הכצעקתה?

כולנו עטים על כל ידיעה אודות פגיעה מעניינת במרכז מחשבים: חדירה לבסיסי הנתונים של חברה מסחרית, "תולעת" שמשתקת מנוע חיפוש ופירצה תורנית במערכת ההפעלה חלונות - כולן תמיד תעשנה כותרת טובה ותמשוכנה קוראים. כך, מתקבלת תמונה של איום אפוקליפטי המרחף תדיר מעל עולם המיחשוב. הדיווחים מגדילים את הדאגה וזו מצידה עושה רק טוב למכירות.

דווקא על רקע זה מעניין לקרוא את ממצאי הדו"ח השנתי המשותף של המכון לביטחון מחשב (CSI) ושלוחת סאן-פרנסיסקו של ארגון ה-FBI. המדובר באחד הפירסומים היותר משמעותיים שיוצא לאור בארה"ב בתחום פשיעת המחשב. חשיבותו העיקרית נעוצה בעובדה שהוא מונפק מזה 11 שנים ברציפות, תוך הקפדה על עקביות. בשל כך, ניתן ללמוד בראש ובראשונה על המגמות ההולכות ומסתמנות בזירת פשעי המחשב. ההתמקדות במגמות הברורות, מבלי לטבוע בפרטים, מאפשרת את עקיפת ההתפלמסות אודות שיטות המחקר, כמו גם שאלות צדדיות אחרות.

התמונה, מסתבר, אופטימית למדי - לפחות ברמת המגמה. בשורה התחתונה, הנזק הממוצע לארגון שהשתתף בסקר עומד על כ-166,000 דולרים בשנה, ירידה של 50% לפחות בהשוואה ל-2004. כשליש מהנזק מיוחס לוירוסים. מהדו"ח עולה, כי מזה ארבע שנים הנזק הממוצע יורד בצורה ברורה ומספר הפגיעות השנתי יורד אף הוא בהתמדה לאורך השנים. מאז שנת 2000 עולה חלקם של הארגונים המדווחים על 1-5 מקרים בשנה ויורד חלקם של הארגונים המדווחים על מספר גדול יותר של מקרים.

גם כאשר בוחנים בפרוטרוט את סוגי הפשיעה בשנים 1999-2006, מגלים מגמה דומה בנתיבה: אם בראשית התקופה דיווחו קרוב ל-100% מהארגונים על עבירות פנים ארגוניות של שימוש ברשת, הרי שכיום הרמה ירדה לשני שליש בערך. וירוסים שפגעו בתחילת התקופה ב-90% מהארגונים הלכו והצטמצמו גם הם לכדי שני שליש. התמונה דומה מאוד גם ביתר צורות הפשיעה: גניבות מחשבים ניידים וציוד מטלטל (צמצום מ-70% ל-50%), נבירות לא מורשות במידע (מ-55% ל-35%), מעילות כספיות (מ-30% לכדי 15%), חדירה למערכות (מרמה של 30% למחצית מזה בערך), חבלה (מ-15% לשליש מכך) וכן הלאה.

הסיבה העיקרית לבלימת הפשיעה נעוצה בהשקעות הגדולות שעשו הארגונים בארה"ב בתחום אבטחת מערכות המידע שלהם. הדבר בלט בדו"ח השנתי האחרון בעיקר בחברות הבינוניות (במימדים אמריקנים). חברות שהשתתפו בסקר ומחזורן עד 10 מיליון דולרים, הוציאו על כל עובד בממוצע שנתי כ-1,349 דולרים לנושא אבטחת המערכות הממוחשבות. בארגונים הגדולים הסכומים הממוצעים יורדים באופן טבעי, בין היתר בשל מספר העובדים הגדול. ארגונים שמחזורם היה מעל מיליארד דולרים הוציאו רק כ-200 דולרים על כל עובד בחברתם לצורך זה.

העובדה שהוצאות ההתגוננות גדלות והנזקים קטנים בוודאי מתפרשת אצל גופים אינטרסנטיים כהוכחה שההשקעה משתלמת. לדעתי, ראויה כאן גישה שונה בכיוון של ניהול סיכונים מתוחכם יותר. דוגמה בולטת בתחום זה קשורה לנושא הביטוח; כמו בכל תחום כלכלי, גם כאן אפשר תמורת סכומים ידועים מראש להעביר את הנשיאה בעול הנזקים מהארגון למבטחיו. עורכי המחקר מדגישים בכל השנים את העובדה שהשימוש בביטוח סיכוני מיחשוב מיוחדים, הנו מועט וכמעט זניח. אנשים ממהרים להשקיע הון רב בהתגוננות ישירה ולא ניתנת תשומת לב לגישות חלופיות.

הסיבה השנייה לבלימת הפשיעה הייתה רמת המודעות ההולכת וגוברת. הארגון האמריקני הממוצע משקיע סכומים גדלים והולכים בהדרכה של עובדיו במטרה להחדיר בהם מודעות למניעה ונטרול של פשיעת מחשבים. אצל העונים על הסקר נמצאה תמימות דעים בדבר חשיבות הנושא. כולם מאמינים, כי בעתיד ישקיעו בשיפור המודעות הרבה יותר מקורות.

בארץ התמונה איננה ברורה. אין גוף שבודק ועוקב לאורך השנים את הנעשה בתחום זה במשק. בהיעדרם של נתונים מוסמכים נותר רק להשתעשע בספורט הלאומי של ספקולציות. סביר להניח, כי הארגונים שלנו בממוצע מוציאים הרבה פחות כסף על אמצעי התגוננות ועוד פחות על הדרכה למודעות. אין זה אומר שדרך זו מובילה ליחס עלות/תועלת טוב יותר. כדי להגיע לאופטימום, גם אבטחה צריך לנהל ובצורה כלכלית. בתחום זה איננו מן המצטיינים דווקא.