בשער - Global Security | מגזין אבטחת מידע

‫‪e‬‬
‫‪n‬‬
‫‪i‬‬
‫‪z‬‬
‫‪a‬‬
‫‪g‬‬
‫‪a‬‬
‫‪M‬‬
‫‪y‬‬
‫‪t‬‬
‫‪i‬‬
‫‪r‬‬
‫‪u‬‬
‫‪c‬‬
‫‪e‬‬
‫‪S‬‬
‫מגזין אבטחת מידע וניהול סיכונים | גיליון מס' ‪ | 8‬פברואר‪-‬מרץ ‪2013‬‬
‫בשער‬
‫היום‬
‫היום‬
‫שאחרי‬
‫שאחרי‬
‫מחר‪...‬‬
‫מחר‪...‬‬
‫המימד החדש של האבטחה‬
‫המלחמה בסייבר‬
‫מגמות חמות בתחום אבטחת המידע‬
‫‪n‬‬
‫‪o‬‬
‫‪i‬‬
‫‪t‬‬
‫‪a‬‬
‫‪m‬‬
‫‪r‬‬
‫‪o‬‬
‫‪f‬‬
‫‪n‬‬
‫‪I‬‬
‫דבר נשיא‬
‫האיגוד‬
‫הישראלי‬
‫לאבטחת מידע‬
‫(‪)ISSA‬‬
‫חברי איגוד יקרים‪ ,‬שלום רב‪,‬‬
‫הקדשנו את רב הגיליון הזה לנושא כאוב ועכשווי‪ ,‬שנקרא‬
‫המשכיות עסקית והתאוששות מאסון‪ .‬בעידן של היום‪ ,‬בהם‬
‫המידע הוא הפך להיות גבולות הגזרה של הארגון‪ ,‬והוא נמצא‬
‫בכל מקום‪ ,‬בכל זמן‪ ,‬ארגונים צריכים לחשוב יותר מתמיד על‬
‫המשכיות עסקית‪ ,‬והתאוששות מאסון‪.‬‬
‫תוסיפו לכך גם את מתקפות הסייבר שממשיכות להכות בארגונים‬
‫בכל הכוח‪ ,‬וזה רק מחזק את הצורך בגיבוש תפיסה ומתודולוגיה‬
‫לניהול המשכיות עסקית והתאוששות מאסון‪.‬‬
‫ואם זה לא די‪ ,‬אז ניקח כאיום ממשי גם את אסונות הטבע‪,‬‬
‫שבשנים האחרונות פקדו על מספר אתרים בעולם‪ ,‬והנה לכם –‬
‫צורך עז בגיבוש פתרון‪ ,‬ולא מצב שבו הנהלת הארגון מסתתרת‬
‫מאחורי המשפט‪"...‬לי זה לא יקרה"‪.‬‬
‫דבר העורך‬
‫בגיליון הקודם (ינואר) נתנו סקירה על עולם הביג דאטה‪ ,‬שזהו‬
‫תחום שהולך ומתפתח מדי יום‪ .‬הארגונים צריכים לקחת בחשבון‬
‫את הסכנות הקיימות מעצם קיום הביג דאטה‪ ,‬וכל המערכות‬
‫החדשות שאמורות לאסוף‪ ,‬ולנתח מידע ממספר וקטורים‪ .‬אני‬
‫מגדיר זאת כסוף עידן הפרטיות‪ ,‬שזו חיה בסכנת הכחדה כבר‬
‫מזה מספר שנים‪.‬‬
‫כיום‪ ,‬המערכות החדשות בעולם הביג דאטה אוגרות ומנתחות‬
‫נתונים‪ ,‬ללא שום פיקוח צד ג'‪ ,‬על מה שנעשה עם המידע הזה‪ .‬יש‬
‫כאן סכנה אמיתי לזליגת מידע‪ ,‬בייחוד בסביבות בהם המערכות‬
‫הללו עובדות במחשוב ענן‪ ,‬מרובות משתמשים (לקוחות)‪.‬‬
‫כמו כן‪ ,‬צריך לקחת בחשבון שבעתיד הקרוב‪ ,‬יהיו ניסיונות פריצה‬
‫לבסיסי הנתונים הללו ולא רק מחוץ לארגון ע"י האקרים‪ ,‬אלא‬
‫גם מתוכו – ע"י עובדים משוחדים‪ ,‬וזה רק בגלל הערך הרב של‬
‫המידע‪.‬‬
‫על הארגונים להפנים את הסכנה הקיימת בעולם הביג דאטה‪,‬‬
‫ולנוקט בכל האמצעים הדרושים‪ ,‬שזליגת המידע לא תתאפשר‬
‫בקלות‪.‬‬
‫מה בגיליון?‬
‫ המימד החדש של האבטחה‬
‫ המלחמה בסייבר‬
‫ היום שאחרי מחר‬
‫ המשכיות עסקית ‪ -‬צורך תפעולי‬
‫ באיזה מתודולוגיות‬
‫לניהול המשכיות עסקית להשתמש?‬
‫‬
‫ המגמות החמות בתחום אבטחת המידע ב‪2013-‬‬
‫ השוק השחור של עידן הסייבר‬
‫ מודל הגנה רב שכבתי‬
‫ מלחמת סייבר‬
‫ סייבר ‪ -‬באז תקשורתי או איום ממשי?‬
‫צריכים לחשוב שלנו זה כן יקרה‪ ,‬ומה אני עושה‪...‬ביום שאחרי‬
‫מחר (אחרי האסון)‪.‬‬
‫בברכה‪,‬‬
‫דני אברמוביץ‬
‫נשיא האיגוד‬
‫עורך ראשי‪ :‬דני אברמוביץ‬
‫סגן עורך‪ :‬שלומי מרדכי‬
‫המערכת‪TITANS SECURITY GROUP :‬‬
‫צלם המערכת‪ :‬יוסי טובליס‬
‫דוא"ל‪[email protected] :‬‬
‫האיגוד אינו אחראי לתוכן המודעות‪ .‬כל הזכויות שמורות‪.‬‬
‫אין להעתיק רשימות וחלקים בלא היתר‪.‬‬
‫בכל גיליון תקבלו חשיפה טכנולוגית על פתרונות אבטחת‬
‫מידע שונים‪ .‬אין אנו משמשים כגורם ממליץ‪ ,‬או ממליצים‬
‫על מוצר כזה או אחר‪ .‬מטרת הכתבות היא חשיפה‬
‫טכנולוגית בלבד‪ .‬כמו כן‪ ,‬כל הכתבות בגיליון מביאות את‬
‫חוות דעתם של הכותבים‪ ,‬ואין זה מביע את כוונת האיגוד‪.‬‬
‫‪2‬‬
‫גיליון ‪ | 8‬פברואר‪-‬מרץ ‪| 2013‬‬
‫| גיליון ‪ | 8‬פברואר‪-‬מרץ ‪2013‬‬
‫‪3‬‬
‫המימד החדש‬
‫של האבטחה‬
‫סייבר הוא איום משמעותי ובעל‬
‫אלמנטים חיצוניים‪ ,‬שרבים מהם‬
‫כלל אינם תלויים במנהל אבטחת‬
‫המידע בארגון או באזרחים‬
‫מהשורה‪ .‬ההגנה מפני איום זה‬
‫אינה שונה מהגנה מפני כל איום‬
‫אחר בארגון‪ :‬מנהל האבטחה יכול‬
‫להתגונן מפני הסייבר אם ינקוט‬
‫שורה של פעולות מוכרות וידועות‬
‫ החל מרענון הנהלים‪ ,‬שימוש‬‫ביישומים‪ ,‬פתרונות ותכונות‬
‫שמגבירות את שכבות ההגנה‪.‬‬
‫כמו כן‪ ,‬הוא צריך גם להגביר את‬
‫פעולות ה‪ DR-‬שלו‪.‬‬
‫תובנה נוספת היא שבכל זאת משהו השתנה‪.‬‬
‫אם בעבר היעדים עליהם הגן מנהל אבטחת‬
‫המידע היו בקמפוס גיאוגרפי מוגדר פחות או‬
‫יותר – שהרי הוא ידע בדיוק איזה שרת מספק‬
‫מה למי – כיום המציאות היא אחרת‪ .‬בעידן‬
‫המובייל והענן‪ ,‬איומי האבטחה עלו לרמה‬
‫שמנהל אבטחת המידע לא ידע על קיומה קודם‬
‫לכן‪.‬‬
‫כאשר כל עובד מחזיק ברכיב נייד שעליו הוא‬
‫מתקין את הסרטים מבר‪-‬המצווה של בנו‪ ,‬לצד‬
‫נתוני מכירות רגישים מאתמול בערב – מנהל‬
‫אבטחת המידע צריך להיות להשתמש בכלים‬
‫אחרים ולנקוט במדיניות חדשה‪.‬‬
‫תובנה נוספת מחזירה אותנו לנושא העיקרי של‬
‫היום‪ :‬הסייבר‪ .‬ישראל היא אולי מעצמת סייבר‪,‬‬
‫אבל הטיפול בו בהיבט הסקטור האזרחי מפגר‬
‫מאוד ביחס למדינות אחרות‪ .‬אחת הסיבות‬
‫לכך‪ ,‬היא היעדר שקיפות‪ .‬רשויות הממשלה‬
‫מדברות הרבה על סייבר‪ ,‬כמוהן גם הרשויות‬
‫שאמורות להגן על העורף‪ ,‬אבל הן לא נותנות‬
‫לנו את הדברים הבסיסיים ביותר להתמודדות‬
‫עם הבעיה‪ :‬מידע‪ ,‬שקיפות והסברה‪ .‬הסיבות לא‬
‫ברורות ומן הראוי שמי שאחראי על זה ייקח זאת‬
‫לתשומת ליבו‪.‬‬
‫גישות האבטחה המסורתיות מתקשות‬
‫לנטרולתעדף את הסיכונים בארגון‪ .‬ארגונים‬
‫כיום מבינים יותר מתמיד את החשיבות של‬
‫אסטרטגיית ניהול סיכונים מקיפה‪ ,‬אם לאבטחת‬
‫הנכסים לכל רוחב התשתית הארגונית‪ ,‬ואם‬
‫למניעת פגיעה במוניטין‪.‬‬
‫ארגונים מתמודדים כיום עם מתקפות מורכבות‪,‬‬
