במסגרת סדרת הראיות הניתנים לIFIS, הפורום הישראלי לאבטחת מידע, קיימנו ראיון יוצא דופן עם אסף קרן, מנהל אבטחת המידע בתהיל"ה (תשתית הממשלה לעידן האינטרנט). קרן משתף אותנו בתפקידי תהיל"ה, אופן פעולתה ואף חושף פרטים לגבי תקיפה אחת מיני רבות אשר אירעה כנגד אתרי הממשלה לפני זמן מה.

לפי אתר היחידה, תהיל"ה הנו הגוף המרכזי שמספק שירותי גלישה מאובטחים למשרדי הממשלה ומוסדותיה השונים, ועושה ככל יכולתו להגן על הרשתות הממשלתיות בחיבור לאינטרנט. הגוף הוקם ב1997 וכפוף למשרד האוצר. מאז ועד היום התרחבה מסגרת היחידה וכיום היא משמשת כמערכת המרכזית להפצת המידע הממשלתי באינטרנט. לאזרח הרגיל המשמעות היא שכשגולשים באתר שסיומתו GOV.IL, תהיל"ה אחראית לכך שהאתר יאובטח כראוי וישמור על המידע שעובר בו.

מה הייעוד של ממשל זמין?

ממשל זמין היא יחידה השייכת לאגף החשב הכללי במשרד האוצר. היחידה היא יחידה טכנולוגית אשר בעצם מתפקדת כ – ISP (ספקית שירותי אינטרנט) לממשלה ו – ASP (ספקית אפליקציות אינטרנטיות) לציבור. מטרת העל של ממשל זמין הינה הקטנת הבירוקרטיה ושיפור השירות לאזרח באמצעות יצירת "דלפק שירות זמין" באמצעות האינטרנט, 24 שעות ביממה. 7 ימים בשבוע.

קרן, עובד בממשל זמין בשנתיים וחצי האחרונות, ולפני כן שירת בצבא קבע בתפקידי אבטחת מידע שונים. עד לפני כשנה היה אחראי מתודולוגיות אבטחת מידע בצוות אבטחת מידע ומאז קודם לתפקיד מנהל אבטחת מידע. לדבריו, "צוות אבטחת מידע מורכב מ – 4 תחומים (מתודולוגיה, טכנולוגיה, מחקר ו - CERT) וכולל כיום שמונה חברי צוות. תחום המחקר הינו תחום חדש, אשר אחראי לחקור קוד עויין ותקיפות ותפקידו (בתאום עם תחום הטכנולוגיה) למצוא דרכים חדשות לתפוס קוד עויין או תקיפות מתוחכמות. התפקיד ברובו הוא תפקיד ניהולי אשר משלב ניהול של התחומים, בנייה ומעקב אחרי תכניות עבודה, בניית ארכיטקטורת מערכות אבטחת מידע, ניהול פרוייקטי אבטחת מידע והשתלבות בעבודה השוטפת של ממשל זמין בצורה של אישורים למערכות חדשות ושימת תשומות אבטחת מידע בפרוייקטים. דוגמא לכך היא שאחד הנושאים העיקריים שנכנסנו אליהם בזמן האחרון הוא פיתוח מאובטח והיום אנחנו בעיצומו של פיילוט SDL מלא באחד מפרוייקטי הפיתוח המרכזיים שלנו".
לדברי קרן, “במקרים ספציפיים, בעת תקופות מתוחות או בעת תקיפות משמעותיות על תשתיות ממשל זמין, נדרשת מאנשי היחידה עבודה בשעות בלתי שגרתיות ובסופי שבוע במטרה לטפל באירועים. כמובן שביחידה קיימים בקרים שתפקידם לנטר תקיפות 24/7”.

מה המשמעות של ממשל זמין לאזרח הפשוט שמשתמש בשירותי GOV.IL?

