מאבטחת מידע לאבטחת סייבר From information security to cyber security

מאבטחת מידע לאבטחת סייבר

Rossouw von Solms, Johan van Niekerk*

* מחבר אחראי

תקציר

המונח אבטחת סייבר משמש לעתים קרובות לסירוגין עם המונח אבטחת מידע . מאמר זה טוען כי למרות שיש חפיפה ניכרת בין אבטחת סייבר לבין אבטחת מידע, שני מושגים אלה אינם דומים לחלוטין. יתר על כן, המאמר מניח כי ביטחון סייבר חורג גבולות אבטחת מידע המסורתית, ומכיל לא רק את ההגנה על משאבי מידע אלא גם הגנה על נכסים אחרים, כולל האדם עצמו/ה. באבטחת מידע, התייחסות לגורם האנושי קשורה בדרך כלל לתפקיד/ים של בני האדם בתהליך האבטחה. באבטחת סייבר לגורם זה יש מימד נוסף, כלומר, בני האדם כמטרות פוטנציאליות של התקפות סייבר, או אפילו כמשתתפים במתקפת סייבר בלי לדעת על כך. לממד הנוסף הזה יש השלכות אתיות על החברה כולה, שכן ההגנה על קבוצות פגיעות מסוימות, למשל ילדים, יכולה להיחשב כאחריות חברתית.

1. מבוא

אבטחת סייבר הפכה לדבר בעל עניין וחשיבות עולמית. כבר יותר מ 50 מדינות פרסמו באופן רשמי מסמך אסטרטגיה, בצורה זו או אחרת, המתווה את עמדתם הרשמית על מרחב סייבר, פשע סייבר ו / או אבטחת סייבר (Klimburg, 2012). (2011) Whitehouse מתאר אסטרטגית סייבר המספקת את עמדתה של ארצות הברית (ארה”ב) בנושאים הקשורים לסייבר, ומתווה גישה מאוחדת למעורבותה של ארה”ב עם מדינות אחרות בנושאי סייבר. בריטניה מתיחסת אל אבטחת סייבר כבעלת עדיפות עליונה, והיא התחייבה להשקיע 650 מיליון ליש”ט במשך ארבע שנים לתכנית לאומית של אבטחת סייבר (השר למשרד הקבינט וגזברות כללית, 2011). עם זאת, נראה שמעט מאוד מגופים ומקורות אלה מבחינים בין המושגים של אבטחת סייבר ואבטחת מידע, או בין הקשרים ביניהם.

במרבית הספרות, אבטחת סייבר משמשת מונח אוניברסלי. למונח זה ישנן הגדרות שונות, למשל, מילון וובסטר Merriam מגדיר אותו “צעדים שננקטו נגד גישה לא מורשית או התקפה כדי להגן על מחשב או מערכת ממוחשבת (למשל, במרשתת)”. איגוד הטלקומוניקציה הבינלאומי (ITU) ) מגדיר את אבטחת הסייבר באופן הבא:

אבטחת הסייבר הוא אוסף כלים, מדיניות, מושגי אבטחה, אמצעי אבטחה, הנחיות, גישות ניהול סיכונים, פעולות, הדרכה, שיטות עבודה מומלצות, ביטחון וטכנולוגיות שניתן להשתמש בהן כדי להגן על סביבת הסייבר, ועל נכסי משתמשי וארגוים. הנכסים האלה כוללים התקני מחשוב מחוברים ביניהם, כוח אדם, תשתיות, יישומים, שירותים, מערכות טלקומוניקציה, ומכלול מידע המועבר ו / או מאוחסן בסביבת הסייבר. אבטחת הסייבר שואפת להבטיח את השגת ואחזקה של מאפייני האבטחה של הארגון, ואת נכסי המשתמשים מפני סיכוני אבטחה רלוונטיים לסביבת הסייבר. באופן כללי, יעדי האבטחה כוללים את הבא:

• זמינות
• שלמות שיכולה לכלול אותנטיות ומניעת הכחשה (non-repudiation)
• סודיות ITU, 2008

ההגדרות דומות מאוד לאלה של אבטחת מידע. המאמר הנוכחי יבחן את הגדרת אבטחת מידע לעומק ולאחר מכן נדון בכך שגבולות אבטחת סייבר כתפיסה רחבים יותר מאלה של אבטחת מידע במונחי הגדרות פורמליות. נקודת מבט זו נתמך על ידי תקן בינלאומי  ISO/IEC 27032:2012(E)..