‫וגישות האבטחה המסורתיות מתקשות‬
‫לנטרולתעדף את הסיכונים בגבולות המורחבים‬
‫של הארגונים‪ .‬ארגונים נדרשים לגישה מגובשת‬
‫יותר לניהול האבטחה והסיכונים‪.‬‬
‫מחקר שנערך הציג תמונה לפיו תחושת הסיכון‬
‫הגבוהה של המנהלים מלווה בהרגשה‪ ,‬כי‬
‫הארגונים אינם מוגנים מספיק‪ .‬עפ"י המחקר‪,‬‬
‫פחות משליש מהמנהלים בארגונים מאמינים‬
‫שהם מוגנים‪ .‬עוד העלה המחקר‪ ,‬כי הסיכון‬
‫העיקרי עליו מצביעים מנהלים הוא המצב‬
‫הכלכלי‪ ,‬ומיד אחריו – בפער קטן‪ -‬סיכונים‬
‫טכנולוגיים‪ .‬יותר מ‪ 50%-‬מהמנהלים מאמינים‬
‫שהיקף פרצות האבטחה בארגון עלה בשנה‬
‫האחרונה בכ‪ .30%-‬המשיבים העידו‪ ,‬כי בשנה‬
‫החולפת בוצעו כ‪ 80%-‬חדירות בלתי מורשות‬
‫שמקורן פנימי וכ‪ 20%-‬דיווחו על חדירות ממקור‬
‫חיצוני‪.‬‬
‫היישומים ומכשירי הקצה‪ .‬מצב זה‪ ,‬מביא לכך‬
‫שארגונים נדרשים לגישה מגובשת יותר לניהול‬
‫האבטחה והסיכונים‪ .‬ארגונים מבינים כיום יותר‬
‫מתמיד את החשיבות של אסטרטגיית ניהול‬
‫סיכונים מקיפה‪ ,‬אם לאבטחת הנכסים לכל‬
‫רוחב התשתית הארגונית‪ ,‬ואם למניעת פגיעה‬
‫במוניטין‪ .‬יש לספק את רמת ההגנה הרצויה‬
‫לארגונים‪ ,‬תוך שילוב בין מתן גישה מיידי לנכס‬
‫הארגוני הדרוש לבין שמירה על רמת הסיכון‪.‬‬
‫ההתקפות שינו את פניהן וכעת הן מסוכנות‬
‫ומתוחכמות יותר‪ .‬ההתקפות הבאות תהיינה‪,‬‬
‫מן הסתם‪ ,‬מורכבות יותר‪ ,‬מתוחכמות יותר‪,‬‬
‫ממוקדות ובעלות יכולת גבוהה יותר לגרימת‬
‫נזק – הן ברמה העסקית והן ברמה הטכנולוגית‪.‬‬
‫על מנת להתמודד עם ההתקפות החדשות‬
‫נדרש לשנות את החשיבה ולהוסיף מעגלי הגנה‬
‫נוספים‪.‬‬
‫מטרת ההתקפות היא לגרום נזק לארגון – הן‬
‫ברמת המידע והן ברמת זמינות המערכות‪.‬‬
‫המטרה של חלקן האחר היא לגנוב מידע‬
‫מהארגון‪ .‬המשותף לכל ההתקפות הללו הוא‬
‫המשאבים הרבים המושקעים בהן‪ ,‬חלקם אף‬
‫בעזרתן של מדינות‪ .‬בנוסף‪ ,‬יש מעבר מהתקפות‬
‫רחבות להתקפות ממוקדות יותר‪ ,‬שיש להן‬
‫יכולת לגרום לנזק גבוהה יותר‪.‬‬
‫בינה עסקית לסייבר‬
‫הקפות סייבר מעין אלה שנחשפו מעין אלה‬
‫שנחשפנו אליהן בשנה האחרונה‪ ,‬וניסיונות‬
‫להתקפות רבות אחרות שמבוצעים באופן‬
‫שוטף‪ ,‬תדיר ובכמות גבוהה על אתרים ישראלים‪,‬‬
‫דורשים מאיתנו שינוי מהותי בחשיבה‪.‬‬
‫המשמעות של פוטנציאל הנזק העסקי‬
‫והטכנולוגי הגבוה ביותר היא שאם ונפרצו מעגלי‬
‫ההגנה החיצוניים וגורם עוין הצליח לחדור לתוך‬
‫הארגון‪ ,‬אזי מאותו רגע‪ ,‬היכולת להגיע לשליטה‬
‫מלאה על תשתיות הארגון והיכולת לגנוב מידע‬
‫או לגרום נזק היא כמעט וודאית ומהירה‪.‬‬
‫וזו בדיוק הסיבה שהתקפות שכאלה דורשות‬
‫מאיתנו לשנות אל החשיבה ולהוסיף מעגלי‬
‫הגנה נוספים דוגמת מערכת ‪Cyber Threat‬‬
‫‪( Intelligence‬מעין בינה עסקית לסייבר)‪,‬‬
‫שמטרתה היא להתריע בפנינו מבעוד מועד על‬
‫ניסיונות או רצונות לביצוע תקיפה‪.‬‬
‫הדבר דומה למערכות מודיעין‪ ,‬שמטרתן לספק‬
‫לנו מידע על כוונות האויב‪ .‬יש להעמיק את‬
‫תחקור האירועים‪ ,‬וכמובן להרחיב את אמצעי‬
‫ההגנה הפנימיים‪ ,‬בתוך הארגון‪.‬‬
‫נקודת החולשה העיקרית‪ ,‬הינה בפלטפורמות‬
‫הטכנולוגיות‪ ,‬ולאחריהן רשתות תקשורת‪,‬‬
‫‪4‬‬
‫גיליון ‪ | 8‬פברואר‪-‬מרץ ‪| 2013‬‬
‫| גיליון ‪ | 8‬פברואר‪-‬מרץ ‪2013‬‬
‫‪5‬‬
‫מלחמת הסייבר היא יותר מסוכנת מהמלחמה הקונבנציונאלית‪.‬‬
‫מנהלי אבטחת המידע בארגונים הם בעצם "הקו הראשון"‬
‫בלוחמת הסייבר שצריכים להפעיל את מערך ההגנה מול‬
‫מתקפות הסייבר‪ .‬כלל המפתח הראשון הוא הגדרת מדיניו‬
‫ארגונית בראייה אסטרטגית‪ ,‬המבינה את הצורך בהגנה על‬
‫המערכות הקריטיות לתפקודו של הארגון‪ ,‬והטמעת מדיניות זו‬
‫בארגון‪.‬‬
‫האסטרטגיה שעל הארגונים לאמץ היא שילוב של הטמעת‬
‫מערכות שיכולות לספק לארגון רמה וודאית של זיהוי‪ ,‬איסוף‪,‬‬
‫ניתוח ושליטה אוטומטית במגוון אירועים מווקטורים שונים‪,‬‬
‫באמצעות כלים טכנולוגיים‪ ,‬אך גם אנושיים‪.‬‬
‫האסטרטגיה חייבת להתבסס על‬
‫האנשים‪ ,‬המידע‪ ,‬היישומים והתשתיות‪.‬‬
‫(‪Security‬‬
‫המלחמה‬
‫בסייבר‬
‫בחודשים האחרונים‪ ,‬קיבל העולם הצצה‬
‫נוספת למלחמת הסייבר המתנהלת‬
‫מאחורי הקלעים מזה תקופה ארוכה‬
‫בידי האקרים אשר מאתרים‪ ,‬חושפים‬
‫ומעבירים מידע רגיש (בין אם מדיני‪ ,‬צבאי‬
‫עסקי או פרטי) לידיו של הגורם המזמין‪.‬‬
‫מציאות אפוקליפטית עתידית כזו‪ ,‬בה‬
‫אין יותר סודות ולמעשה הכל גלוי וחשוף‬
‫יכולה לשנות ללא הכר את העולם כפי‬
‫שאנו מכירים אותו היום‪.‬‬
‫כל אלה מאוחדים תחת סביבת בינה כוללת אחת‬
‫‪ .)Threat Intelligence‬הבינה המשולבת מאפשרת לקבל את‬
‫הפלט של כל מערכת אבטחה ולהזין אותו לתוך מערכת בינה‬
‫וניתוח‪ .‬השילוב הזה מאפשר‪ ,‬בסופו של דבר‪ ,‬מיכון של תהליכים‪.‬‬
‫חשוב לשים דגש על שליטה בסיסית‪ ,‬המתמקדת בהגנה היקפית‪,‬‬
‫שילוב הגנה בתהליכים הארגוניים ומיטוב בעזרת ניתוח אנליטי‬
‫בזמן אמת של נתוני איומים ופעילות ברשת‪ .‬ברמת הנתונים‪ ,‬גובר‬
‫העניין בניטור פעילות בבסיסי נתונים‪ .‬בעולם אבטחת היישומים‬
‫חשוב להתמקד בניתוח אנליטי ודינמי שלהם ובחשיפתם לסיכוני‬
‫אבטחה‪.‬‬
‫בין האיומים בפניהם ניצב הארגון נמצאים‪ ,‬ביזור הרשת‬
‫והתקשורת וכניסת מחשוב הענן‪ ,‬ערבוב בין המשתמש המורשה‬
‫והבלתי מורשה‪ ,‬כאשר ‪ 70%-75%‬מהאיום הוא מהמשתמש‬
‫הפנימי המורשה‪ ,‬הצורך בהפרדה בין עולם הידע ועולם התפעול‪,‬‬
‫אבטחה של יישומים שחשופים לאינטרנט‪ ,‬והתעצמות הרכיב‬
‫הלא נודע במערכות ה‪.IT-‬‬
‫ככל שחברות אבטחת המידע השונות מפתחות עוד ועוד הגנות‬
‫קיימות עוד ועוד חומות‪ ,‬כך גם כמות הנוזקות הולכת וגוברת‪ .‬על‬
