בעולם אבטחת המידע, "אבטחה פיזית" הינה הפעולה, הפרקטיקה למתן הגנת טכנולוגיית המידע, תהליכים, אנשים וכלים – באמצעות יישום בקרות מוחשיות. לא אהסס ואטען כי אבטחה פיזית הינה הרובד החשוב ביותר באבטחת מידע.
יישום של אמצעי הגנה מוחשיים – פיזיים, היו מתמיד הפעולות הראשונות שאנשים נקטו ע"מ להגן על נכסיהם. עוד בשנות ה-60, עת שהמחשבים הפכו למרכיב משמעותי בתחום הצבאי-ביטחוני, נעשה שימוש ביישום של אמצעי הגנה פיזיים – כמו לפני 1000 שנה – מנעולים, גדרות, שומרים וכלבי שמירה. מחלקת הביטחון של ארה"ב פיתחה מומחיות כמעט אך ורק בבקרות אבטחה פיזיות.
בסביבות ה-IT של היום, מחלקות האבטחה של ארגונים ועסקים מתמקדות בעיקרן על אבטחה בפן הלוגי – כלומר, ישנו דגש על אבטחה ברשתות תקשורת ובפריצות והתקפות שנעשות דרכן. כתוצאה מכך, קיים פער מדאיג למודעות ולרגישות שבאבטחה פיזית.
משמעות ומטרות
אבטחה פיזית\סביבתית :
מהי בטיחות? בטיחות הוא הצורך להבטיח כי האנשים המעורבים בחברה (עובדים, לקוחות, מבקרים...) יהיו מוגנים מפני כל פגיעה. בד"כ, כאשר מיישמים בקרות אבטחה פיזיות - הבטיחות היא בראש סדר העדיפויות. הצורך בבטיחות דורש, במקרים רבים – קבלת חולשות בתחומים אחרים. לדוגמא:
במהלך פינוי בניין – בעת אירוע כזה או אחר, עובדים יפונו במהירות. דלתות המשרדים עשויות להיות פתוחות – הן בשביל להקל על הפינוי והן בגלל המהירות והבהלה לפינוי. בעת זו, אין כל הגנה או אבטחה על כניסת לא-מורשים לאיזורים רגישים - מה שמהווה איום קריטי.
בקרות ניהול\מנהליות בד"כ מיושמות ע"י מחלקת משאבי האנוש בעת גיוס ופיטור עובדים.
להלן בקרות לזיהוי, צמצום וטיפול באיומים אלה:
האיורים נלקחו מ-http://thiendang.net
בעוד שני הסוגים הנ"ל מתמקדים באופן הזרמת המים, לא מעט מהמערכות כיום פועלות ע"י שילוב שני הסוגים, כאשר הבדלם הוא משך הזמן לפני הזרמת המים.
שיטה נוספת לכיבוי אש היא ע"י גז. בעת שריפה, יש צורך בהסרת חמצן מהאוויר (שכן, אין בערה בלי חמצן). גזים כגון הלון ופחמן דו-חמצני "חונקים" את החמצן ולכן מונעים בעירה. פתרון זה אמנם נראה אופטימלי, נקי, פשוט וידידותי לסביבת מחשבים – אבל בל נשכח שבני-אדם יכולים לשרוד דק' בודדות ללא חמצן. בהתאם לזאת, שיטה זו מתאימה בעיקר לסביבה לא מאוישת והתקנתה נעשית בד"כ בקומה שמתחת לחדרי המחשב.
לסיכום, הצגתי חלק קטן מאוד מתת-נושא גדול. כאמור, אבטחת מידע הוא נושא מקיף, כמעט בכל תחום בחיינו. אבטחה פיזית הוא אמנם נושא בפני עצמו, אבל בלתי נפרד מעולם אבטחת המידע. צר לי לראות עסקים וארגונים רבים בישראל ה"מזניחים" נושא זה. יש רבים שאף מפרידים את תחום אבטחת המידע בכל הקשור לתחזוק מבנים ובפעילויות המוגדרות פיזיות ותחזוק. בקרות אבטחה פיזיות הן השער הראשון העומד בפני תוקפים, איומים פוטנציאלים וסביר להניח כי אלו העוברים אותו - יצליחו להגיע ליעדם.
