יומן אבטחה

על פניו, התשובה לשאלה בכותרת היא לא! ומסיבה פרוזאית לחלוטין. בעולם אבטחת המידע אין עתיד לטכנולוגיות של שלוש אותיות. PKI, SIM, SOC, IDS, IPS - כולן גוועו או נבלעו בתוך טכנולוגיות אחרות. הצפנה, FireWall, AntiVirus - טכנולוגיות בלי שלוש אותיות ששורדות לאורך שנים.

ועכשיו ברצינות. DRM - הגנה על תוכן אמור להיות פתרון הקסם של אבטחת המידע. למען הסר ספק, אני עוסק ב-DRM ארגוני שמטרתו הגנה על מידע ולא DRM שמטרתו הגנה על מוצר או תוכן שנמכר ללקוחות. למרות שבבסיסה הטכנולוגיה דומה, הצרכים שונים מהותית ואותי מעניינת הזירה הארגונית. DRM אמור לאפשר לארגון לדעת מה קורה עם המידע שלו, מתי ואיך, עם אפשרות לשלוט בפרמטרים הללו בלי שלגורם כלשהו תהיה יכולת לעקוף אותם. ישנם מוצרי DRM בשוק, אני נתקלתי (בתיאוריה, לא ביישום) ב-RMS של מיקרוסופט או ביישום מסוג זה של Documentum, אך השוק הזה אינו מתעורר (כך נראה) וישנן סיבות טובות לכך:

1. פתרונות DRM הם חזקים מאוד. זה כוחם - אלו אינם פתרונות ניטור אלא מוצרים האוכפים מדיניות. זה גם החיסרון המרכזי של מוצרי DRM כיוון שהם מחייבים את הארגון לנקוט באחת משתי אסטרטגיות גרועות - הכתבת מדיניות אבטחה למשתמשים או השארת קביעת המדיניות למשתמשים. אפשרות אחת ליישום DRM תהיה קביעה מראש של מדיניות אבטחה (הכוונה איננה לכתיבת נוהל, אלא ליישומו הטכנולוגי). במצב זה, מנהל אבטחת המידע בארגון מחליט מראש מה מותר לעשות עם כל קובץ. אלא שלא ניתן כמובן לעשות זאת בלי להפוך את השימוש בקבצים בארגון ללא אפקטיבי. על מנת ליישם מדיניות שכזו צריך להחליט מראש עבור כל סוג קובץ מה מותר לעשות איתו, בלי קשר לתוכן. בשלב מתקדם יותר ייתכן ופתרונות DRM יידעו לכפות את עצמם בהתאם לתוכן, אך אנחנו רחוקים משלב זה. לפיכך, האפשרות היחידה שנשארת בפני מנהל אבטחת המידע בארגון היא לאפשר למשתמשים לקבוע בעצמם את רמת האבטחה, קרי, להחליט אילו מגבלות להטיל על קובץ. אלא שמדיניות שכזו טובה כנגד פורצים מבחוץ ולא רלוונטית ביחס לפורצים מבפנים. בכלל, אירועי אבטחת מידע מלמדים אותנו שהיכן שניתנת למשתמש אפשרות לקבוע את רמת האבטחה הוא יבחר תמיד ברמת האבטחה הנמוכה ביותר האפשרית. משתמשים יבחרו סיסמאות קלות אם רק יוכלו, הם ירשמו אותם על כרטיס האשראי אם יהיה שם מספיק מקום לכתוב. משתמשים יעבדו על מסמכים רגישים מהבית וישתפו באינטרנט מידע אם רק יוכלו. לכן פתרונות DRM אינם מהווים פתרון אבטחתי ישים - כיוון שהם תלויים ברצונם הטוב של המשתמשים.
2. על מנת שלפתרון אבטחה תהיה תקומה בארגון נתון, עליו לספק רמת אבטחה נאותה למירב הסוגיות בהן הוא מטפל. פתרונות DRM לרוב אינם מצליחים להתמודד עם נקודה זו. הם מגנים מעולה על מה שהם יודעים להגן עליו, אך הם יודעים להגן רק על חלק מהדרוש הגנה. ניקח לדוגמא את RMS של מיקרוסופט. זהו פתרון מצוין אם רוצים ליישם DRM על חבילת Office. אבל לא על קבצי visio או project (גם הם של מיקרוסופט). מה קורה כשרוצים להגן על פורמטים אחרים כמו תמונות, PDF וכדומה? שאלה טובה. ניתן כמובן להרחיב את מעטפת ה-DRM באמצעות תוספים כאלה ואחרים, אלא שצריך לזכור שכל רכיב נוסף במערכת מעלה את המורכבות שלה ומקטין את הסיכוי שמישהו יצליח להפעיל אותה. כך שבסופו של יום פתרונות DRM נותנים הגנה מעולה למעט רכיבים בעוד שארגונים צריכים (לרוב, אך ישנם חריגים) הגנה טובה לרוב הרכיבים.
3. פתרונות DRM מתחילים להסתבך כאשר רוצים לחלוק מידע עם גורמים מחוץ למעטפת הארגונית. בין אם זה מצריך רשיונות נוספים או אם זה מחייב שותפים עסקיים ללמוד לעבוד עם מוצר חדש (שאותו הם בכלל לא רוצים אולי), פתרונות DRM לא נועדו לאפשר שיתוף מידע בין ארגונים, אלא לשמור מידע בתוך הארגון. מאפיין זה עומד בסתירה לצורך הבסיסי ביותר של ארגונים כיום.  למעשה, אחת החולשות המרכזיות של פתרונות DRM היא חוסר היכולת שלהם לעבוד בצורה שקופה בין סביבות שונות.

טכנולוגיות DRM חשובות ובמקרים מסוימים גם יביאו תועלת מרובה לארגון, אך אלו פתרונות נקודתיים לצרכים מאוד מסוימים שמתאימים בעיקר לאוכלוסיות בארגון עם רמת מודעות גבוהה לאבטחת מידע. לא בדיוק ה-mainstream.

לקריאה נוספת:

http://www-128.ibm.com/developerworks/power/library/pa-spec11/?ca=dgr-lnxw06StandardDRM