‫כל טלאי אותן מפתחות חברו האבטחה במטרה לסתום פרצה‬
‫מפותחים עשרו קודים חדשים שיודעים להיכנס באמצעות פרצה‬
‫אחרת ‪ .‬הנוזקה‪ ,FLAME‬היא רק דוגמה אחת לנזק או אובדן‬
‫הפרטיות שיכול להיגרם לכל אחד מאיתנו‪ ,‬בבית או בארגון‪.‬‬
‫נדרשת חשיבה מחודשת כיצד להגן על המידע הרגיש‪.‬‬
‫במלחמה כמו במלחמה‪ ,‬ככל שנשים יותר הגנות – כך ירבו‬
‫וישתכללו ההתקפות‪ .‬ארגונים חייבים לחשוב מחדש כיצד הם‬
‫מגנים על רשתות התקשורת שלהם‪ .‬הגישה המקובלת כיום‬
‫היא של מתן תרופה לבעיות שצצות או חסימה נקודתית מפני‬
‫פריצות והתקפות‪ .‬יש לבחון גישות שונות‪ ,‬שנותנות פתרון מוכלל‬
‫ומלא – ולא תלוי‪ ,‬כזה שיאפשר למשתמשים עבודה שוטפת‪ ,‬ללא‬
‫חששות מפרצות עתידיות‪.‬‬
‫‪6‬‬
‫גיליון ‪ | 8‬פברואר‪-‬מרץ ‪| 2013‬‬
‫אבטחה בשכבת האפליקציה‬
‫נדרש לאתר פרצות אבטחה ביישומים כבר בשלבי הפיתוח‪ .‬זו‬
‫רמה נוספת של אבטחה המתאפשרת באמצעות ניתוח סטטי של‬
‫קוד המקור של היישומים‪ ,‬בשלב מוקדם ככל האפשר של פיתוח‬
‫היישום‪ ,‬כדי להתריע בפני המפתחים על כל סיכון עתידי אפשרי‪.‬‬
‫פיתוח של יישום כולל הרבה שלבים וכל אחד מהם טומן בחובו‬
‫פרצות פוטנציאליות של אבטחת מידע‪ .‬לכן נדרש לאשתר את‬
‫פרצות האבטחה כבר במהלך שלבי הפיתוח ולא בסיום התהליך‪.‬‬
‫זיהוי פרצות ברמת הפיתוח‪ ,‬יאפשר למפתחים לבנות יישומים‬
‫מאובטחים יותר‪ ,‬ובכך להוריד עלויות אבטחת מידע בארגון באופן‬
‫משמעותי‪.‬‬
‫חלה התפתחות משמעותית של המתקפות על יישומים במהלך‬
‫השנים‪ ,‬החל מהנערים שעשו זאת לשם ההנאה‪ ,‬עבור בגורמי‬
‫פשיעה שהבינו את הפוטנציאל הכלכלי הטמון בתחום וכלה‬
‫בשלב השלישי‪ ,‬בו אנו נמצאים כיום‪ ,‬שבו ניתן לעשות דברים‬
‫מדהימים‪ ,‬מתקפות מתקדמות המסבות נזק לתהליכים‬
‫העסקיים בארגון‪ .‬התוקפים כיום ממוקדי מטרה ההאקר מנסה‬
‫לפרוץ‪ ,‬מתעקש‪ ,‬מתמיד ובסופו של דבר מצליח‪ .‬הסיבה לכך היא‬
‫שיש לו יכולת לשלב טכנולוגיות תקיפה שנות ומגוונות‪.‬‬
‫השבתה טוטאלית‬
‫בנקים הם תשתית לאומית‪ .‬אם הם יחדלו מלהתקיים‪ ,‬אנשים‬
‫ייזרקו לרחוב‪ ,‬בתי החולים לא יתפקדו ועוד‪ .‬היכולת של גורם‬
‫כלשהו בעולם להשבית מדינה קיימת‪ .‬הבנקים נתונים ללא מעט‬
‫רגולציות והמפקח על הבנקים מוציא הוראות ממוקדות לנושאים‬
‫שונים‪ .‬במהלך שנת ‪ ,2012‬המפקח על הבנקים הוציא חוזר‬
‫לבנקים לגבי התמודדות עם מתקפות סייבר המציב בפני הבנק‬
‫אילו יעדים מצופים מהבנקים להשיג בתחום‪ .‬בנוסף‪ ,‬יש לבצע‬
‫בחינה של מערך המחשוב כדי להקשיח את השרתים‪ ,‬לעדכן‬
‫את הנהלים הרלוונטיים ולהקים חדר מצב שאמור להתמודד‬
‫עם אירועי סייבר שונים‪.‬‬
‫התקפה ממוקדת‬
‫סייבר זה מונח בעייתי‪ ,‬שם של תקופה שהמאפיין שלה הוא‬
‫המעבר מגישה של פישינג לגישה של סטיר פישינג‪ .‬בגישה‬
‫הקודמת‪ ,‬ההאקרים ניסו לתקוף את כולם וכיום הם מנסים‬
‫לתקוף מטרות אישיות וממוקדות‪ .‬המאפיה‪ ,‬למשל‪ ,‬לוקח‬
‫האקרים ונותנת להם תקציב של עשרה מיליון דולרים כדי למצוא‬
‫פרצה בבנק ולהוציא ממנו חצי מיליארד דולרים‪ .‬הסיכון גבוה‬
‫יותר‪ ,‬אבל הסבירות להתרחשותו קטנה‪ .‬לעומת זאת‪ ,‬הסבירות‬
‫של האיום הקלאסי מאוד גבוהה‪ ,‬אבל הנזק שלו נמוך יותר‪.‬‬
‫אי אפשר לייצר מערכת להתמודדות עם שניהם ביחד‪ ,‬צריך‬
‫לטפל בהם בנפרד‪ .‬יש לשים נקוד בסרגל ולקבוע כמה משקיעים‬
‫בכל אחד מסוגי האיומים‪.‬‬
‫| גיליון ‪ | 8‬פברואר‪-‬מרץ ‪2013‬‬
‫‪7‬‬
‫היום‬
‫היום‬
‫שאחרי‬
‫שאחרי‬
‫מחר‪...‬‬
‫מחר‪...‬‬
‫ארגונים רבים מתכוננים למגוון תסריטים שונים של איומים ואסונות‪,‬‬
‫ואף מתרגלים חלק גדול מהם‪ .‬מה שחסר כיום בכל העולם הזה של‬
‫ניהול המשכיות עסקית‪ ,‬היא תרגול ברמת מדינה‪ ,‬כאשר התסריט‬
‫הגרוע ביותר זה מספר אסונות בו זמנית‪ ,‬שיכולים להשבית מדינה‪.‬‬
‫מה יקרה אם יהיה הרס טוטאלי של מערכות המידע‪ ,‬הנמצאות בבנייני מוסדות‬
‫ציבור‪ ,‬פיננסים‪ ,‬בריאות ועוד‪ ,‬בהם אגור המידע האזרחי והפיננסי‪ ,‬הנוגע לכל‬
‫אחד מאיתנו? יכולת ההתאוששות חייבת להיבחן גם במונחים של זמינות‬
‫המידע ויכולת האזרח לבצע ב"יום שאחרי" פעולות פשוטות כמו משיכת כסף‬
‫מכספומט‪ ,‬זכאות לפנסיה‪ ,‬קופת גמל או חסכון‪ ,‬היסטוריה רפואית‪ ,‬בעלות על‬
‫נכסים‪ ,‬ביטוחים ושאר מיני שירותים – לרבות שירותים ציבוריים‪ :‬ממשלתיים‬
‫ו\או מוניציפאליים‪...‬‬
‫בפועל‪ ,‬מרבית הארגונים אינם ערוכים להתמודד בצורה נאותה עם מפת‬
‫האיומים הנוכחית‪ ,‬במיוחד כאשר גם הסבירות לרעש אדמה רחב היקף‪,‬‬
‫שיגרום לנזקים מסיביים עולה לאורך ציר זמן‪.‬‬
‫המסקנה‪ :‬המידע החיוני של גורמים אלו חייב לעבור גם לחו"ל‪ ,‬אך אז ישנם‬
‫אתגרים קשים נוספים‪ ,‬כגון הגנה על פרטיות המידע‪ ,‬סודיות המידע‪ ,‬כיצד‬
‫נמנע גישה של גורמים לא מורשים ועוד‪ .‬הכל בר ביצוע‪ ,‬והכל ניתן לפתור‪,‬‬
‫וזו רק שאלה של תקציב‪.‬‬
‫מפת האיומים של ימינו (מלחמה‪ ,‬אסונות טבע‪ ,‬ועוד) מאיימת לא רק על‬
‫הביטחון הפיזי שלנו אלא מהווים סכנה מוחשית גם לכסף של כולנו‪ ,‬שרובו‬
‫אינו נמצא פיזית בידי הציבור אלא במערכות המחשוב של המוסדות השונים‬
‫ובכללם בנקים‪ ,‬חברות ביטוח‪ ,‬חברות כרטיסי אשראי וכיו"ב‪ .‬הדברים נכונים‬
‫גם למערכות ציבוריות אחרות כגון‪ :‬שירותי הבריאות‪ ,‬מערכות שילטון שונות‬
‫וגם המידע המוחזק בידי חברות פרטיות‪ ,‬אשר חסרונו הפתאומי עלול להביא‬
‫אף לקריסתו הכלכלית (קיימות עשרות דוגמאות לכך)‪.‬‬
‫כל המידע הקריטי הזה‪ ,‬מרוכז בתוך מצעי האחסון אלקטרו‪-‬מגנטיים שונים‪,‬‬
‫שמטבעם רגישים וחשופים למגוון רחב של תקלות וסיכונים‪ .‬פגיעה במידע‬