יישום של אמצעי הגנה מוחשיים – פיזיים, היו מתמיד הפעולות הראשונות שאנשים נקטו ע"מ להגן על נכסיהם. עוד בשנות ה-60, עת שהמחשבים הפכו למרכיב משמעותי בתחום הצבאי-ביטחוני, נעשה שימוש ביישום של אמצעי הגנה פיזיים – כמו לפני 1000 שנה – מנעולים, גדרות, שומרים וכלבי שמירה. מחלקת הביטחון של ארה"ב פיתחה מומחיות כמעט אך ורק בבקרות אבטחה פיזיות.
בסביבות ה-IT של היום, מחלקות האבטחה של ארגונים ועסקים מתמקדות בעיקרן על אבטחה בפן הלוגי – כלומר, ישנו דגש על אבטחה ברשתות תקשורת ובפריצות והתקפות שנעשות דרכן. כתוצאה מכך, קיים פער מדאיג למודעות ולרגישות שבאבטחה פיזית.
משמעות ומטרות
אבטחה פיזית\סביבתית :
- הינה חלק בלתי נפרד מיישום בקרות הגנה לוגיות.
- לעתים קרובות, לא נלקחת בחשבון.
- צריכה להיות:
- מבוססת הערכת סיכונים.
- ממוקדת קניין-רוחני - Intellectual property.
- סודיות, הוא הצורך להבטיח כי מידע מסויים יהיה גלוי אך ורק למי שרשאי לכך.
- שלמות, הוא הצורך להבטיח כי מידע מסויים לא שונה (הן בטעות והן בזדון), וכי אותו מידע הוא מדויק ושלם.
- זמינות, הוא הצורך להבטיח כי כל משאב – המשרת את הארגון\עסק – יהיה זמין לאלו הצריכים להשתמש בו, ובכך למנוע השבתה של פעילות עסקית\ארגונית כזו או אחרת.
בטיחות לפני הכל!
מהי בטיחות? בטיחות הוא הצורך להבטיח כי האנשים המעורבים בחברה (עובדים, לקוחות, מבקרים...) יהיו מוגנים מפני כל פגיעה. בד"כ, כאשר מיישמים בקרות אבטחה פיזיות - הבטיחות היא בראש סדר העדיפויות. הצורך בבטיחות דורש, במקרים רבים – קבלת חולשות בתחומים אחרים. לדוגמא:
במהלך פינוי בניין – בעת אירוע כזה או אחר, עובדים יפונו במהירות. דלתות המשרדים עשויות להיות פתוחות – הן בשביל להקל על הפינוי והן בגלל המהירות והבהלה לפינוי. בעת זו, אין כל הגנה או אבטחה על כניסת לא-מורשים לאיזורים רגישים - מה שמהווה איום קריטי.
פינוי: הליכים ונהלים
תהליך פינוי מבוקר הציל אלפי חיים באירועים שונים החל מ-שריפה עד לאסונות טבע. יש להיות מוכנים באירועים אלו; ליישם נהלים ותרגילים. בהתאם לזאת, יש צורך בתיאום ושילוב עם מחלקות שונות, החל ממשאבי-אנוש עד לדרג הניהולי.
כל הליך פינוי מבוקר צריך לכלול מסלולי פינוי ונק' מפגש. כל הליך שכזה צריך להראות באופן ברור את מסלול היציאה מהמיקום הנוכחי. בנוסף, יש לדאוג כי קיימים מס' עותקים של נהלי הפינוי וכן כי הם ניתנים להסרה, כך שמפונים יהיו מסוגלים לשאת את המסמך כדי להנחות עצמם בעת הפינוי.
נקודת מפגש
כאמור, כל הליך פינוי צריך לכלול נק' מפגש. נק' מפגש אלה צריכות להיות מזוהות (לדוגמא ע"י שלט), וצריכה להיות במרחק הליכה ממקום מרכזי.
פרסום נהלים
הנהלים לפינוי צריכים להיות מונגשים בכל איזור עבודה, לרבות חדרי שירותים ומסדרונות. בנוסף, יש צורך בשילוט ברור (פונט גדול, ניגודיות גבוהה) ובצבע המקשר מצבי חירום – אדום.
תירגול
מעת לעת, ע"מ להבטיח כי הליך החירום מבוצע כראוי, יש צורך בביצוע תירגולים\תרגילים. העובדים מחוייבים לקחת חלק בתרגילים אלו.
אבטחה סביבתית - בקרות גישה וסוגיהן
בקרות גישה המאופיינות ע"י אמצעי הגנה פיזיים, ינסו למנוע גישה לא מורשית ע"י גורמים זדוניים ו\או גורמים תמימים ("בטעות..."). להלן שלושת סוגי בקרות הגישה;
- בקרות הרתעה. לדוגמא, שומר חמוש.
