היום נתקלתי במשהו מצחיק ומשעשע שחשבתי לשתף אותכם, אחד העובדים שלי
פנה אלי ואמר לי כי הלקוח מבקש להוריד את אחד הממצאים מגבוהה לנמוך ללא כל הסברים.
בשלב הראשון חשבתי שהלקוח(האיש הטכני שאמון על הנושא מצד הלקוח) מיבות
פוליטיות רוצה להסתיר את הממצא או לחילופין לא רוצה להטריד את מנהל הפרויקט
הרלוונטי בתיקונים מיותרים בסביבת Production אבל לא הייתי סגור על הנושא.
בחברה שלי כולם הלכו לכיוון של הלקוח תמיד צודק.
בשלב הראשוני של הוויכוח טענו המנהלים כי הלקוח מכיר הכי טוב את
המערכת וכי הוא רואה את כלל הסיכונים שאנחנו לא רואים וטענות שונות ומגוונות
שנראות הגיוניות לחלוטין.
עכשיו אם הייתי בגילו ובניסיון של העובד שלי כנראה הייתי מוותר בויכוח
הנ"ל וממשיך עם הנושא ומספק ללקוח את מבוקשו. אך למזלי יש לי לא מעט ניסיון
ויכולת להבין את הסיכון לעומקו.
בנוסף טענו המנהלים כי פגיעה
במערכת הנ"ל לא תאפשר פגיעה ישירה בכסף או ב – Production ולכן כלל הגורמים חוץ ממני
ומהעובד שלי חשבו שחומרת הממצא צריכה לרדת לנמוך.
כמו כן בחלק מהדיונים עלה נושא חשוב : חישוב הסיכון שווה למכפלה של
ההסתברות לכשל בנזק הצפוי . כאשר במקרה שלנו אכן חישוב זה מביא את הממצא לרמה בינונית עד
נמוכה אך האם זה נכון שאלתי את עצמי.
התעקשתי על כך שהחישוב הנ"ל לא מספק תשובה אמיתית לסיכון הממשי
מכיוון שנניח לרגע שבראות הלקוח במערכת הנ"ל הנזק הוא נמוך אז השאלה שנשאלה מדוע
הוא בודק אותה? כי קיימות לא מעט מערכות שבהם הנזק גבוה שעדיף להשקיע בהם את
המאמץ, האם הוא באמת מודע לכלל הסיכונים הטכנולוגים שניתן לממש בעזרת הממצא
המדובר(כפי הנראה לא).
נושא שני במידה והמערכת מחוברת לרשת של הלקוח והשגנו בה שליטה מלאה
קיים סיכוי גבוה כי מכאן יהיה ניתן להגיע לשליטה על כלל ה – Domain (אני לא יכנס לפרטים הטכנים אך
זה ניתן לביצוע).
נושא שלישי פגיעה במערכת הנ"ל יכולה להיות פגיעה בתדמית החברה
דבר אשר יכול לגרום לאובדן של לקוחות ופגיעה באמון שלהם.
בקיצור בסוף הדיון הצלחתי להעביר מספר דוגמאות ממשיות כיצד ניתן לנצל
מצב זה על מנת להגדיל את הסיכון הממשי ללקוח אך מה שחשוב לי להעביר זה שלא תמיד
צריך להיצמד לנוסחאות על אף שהם חכמות וכפי הנראה בחלק מהמקרים מתאימות, הרבה
פעמים צריך באמת לצאת מהקופסה ולחשוב יצירתית על סיכונים אמיתים ולא דמיונים ולקבל גם ביקורת גם על החשיבה והראייה שלך
כלקוח.
כמו כן אין לי ספק שהעובד שלי קיבל את הכלים בפעם הבאה להתמודד עם
נושאים דומים לבד ובהצלחה.
שוב סתם רציתי לשתף לילה טוב J
4 תגובות:
זה שיועצי אבטחת מידע עדיין משתמשים בשטות הזו של הסיכון שווה למכפלת ההסתברות בנזק רק מעיד על כך שהעולם הזה תקוע במקום כבר כמעט 15 שנה ויש בכך הרבה כדי להבין מדוע בעצם המתקפות כל הזמן מתפתחות בעוד שהאבטחה, במיוחד הארגונית תקועה במקום כבר שנים וסקרי הסיכונים של חברות היעוץ (כולן, לא אחת ספציפית דווקא) הם כלי מיושן במידה רבה שמשמש יותר לכסת"ח.
לעצם הענין, יש כמה אי דיוקים במה שאתה כותב: יש מערכות שבודקים אותן כי חייבים מבחינה רגולטורית (כגון 357) ולא כי באמת חייבים או רואים בהן סיכון, חיבור המערכת לרשת הלקוח אינו מעיד על סיכון גבוה למערכת עצמה, זו הגדרה לא נכונה, אם כי אני מבין כמובן את כוונתך בנושא. ושלישית, פגיעה בתדמית החברה היא סיכון שהוא אובר רייטד לגבי רוב רובן של החברות, לא הייתי משתמש בזה כטיעון. בשורה התחתונה אני מאד מסכים איתך שיש ליקוי יסודי בהבנה של חברות היעוץ וגם של ארגונים רבים, מהו בעצם סיכון.
אל תכליל את כל חברות ויועצי אבטחת המידע...
גם אני לא "אוחז" מהמאלגוריתם הזה מהסיבה הפשוטה: אם מישהו יחליט "לזמבר" את החברה, (ככל שזו מערכת יותר רגישה) סביר שהוא יהיה מקצועי ולא יהסס להשקיע מאמץ בשביל לנצל את החולשה. כך שזה שהחולשה "קשה לניצול" או שהסבירות "לא גבוהה", זו לא סיבה להוריד רמת חומרה. אם כבר, משהו שקל לניצול זו סיבה להעלות לו את רמת החומרה.
מה שמעניין זה שהלקוח תמיד צודק זה משפט שאומרים בחברת אבטחה. זה מעיד על סטנדרטים דועכים לטעמי. העניין של המכפלה של סיכון כפול נזק זה נחמד, אבל זה מודל חסר כל ערך - את הנתונים אתה מכניס אליו על פי תחושת בטן. זה כאילו מתמטיקה שבעצם בנויה על עבודת אלילים. אני דווקא חושב שהאינטואיציה הראשונית שלך - אם זה לא חשוב למה מטפלים בזה - נכונה. לא משנה אם זה מרגולציה או לא, זה שארגון מוציא כסף כדי לבדוק משהו לרוב אומר שהמשהו הזה שווה משהו.
מה ששכח מר בכר לכתוב, זה יש חובה על יועץ אבטחת המידע להיות בלתי תלוי ואסור לו להפחית מרמת החומרה של ממצא זה או אחר, גם אם הלרוח מתעקש. בנוסף, היום כבר משתמשים בחישובים מורכבים יותר כמו CVSS ותוספות שלוקחות בחשבון את מה שכתב מר בכר. אם יש סיכוי למשהו שלא נלקח בחשבון, אז כדאי לשפר את הנוסחא ואולי גם להחליף את היועץ.
הוסף רשומת תגובה