‫המאוחסן בהם – עלולה להביא לקטסטרופה ולהפסדי ענק‪ ,‬ולכן אין להפריז‬
‫בחשיבות שמעניקים ארגונים שונים למאמצים הנעשים במטרה להגן על‬
‫המידע הזה ועל המערכות המחזיקות בו‪.‬‬
‫אחד האמצעים הנפוצים להגנה מפני אובדן המידע‪ ,‬הוא הקמת אתר משני‬
‫של "גיבוי והתאוששות"‪ ,‬בו משוכפל המידע הנמצא במערכות המידע של‬
‫הארגון‪ ,‬לשימוש במקרה של פגיעה או תקלה במערכות הראשיות‪ .‬הפתרון‬
‫של גיבוי באמצעות קלטות הוכח ללא אמין ולא ישים כשמדובר בשחזור אתר‬
‫שלם עם עשרות שרתים‪ .‬בראייה מערכתית גיבוי קלטות אינו יכול להבטיח‬
‫שהמידע אכן שלם‪ ,‬נכון‪ ,‬אמין וזמין בכל עת‪.‬‬
‫מיתר האיומים בארץ (ביטחוניים ואסונות טבע‪-‬בעיקר רעידת אדמה)‪ ,‬מציבים‬
‫בפני המוסדות הפיננסיים‪ ,‬הבריאותיים והציבוריים בארץ סוג של איום "חדש"‬
‫המאלץ אותם לחשיבה מחודשת בנושא‪ .‬עד היום המודלים של פתרונות‬
‫ההתאוששות נשענו על הנחות אסון מקומי דוגמת‪ :‬שריפה‪ ,‬הצפה‪ ,‬תקלת‬
‫חומרה או תוכנה‪ ,‬רעידת אדמה‪ ,‬וכיו"ב‪ ,‬ולכן אתרי ההתאוששות הוקמו‪,‬‬
‫במרחקים של עד קילומטרים בודדים ממיקומו של "אתר הייצור"‪.‬‬
‫ההערכות המודיעיניות הנוכחיות‪ ,‬והאיום לנזקי רעידת אדמה אפשרית‬
‫"טורפים את הקלפים" לפתרונות הקיימים‪ ,‬שכן פגיעה באתר הייצור וגם‬
‫באתר הגיבוי – במקביל‪ ,‬עשויה להימצא בטווח ההסתברות הריאלית‪.‬‬
‫אל מול האיומים שצוינו לעיל‪ ,‬נדרש פתרון אחר‪ .‬תצורת הפתרון המסתמנת‬
‫כעונה לאיומים אלה היא העתקה של אתרי ההתאוששות והגיבוי בישראל‬
‫למקום מאובטח בחו"ל‪ .‬כבר היום ישנם מספר ארגונים שהעבירו את אתרי‬
‫הגיבוי שלהם אל מחוץ לגבולות המדינה‪ ,‬אך רובם טרם עשו זאת‪ .‬ראוי‬
‫שהנהלות הארגונית המחזיקים במידע קריטי לציבור או להמשך קיומם‬
‫כ"עסק חי" יבחנו מחדש את הנחות היסוד הקשורות לאבטחת המידע‪.‬‬
‫יהיה זה חוסר אחריות מצידם להשאיר את המצב כפי שהוא היום‪ .‬המידע‬
‫החיוני הנדרש לניהול חיינו בארץ‪ ,‬נמצא בתוך המערכות הללו וביום האסון‪,‬‬
‫הדירקטוריון והנהלת הארגונים יצטרכו לתת את התשובות‪.‬‬
‫‪8‬‬
‫גיליון ‪ | 8‬פברואר‪-‬מרץ ‪| 2013‬‬
‫| גיליון ‪ | 8‬פברואר‪-‬מרץ ‪2013‬‬
‫‪9‬‬
‫המשכיות עסקית‬
‫צורך תפעולי‬
‫האם הכנתם את רשתות התקשורת שלכם למקרה של אסון? במקרה של אסון‪,‬‬
‫הארגונים צריכים להתכונן עם מערכות תקשורת חלופיות כדי להגיב לאירועים‪,‬‬
‫ולא להסתמך על רשתות ציבוריות‪.‬‬
‫מה תעשו אם יתרחש אסון ואין לכם אמצעי‬
‫תקשורת כלשהו עם העולם החיצון? בהנחה‬
‫שהחברה שלכם נדרשת לתת מענה ללקוחותיה‬
‫או לשירותי חירום במקרה של אסון‪ ,‬כדאי‬
‫שתתכננו‪.‬‬
‫בעת משבר שמשבית את קווי התקשורת בחברה‪,‬‬
‫הטלפונים הסלולריים הם הכלי הנפוץ ביותר‬
‫לתקשורת עם העולם החיצון‪ .‬אבל מה יקרה אם‬
‫גם ספק הסלולר שלכם קרס (ראו מקרה של‬
‫חברת פלאפון לפני כחודש ימים)‪.‬‬
‫מקצועני ניהול סיכונים צריכים לשקול את‬
‫התוצאות של שירות זה ולסקור את התוכניות‬
‫שלהם להבטיח את התקנת אמצעי התקשורת‬
‫הנכונים‪ ,‬לרבות חלופה לשירותי הטלקום‬
‫והסלולר‪ ,‬מוקדם ככל האפשר‪.‬‬
‫המפתח לתכנון משבר תקשורת הוא לחשוב‬
‫על טווח רחב של אפשרויות‪ .‬בהגדרה‪ ,‬משבר‬
‫הוא אירוע בלתי צפוי בעל סיכון ניכר להשלכות‬
‫שליליות‪ ,‬דבר שהופך את ההתכוננות למשבר‬
‫למשימה מורכבת‪ .‬העובדה שהמשברים הם‬
‫אירועים נדירים משמעותה גם‪ ,‬כי העסקים‬
‫נדרשים להשקיע בתוכניות זהירות שאינן תמיד‬
‫ברורות‪ .‬התוצאות‪ ,‬שלא כמו בהיבטים אחרים‬
‫של אבטחה וניהול סיכונים – תחום המשכיות‬
‫התקשורת לרוב נשכח עד שמתרחש אירוע‬
‫המעלה אותו לראש סדר העדיפויות‪.‬‬
‫בעקבות מחקרים רבים שנעשו בעבר‪ ,‬עולים‬
‫ממצאים מדאיגים‪ ,‬במיוחד שמרבית הממצאים‬
‫די חוזרים על עצמם‪ ,‬דבר המעיד על חוסר תהליך‬
‫תקין של הפקת לקחים‪ ,‬ולימוד מהאסונות של‬
‫האחרים‪ .‬לרוב‪ ,‬תקשורת עם בכירים ותקשורת‬
‫לאחר מעשה – לא בתכנון‪ .‬רק מעט מהארגונים‬
‫בעלי תוכנית שכוללת תקשורת שלאחר המשבר‬
‫או תקשורת עם שירותי העזרה הראשונה‬
‫והמשטרה‪.‬‬
‫בעוד כמה מהמרכיבים הפחות נפוצים אינם‬
‫רלוונטיים למרבית המשברים‪ ,‬הם צריכים לפחות‬
‫להיות נידונים במהלך התכנון ולתת להם מענה‬
‫בתוכניות עצמן אם הדבר נדרש‪.‬‬
‫ארגונים צריכים ליצור קשר עם אנשי העזרה‬
‫הראשונה והשוטרים מיד כאשר נוצר אירוע‬
‫המהווה סיכון לעובדים או לכל אחד אחר‪ .‬הצורך‬
‫‪10‬‬
‫גיליון ‪ | 8‬פברואר‪-‬מרץ ‪| 2013‬‬
‫ליצור קשר עם נבחרים תלוי בטבע האירוע והענף‪.‬‬
‫בחברות תעופה‪ ,‬למשל‪ ,‬יהיה צורך ליצור קשר עם‬
‫שלטונות הבטיחות בתעופה במקרה של תאונה‬
‫אווירית‪.‬‬
‫עולם הסלולר‬
‫הטלפונים הסלולריים הפכו להיות שיטת‬
‫התקשורת המועדפת כאסטרטגיה למקרי‬
‫חירום‪ .‬חברות מסתמכות על אמצעי תקשורת‬
‫רבים בעת משבר‪ ,‬אך טלפונים סלולריים‪ ,‬דוא"ל‬
‫וטלפונים נייחים הם הגורמים העיקריים שבהם‬
‫נעשה שימוש‪.‬‬
‫מומחים ממליצים לארגונים לשקול שימוש‬
‫במערכות קשר דו כיווניות ובתקשורת לוויינים‬
‫במקרה של אובדן תקשורת‪ .‬אי אפשר להסתמך‬
‫גם על רק על ספקי הסלולר‪ ,‬מכיוון שתמיד יהיו‬
‫תסריטים (כדוגמת ההוריקן קתרינה) שבהם‬
‫מגדלי סלולר קרסו‪.‬‬
‫תוכנית להמשכיות עסקית (‪)BCP‬‬
‫תכנון וגיבוש תוכנית להמשכיות עסקית (‪ )BCP‬הינה מתודולוגיה בין‪-‬תחומית‬
‫של חונכות המשמשת ליצירת ונתינת תוקף לתוכנית לוגיסטית מנוסה לגבי‬
‫הדרך בה ארגון יתאושש וישחזר‪ ,‬חלקית או באופן מלא‪ ,‬בתוך זמן מוגדר‬
‫מראש פעולות קריטיות שהופסקו לאחר אסון או הפרעה ממושכת‪ .‬התוכנית‬
‫הלוגיסטית נקראת תוכנית המשכיות עסקית (‪.)BCP‬‬