- בקרות זיהוי ומעקב. לדוגמא, מצלמות מעקב.
- בקרות מונעות. לדוגמא, מנעולים.
בקרות ניהול\מנהליות בד"כ מיושמות ע"י מחלקת משאבי האנוש בעת גיוס ופיטור עובדים.
- סקירת מועמדים לפני השמתם
- עבודה קודמת.
- השכלה.
- רישומים פליליים.
- בדיקת רקע כללית.
- בדיקת העובד
- הערכת ביצועים, כישורים.
- פיקוח
- פעולות לאחר סיום הַעֲסָקָה.
- ראיון פרישה\יציאה.
- ביטול חשבונות מחשב ושירותים.
- החזרת ציוד.
אבטחה סביבתית – איומים
דון פארקר, בספרו – "Fighting Computer Crime", סיווג את האיומים הפיזיים ל-7 קטגרויות:
- טמפרטורה – מצבים קיצוניים של חום\קור.
- גזים – לחות, חלקיקים מסוכנים\אסורים, סינון אוויר.
- נוזלים – כימיקלים שונים וכמובן – מים.
- אורגניזמים – וירוסים, בקטריות, בע"ח, בני-אדם ומזיקים.
- קליעים – אובייקטים מוחשיים אשר בתנועה או אשר מופעל עליהם כח פיזי.
- תזוזות – רעידות, זרימות, קריסות...
- חריגות אנרגטיות – מגנטיות, נפילות מתח, אור, רדיו, גלים וכו.
אש ועשן
הידעתם כי עשן הוא גורם קטלני יותר מאשר אש? אש ועשן הם האיומים הנפוצים ביותר שפוגעים בבטיחות העובדים. אש מתרחשת כאשר גז מסוים הינו דליק – כלומר ניתן להצתה (ע"י יצירת מקור חום גבוה) ובעירתו נעשית בנוכחות חמצן. למזלנו, כיום קיימים אמצעים רבים המזהים איומים של אש וחום, בעיקרם הם חיישני וגלאי עשן\חום. בנוסף, קיימים אמצעים רבים המסוגלים למנוע התלקחות של אש ו\או עשן.להלן בקרות לזיהוי, צמצום וטיפול באיומים אלה:
- אמצעי זיהוי\גילוי
- גלאי עשן.
- חיישני חום.
- אמצעים מדכאי אש ועשן
- מתזים.
- מטפי אש.
- פינוי (כמתואר קודם).
סוגי בעירה
קיימות 4 קטגוריות של בעירה. הסיווג נעשה ע"י גורם הבעירה. חשוב לציין כי אמצעי הכיבוי שונים בכל סוג בעירה (מלבד סודה, המסוגל לכבות אש מסוג A ו-סוג B ).|
קטגוריה
|
חומר הבעירה וגורם
|
אמצעי כיבוי ודיכוי
|
|
CLASS A
|
עץ ונגזרותיו. נגרם בטעות. לדוגמא: סיגריה
בוערת הנתפסת בחומר ומתלקחת.
|
מים, פחמן דו-חמצני נוזלי (סודה)
|
|
CLASS B
|
מוצרי נפט ונגזרותיו, דלק.
|
סודה. מים לרוב לא יעזרו. גז הלון
|
|
CLASS C
|
חשמל, כבלים...
|
גזים מסוימים
|
|
CLASS D
|
מתכות דליקות
|
אבקות מיובשות
|
שיטות כיבוי ודיכוי אש
קיימות שתי שיטות עיקריות לכיבוי אש; נוזלים ו-גזים. הנוזל העיקרי המשמש לכיבוי אש הוא כמובן – מים. עם זאת, ידוע כי מים וחשמל לא מסתדרים יחדיו ולכן קיים החשש לנזק ופגיעה במחשבים ובציוד אלקטרוני. לשיטה השניה – גזים, קיים יתרון בכך שהוא מסוגל לכבות אש מבלי לפגוע בציוד אלקטרוני, אך עם זאת, גזים אלה מסננים את החמצן מהאוויר – ולכן מסוכנים לבטיחות האדם. נוזלים לכיבוי שרפות המבוססים על הסרת חמצן – מסוכנים הן לאדם והן למכונה, נסו להמנע מהם.