מאמר זה יתמקד באופן ספציפי באופי שביסודה של אבטחה, באופן כללי, וינסה להראות, באמצעות דוגמאות, כי מטרות של אבטחת סייבר של נכסים כוללות מימד נוסף החורג מעבר לגבולות פורמליים של אבטחת מידע. יתר על כן, המאמר קובע כי הן בני האדם ביכולתם האישית והן החברה באופן כללי יכולים להיפגע ישירות או להיות מושפעים על ידי התקפות על אבטחת סייבר אבל זה לא בהכרח המקרה של אבטחת מידע שבה הנזק הוא תמיד עקיף. המחברים רואים בהפרדה זו תרומה חשובה אל אוסף הידע המשותף לתחום אבטחת מידע ואבטחת סייבר. אוסף הידע הזה מספק “בסיס להבנת מושגים וגישות” בתחום כולו, ובכך משמש כ- “טקסונומיה של נושאים רלוונטיים לאנשי מקצוע ברחבי העולם ” .(Theoharidou and Gritzalis, 2007)

1. אבטחת מידע

מטרת אבטחת המידע היא להבטיח המשכיות עסקית ולמזער נזקים עסקיים על ידי הגבלת ההשפעה של תקריות אבטחה (Von Solms, 1998). אבטחת מידע יכולה להיות מוגדרת במספר דרכים, כפי שמוצג להלן.

•  אבטחת מידע – הגדרה

התקן הבינלאותי ISO/IEC 27002 (2005), מגדיר אבטחת מידע כשימור סודיות, שלמות וזמינות של מידע (ע’ 1 (ISO/IEC 27002, 2005,. בהקשר ה- ISO/IEC 27002 (2005) מידע יכול להיות מוצגת בצורות רבות. את המידע ניתן להדפיס או לכתוב על נייר, לאחסן בצורה אלקטרונית, להעביר באמצעות דואר או אמצעים אלקטרוניים, להציג על סרטים, להעביר בשיחה, וכן הלאה  (ISO/IEC 27002, 2005, p. 1).

Whitman and Mattord (2009) מגדירים אבטחת מידע כ- “הגנה על מידע ועל יסודות קריטיים שלו, כולל המערכות והחומרה המשתמשות, מאחסנות ומעבירות את המידע הזה” (Whitman and Mattord, 2009, עמ ‘8). מחברים אלה (2009) מזהים גם כמה מאפיינים קריטיים של מידע שנותן לו ערך בארגון. מאפיינים אלה כוללים את סודיות, שלמות וזמינות המידע, כאמור בהגדרה המסופקות על ידי,ISO / IEC 27002 (2005)  אך אינם מוגבלים רק על ידי שלושת המושגים האלה. לדברי Whitman and Mattord (2009, עמ ‘8) הבטחת סודיות, שלמות וזמינות של מידע, הידוע באבטחת מידע גם כמשולש,CIA  באופן מסורתי נחשב כתקן התעשייה. “אבטחה של שלושת מאפייני המידע היא חשובה היום כפי שהיה תמיד, אבל המודל של משולש ה- CIA כבר לא מספיק עבור הסביבה המשתנה כל הזמן של תעשיית המחשוב” (Whitman and Mattord, 2009, p. 8). לפיכך, (Whitman and Mattord, 2009) מוסיפים דיוק, אותנטיות, תועלת והחזקה אל רשימת מאפייני המידע שצריכים להיות מוגנים.

כמה מושגים בהגדרות לעיל צריכים בדיקה מקרוב. ראשית, זה צריך להיות ברור כי אבטחת מידע

אינו מוצר או טכנולוגיה, אלא תהליך .(Mitnick and Simon, 2002, p. 4) לפי Wood (2004) אבטחת מידע בעבר הייתה בעיה טכנית בלבד. עם זאת, ככל שהשימוש במחשבים ורשתות התפתח, תהליך אבטחת המחשבים והרשתות האלה גם צריך היה להתפתח כדי חהיות רחב מעבר להיבט הטכני. תהליך אבטחת המידע עשוי לדרוש שימוש במוצרים מסוימים, אבל זה לא משהו שאפשר לקנות “מהמדף”.

הגורם השני אותו חשוב לציין בהקשר להגדרות לעיל הוא כי אבטחת מידע מוגדר בדרך כלל במונחי תכונות או מאפיינים הדרושים למידע מאובטח. אלה כוללים בדרך כלל סודיות, שלמות וזמינות של מידע, אך יכולים לכלול מאפיינים נוספים.