‫במילים פשוטות‪ ,‬ה‪BCP-‬‬
‫היא הדרך בה הארגון מתכונן לאירועים עתידיים‬
‫העלולים לסכם את המשימה העיקרית של הארגון וחוסנו לאורך זמן‪.‬‬
‫אירועים אלו יכולים לכלול אירועים מקומיים כגון שריפה בבניין‪ ,‬אירועים‬
‫אזוריים כגון רעידת אדמה‪ ,‬או אירועים לאומיים כגון מגפות‪.‬‬
‫ה‪ BCP-‬יכולה להיות חלק ממאמץ למידה ארגוני המסייע להפחית סיכון‬
‫תפעולי הקשור לבקרת ניהול רפויה‪ .‬ניתן לשלב מהלך זה עם שיפור‬
‫אבטחת המידע וניהול סיכון של מוניטין החברה‬
‫(לקוחות הם גם משתמשי מערכת מידע בארגון)‬
‫אותן הארגון מבקש לשמר עבור כל תהליך‬
‫כנגזרת מהשלכות עסקיות ו\או כלכליות יחסיות‬
‫לכל תהליך‪.‬‬
‫כמו כל פוליסה‪ ,‬מטרת התוכנית להגדיר את‬
‫התמהיל הכלכלי הנכון בין החשיפה של הארגון‬
‫לסיכון במונחים עסקיים או כלכליים‪ ,‬לבין גובה‬
‫עלות תוכנית התאוששות נדרשת (יחס עלות‪-‬‬
‫תועלת) ובכך להגדיר את רמת השירות הנדרש‬
‫לכל תהליך עסקי בארגון ואופן אבטחת קיומו‪.‬‬
‫מטרת תוכנית התאוששות מאסון‬
‫(‪ )DRP‬היא לייצר תהליכי‬
‫עבודה ופעולות מוגדרות‬
‫מראש שיקטינו את‬
‫לפיכך חשוב שתהיה אפשרות של שימוש ברדיו‬
‫דו כיווני או בתקשורת לוויינים עם כמה בכירים‬
‫שתפקידם לתאם תגובה‪ ,‬אך לא ככלי לתקשורת‬
‫המונית‪.‬‬
‫פוליסת ביטוח‬
‫בשנים האחרונות הופך תחום ההמשכיות‬
‫העסקית ורציפות המידע רלבנטי וחיוני ביותר‪.‬‬
‫ארגונים רבים נערכים למקרה חירום ומכינים‬
‫תוכניות לאחסון‪ ,‬גיבוי מקומי וגיבוי באתר חיצוני‪.‬‬
‫תוכנית התאוששות מאסון‪ ,‬הינה מעין פוליסת‬
‫ביטוח חיים עבור הארגון‪ .‬הארגון חשוף לסכנות‬
‫ולאירועים‪ ,‬אשר אין באפשרותו למנוע ואין ביכולתו‬
‫לחזות את גובה וחומרת הפגיעה‪ .‬מטרתה של‬
‫תוכנית זו הינה צמצום הנזק הישיר והעקיף‪ ,‬אשר‬
‫עלול להיגרם כתוצאה מאירוע שכזה בהתנהלות‬
‫הארגון ועבודתו השוטפת‪.‬‬
‫התוכנית ההתאוששות מאסון (‪ )DRP‬בראש‬
‫ובראשונה מגדירה תרחישי אסון אפשריים כנגזר‬
‫מהמיקום הפיסי של הארגון‪ ,‬תחרות‪ ,‬שירותים‬
‫המסופקים על ידי הארגון תנאי עבודה‪ ,‬סביבת‬
‫חוות השרתים בארגון ועוד‪ .‬כחלק מהניתוח‬
‫ההסתברות להתרחשות האירוע כפרמטר‬
‫בסקר סיכונים‪ .‬לאחר מכן מנותחים התהליכים‬
‫העסקיים בארגון ומוגדרות דרישות עמידה של‬
‫מחויבות הארגון לאספקת רמת שרות ללקוחות‬
‫הצורך בקבלת‬
‫החלטות במהלך תהליך‬
‫ההתאוששות‪ .‬תוכנית זו הינה‬
‫מרכיב חיוני בכל תוכנית להמשכיות‬
‫עסקית‪.‬‬
‫צוות חירום צריך ללוות ולסייע לארגון בהובלת‬
‫תהליך מובנה להכנת תוכנית התאוששות מאסון‪,‬‬
‫שתכלול נושאים כגון‪:‬‬
‫ •תכנון ארכיטקטורת אחסון וניהול אחסון‬
‫משולב‬
‫ •ניהול תוכנות ומערכי גיבוי מתקדמים‬
‫ •קביעת מדיניות הארגון למניעת אסון מידע‬
‫ •בקרה על מימוש מדיניות גיבוי המידע בארגון‬
‫ •תכנון מערכי המשכיות עסקית והתאוששות‬
‫מאסון‬
‫| גיליון ‪ | 8‬פברואר‪-‬מרץ ‪2013‬‬
‫‪11‬‬
‫האיגוד העולמי לאבטחת מידע‬
‫(‪– )ISSA‬הצ'אפטר הישראלי‬
‫קורס ‪CISO‬‬
‫האיגוד הינו גוף מלכ"ר (ללא מטרות רווח) כאשר מטרתו‬
‫העיקרית היא קידום נושא אבטחת המידע בישראל‪ ,‬בכל ההיבטים‪.‬‬
‫אודות גיליון ‪Global Security‬‬
‫למה כדאי לחפש מידע במגזין שלנו‬
‫ולא למשל ב‪ Google-‬או כל עיתון אחר?‬
‫חברי האיגוד נהנים מהטבות ייחודיות במהלך כל השנה‪ ,‬כגון הרצאות‬
‫מקצועיות‪ ,‬ימי עיון‪ ,‬חומרים מקצועיים‪ ,‬ועוד‪ .‬כיום‪ ,‬חברים באיגוד כמה מאות‬
‫מקצועני אבטחת מידע‪ ,‬ואנו שואפים לגייס את כלל קהילת ה‪ IT-‬בישראל‪.‬‬
‫בנוסף‪ ,‬חברי האיגוד נהנים ממהדורה ייחודית ובלעדית של ‪–Global Security‬‬
‫המגזין המוביל בישראל בתחום אבטחת המידע‪.‬‬
‫‪e‬‬
‫‪S e c‬‬
‫‪u r i‬‬
‫‪t y‬‬
‫‪M a g‬‬
‫‪a z i‬‬
‫‪n e‬‬
‫‪n‬‬
‫‪i‬‬
‫‪z‬‬
‫‪I n f‬‬
‫‪o r m‬‬
‫‪a t i‬‬
‫‪o n‬‬
‫מגזין א בטחת‬
‫מגזין אב‬
‫‪a‬‬
‫‪g‬‬
‫‪a‬‬
‫‪M‬‬
‫‪y‬‬
‫‪t‬‬
‫‪i‬‬
‫‪r‬‬
‫‪u‬‬
‫‪c‬‬
‫‪e‬‬
‫‪S‬‬
‫‪n‬‬
‫‪o‬‬
‫‪i‬‬
‫‪t‬‬
‫‪a‬‬
‫‪m‬‬
‫‪r‬‬
‫‪o‬‬
‫‪f‬‬
‫‬
‫•מיקוד בתחום אבטחת המידע – המגזין‬
‫עוסק אך ורק בתחום אבטחת המידע‬
‫וניהול סיכונים‪.‬‬
‫‬
‫•יותר כתבות מקצועיות ופחות תדמיתיות‬
‫– רוב המגזינים כיום יותר תדמיתיים‪,‬‬
‫ופחות מקצועיים‪ .‬אנו שומרים על רמה‬
‫מקצועית‪ ,‬וכמות מינימאלית של כתבות‬
‫תדמית‪.‬‬
‫‪n‬‬
‫מידע וניהול‬
‫סיכונים | גיליון מס' ‪4‬‬
‫| אוגוסט ‪2012‬‬
‫| יולי ‪2012‬‬
‫גיליון מס' ‪3‬‬
‫יהול סי כונים |‬
‫‪I‬‬
‫‬
‫•השוואתיות – מאפשר השוואה פשוטה‬
‫ואובייקטיבית בין הספקים והפתרונות‪.‬‬
‫‬
‫•היקף מידע – תמונה רחבה יותר‪ ,‬ולא רק‬
‫התמקדות בנושאים ספציפיים‪.‬‬
‫‪Identity M‬‬
‫‪anagemen‬‬
‫‪t‬‬
‫‬
‫נתי של האיגוד‬
‫קור הכנס הש‬
‫סי‬
‫בעולם הסייבר‬
‫מגמות‬
‫ערכות ‪SIEM‬‬
‫מ‬
‫ערכות ‪IPS‬‬
‫מ‬
‫זהירות בוטנט‬
‫•תשלום סמלי – מדובר בעלות סמלית‪,‬‬
‫והנכם מנויים למגזין אבטחת המידע‬
‫המוביל בישראל‬
‫‬
‫•מקצועני אבטחת מידע – כל הכותבים‬
‫שלנו עוסקים בתחום אבטחת המידע‬
‫למעלה מ‪ 7-‬שנים‪ ,‬והם בכירים בתחום‪,‬‬
‫ברמה העולמית‪.‬‬
‫טחת מידע ונ‬
‫בשער‬
‫מלחמת‬
‫בשער‬
‫ניהול‬
‫זהויות‬
‫סייבר‬
‫האיום‬
‫החדש בעידן הסייבר‬
‫מתקפות ‪APT‬‬
‫הגנה על מערכות‬
‫‪SCADA‬‬
‫אחת לרבעון – מוסף מיוחד‬
‫מה הערך המוסף שלנו?‬
‫בעת בחירת ספק (מערכת\מוצר) תהליך מכרז או בקשה למידע מתחיל בפנייה שלכם‬
‫לכמה ספקים בהתאם להוצאת ‪ RFI/RFP‬מהחברה‪ .‬אנו מרכזים עבורכם את כל‬
‫המידע המקצועי המקיף ביותר‪ ,‬ובר השוואה אודות הפתרונות אבטחת המידע השונים‪,‬‬
‫באופן שזה מכסה את כל השאלות המרכזיות הנשאלות בנוגע לפתרון אפשרי‪:‬‬