סוגי מערכות לכיבוי\דיכוי אש
שיקול חשוב בעת תכנון והתקנה של מערכות כיבוי וזיהוי בערה – הוא הצורך לניהול ובקרה של אמצעי הכיבוי (גזים, מים..) ע"מ להבטיח כיסוי מלא לאזורים המבוקשים.
ואיך נוכל ליישם בקרה שכזו?
- חיישנים המותקנים באזורי הכיסוי יעניקו זיהוי מהיר של מצבי קיצון (חום, קור, מים ואש) – ויתריעו בהתאם.
- מערכות כיבוי\דיכוי מחוברים לאותם חיישנים ויעכבו את שחרור המים מהצנרת לזמן מוקצב וידוע מראש. זמן זה יעניק יכולת לקבוע האם זוהי אזעקת שווא, מהו מקור האזעקה וכן זמן דרוש לפינוי המקום.
- מערכת מתזים (צנרת) רטובה – בסוג זה של מתזים, המים בצנרת המתזים – תמיד תהיה מלאה עד ראש המתז. החומר הסותם את יציאת המים ניתן להמסה. כאשר טמפ' החדר עולה על ≈ 74 מעלות צלזיוס, החומר נמס\נשבר – וזרימת המים מתחילה.
- מערכת מתזים (צנרת) יבשה – בסוג זה של מתזים, המים בצנרת מופרדים ע"י שסתום ברז. המתזים לא מלאים במים אלא באוויר. כאשר טמפ' החדר עולה על ≈ 74 מעלות צלזיוס – שסתום הברז נפתח ומוציאה תחילה את לחץ האוויר ורק אח"כ מזרימה מים. בגישה זו, העיכוב בהזרמת המים תעניק את האפשרות לכבות בבטחה מערכות מחשב ומכשירים קריטיים נוספים.
בעוד שני הסוגים הנ"ל מתמקדים באופן הזרמת המים, לא מעט מהמערכות כיום פועלות ע"י שילוב שני הסוגים, כאשר הבדלם הוא משך הזמן לפני הזרמת המים.
שיטה נוספת לכיבוי אש היא ע"י גז. בעת שריפה, יש צורך בהסרת חמצן מהאוויר (שכן, אין בערה בלי חמצן). גזים כגון הלון ופחמן דו-חמצני "חונקים" את החמצן ולכן מונעים בעירה. פתרון זה אמנם נראה אופטימלי, נקי, פשוט וידידותי לסביבת מחשבים – אבל בל נשכח שבני-אדם יכולים לשרוד דק' בודדות ללא חמצן. בהתאם לזאת, שיטה זו מתאימה בעיקר לסביבה לא מאוישת והתקנתה נעשית בד"כ בקומה שמתחת לחדרי המחשב.
מים
נוכחות של מים בסביבה מסוימת, יכולה להתגלות ע"י גלאי\חיישן לחות. חיישנים אלה מודדים לחות במשטח מסויים או באוויר – ע"י זיהוי אדים. חיישנים אלה קריטיים בסביבות המאופיינות בצריכת חשמל גבוהה ונוכחות גבוהה של כבלי חשמל. מיקום התקנת חיישנים אלה הוא בד"כ מתחת לרצפת המחשבים ובאיזורים הנחשבים קריטיים. כמו בכל האיומים הנלווים לתרחישי הטבע – חשוב לעקוב אחר אזהרות המפורסמות ע"י השירות המטאורולוגי בישראל.
בקרות זיהוי
- חיישנים, גלאים של לחות ורטיבות.
- צד-שלישי: השירות המטאורולוגי, מערכות שירותי חירום.
- משאבות בילג', משאבות סאמפ. Bilge pump, Sump pump . פועלות ע"י מתג כספית, משקולות מים ומדידת מפלסים.
- פינוי
לסיכום, הצגתי חלק קטן מאוד מתת-נושא גדול. כאמור, אבטחת מידע הוא נושא מקיף, כמעט בכל תחום בחיינו. אבטחה פיזית הוא אמנם נושא בפני עצמו, אבל בלתי נפרד מעולם אבטחת המידע. צר לי לראות עסקים וארגונים רבים בישראל ה"מזניחים" נושא זה. יש רבים שאף מפרידים את תחום אבטחת המידע בכל הקשור לתחזוק מבנים ובפעילויות המוגדרות פיזיות ותחזוק. בקרות אבטחה פיזיות הן השער הראשון העומד בפני תוקפים, איומים פוטנציאלים וסביר להניח כי אלו העוברים אותו - יצליחו להגיע ליעדם.