חשוב לציין כי יש הבדל בין אבטחת מידע לבין אבטחת טכנולוגיה של מידע (או טכנולוגיה של מידע

ותקשורת).

2.2. אבטחת טכנולוגיה של מידע ותקשורת – הגדרה

אבטחת טכנולוגיה של מידע ותקשורת ICT – Information and Communication Technology)) עוסקת בהגנה על מערכות פעילות המבוססות טכנולוגיה שבהן המידע מאוחסן ו / או הועבר. תקן בינלאומי ISO / IEC 13335-1 (2004) מגדיר את אבטחת המידע בכל הנוגע להגדרה, השגת ושמירה על סודיות, שלמות, זמינות, מניעת הכחשה מידע ומקורות שלו, אחריות דיווח, אותנטיות (ISO / IEC 13335-1, 2004, עמ ‘ 3). מכיוון שאבטחת מידע כולל הגנה על משאבי מידע המקוריים, ניתן לטעון כי ICT אבטחה היא חלק מאבטחת מידע.

לפי כך, ההגדרה של אבטחת ICT היא דומה מאוד להגדרת אבטחת המידע. למרות זאת, מאפיינים נוספים, אשר בהקשר זה ניתן לתאר טוב יותר כשירותים שצריך לספק על ידי משאבי מידע מאובטח, נוספו ההגדרה. מאפיינים אלה כוללים מניעת דחייה, אחריות, אותנטיות, ואמינות.  Dhillon (2007, p. 19) מתיחס גם אל מושג אבטחת המידע, ומציין את ההגנה על הנתונים בפועל במערכת מידע. מכיוון שההגדרה שניתנה ב- Dhillon (2007, p. 19) כוללת רוב המאפיינים מההגדרה של אבטחת ICT, ומכיוון שאבטחת המידע הבסיסי תלויה במידה רבה באבטחה הכוללת של מערכת המידע שעליה מתבססים הנתונים, ניתן לטעון כי המונח אבטחת מידע משמש למעשה ב- Dhillon (2007) ביחס לאותו המושג אשר נקרא אבטחת ICT ב- ISO/IEC TR 13335-1 (2004).

מההגדרות המדוסקסות בסעיפים 2.1 ו -2.2 זה צריך להיות ברור כי קיים הבדל בין אבטחת משאבי מידע לבין אבטחת משאבי ICT. משאב מידע מאובטח יכול לכלול כל יחידה שממנה מתקבל מידע או אליה מידע נשלח. משאב אבטחת טכנולוגיה של מידע הוא משאב מידע מאובטח המתבסס על מערכת טכנולוגיית מידע. חשוב גם לציין, כי מבחינת מערכות מבוססותICT  המידע עצמו אינו יכול להיות מאובטח, אלא אם כן כל המשאבים והתהליכים העוסקים במידע זה מאובטחים גם כן.

כפי שצוין קודם לכן, שלושת המאפיינים הראשונים – סודיות, שלמות, וזמינות – ידועים בדרך כלל כמודל משולש CIA, אשר נחשב כתקן תעשייתי לאבטחת מחשבים מאז פיתוח המיינפריים (Whitman and Mattord, 2009, p. 8). המאפיינים הנוספים נוספו להגדרה זו על מנת לתת מענה לצורכי ביטחון נוספים של הארגון בסביבה עסקית בין-רשתית של היום. הבנה ברורה של משמעות כל המאפיינים הנ”ל (ו / או שירותים) חיונית להבנת אבטחת מידע ואבטחתICT , מכייון שללא סודיות, שלמות, זמינות, מניעת הכחשה, אותנטיות ואמינות של משאבי מידע, המידע הה לא יכול להיחשב מאובטח. לכל האמור לעיל (כולל דיוק, תועלת והחזקת מידע) יש תפקיד אינטגראלי באבטחת מידע, והמרכיבים האלה צריכים להיחשב חשובים באותה מידה. עם זאת, כמה מהמאפיינים או מהשירותים האלה יכולים להיות ישימים יותר מאחרים בתרחישים מסויימים, תלוי באופי המידע. לדוגמה, שלמות הנתונים הסטטיסטיים האינפלציוניים היא בעלת חשיבות ניכרת לכלכלנים, בעוד שהסודיות של אותם נתונים נראית חסרת חשיבות, משום שכולם היו רשאים לקבל גישה למידע זה. עם זאת, לפי ההגדרה, הפרת סודיות מתרחשת רק אם ישות לא מורשית להשיג את המידע. מאחר שכולם יהיו משתמשים מורשים לסטטיסטיקה האינפלציונית, במקרה זה סודיות המידע תישמר בפועל. בהקשר הארגוני, אבטחת המידע של הארגון היא אינו מקרה של קביעת התכונות או השירותים הרלוונטיים, אלא הגדרה נכונה של גופים מוסמכים, כמו גם פרמטרים נוספים עבור כל פיסת מידע.

