מאת גלעד ירון, CTO , SECOZ IT Governance, Risk & Compliance   מניעי השוק להערכת אבטחה לקוחות מסחריים וממשלתיים דורשים כלים אשר יבטיחו להם כי פתרונות אבטחת המידע המשרתים אותם  מספקים רמת אבטחה התואמת את דרישות מדיניות האבטחה שלהם. הם זקוקום ליכולת להשוות בין הפתרונות השונים בשוק ולהשתמש במוצרים בצורה מושכלת. לצורך כך הם דורשים הערכות אובייקטיביות של צד שלישי. מעבר לדרישות השוק הללו, קימות גם רגולציות ממשלתיות שונות הדורשות הערכה והסמכה. לדוגמה, מדיניות האבטחה הלאומית האמריקנית לטלקומוניקציה ומידע, שנקבעה כבר בינואר 2000, דורשת מגופים ממשלתיים בארצות הברית להעניק "עדיפות" לרכישת מוצרים בדוקים ותקפים. בכל בעולם מסתמן תנועה עניין בתקנים רשמיים, למשל בדרישות הבדיקה למערכות PKI במדינות אירופה, אוסטרליה וחברות APAC אחרות וכן דרישות מוצעות למערכות בריאות וכספים בארצות הברית.   סקירה קצרה של תקני הערכת אבטחה קהילת האבטחה הבינלאומית פיתחה תוכניות רשמיות לבדיקה ואישור מוצרי אבטחה מאז תחילת שנות השמונים. מרבית התוכניות האלו טיפלו בבדיקת מוצרי אבטחה מנקודת מבט צבאית או של ביטחון לאומי, עם קבלה הדדית מוגבלת של בדיקות ותהליכים התפורים לפי צורכי המדינות שבנדון. מספר נקודות ציון בתחום זה: 1983 – סוכנות הביטחון הלאומית (NSA) והמכון הלאומי לתקנים וטכנולוגיה (NIST) בארצות הברית פיתחו את "הקריטריונים הנאמנים להערכת מערכות מחשב" (TCSEC) הקרוי גם "הספר הכתום".  1991 – בהסתמך על עבודה זאת, מספר מדינות אירופיות (בריטניה, צרפת, גרמניה והולנד) תחת סמכותה של הקהילה האירופית, פרסמו "קריטריונים להערכת אבטחה לטכנולוגיית מידע" (ITSEC).   1993 – בעקבות ITSEC באו "הקריטריונים הקנדיים להערכת מוצרי מחשוב בטוחים" (CTCPEC).  תקנים אלו עדיין תקפים ולעתים קרובות מוזכרים בחוקים, תקנות, הוראות ומדיניות אבטחה של חברות ומדינות במדינות שונות – ואפילו בתחומי שיפוט שונים. לדוגמה, חברות המשווקות מוצרים בעלי רכיבי אבטחה באירופה יפנו להערכת ITSEC למוצר). רבות מהחברות שבונות מודולים לאבטחה (כגון מאיצי חומרה לפעולות קריפטוגרפיות) משיגים תעודת FIPS 140-2.   התפתחות "הקריטריונים המשותפים" בתחילת שנות התשעים, נוצרה תמימות דעים בקרב קהילת האבטחה בעולם, שיש צורך בהתאמה וגמישות רבה יותר בתוכניות ההערכה הנפרדות הללו על מנת לטפל בהתפשטות המהירה של טכנולוגיות, מוצרי וסביבות אבטחה. כתוצאה מכך NSA, NIST ומוסדות אבטחה שונים שהתפתחו במערכות ITSEC בקנדה ובאירופה החלו לשתף פעולה בשנת 1993 בפיתוח קריטריונים משותפים להערכת אבטחת טכנולוגיית מידע – "הקריטריונים המשותפים", שגם נקראים CC. גרסא ראשונה של תקן זה פורסמה ב 1999 על ידי ארגון הסטנדרטים הבינלאומי כ ISO Standard 15408. גרסא שנייה של תקן זה פורסמה ב-2004. הגרסה האחרונה של הקריטריונים המשותפים פורסמה ביוני 2005.      הקריטריונים המשותפים נועדו לאפשר הערכה של תכונות אבטחה של מוצרי ומערכות IT תוך כוונה להחליף את מערכות ההערכה הלאומיות השונות בתקן בינלאומי אחד. הם תומכים ביצירת מערך משותף של פעולות אבטחה למוצרים ומערכות מסוימים ומערך משותף של אמצעי בדיקה המופעל עליהם במהלך בדיקתם. לאחר שיאומצו, יהוו הקריטריונים הללו את הבסיס שיבטיח כי מוצר או מערכת מאובטחים היטב ויטפלו בדרישות ניהול הסיכונים הנדרשות. לקוחות בינלאומיים יזכו לאמצעי אובייקטיבי להערכת התאמתם של מוצרים ומערכות מסוימים לדרישותיהם ויוכלו לעשות זאת, באופן תיאורטי, ללא קשר למדינה שבה התרחשה ההערכה ושבה ניתנה התעודה המאשרת זאת.   