‫‪ .1‬סקירה טכנולוגית רחבה אודות הפתרון‬
‫שמחפשים‬
‫‪ .2‬סקירת הפתרונות בתחום הספציפי‪.‬‬
‫‪ .3‬מי הם הספקים המובילים בתחום?‬
‫‪ .5‬פרטי החברה של היצרן‪/‬ספק‪/‬האינטרגטור‪:‬‬
‫שם‪ ,‬מספר עובדים‪ ,‬שנת הקמה‪ ,‬יתרונות‬
‫וחסרונות‪ ,‬סוגי פעילות בחברה‪ ,‬נושאים \תחומי‬
‫פעילות והתמחות‪ ,‬קישורים‪ ,‬מידע טכנולוגי‪,‬‬
‫איש קשר‪ ,‬חוסן כלכלי‪ ,‬לקוחות בארץ‪ ,‬לקוחות‬
‫בחו"ל‪ ,‬תוכניות הרחבה למוצר‪ ,‬מספר התקנות‬
‫‪12‬‬
‫גיליון ‪ | 8‬פברואר‪-‬מרץ ‪| 2013‬‬
‫תלמד • תוביל • תצליח!‬
‫בארץ‬
‫‪ .6‬מה הערך המוסף של כל ספק בתחום‬
‫הפתרון המוצע?‬
‫‪ .7‬כיצד מנהלים את הפרויקט?‬
‫‪ .8‬מהם נקודות כשל בפרויקט שמהם צריכים‬
‫להיזהר?‬
‫‪ .9‬מה צריכים לדרוש מהספקים בעת יציאה‬
‫למכרז?‬
‫הטכנולוגיה רצה קדימה‪ ,‬ההנהלות דורשות החזר‬
‫השקעה‪ ,‬הספקים מציעים לנו פתרונות ללא סוף‪,‬‬
‫והלקוחות מצפים לשירות עם אפס תקלות ושמירה‬
‫על המידע שלהם‪ .‬זוהי הסביבה שאיתה נאלץ‬
‫כל מנהל אבטחת מידע להתמודד יום יום כחלק‬
‫מהעשייה והחיפוש אחר ההצלחה בתפקיד‪ .‬הקורס‬
‫שם דגש על החידושים והאתגרים השונים בתחום‬
‫אבטחת מידע וניהול‪.‬‬
‫במסגרת הקורס נציג‬
‫את הנושאים החדשים‬
‫וההתפתחויות בתחום תוך מתן‬
‫כלים מעשיים למנהל אבטחת‬
‫המידע לניהול תקין של מערך‬
‫האבטחה בארגון‪.‬‬
‫נציג בצורה אובייקטיבית את הנושאים השונים‬
‫תוך מתן המלצה לגבי דרכי היישום וקביעת סדרי‬
‫העדיפות של הנושא (בהתאם לחומרת העניין ותהליך‬
‫ניהול סיכונים מובנה)‪ ,‬וכמובן נצייד את התלמידים‬
‫בכל הכלים‪ ,‬הן בפן הטכנולוגי והן בפן העסקי‪-‬ניהולי‪,‬‬
‫שכל מנהל אבטחת מידע צריך כדי לשרוד בתפקידו‪.‬‬
‫הקורס חושף את התלמיד למגוון רחב של נושאים‪ ,‬הן‬
‫בפן הטכנולוגי‪ ,‬והן בפן העסקי‪-‬ניהולי‪ .‬הקורס חובה‬
‫לכל מנהל אבטחת מידע הרוצה להתעדכן בצורה‬
‫שיטתית וחסרת אינטרס במגמות ובכיוונים של עולם‬
‫אבטחת המידע וניהול סיכונים‪.‬‬
‫מנחה ומרצה ראשי‬
‫דני אברמוביץ‪,‬‬
‫מנכ"ל טיטנס סקיוריטי‬
‫שיטת הלימוד‬
‫‬
‫‬
‫‬
‫•הקורס יציג תפיסות טכנולוגיות‪ ,‬עסקיות‬
‫וניהוליות ודרך יישומן בארגון‬
‫•הקורס יכלול הרצאות פרונטאליות‬
‫משולבות בהצגת וניתוח מקרים (‪Case‬‬
‫‪)Studies‬‬
‫•הקורס כולל הגשת והצגת פרויקט גמר‬
‫קהל יעד‬
‫מנהלי אבטחת מידע‪ ,‬מנהלי תחום ניהול‬
‫סיכונים‪ ,‬מנהלי ‪ ,IT‬יועצים‬
‫היקף הקורס‬
‫‪ 200‬שעות פרונטאליות‬
‫כ‪ 500-‬שעות תרגול עצמי‬
‫‪ 50‬מפגשים של ‪ 4‬שעות כל מפגש‬
‫למידע‪ ,‬ייעוץ והרשמה‬
‫ניתן לפנות לטלפון ‪077-5150340‬‬
‫דוא"ל ‪[email protected] :‬‬
‫‪www.titans2.co.il‬‬
‫|‬
‫‪www.ts2.co.il‬‬
‫|‬
‫‪www.titans2.com‬‬
‫| גיליון ‪ | 8‬פברואר‪-‬מרץ ‪2013‬‬
‫‪13‬‬
‫באיזה מתודולוגיות‬
‫לניהול המשכיות‬
‫עסקית להשתמש?‬
‫כבר החלטתם ליישם בארגון‬
‫שלכם תוכנית להמשכיות‬
‫עסקית ו\או להתאוששות‬
‫מאסון‪ .‬כעת עליכם לבחור‬
‫בדרך המתאימה‬
‫ביותר‬
‫דמיינו את השפעות של כל אחד מהתסריטים‬
‫שלהלן על העסק או על לקוחותיכם‪:‬‬
‫הבניין שבו שוכן העסק שלכם עולה באש‪,‬‬
‫משבר אנרגיה חדש‪ ,‬רעידת אדמה‪ ,‬מלחמה‬
‫כוללת‪ ,‬קריסה של כל מערכות אספקת החשמל‬
‫ותקשורת‪ ,‬הצפה או תנאי מזג אוויר קשים‪ .‬כל‬
‫המקרים לעיל עלולים להוביל לכך שאין אנו‬
‫מסוגלים לספק את צרכי לקוחותינו‪.‬‬
‫כמה זמן הם צפויים‬
‫להישאר נאמנים לנו‬
‫בתנאים שכאלה?‬
‫ארגונים עם תוכנית פעולה למקרה של אסון‬
‫ישרדו בסבירות גבוהה יותר בהשוואה לעסקים‬
‫שאין להם‪ .‬עסקים שעברו אסון קשה ספק בכלל‬
‫אם יחזרו לפעילות‪ .‬נזכיר כי על פי הסטטיסטיקה‬
‫העולמית‪ ,‬מבין החברות שספגו פגיעה אקוטית‬
‫ברשומות המידע שלהם‪ ,‬כ‪ 45%-‬לא חוזרות‬
‫לפעילות כלל‪ ,‬כ‪ 50%-‬סוגרות את פעילותן תוך‬
‫שנתיים ורק ‪ 5%‬ישרדו לאורך זמן‪.‬‬
‫כמה זה עולה לנו?‬
‫כ‪ 45%-50%-‬מהחברות מוציאות בין ‪1%-‬‬
‫‪ 8%‬מתקציבי מרכזי המידע שלהם על נושא‬
‫ה‪ .DRP-‬מספרים אלו מדאיגים במיוחד לאור‬
‫הסטטיסטיקות שלעיל‪ .‬המלחמות האחרונות‬
‫ביחד עם האסונות שפקדו עלינו לאחרונה‪ ,‬לימדו‬
‫אותנו שלא היינו ערוכים מספקי כדי להתמודד עם‬
‫ההשבתות‪ ,‬הן מבחינת תהליכי הגיבוי והן מבחינת‬
‫המשך עבודה ותפעול התקין של החברה‪.‬‬
‫ומלחמות הן רק אחד הדברים להם יש להיערך‪.‬‬
‫מזג אוויר קיצוני ואסונות טבע קשים צפויים‬
‫בעתיד הלא רחוק‪ .‬בנסיבות מסוימות הם עלולים‬
‫להשפיע על מהלך התקין של חיי הארגון‪ ,‬על‬
‫עובדיו ולקוחותיו‪ .‬כמו גם על מערכות המידע שלו‪.‬‬
‫‪14‬‬
‫גיליון ‪ | 8‬פברואר‪-‬מרץ ‪| 2013‬‬
‫רוב הארגונים בארץ‬
‫מעבירים קלטת אחת‬
‫בשבוע למקום בטוח‪ ,‬אולם‬
‫על פי רוב – רק לארגונים פיננסיים‬
‫וביטחוניים יש תוכניות‪ DRP‬שיתנו מענה‬
‫רחב יותר במקרה של אסון‪.‬‬
‫מיקוד‬
‫כיצד אם כן‪ ,‬ניתן לתת יתר‬
‫בתשתיות‬
‫מענה לצורך?‬
‫תוכנית רציפות עסקית (‪Business‬‬
‫•‬
‫‪ – )Continuity Planning‬שתתמקד בצרכים של‬
‫עסק על מנת שהוא ימשיך לתפקד ויספק את‬
‫צרכיי לקוחותיו במקרה של אסון‪.‬‬
‫•‬
‫תוכנית התאוששות מאסון (‪Disaster‬‬
‫‪ – )Recovery Planning‬שתעסוק בעיקר בשיקום‬
‫והחזרה לפעולה של פונקציות מחשוביות בעסק‪.‬‬
‫למעשה תוכנית‪ DRP‬מוכלת בתוך תוכנית ‪.BCP‬‬
‫ •תקינה– ניתן לפנות לארגוני תקינה ולרכוש‬
‫מהם סטנדרט תקינה‪ ,‬לדוגמה‪ ,‬התקן העולמי‬
‫המוביל כיום הינו התקן ‪( ISO 22301‬שבגרסתו‬
‫הקודמת היה ידועה כתקן הבריטי ‪.)BS25999‬‬
‫ניכר כי תקן זה תופס תנופה‪ ,‬ויש לו כבר‬
‫אזכורים רבים באתרים שונים באינטרנט‪ .‬יש‬