כאשר מנתחים אבטחת ICT, כמתואר לעיל, ברור כי איומים שונים מכוונים פגיעויות הקשורות לאבטחה זו, ובסופו של דבר, יש להם השפעה שלילית על תשתית ICT. במקרה זה ברור כי התשתית הטכנולוגית נחשבת כנכס הזקוק לאבטחה. לפיכך, בתחום אבטחת ICT , האחרון (ICT) הוא הנכס המאובטח. איור 1 מתאר את הקשר הזה.

איור 1. אבטחת ICT.

במקרה של אבטחת מידע, ICT היא התשתית שמעבדת, מאחסנת ומספקת מידע. במקרה זה מדובר במידע הנחשב כנכס הדורש אבטחה, כמתואר באיור 2. טכנולוגיית המידע והתקשורת יכולה במקרה זה להיות מסווג, בין השאר, כפגיעות המיואמת על ידי איומים שונים בניסיון לפגוע בנכס, כלומר, במידע.

לכן, חשוב לציין כי במקרה של אבטחת מידע, המידע הוא הנכס שיש לאבטח אותו.

בפרקים הבאים נדון כי בתחום אבטחת סייבר אופי האיומים, הפגיעויות והנכסים שונה מזה של אבטחת המידע.

1. אבטת סייבר

כפי שצוין קודם לכן, פרסומים עכשוויים רבים העוסקים באבטחת סייבר משתמשים בביטוי אבטחת סייבר לסירוגין עם הביטוי אבטחת מידע. אם אבטחת סייבר היא שם נרדף לאבטחת מידע, סביר להניח כי תקיפות אבטחת סייבר יכולות להיות מתוארות גם במונחים של המאפיינים המשמשים להגדרת אבטחת מידע. כך, למשל, תקרית אבטחת סייבר תוביל גם להפרה בסודיות, שלמות או זמינות המידע. הדבר נכון לגבי רוב האיומים הקשורים לאבטחת סייבר, להם המשתמש ו / או הארגון עלולים להיות חשופים. עם זאת, הטענה של מאמר זה היא שקיימים איומים באבטחת סייבר שאינם מהווים חלק מתחום המוגדר באופן רשמי כאבטחת מידע. פרק זה יציג בקצרה כמה תרחישים כדוגמאות:

3.1. תרחיש 1 – בריונות סייבר

בריונות באינטרנט הפכה לדאגה חשובה לחברה המודרנית (Martin and Rice, 2011). לפי Martin and Rice (2011) כמה מחקרים שנעשו לאחרונה מצאו כי הטכנולוגיה משמשת יותר ויותר לבריונות, “לגרום למבוכה, לעורר הטרדה ואלימות, ולגרום נזק פסיכולוגי”. זה יכול להוביל “השפעות חמורות ושליליות על אלה שנפגעו”.

הצורך להתמודד עם בריונות הסייבר הפך להיות מוכר כבעיית אבטחת סייבר, והוא אף הוזכר במיוחד ב-“אסטרטגיית אבטחת סייבר” בבריטניה (השר למשרד הקבינט וגזברות כללית, 2011, עמ’ 26). עם זאת, היותו מציק במרחב הסייבר אינו מהווה אובדן של סודיות, שלמות או זמינות של מידע. במקום זאת, היעד של פעילויות כאלה הוא המשתמש עצמו. לפיכך, בריונות סייבר מביא לתוצאות פגיעה ישירה לאדם שמוטרד.

איור 2. אבטחת מידע.

