד ראש-הממשלה. רשות זו תהיה ממונה אך ורק על מידע שאינו מסווג מבחינת בטחון המדינה. תפקידיה יהיו:
יצירת נהלים לאבטחת מידע במערכות ממשלתיות.
קביעת מדיניות בנושא (כולל יישום הנהלים), שתהיה מחייבת.
אחריות מקצועית על אחראי אבטחת המידע במשרדים וברשויות (ראה להלן), כולל אחריות לעדכון הכשרתם המקצועית.
הרשות תהיה מורכבת מאנשי מקצוע בתחום. אופן הרכבתה לא מוגדר כאן. הרשות תשאב את סמכותה ממשרד ראש הממשלה וקביעתה תהיה מחייבת.
קיימת כיום יחידה לאבטחת מידע שהוקמה במשרד ראש הממשלה. יחידה זו אינה ערוכה ואינה מסוגלת כיום למלא משימות אלה. אם יוגדל נפחה באופן משמעותי, ויוזרמו אליה תקציבים מהותיים, יוכל, אולי, המבנה הארגוני שכבר הוקם, למלא את התפקידים שהותוו לעיל. יודגש, שהמשימה לעיל דורשת כוח-אדם מיומן וסמכותי, תקציבים מתאימים והאצלת סמכות נרחבת.
הערכת עלות: כ-1.2 מיליון ש"ח לשנה.

ממונה בטחון מידע

בכל משרד או גוף ממשלתי המפעיל מערכות ממוחשבות. תפקיד זה יהיה כפוף מקצועית לרשות לאבטחת מידע, ולא למנהל המחשוב המקומי.
בין תפקידי ממונה אבטחת המידע ניתן למנות:
הגברת מודעות לנושא אבטחת מידע בגוף עליו הוא מופקד.
הרחבת הידע בנושא בקרב אנשי המחשוב.
יצירת הנחיות למערכת בנושא.
אכיפה של מדיניות הרשות, ושל הנחיות הממונה עצמו, במערכות המחשוב.
יש להדגיש כי הדרישה לגבי כפיפותו המקצועית של הממונה חשובה ביותר ליישום נכון של אבטחת המידע במערכות הממשל.

יצירת מסגרת נוהלית לנושא אבטחת מידע

הרחבת נוהל מפת"ח, והרחבת פרק אבטחת המידע שבו, כך שכל התקשרות ממשלתית תהיה מלווה בביקורת ובקרה על מרכיב אבטחת המידע שבה. נושאים שאנו ממליצים כמינימום להכללה בנוהל הם, לפחות:
זיהוי ואימות (Authentication)
בקרת גישה (Access Control)
סודיות נתונים (Confidentiality)
שלמות נתונים (Integrity)
מעקב ובקרה (Audit)
אי-התכחשות (Non-Repudiation). נושא זה לא יהיה מנדטורי, בשלב הראשון.
בכל פרוייקט תהיה התייחסות לנושאי אבטחת מידע, החל משלב היזום. כל מכרז ללא יוצא מן הכלל יועבר לביקורת של ממונה אבטחת מידע (משרדי, וכד') לפני הוצאתו, בדומה לבדיקות משפטיות ואחרות. יידרש אישור מפורש טרם פרסום המכרז.
בשלב המימוש של כל מכרז, לפני מסירת הפרוייקט ללקוח, יידרש אישור מפורש של ממונה אבטחת מידע על כך שהמימוש מתאים לנוהלי אבטחת המידע עליהם הוא אמון.

ממשל זמין וגישה למערכות מידע

כפי שכבר תואר לעיל, כדי לאפשר לאזרח גישה למידע, יש לתת את הדעת על אמצעי אבטחת מידע שיספקו הגנה וזיהוי מספקים עבור נותן השירות (הרשות) מחד, ועבור הניגש למידע (האזרח) מאידך.
אמצעי זיהוי לגישה מאובטחת - אנו ממליצים להגדיר אמצעי זיהוי לגישה מאובטחת לשירותי מידע (מוצע - ע"י משרד הפנים, בשיתוף גורמי ממשלה נוספים). לא מוגדר כאן מה תהיה הטכנולוגיה שתיבחר לשימוש באמצעי זה. במידת האפשר, יכיל אמצעי זה מידע מצומצם ככל האפשר (אם בכלל) על מחזיקו (זאת, מטעמים של פרטיות המידע האישי, ומניעת גישה אליו ע"י כל ספק מידע פוטנציאלי). המשרד יפיק מכרז לאמצעי זיהוי זה, וינפק את הפתרון הישומי, לכל גופי הממשל האחרים שיתנו שירותי מידע.
נקודה מהותית נוספת לדיון היא, האם יאופשר שימוש באמצעי הזיהוי הממשלתי גם לגורמים מחוץ לממשלה. נושא זה צריך להיות מוכרע בפורום רחב, הכולל גם, בין היתר, נציגי ציבור, אנשי רוח ומשפטנים.

