מדריכי אבטחת סייבר: הטריאדה

כל מי שמתקרב לעולם אבטחת הסייבר ישמע בקרוב על הטריאדה. זו לא המאפיה הסינית הידועה לשמצה אלא שלושה מושגים קשורים שהם הבסיס לסייבר: סודיות, שלמות e זמינות, או סודיות (או סודיות), יושרה וזמינות.

בואו ננסה להבין במה מדובר.

Riservatezza: יש להגן על נתונים ומידע, מעובדים, משודרים או מאוחסנים במכשירים אלקטרוניים (אך באופן כללי גם נתונים על מכשירים אנלוגיים, מכשירי נייר וכו') מפני מי שאין לו זכות לדעת אותם, או שיש לשמור אותם בסודיות. 

סודיות היא אפוא מאפיין של מערכות מידע ותקשורת. ניתן להשתמש בטכניקות טכנולוגיות, פיזיות וארגוניות מעורבות כדי להשיג ולשמור על סודיות. לדוגמה, ארגון יכול להחליט שהנתונים הרגישים ביותר לעולם אינם מועברים למערכות מחשב, אלא חייבים להיות מאוחסנים בפנקסי נייר, המועתקים ביד בכל פעם שצריך כדי להגן עליהם מפני הזדקנות התומך והדיו, תוך התייעצות רק בחדר מיוחד. מפוקח על ידי שומר חמוש. אתה תגיד שאלו נהלים מיושנים. אולי, אבל עדיין יכול להיות מישהו שעושה את זה ואולי יש לו את הסיבות שלהם והסיבות האלה כנראה קשורות לחיסיון. בחברה כמו שלנו, התלויה יותר ויותר במערכות ושירותים דיגיטליים ובתקשורת בכל מקום ובזמן אמת, כדי להבטיח סודיות נוכל לבחור בשימוש באלגוריתמי הצפנה והתקני עיבוד שהגישה אליהם מובטחת על ידי מערכות ניהול זהויות ומערכת דו או מערכת אימות תלת רמות. בעיות ארגוניות, טכנולוגיות והזדמנויות מביאות לכך שמי שמנהל את הנתונים מחליט כיצד יש לאחסן ולעבד אותם כך שניתן יהיה לגשת אליהם רק למי שיש לו את הזכות עליהם.

יושרה: נתונים ומידע נחוצים לקבלת החלטות. בין אם זה רופא שצריך לראות את נתוני העבר של המטופל כדי להבין אם סימפטום חדש מעיד על מצב חדש, או מנכ"ל של חברה בורסאית שצריך להחליט אם להשקיע בחברה חדשה סטארט - אפ, מה שחשוב הוא להיות בטוחים שהנתונים העומדים לרשותכם הם למעשה הנתונים האמיתיים ושאף אחד לא הצליח לשנות אותם מבלי להשאיר עקבות.

תארו לעצמכם מה יכול לקרות אם לתוקף הייתה גישה חופשית לרישום נייר או דיגיטלי ונהנה לשנות את קבוצות הדם של חולים בבית חולים? או מה אם מישהו ניגש למאגרי המידע של הבנק והיה כיף לשנות את שמות המשתמשים של הבנק?

במקרה הטוב זה יהיה כאוס, במקרה הרע יכולים להיות נפגעים.

לכן כאשר אנו מדברים על הבטחת שלמות הנתונים אנו מתייחסים למערכות המאפשרות לנו להימנע משינויים בנתונים על ידי אנשים לא מורשים. מערכות אלו הן, כפי שנראה בעבר לצורך סודיות, שילוב של נהלים, טכנולוגיה והזדמנויות עסקיות.

זמינות: שיש לך נתונים ומידע ואי יכולת לגשת אליהם, תהיה הסיבה אשר תהיה, תסכים איתי שזה לא מאוד שימושי. כאן נכנס לתפיסת הזמינות לפיה יש צורך שהנתונים יהיו זמינים תמיד למי שזקוק להם ומורשה לגשת אליהם, בזמנים המתאימים לפעולות שיש לבצע.

אז עד לפני כמה שנים היה נוהג לשמור קובץ ב-PDF, לאחסן אותו במכשיר אחסון ולאחר מכן לבצע צילום או הדפסה של המסמך ולשמור אותו באוסף המסמכים הנפוצים. זה קרה חלקית בגלל חוסר היכרות עם מחשבים וחלקית בגלל שלא היכרות עם ארכיון, הקבצים הארכיונים אבדו לעתים קרובות או בגלל שהקבצים שנשמרו בארכיון "ברשת" לא תמיד היו "זמינים" בעת הצורך. הסיבות משתנות, אבל לפעמים, גם היום, ממשיכים לעשות צילום.

כאן אנו מסבירים, בקצרה ובדוגמאות מעשיות, מה הכוונה במונח "טריאדה". אבטחת IT.

כמו כן נאמר:מה זה אבטחת סייבר? מדריך מבוא"

_{להעמיק:}

_{- https://www.checkpoint.com/it/cyber-hub/cyber-security/what-is-it-securi...}

_{- https://www.stationx.net/what-is-the-cia-triad/} 

_{- מחשבה בטוחה מאת אלסנדרו אוטרי: מה זה מידע ו...}