3.2. תרחיש 2 – בית אוטומטי

ההתקדמות בתחום ה- ICT , כמו גם ההתקדמות בתחום האלקטרוניקה, העלו מספר רב של יישומי אוטומציה לבית (Jime´nez et al., 2011). רבים מהם מאפשרים לבעלי בתים לשלב מערכות אבטחה ביתיות, דוד חימום של מים, מקררים, תנורים, טלוויזיות ומכשירים אחרים עם מערכות ניהול מבוססות אינטרנט. למרבה הצער, הנוחות המוגברת של ניהול הבית באמצעות האינטרנט מלווה בסיכון מוגבר שמישהו עלול לקבל גישה לא מורשית למערכות כאלה ולגרום נזק. פגיעה זו יכולה לנוע בין “קונדס” כמו כיבוי המים החמים, לפשעים חמורים כמו כיבוי מערכת הביטחון על מנת לפרוץ לבית. שוב, במקרה זה ניתן לטעון כי המידע של הקורבן אינו בהכרח מושפע לרעה. במקום זאת, נכסים אחרים של הקורבן הם היעד של פשע סייבר.

3.3. תרחיש 3 – מדיה דיגיטלית

אחת התעשיות שנפגעו באופן ישיר על ידי שיתוף מידע משופר היא תעשיית הבידור. בכל שנה כמויות עצומות של ההכנסות פוטנציאליות אבודות בגלל הפצת סרטים בלתי חוקיים, מוזיקה וצורות אחרות של מדיה דיגיטלית. שיתוף לא חוקי זה אינו בהכרח משפיע על סודיות, שלמות או זמינות של מדיה משותפת; עם זאת, הוא משפיע ישירות על הבריאות הפיננסית של הבעלים החוקי של הזכויות במדיה ספציפית. הצדקה עצמית של פעילויות בלתי חוקיות, כמו העתקת מדיה באופן בלתי חוקי, יכולה אפילו לפעול כזרז שמקל על ביצוע מעשים בלתי חוקיים אחרים בעתיד (Ariely, 2012).

במקרה זה ניתן לטעון כי הקורבן של פשע סייבר הוא יותר מהצד שקניין רוחני שלו נמצא בסכנה. במובן רחב יותר מדובר בהתקפה על מערכת הערכים (הן זכויות הבעלות והן אתיקה של העבריינים) שנפגעה לרעה.

3.4. תרחיש 4 – טרור סייבר

בארה”ב, התשתית הקריטית מוגדרת כ-“נכסים, מערכות ורשתות, בין אם פיזית או וירטואלית, חיונית כל כך לארצות הברית, עד כי חוסר יכולתם או השחתתם ישפיעו על הביטחון, הכלכלה הלאומית, בריאות הציבור או בטיחותו, או לכל שילוב שלהם” (Department of Homeland Security, 2011). התשתית המספקת חשמל ומים, שולטת בתעבורה האווירית, או תומכת בעסקאות פיננסיות, נתפסת כ-“תשתית חיונית לשמירה על החיים”, והכל תלוי ישירות בתשתית התקשורת ותשתית הרשתות (The Whitehouse, 2011, p. 3). ההגנה על תשתיות קריטיות אלה מהווה חלק חשוב בביטחון הסייבר והיא נכללת כצורך לאומי חשוב באסטרטגיות אבטחת הסייבר הלאומי (Minister for the Cabinet Office and Paymaster General, 2011, p. 39; The Whitehouse, 2011, p. 13).

טרוריסטים סייבר או מומחי אויב עשויים למקד לתשתית קריטית של המדינה באמצעות מרחב הסייבר. זה יכול להיות בעקיפין, למשל על ידי השפעה על זמינות שירותי מידע באמצעות התקפות מניעת שירות או, באופן ישיר יותר, באמצעות התקפה על רשת החשמל הלאומית. במקרה של התקפות על תשתיות קריטיות כאלה, ההפסד כרוך לא רק בשלמות או בזמינות של משאבי מידע, אלא גם בגישה לשירותים קריטיים אלה. במקרה זה, זה לא המידע עצמו ולא משתמש המידע בודד הנמצא בסיכון, אלא הרווחה של החברה כולה. דוגמה טובה להתקפות כאלה היא ההתקפות על אסטוניה באפריל / מאי 2007.

תרחישים אלה עוסקים בהיבט מסוים של ביטחון הסייבר שבו האינטרסים של אדם, חברה או מדינה, כולל הנכסים שלהם שאינם מבוססי מידע, צריכים להיות מאובטחים מפני סיכונים הנובעים מהאינטראקציה עם מרחב הסייבר. זה משמש כדי להבליט את ההבדל בין אבטחת מידע לבין אבטחת הסייבר.

