הביטוי של בטחון באמצעות עמימות מוכר לנו בעיקר דרך מדיניות הגרעין של ישראל. גישה זו גורסת כי ככל שהאויב יידע פחות כך רמת הבטחון תגבר (פחות או יותר זו התזה). בתחום אבטחת המידע הביטוי לא כל כך אהוד, בעיקר כיוון שזו המדיניות המוצהרת של חברות שמפתחות מוצרי אבטחה לא טובים דיים. חברות אלה עושות שימוש במנגנונים פרי פיתוח עצמי שלא עברו בדיקות אבטחה אובייקטיביות ומצהירות על רמת אבטחה גבוהה אך מסרבים לאפשר בדיקה בפועל של רמת האבטחה. בפועל אנו יודעים כי הרבה פעמים רמת האבטחה נמוכה מהמוצהר.
מאמר זה שהולך להיות מוצג במסגרת סדנת כלכלת אבטחת מידע טוען כי אחת האסטרטגיות שעל מנהלי אבטחת מידע לנקוט היא פרסום מנגנוני האבטחה (כמובן במידה), שכן כך ניתן להשפיע על בחירת האובייקטים לתקיפה. הטענה המרכזית היא שבשוק רווי אובייקטי תקיפה, גורם תוקף ייטה לתקוף יעד עם רמת אבטחה נמוכה יותר ולכן ארגונים בעלי רמת אבטחה גבוהה יכולים להשפיע על בחירה זו.
כמובן שקיימת פה הנחת יסוד שהתוקפים תוקפים באופן עיוור ולא מתמקדים ביעד עסקי מסוים. כל עוד הנחה זו מתקיימת התזה הזו נכונה. אלא שעבור תוקף שמעוניין לתקוף יעד ספציפי ואינו בוחר מתוך סל יעדים, גישה זו עלולה דווקא לפגוע ברמת האבטחה, בעוד שגישת ה-Security by Obscurity עשויה להיות נכונה יותר אבטחתית.
אני מניח שהפתרון הנכון הוא איזון בין השניים. ליצור תדמית מאובטחת, אך לשמור על סודיות של ליבת האבטחה.
בבלוג זה
בכל הבלוגים
