הגנת מידע פיזית
חברות רבות ובתי עסקים משקיעים זמן ומשאבים רבים של כסף וכוח אדם בטיפול וניהול הגנה ואבטחת המידע של מערכות המחשוב. שרתים ומערכות מידע מטופלים בעזרת אנטי וירוס, חומת אש, וניהול שוטף של עדכוני תוכנה, מניעת פרצות אבטחה, תוכנות אנטי ריגול ואנטי ספאם. כל הללו מטרתם לשפר את מערך ההגנה אשר יקיף את כל הפעילות העסקית הרלוונטית.
מאמצים אלו אכן מהווים חלק בלתי נפרד והכרחי להצלחה עסקית, אך לעיתים רבות מאמץ רב סביב הגנת מערכות המחשוב בעזרת מומחי תוכנה וחומרה גורמים לנו לשכוח מהי הגנת מידע על כל היבטיה. אותה מטריית הגנה שאנו פורסים בסביבה העסקית לא מגינה על כל הפעילות העסקית שלנו, אנו זקוקים להשקפה חדשה בתחום הגנת המידע, וזאת על מנת להבין אילו עוד סיכונים נמצאים בסביבה העסקית שלנו, כאלו שפשוט לא חשבנו עליהם.
לעיתים אנו מחפשים פתרונות שונים ורעיונות חדשים באופן קדחתני, וזאת כאשר כל מה שנדרש מצדנו הוא מבט לאחור, ללמוד מניסיון העבר. לשם כך, אלווה את ההסבר בדוגמא על חברה מפורסמת בארצות הברית אשר הציבה אתגר בפני כל אנשי התוכנה המומחים בעולם (או האקרים) לבצע פריצה לשרתי החברה. חברה זו עסקה בייצור, הפצה, שיווק ומכירה של מערכות הגנה למחשבים שהיא בעצמה פיתחה. הווה אומר, מומחים אמיתיים בתחום הגנת המידע.
הצעת מנכ"ל החברה הייתה מאוד פשוטה, כל אדם באשר הוא, אשר יצליח לפרוץ למחשבי החברה, ישתול קובץ עם הפרטים שלו, ויודיע שהוא הצליח לעשות כך, יזכה בפרס כספי גבוה. כמובן שהחברה התחייבה חוזית שכל נזק שיגרם ע"י הפריצה באשר הוא למערכות ולכל המחשבים בחברה פותר את הפורץ מאחריות נזיקית, תביעות ובעיות.
מדוע הציע מנכ"ל החברה הצעה מוזרה שכזו? מדוע לחשוף את חולשות החברה? זו השאלה הראשונה שנשאל מנכ"ל החברה, ותשובתו נחלקה ל-2. בראשונה, הוא אמר שהוא מבקש להוכיח שחדירה למערכות המחשוב בחברה זו הינה בלתי אפשרית, ובכך לחזק את מוניטין החברה. ואם תהיה הצלחה בפריצה – תשובתו הייתה שהחברה תשמח ללמוד כיצד הצליחו לעשות זאת, תלמד מכך, ותשפר את מערך ההגנה שלה.
כעת, כל מה שמשתמשי המחשב הטובים ביותר בעולם, מומחי תוכנה, האקרים וחבריהם היו צריכים לעשות בשביל לזכות בפרס כספי גדול (כולל הצעת עבודה בחברה שהגיעה בהמשך) זה בסה"כ לעבור את מערכת ההגנה הטובה ביותר בעולם. אותה חברה עסקה כאמור בפיתוח חומות אש פיזיות (מנגנון אבטחה פיזי), אשר נמכרות למוסדות היוקרתיים ביותר, ביניהם מוסדות ממשלתיים בארה"ב. משמע, החברה הייתה מוגנת במכשור המתקדם ביותר, אף יותר מאותם מוסדות.
שבועיים עברו בסה"כ עד שהצליחו לפרוץ את הגנות החברה.
אותו זוכה מאושר, השאיר באחד ממחשבי החברה קובץ טקסט, והדביק על שומר המסך של מחשבי החברה את פרטיו האישיים, וברכה למנכ"ל על הפרס המיוחל.
אותו פורץ, לא היה מומחה מחשבים גדול כלל וכלל. אותו פורץ בסה"כ היה פורץ. משמע, הבחור לקח דיסק חיצוני, יצא לבקר במשרדי החברה, והצליח להציג את עצמו כאיש דואר שצריך להחתים עובד חברה באחד המשרדים. הבחור הצליח לאתר עמדת מחשב פנויה, חיבר אליו את הדיסק, שינה את שומר המסך, קם ויצא מבניין החברה. לקח לו לפרוץ את מערכות ההגנה חצי דקה.
הפורץ החכם, לא ניסה מעולם לפרוץ את מערכות ההגנה הממוחשבות של החברה, אותו פורץ הפעיל מעט את השכל, ומצא הזדמנות פשוטה. כעת, אנו מבינים כי מטריית הגנת המידע העסקית חייבת לכלול את כל היבטי ההגנה, כי לעיתים, הפרצה האמיתית נמצאת ממש מתחת לאף שלנו, רק צריך להסתכל.