4. מאבטחת מידע לאבטחת סייבר

כל האבטחה היא בהגנה על הנכסים מפני איומים שונים הנובעים מפגיעות מסוימות. תהליכי האבטחה עוסקים בדרך כלל בבחירה וביישום של בקרות אבטחה (הנקראות גם אמצעי נגד) המסייעים להפחית את הסיכון הנשקף מפגיעות אלה. (ISO/IEC 27002, 2005; Farn et al., 2004; Gerber and Von Solms, 2005).

במקרה של אבטחת ICT, הנכס/ים שצריכים להיות מוגנים הם תשתית טכנולוגיית המידע הבסיסית (ראה איור 1). אבטחת מידע, לעומת זאת, מרחיבה הגדרה זו של הנכסים שיש להגן עליהם, על מנת לכלול את כל ההיבטים של המידע עצמו. זה כולל את ההגנה על נכסי ICT הבסיסיים, ולאחר מכן הולך מעבר הטכנולוגיה כדי לכלול מידע שאינו מאוחסן או מועבר ישירות באמצעותICT  (ראה איור 2).

עם זאת, כפי שהוכח בתרחישים לעיל, בתחום אבטחת סייבר הנכסים שיש להגן עליהם יכולים לנוע בין האדם עצמו לבין מכשירים ביתיים נפוצים, לאינטרסים של החברה באופן כללי, כולל תשתית לאומית קריטית. למעשה, נכסים כאלה כוללים כל אדם או כל דבר שניתן להגיע אליו באמצעות מרחב הסייבר. לפיכך, טענת המאמר הזה היא בכך שהמונח אבטחת סייבר קשור, אך לא מקביל, למונח אבטחת מידע. בתחום אבטחת סייבר, המידע וה-ICT  מהווים את הסיבה הבסיסית לפגיעות. עדיין אפשרי בנכסים העוסקים באבטחה, לכלול את המידע עצמו, או אפילו תשתית מידע ותקשורת. עם זאת, מאפיין אחד המגדיר במידה הרבה ביותר את אבטחת הסייבר הוא העובדה כי כל הנכסים שיש לאבטח אותם צריכים להיות מוגנים בגלל הפגיעויות הקיימות כתוצאה משימוש ב- ICT המהווה בסיס למרחב הסייבר.

פגיעויות אלה יכולות אף להשפיע על נכסים בלתי מוחשיים. למשל, אבטחת סייבר מוסיפה מימד מוסרי חשוב, משום שבעיות כמו בריונות ברשת מרחיבה מעבר לחוק ומציגות סוגיה אתית שהחברה בכלל צריכה להתמודד איתה. מימד מוסרי זה מתרחב לבעיות כמו בוט-נט (a network of private computers infected with malicious software and controlled as a group without the owners’ knowledge). להיות חלק של בוט-נט לא תמיד אומר כי סודיות, שלמות, זמינות או מאפיינים אחרים של אחד ממשאבי המידע הושפעו ישירות; זה בהחלט אפשרי כי בוט-נט יכול רק “לגנוב” מחוגי השעון במחשב, והשעון לא יהיה פעיל. עם זאת, אם בוט-נט כזה משמש לביצוע פשע, הבעלים של המחשב עשוי להיות שותף בלי לדעת על כך.

עם זאת, המימד האתי של ביטחון סייבר אינו נכס בלתי-מוחשי היחיד שיש לאבטח אותו. לדוגמה, סקירת מסמכי אסטרטגיה באבטחת סייבר ב- 19 מדינות הראה כי ההגנה על האמון שיש לאזרחים בשימוש במרחב הסייבר למטרות מסחריות נתפסת כחיונית על ידי כל המדינות שהשתתפו בסקר (Klimburg, 2012).

אם ניקח בחשבון את הדיון והתרחישים הנ”ל, ברור כי אבטחת סיייבר בנכס שיש צורך להגן עליו, חורג מגבלות המידע כפי שזה הוגדר באבטחת מידע. ראשית, מהתרחיש הראשון והשני ברור כי באבטחת סייבר נכסים כוללים היבטים אישיים או פיזיים, מוחשיים ולא מוחשיים, של האדם. בנוסף לכך, כפי שניתן לראות בתרחישים השלישי והרביעי, אבטחת סייבר כולל גם את ההגנה על ערכים חברתיים (בלתי מוחשיים) ותשתיות לאומיות (מוחשיות). באבטחת סייבר הנכסים כוללים, לפיכך, הן נכסים מוחשיים והן נכסים בלתי מוחשיים הקשורים לרווחת הפרט או החברה בכלל. במקרה של אבטחת סייבר, המידע עצמו יכול להיות מסווג כפגיעות. בכל התרחישים הנ”ל, הפגיעה במידע מובילה ישירות להשפעה על הנכס, במקרה זה אולי בבן אדם ביכולתו האישית, או החברה בכלל, כמתואר באיור 3.