‫לקחת בחשבון שגם במקרים בהם עובדים‬
‫לפי תקינה יש צורך לבצע התאמות ספציפיות‬
‫לכל ארגון‪ ,‬בהתאם לדרישת העסקיות של‬
‫החברה‪.‬‬
‫ •ייעוץ– ניתן לפנות לחברות שמתמחות‬
‫בתחום ומציעות מגוון פתרונות‪ .‬יש לשיטה‬
‫זו יתרונות רבים‪ .‬כך נהנים מידע ומניסיון של‬
‫חברה חיצונית‪.‬‬
‫ •רתימת הביטוח – מגמה נוספת היא‬
‫העניין הגובר שמגלות חברות הביטוח‬
‫בנושא‪ .‬האחרונות מעודדות חברות להיכנס‬
‫לפרויקטים של המשכיות עסקית והתאוששות‬
‫מאסון‪ .‬האינטרסים שלהם מאוד ברורים‬
‫בעיקר לאור התחזיות השחורות‬
‫להישנות אסונות טבע‪.‬‬
‫רוב הארגונים בישראל לא מבינים שיש להרחיב‬
‫את תוכנית ה‪ DRP-‬שמתמקדת במשאבי מחשוב‬
‫לתוכניות רציפות עסקית שאמורה לתת מענה‬
‫לעסק כולו‪.‬‬
‫באופן כללי הסטנדרטים נחלקים לשני סוגים‪:‬‬
‫לפיתוח תוכניות להמשכיות עסקית ו\או‬
‫להתאוששות מאסון יש מגוון פתרונות‪:‬‬
‫ •תוכנה– יש חברות שמצעיות חבילות תוכנה‬
‫שמסייעות בפיתוח תוכניות להמשכיות‬
‫עסקית והתאוששות מאסון‪ .‬שיטה זו עשויה‬
‫לעלות פחות מחלק מהחלופות‪ ,‬אולם יש‬
‫לנקוט משנה זהירות – ולוודא שיש הלימה בין‬
‫תכונות התוכנה ואפיון התוכנית לבין צורכי‬
‫הארגון האמיתיים‪.‬‬
‫המצב‬
‫בישראל‬
‫יש כיום מספר מתודולוגיות מתחרות וסטנדרטים‬
‫רבים‪ ,‬שמשמשים לצורך בניית תוכניות‬
‫התאוששות מאסון והמשכיות עסקית‪ .‬נכון להיום‬
‫יש סטנדרט מוביל שניתן להצביע עליו כאל‬
‫הפתרון הטוב ביותר‪ ,‬וזהו התקן ‪.ISO 22301‬‬
‫קשת הפתרונות‬
‫בתוכניות המתוארות לעיל המיקוד‬
‫הוא בדרך כלל סביב התשתיות ופחות סביב‬
‫הגורם האנושי‪ .‬במקרה של אסון מגדלי התאומים‬
‫בניו‪-‬יורק כל מערכות המחשב החילופיות נכנסו‬
‫לפעולה ועבדו באופן תקין‪ .‬היו כמובן גם תקלות‪.‬‬
‫אף אחד לא חזה שמערכת הטלפוניה הסלולרית‬
‫תקרוס – בגלל עומד (תופעה שאנו מכירים היטב‬
‫בישראל לאחר פיגוע קשה)‪ .‬הפועל היוצא היה‬
‫שארגונים‪ ,‬שהסתמכו על תשתית זו להעברת‬
‫מידע‪ ,‬לא הצליחו להפעיל באופן מלא תוכניות‬
‫רציפות עסקית שתוכננו‪ .‬כמו כן‪ ,‬לא נלקח בחשבון‬
‫הגורם האנושי‪ .‬היו הרוגים‪ ,‬פצועים והרבה פגועי‬
‫נפש‪ ,‬שלא יכלו לחזור לעבודה ולשגרה ללא‬
‫טיפול פסיכולוגי‪ .‬אנו לומדים שלבני אדם בארגון‬
‫לא תמיד ניתן להקים ‪.Mirror Site‬‬
‫עקרונות מומלצים‬
‫לתכנון פרויקט ‪DR‬‬
‫ •מודעות– ארגון בראש ובראשונה צריך להיות‬
‫מודע לצורך‪.‬‬
‫ •תהליכים עסקיים– צריך לנסח מסמך‬
‫שמכיל את כל התהליכים העסקיים בארגון‪.‬‬
‫יש לארגן פעילויות אלה לפי חשיבותן‬
‫ולהזכיר לגבי כל פעילות את התלותיות שלה‪:‬‬
‫במערכות‪ ,‬אנשים‪ ,‬תקשורת ומידע‪.‬‬
‫ •הכנת הצעה להנהלה–תוכנית פשוטה‬
‫שמנוסחת בצורה ברורה בה כל אחד יודע‬
‫בדיוק מה תפקידו‪ .‬כמו כן חשוב שהמסמך‬
‫יהיה מגובה בסיבות אמיתיות‪ ,‬שמתארות את‬
‫צרכיי הארגון‪ .‬דוגמא‪ :‬תיאור הצורך באתר‬
‫מחשוב חלופי חם מכיוון שכל הפעילויות‬
‫בארגון תלויות במחשוב‪.‬‬
‫ •זיהוי האיומים– חלק עיקרי מתכנון פרויקט‬
‫‪ DRP‬טמון ביכולת לזהות איומים‪ ,‬שעלולים‬
‫להתפתח למצבי אסון או חירום‪ .‬לגבי כל‬
‫מקרה צריך לבדוק את מידת השפעתו‬
‫על הפעילות העסקית השוטפת – היכולת‬
‫לספק מוצרים או שירותים ללקוחות החברה‪.‬‬
‫להלן מספר דוגמאות של איומים בחלוקה לפי‬
‫קטגוריות‪:‬‬
‫‪ ‬אסון סביבתי‪ :‬רעידת אדמה‪ ,‬הצפה‪ ,‬אש‬
‫‬
‫ועוד‪.‬‬
‫‪ ‬אסון מתוכנן או מכוון‪ :‬פעילות טרור‪,‬‬
‫‬
‫גניבה‪ ,‬שריפה‪ ,‬ועוד‪.‬‬
‫‪ ‬תקלות אספקת אנרגיה ותשתיות‪:‬‬
‫‬
‫הפסקות חשמל‪ ,‬מים‪ ,‬גז וכו'‪.‬‬
‫‪ ‬תקלות בציוד‪ :‬מיזוג אוויר‪ ,‬קו ייצור‪,‬‬
‫‬
‫מחשבים‬
‫‪ ‬תקלות בתוכנה‪ :‬באגים‪ ,‬מתקפות וכו'‪.‬‬
‫‬
‫‪ ‬פגיעה במידע של הארגון‪:‬‬
‫‬
‫מחיקה‪ ,‬חשיפה‬
‫ •יידוע– צריך ליידע ולהדריך כל עובד את‬
‫המצופה ממנו במקרה של אסון‪.‬‬
‫ •בדיקות והתאמות לשינויים בארגון–‬
‫בדיקות תכופות של תוכנית זו והתאמתה‬
‫לתנאים שמשתנים בארגון‪.‬‬
‫סיכום‬
‫ארגונים קטנים כגדולים נוטים להיות מאוד‬
‫דינמיים‪ .‬כל העת צריך להתאים את תוכניות‬
‫המשכיות עסקית והתאוששות מאסון לצרכים‬
‫הארגוניים המשתנים‪.‬‬
‫מעבר לבדיקה השוטפת וההתאמה למציאות‬
‫המשתנה‪ ,‬חשוב למצות את בחינת תוכניות אלה‬
‫עד תום‪.‬‬
‫ארגונים לא מעטים מריצים סימולציות חלקיות‬
‫בלבד – בין אם בגלל העלות הכרוכה בסימולציה‬
‫נרחבת‪ ,‬מפאת חוסר זמן או מחסור בכוח‬
‫אדם‪ .‬חברות אלה משלמות על כך בזמן האסון‬
‫מתרחש‪ .‬בעבר בחרו חברות רבות לבנות תוכניות‬
‫להמשכיות עסקית והתאוששות מאסון עם ידע‬
‫וכוח אדם שמושתת על מיקור חוץ‪ .‬כאמור‪ ,‬היום‬
‫יש מגמה הפוכה של חזרה להסתמכות על‬
‫גורמים פנים ארגוניים‪.‬‬
‫באשר לבניית תוכנית רצוי להיצמד לסטנדרט‬
‫וחברת ייעוץ‪ .‬כך ניתן להנות משני העולמות‬
‫מתוכנית מסגרת ומידע מצטבר וניסיון בפרויקטים‬
‫רבים‪.‬‬
‫ככל שהארגון גדול יותר ותלוי יותר במערכות‬
‫המחשוב לצורך פעילות שוטפת‪ ,‬הוא צריך‬
‫להשקיע יותר כסף ולבנות תוכניות תגובה‬
‫מורכבות יותר‪ .‬בעניין זה יש לארגונים קטנים יתרון‬
‫יחסי‪ .‬הם צריכים לדאוג בעיקר לביצוע גיבויים‬
‫באופן תדיר ולהעברתם למקום מבטחים‪.‬‬
‫גם במקרה של אסון בו כל התשתיות נפגעות‪,‬‬
‫אפשר להשיב את העסק לתפקוד מלא תוך זמן‬
‫קצר באמצעות אחזור הגיבויים על ציוד חדש‬
‫שירכוש העסק‪.‬‬
‫תהליך זה פשוט יחסית‪ .‬גם הנזק‬
‫הכספי הישיר יהיה נמוך‪ ,‬אם‬
‫החברה דואגת לבטח את עצמה‬
‫בחברת ביטוח ראויה‪.‬‬
‫| גיליון ‪ | 8‬פברואר‪-‬מרץ ‪2013‬‬
‫‪15‬‬
‫השוק‬
‫השחור‬
‫החמות‬
‫המגמות‬
‫בתחום אבטחת המידע‬
‫האקטיביסטים‬
‫צרכנות ‪IT‬‬