"ממשל זמין מנסה למכן כמה שאפשר את שירותי הממשלה ולפתוח שירותים חדשים דרך האינטרנט כל הזמן. העבודה היא ברובה עבודה טכנולוגית, אבל ישנו נדבך מאוד רציני של שינוי שיטות עבודה ונתינת שירותים לא טכנולוגיים. אחת הדוגמאות החביבות עלי הוא פורום ממשל זמין, פורום (שלא יושב על תשתיות פיזיות בממשל זמין, אלא על תשתיות תפוז אנשים) אשר מאגד שאלות לממשלה, וצוות ממשל זמין עונה על השאלות. זאת הרגשה ממש טובה כשאתה שואל את הממשלה שאלה והיא מחזירה תשובה בטווח זמן מהיר. מעבר לכך היחידה הרימה במהלך השנים מערכת תשלומים לאזרח, מערכת טפסים לאזרח, אין ספור שירותים (קטנים וגדולים) גם למערכות ממשלתיות וגם לאזרחים. בתקווה, כאשר תכנס תעודת הזהות החכמה, נוכל לשפר עוד יותר את מגוון השירותים שאנחנו נותנים, כיוון שלאזרח יהיה אמצעי הזדהות חזק ואמצעי חתימה אלקטרוני, ונוכל לספק שירותי דלפק (אשר כיום מחויבים בהגעה פיזית של האזרח ללשכה) דרך האינטרנט".

האם יהיה נכון לומר שאתם בעצם מגנים על הזהות שלנו במרחב האינטרני?

"לא בדיוק. ממשל זמין הוא בעצם הקשר האינטרנטי בין הממשלה לאינטרנט ובין האזרח לממשלה דרך האינטרנט. זה אומר שהרבה מאוד מידע עובר (באמצעות טפסים, תשלומים) דרך התשתיות שלנו אבל גם מפורסם הרבה מידע לא רגיש אשר אמור לשבת על האינטרנט ולשרת את האזרח. למידע הרגיש אנחנו מתייחסים במלוא הרצינות ואנחנו משקיעים הרבה מאוד מאמצים על מנת לאבטח אותו. עדיין, הזהות שלנו במרחב האינטרנטי הינה משהו שכל אזרח צריך להגן עליה בעצמו, באמצעות גלישה נבונה, באמצעות אמצעי הגנה על המחשב שלו ובאמצעות בקרה על תוכנות הרצות על המחשב שלו.

האם תוכל לשתף אותנו באירוע תקיפה שאירע בו טיפלת במסגרת עבודתך?

"אחד מהאירועים המרכזיים שטיפולנו בהם בזמן האחרון היה תקיפות DDoS (Distributed Denial of Service) מול תשתיות ממשל זמין במהלך מבצע "עופרת יצוקה". בזמן המבצע חווינו כשלוש תקיפות יום אחרי יום כאשר בשיא, נפתחו כ – 15,000,000 חיבורים מולנו. בעקבות המתקפות (אשר הפילו את התשתיות שלנו ל – 20 דקות, כל פעם) הסקנו מסקנות ולמדנו הרבה, בעיקר בזיהוי וגילוי מתקפות DDoS". 

מהי התקיפה המתרחשת בתדירות הגבוהה ביותר כיום כנגד תשתיות?

"מה לא?! אנחנו נחשבים לאחת הרשתות המותקפות ביותר בעולם כיום. ברגע נתון אנחנו מזהים בין 300-400 מתקפות לשניה במהלך היום ובמתקפות גדולות המספר יכול להגיע למיליונים. בגדול המתקפות מתחלקות לשלוש: מתקפות אפליקטיביות על אתרים, מתקפות על תשתיות הגלישה ומתקפות על משרדי הממשלה".

מאילו מדינות יש אתם מאתרים הכי הרבה מתקפות?

"זה בד"כ תלוי בתקופות, שעות ובמצבים פוליטיים... אבל בגדול אנחנו רואים תקיפות מכל העולם. המדינות שנשארות באופן קבוע על המפה שלנו הן סין, ארה"ב וישראל. אבל בד"כ מצטרפות אליהן גם מדינה או שתיים מדרום אמריקה ומספר מדינות מאירופה. כמובן שהכול משתנה בשנייה שיש מתקפה מתואמת."