CERT

אנו ממליצים להקים CERT לאומי ישראלי במימון ממשלתי (שיועבר דרך משרד המדע), בכפיפות לנציגות הישראלית של ה-Internet Society (כפי שה-CERT בארה"ב כפוף ארגונית ל-Internet Society האמריקאי). ניתן למקם את הגוף בתוך המערכת האקדמית (מקום טבעי לגוף מסוג זה). עם זאת, הכרחי ליצור גוף מאורגן המעסיק אנשים באופן מסודר, ומקיים מחויבות של 24 שעות ביממה.
הערכת עלות: כ-600,000 ש"ח לשנה.

כוח אדם מקצועי

כפי שהוזכר לעיל, קיימת בעייה של כוח אדם מקצועי בתחום אבטחת מערכות מידע. אחת הסיבות לכך היא היעדרה של מערכת הכשרה לבעלי מקצוע בתחום זה, ואי קיומו של מסלול אקדמי כלשהו בנושא.
החוסר בידע ומידע בנושא זה, משפיע גם על רמת המודעות הארגונית לנושא אבטחת המידע, שהיא מהגורמים החשובים ביותר הקובעים את רמת אבטחת המערכות בארגון.
אנו ממליצים לפעול (דרך משרד המדע, משרד החינוך והמועצה להשכלה גבוהה) לפתוח מסלולים בנושא אבטחת מערכות מידע במוסדות האקדמיים (בשיתוף בתי הספר למנהל עסקים - מערכות מידע, ומדעי המחשב), ובמכללות.

תקינה

מכון התקנים הישראלי מקיים פעילות תקינה בנושא אבטחת מידע, בשתי ועדות טכניות שונות ובמספר ועדות מומחים. עם זאת, מצב התקינה בישראל כיום אינו מאפשר להסתמך על תקנים ישראליים כדי להסדיר את נושא האבטחה. מצב זה מקשה, בין היתר, על בניית נהלים ארגוניים ואכיפתם.
הכנת תקן ישראלי בנושא אורכת, בדרך כלל, זמן רב. זאת בעיקר בגלל שרובה של הפעילות מתבצע במימון מצומצם, ולכן מתבסס על הקצאות זמן מוגבלות של חברי ועדות התקינה.
ניתן, ע"י תקצוב ודחיפה מתאימים, לזרז ולשפר במידה משמעותית את תהליך התקינה. דוגמא לכך ניתן לראות ביצירת תקן ישראלי 4282 - "היערכות אבטחתית של ארגון לחיבור לרשתות תקשורת נתונים חיצוניות" - אשר ע"י מימון מתאים ודחיפה של משרד התקשורת, נכנס לאחרונה להליך תקינה מזורז ומקוצר.
אנו ממליצים לתקצב את מכון התקנים הישראלי, נקודתית, בכדי ליצור תקנים חדשים לאבטחת מערכות מידע, ולהשלים תהליכי תקינה שנמצאים בשלבי הכנה. ניתן לעשות זאת דרך משרד התקשורת (בנושאים הנוגעים לתקשורת), משרד המדע, או דרך הממונה על התקינה בתמ"ס.
תקנים בהם מומלץ טיפול נקודתי הינם, לכל הפחות:
ת"י 4283 - "אבטחה של תשתיות תקשורת"
חלקים 4,6,7 של ת"י 1495 - "אבטחת מערכות מידע ממוחשבות"
הערכת עלות: כ-500,000 ש"ח.

תודות

תודה לאנשים הבאים על הארותיהם במהלך העבודה על מסמך זה:
איל אדר
אברהם הים
יגאל בצר
שרון נכטיגל
תודה גם לחברת יבמ על חומר שסיפקה במהלך העבודה.

---