כמה יסודות לקריטריונים משותפים בדומה לתוכניות הערכה אחרות, הקריטריונים המשותפים קובעים דרגות אבטחה. מדובר בדרגת הערכת אבטחה EAL-1 עד EAL-7. בכל דרגה עולות דרישות התפקוד והאמינות. יצרן המוצר יכול לקבוע את דרגת האבטחה הן על ידי פיתוח יעד אבטחה בלתי תלוי או על ידי תאימות לפרופיל הגנה קיים שנכתב לשם קביעת תקן עבור קטגוריה של תפקודי אבטחה או של מוצר אבטחה (כגון firewall, מערכות ניהול מסדי נתונים או מוצרי רשות אישור PKI). למרות שניתן להשוות בין דרגות CC לדרגות של תוכניות אחרות (בפרט ITSEC, שבו דרגה E6 בדרך כלל מקבילה לקריטריון משותף EAL-7, למשל), המטרה הסופית היא שהקריטריונים המשותפים יחליפו את ההסתמכות על קריטריונים לאומיים ואזוריים ויעברו לתקן המקובל בעולם כולו. אחד היעדים החשובים של הקריטריונים המשותפים היא לטפח את תקני אבטחה בינלאומיים אחידים תוך ביטול הערכות כפולות של אותו המוצר במדינות שונות. לשם כך פותח "הסדר הכרה הדדי" שנחתם עד כה בידי 14 מדינות ובהן ארצות הברית, קנדה, צרפת, גרמניה, בריטניה, אוסטרליה, ניו זילנד, איטליה, ספרד, הולנד, נורבגיה, פינלנד, יוון ומדינת ישראל. בעקבות גישת ההערכה של ITSEC, מדינות שמיישמות את הקריטריונים המשותפים, כולל ארצות הברית, ממנות מעבדות בדיקה במגזר הפרטי לביצוע ההערכות. לדוגמה, בבריטניה ישנם כעת חמישה מתקנים מורשים המסוגלים לבצע הערכות ITSEC או CC ואילו בארצות הברית יש שש מעבדות מורשות. לאחר שמוצר עבר בהצלחה את תהליך ההערכה במתקן מורשה, ההערה נסקרת ומקבלת אישור רשמי, הוא מצטרף לרשימת המוצרים הרשמית וזכאי להכרה בהתאם להסדר ההכרה ההדדי.   אתגרים ביישום הקריטריונים המשותפים למרות היתרונות בקידום מצב הבטחת הביטחון באמצעות תקן עולמי קיימים מספר קשיים ביישומם ובכללם: *     הסמכת מספר מתאים של מעבדות בדיקה מורשות שיבצעו את בדיקות CC. *     קיבולת המעבדות לבצע הערכות במסגרת זמן סבירה שתעמוד בדרישות הפיתוח והשיווק של היצרנים. *     נכונות היצרנים להשקיע בבדיקות CC. *     חינוך ופיתוח פרופיל הגנה תקני למוצרים. *     עלות תהליך האישור. *     עלות אישור נוסף עבור גרסאות ושדרוגים של מוצרים. *     בדיקת רכיבים מול בדיקת מערכות. *     מספר גדול יותר של מדינות שמוכנות לחתום על הסדר ההכרה ההדדי באופן רשמי. *     השגת הסכמה בינלאומית לדרגות הערכה שמעבר ל-EAL-4. *     עיכובים במעבר לקריטריונים המשותפים עקב תחיקה לאומית בכמה מדינות, שדורשת מבחני ITSEC. *     ספקי בדיקות והסמכה מסחריים מתחרים ובלבול בשוק עקב זאת.   ההשלכות העתידיות של הקריטריונים המשותפים מכשולים אלו משמעותיים, אך אפשר להתגבר עליהם, בפרט כיוון שכל המניעים העסקיים לאבטחה בינלאומית ומוסדות אבטחה בינלאומיים כגון NSA/NIST בארצות הברית, CSG בבריטניה, BSI בגרמניה, CSE בקנדה ועוד, ממשיכים להגביר את שיתוף הפעולה זה עם זה ועם המגזר הפרטי.