מה לדעתך הידע הנדרש היום ממנהל אבטחת מידע בארגון בינוני-גדול במדינה ישראל?

"זה מאוד תלוי בארגון וכמות כח האדם שיש למנהל אבטחת המידע. מנהל אבטחת מידע בארגון צריך לדעת לתאם בין צרכים ארגוניים וצרכי אבטחת מידע, הוא צריך להיות מוקד ידע בתחום אבטחת המידע (הטכני והמתודולוגי) או לפחות להבין מהם הדברים שאינו יודע ולהתייעץ עם מומחים רלוונטיים לתחום. כיום מנהל אבטחת מידע מתעסק כמעט עם כל דבר, מנושאים משפטיים, פרטיות ותקנים עד להתקנה של מערכות, כתיבה של קוד וחקירה של קוד עוין".

מכיוון שאין הגדרה אחת לתפקיד "איש אבטחת מידע", כיצד תהיל"ה מדרגת את סוגי אבטחת המידע בתהיל"ה וכיצד היא סבורה שהדבר צריך להיות בארגון גדול אחר? למשל חברת הייטק עם 10,000 עובדים?

"בתהיל"ה, אנחנו מחלקים את מערך אבטחת המידע ל  - 4 תחומים: טכנולוגיה, מתודולוגיה, מחקר ותגובה לאירועים(CERT). בכל אחד מן התחומים הללו ישנם תת תחומים (אבטחת אפליקציות יושב בתחום המתודולוגיה למשל), אך זאת החלוקה הבסיסית שלנו. אני מייעץ לכל ארגון גדול שיהיה לו מענה לטפל בכל אחד מהתחומים הנ"ל (לאו דווקא אנשים ספציפיים בכל תחום)."

אילו טכנולוגיות לדעתך יעניינו את ה CISO  במהלך 2010?

כיוון ששוק ה - IT הולך לכיוון מאוד חזק של וירטואליזציה ומחשוב ענן, אני מניח שהטכנולוגיות שיעניינו את ה - CISO ב - 2010 יהיו בעיקר פתרונות אבטחה לתחומים הללו. פתרונות אשר מאפשרים הפרדה בין מכונות וירטואליות ויכולות לבצע חקירה גם בתוך מערכי ענן גדולים יהוו ייתרון. עניין נוסף יהיה כמובן טכנולוגיית הטיפול בקוד זדוני. אנחנו רואים עלייה ניכרת בתחום זה, והכלים הקיימים כיום בשוק אבטחת המידע אינם נותנים מענה מספק אל מול התקדמות התוקפים. 

מה דעתך על IFIS ועל תרומתו לפיתוח תחום אבטחת מידע בישראל?

"אני חושב של – IFIS יש מקום מאוד רציני בפיתוח אבטחת המידע בישראל כמקצוע מסודר. היום אנחנו עובדים בצורה של "חבר מביא חבר" והיכרות אישית ואין בסיס הכשרתי לאנשי אבטחת מידע. רוב הבסיס שקיים היום מבוסס על הכשרות צבאיות וזאת גם הטרמינולוגיה שאנחנו משתמשים בה עד היום. אם IFIS יצליח בלהגדיר הסמכה ישראלית לאבטחת מידע (ביחד עם התעשייה המובילה, הצבא וגורמים אחרים מרכזיים בתחום) אז הוא יוכל להוביל שינוי משמעותי בתחום בארץ. אני גם ממליץ ל – IFIS לעבוד עם גורמי הסמכה בחו"ל ולהשוות את ההסמכות להסמכות קיימות (CISSP, CISM, CISO). אם אני אוכל לגשת להסמכה ישראלית ולקבל במכה אחת גם הסמכה בינלאומית, אז האינטרס שלי בהסמכה כזאת יגדל בהרבה".

הראיון בוצע ע"י ניר פרי, חבר וועדת יחסי ציבור ב IFIS ביום 30.11.09.