איור 3. אבטחת סייבר.

בדיוק כמו אבטחת המידע ניתן להרחיב על המושגים של ICT על מנת להגן על המידע עצמו, ללא קשר לצורה נוכחית ו / או המיקום, אבטחת סייבר צריכה להיחשב כהרחבת אבטחת המידע. אבטחת סייבר צריך להתייחס לא רק להגנה על מידע, על משאבי מערכות מידע, או על אדם / ארגון. אבטחת סייבר מתייחס גם להגנה על אדם / אנשים באמצעות משאבים בסביבת סייבר, ועל כל נכס אחר, לרבות אלה השייכות לחברה בכלל, שנחשפו לסיכון כתוצאה מפגיעויות הנובעות משימוש ב- ICT. מערכת היחסים בין שלושת המושגים החופפים האלה מוצגת באיור 4.

מן הדיון לעיל עולה כי באבטחת ICT הנכס אותו יש לאבטח הוא הטכנולוגיה הבסיסית. במקרה של אבטחת מידע, הנכס / ים שיש לאבטח הוא המידע יחד עם טכנולוגיות בסיסיות. עם זאת, במקרה של אבטחת סייבר, המטרה היא כמובן לא לאבטח את המרחב סייבר אלא לאבטח את אלה הפועלים במרחב הסייבר, בין אם יחידים, ארגונים או עמים.

איור 4. הקשר בין אבטחת מידע ותקשורת, אבטחת מידע, ואבטחת סייבר.

ככל שתפקידו של ICT הולך ונעשה נפוץ יותר ויותר בחברה, התפקידים שמילאו בני האדם במידע הבסיסי ובתהליכי האבטחה הקשורים ל- ICT ימשיכו להתרחב. באבטחת ICT תפקידם של בני אדם היה מוגבל במידה רבה לזה של איום. באבטחת מידע תפקיד זה גדל יותר ויותר והפך להיות חלק אינטגרלי במערכות תומכות, ולכן בני אדם הפכו לפגיעות. היום, בתחום אבטחת סייבר, בני אדם וחברות גדלו והפכו חלק מהנכסים שצריכים להיות מוגנים. למרות שבני אדם נחשבים עדיין לאיום ולפגיעות, כיום הם נחשבים גם לנכס שיש להגן עליו במרחב סייבר.

לאור האמור לעיל, אבטחת סייבר ניתן להגדיר כהגנה על מרחב סייבר עצמו, על מידע אלקטרוני, על ICTs התומכים במרחב סייבר, ומשתמשי מרחב סייבר ביכולתם האישית, החברתית והלאומית, כולל כל האינטרסים שלהם, מוחשיים או בלתי מוחשיים, הפגיעים להתקפות שמקורן במרחב סייבר.

מההגדרה לעיל ברור כי אבטחת סייבר היא הרבה יותר מכל מידע ו / או ICT אבטחה שהיא מקיפה. האלמנט האנושי, כולל אינטרסים לאומיים, משחק תפקיד הולך וגובר באבטחת סייבר, ובוודאי אוסף הסטנדרטים הבינלאומיים הנוכחיים ושיטות העבודה המומלצות אינו מקיף מספיק לאבטחת סייבר.

5. סיכום

מאמר זה בחן את ההגדרות של אבטחת מידע ואבטחת ICT. במאמר טוענים כי אבטחת סייבר, למרות שלעתים קרובות משתמשים בו כמושג מקביל אבטחת מידע, שונה מאבטחת מידע. אבטחת מידע היא הגנה על מידע, שהוא נכס, מפגיעה אפשרית הנובעת מאיומים שונים ומפגיעויות. אבטחת סייבר, לעומת זאת, אינה בהכרח רק הגנה על מרחב סייבר עצמו, אלא גם הגנה על אלה שפועלים במרחב סייבר, ועל כל הנכסים שלהם שניתן להגיע אליהם דרך מרחב סייבר.