‫ההאקטיביסטים (כינוי המשלב האקרים‬
‫ואקטיביסטים חברתיים) הם בפירוש אחד‬
‫האיומים המרכזיים על הארגונים בעידן הסייבר‬
‫של היום‪ .‬יש להם מוטיבציה גבוהה‪ ,‬הם מאורגנים‬
‫וממומנים היטב וחלק ניכר מניסיונות הפריצה‬
‫לארגונים בעולם נעשה על ידיהם‪.‬‬
‫מגנה נוספת הינה צרכנות ה‪ ,IT-‬בעולם ה‪BYOD‬‬
‫ביג דאטה‬
‫במציאות העסקית‪-‬טכנולוגית הנוכחית‪ ,‬כל‬
‫פיסת מידע רגיש בארגון מעתק בממוצע ‪20-‬‬
‫‪ 3‬פעמים ומשולבת במסמכים או במערכות ‪IT‬‬‫שונות‪ .‬כתוצאה מכך‪ ,‬חברות רבות אינן יודעות‬
‫היכן בעצם נמצא המידע הרגיש שלהם‪ .‬כיצד‬
‫ניתן להבטיח את בטחון הנתונים כאשר אנחנו‬
‫לא יודעים כלל היכן הם נמצאים‪ ,‬בפורמט מובנה‬
‫או בלתי מובנה? הצורך לענות על השאלה הזו‬
‫ממחיש היטב את היקף האתגר היום‪-‬יומי עימו‬
‫מנהלי אבטחת המידע מתמודדים כיום‪ .‬ניהול‬
‫האבטחה מתחיל מהבדלי התפיסות בין אנשי‬
‫מקצוע בתחום ובין מנהלים בעסקים בכלל‪ .‬אנשי‬
‫מקצוע בתחום אבטחת המידע מגדירים אבטחה‬
‫באמצעות ניסיון לקבוע אינו מתוך ‪ 50‬אלף נקודות‬
‫התורפה המתועדות והמוכרות כיום אכן מאיימת‬
‫עליהם‪ .‬כאשר מדברים עם מנהלים בצד העסקי‬
‫של הארגון על הבעיה הזאת‪ ,‬הם מתייחסים לכך‬
‫מנקודת מבט של שלוש שאלות בלבד‪ :‬מי נכנס‬
‫למערכות? מה הוא יכול לעשות שם? והאם ניתן‬
‫להוכיח שרק האנשים הנכונים נכנסים ועושים את‬
‫מה שמותר להם לעשות?‬
‫התפוצצות כמויות המידע בעידן הביג דאטה (‪Big‬‬
‫‪ )Data‬שכולל גם מידע עסקי רגיש ימשיך להעסיק‬
‫את מנהלי אבטחת המידע גם בשנים הבאות‪.‬‬
‫זה המקום לשאול מה אנחנו עושים עם המידע‬
‫העצום שיש לנו‪ .‬שורת סקרים מעלים‪ ,‬כי אחוז‬
‫גבוה של חברות (‪ )80%‬חשפו לפחות במקרה‬
‫אחד מידע רגיש באופן שחייב אותנו לפרסם‬
‫הודעה לציבור אודות החשיפה הזאת‪.‬‬
‫‪16‬‬
‫גיליון ‪ | 8‬פברואר‪-‬מרץ ‪| 2013‬‬
‫‪ )(Bring Your Own Device‬וה‪BYOP (Bring Your-‬‬
‫‪ .)Own Personal Computer‬מדובר בתהליך‬
‫המתמקד בעיקר בשימוש המתרחב בטלפונים‬
‫החכמים ומכשירים ניידים בארגונים המאפשרים‬
‫לעובדים לעבוד עם מכשירים אלה מול מערכות‬
‫ה‪ IT-‬הארגוניות‪ .‬מצב זה מעלה שורה של איומי‬
‫אבטחה‪.‬‬
‫תחכום הולך וגובר של‬
‫האיומים‬
‫מגמה נוספת היא התחכום ההולך וגובר ברמת‬
‫האיומים‪ .‬מדי שנה מתגלות כ‪ 7,000-‬פרצות‬
‫אבטחה חדשות‪ .‬עד לפני שנים אחדות‪ ,‬רוב‬
‫הפרצות האלה היו ברמת התשתיות‪ ,‬אולם לפני‬
‫כשנתיים עבר מרכז הכובד לרמת היישומים‪,‬‬
‫המרכז עתה ‪ 53%‬מהפרצות – שלושה רבעים‬
‫מהן ללא טלאי אבטחה‪ .‬ככל שעסקים מרחיבים‬
‫את פעילותם ברשת‪ ,‬מספר ההתקפות גדל‪ .‬כל‬
‫הצלחה של התקפה בודדת היא פגיעה אמיתית‬
‫בעסק‪.‬‬
‫חדשנות בלי סוף‬
‫מגמה נוספת‪ ,‬היא שכל הבעיות נמצאות כיום בכל‬
‫מקום‪ :‬ארגונים ממשיכים לעבור לפלטפורמות‬
‫חדשות‪ ,‬לרבות מחשוב ענן‪ ,‬וירטואליזציה‪ ,‬מעבר‬
‫לעולם הנייד ורשתות חברתיות‪ .‬כל אלה יוצרים‬
‫בעיות חדשות שעימן מנהל אבטחת המידע‬
‫בארגון צריך להתמודד מדי יום‪.‬‬
‫של עידן‬
‫הסייבר‬
‫הפשע בעולם הקיברנטי מגלגל מיליארדי דולרים‬
‫לשנה‪ .‬לא מדובר בהאקרים בודדים בתעשייה‬
‫ממוסדת‪ ,‬ממש כמו ארגון פורמלי – עם היררכיה‪,‬‬
‫בעלי מומחיות‪ ,‬בעלי תפקידים וכדומה‪ .‬בשוק השחור‬
‫של הסייבר נוצרו "איים" אשר מתפקדים כמו חנות‪,‬‬
‫עם שלל מוצרים‪ ,‬פרטי כרטיסי אשראי‪ ,‬חשבונות‬
‫בנק גנובים וזהויות‪ ,‬פרצות חדשות (‪)zero-day‬‬
‫במחירים שנעים בין דולרים בודדים למאות אלפי‬
‫דולרים‪ .‬מדובר בתחום עסקי לכל דבר ועניין‪ ,‬עם‬
‫מפיצי מידע‪ ,‬מחירונים‪ ,‬כאלה העוסקים בהלבנת‬
‫הסחורה הגנובה‪ .‬אף שזו פעילות לא חוקית‪ ,‬קל‬
‫להגיע אליה‪ .‬נוצרו גורמים בתוך תעשיית הפשע‬
‫הקיברנטי‪ ,‬היודעים לספק שירותים כמו חנות‬
‫לרכישת תוכנות זדוניות או שרתים לתפעול פריצה‪.‬‬
‫זו תעשייה מאוד מתקדמת שמתחילה לצבור‬
‫תאוצה‪.‬‬
‫שתי הפעילויות הכי גדולות כיום בשוק השחור של‬
‫עולם הסייבר הן משלוח דואר זבל והונאות מקוונות‬
‫של בנקים‪ .‬שם הכסף הגדול הרווח‪ .‬שתי פעילויות‬
‫נוספות‪ ,‬שמימדיהן נמוכים יחסית אך צפויים לגדול‪,‬‬
‫הן ה‪ exploits-‬וריגול עסקי‪ ,‬משמע – גניבת קניין‬
‫רוחני‪ .‬החזר ההשקעה של שתי פעילויות אלה גבוה‪,‬‬
‫כי מדובר בהשקעה נמוכה יחסית עם רווחים גבוהים‪.‬‬
‫בעולם ה"ישן" ניתן היה לקנות ‪ zero-days‬באיי‪-‬ביי‬
‫(‪ .)eBay‬בהמשך החלו לקום פורומים ובשנתיים‬
‫האחרונות קמו חברות שעובדיהם הם האקרים‬
‫וחוקרי פגיעויות לשעבר שהחלו למכור ‪zero-day‬‬
‫‪ exploits‬מתוך הבנה שבמקום תהילה‪ ,‬הם יכולים‬
‫למכור גילויי פרצות ו‪ exploits-‬ולהרוויח הרבה מאוד‬
‫כסף‪ .‬לטענת אותן חברות‪ ,‬הן מוכרות אותם בעיקר‬
‫למדינות מערביות‪ ,‬אבל אין לדעת אילו עוד קונים יש‬
‫להן כיום ואילו קונים יהיו להן בעתיד‪.‬‬
‫המצב החדש מצריך אותנו לשנות את הנחות היסוד‬
‫שלנו‪ .‬עלינו להבין שהחומות שהקמנו מסביבנו‬
‫חדירות‪ .‬כדי לאתר התקפות‪ ,‬תפיסת העובדה שלנו‬
‫צריכה להיות שהחומות כבר נפרצו‪ .‬עלינו לחשוב‬
‫שהכל יכול להיפרץ ועלינו להתמודד עם הנחת יסוד‬
‫לפיה מערך ה‪ IT-‬נפרץ ועלינו להתגונן‪ .‬יש להכיר‬
‫את הפרצות הפוטנציאליות‪ ,‬למפות אותן ולממש‬
‫מנגנוני ניטור‪.‬‬
‫| גיליון ‪ | 8‬פברואר‪-‬מרץ ‪2013‬‬
‫‪17‬‬
‫מודל הגנה‬
‫רב שכבתי‬
‫פתרון יעיל למלחמה בסייבר‬
‫לאחרונה שומעים כל העת על‬
‫מתקפות סייבר‪ ,‬גניבת מידע‬
‫וזהות‪ ,‬ופגיעה עסקית ותפעולית‬
‫בארגונים‪ .‬כיום נדרשת התייחסות‬
‫חדשה ושונה לטווח האיום‬
‫ולאמצעי ההגנה‪ ,‬היוצרת התאמה‬
‫בין רמת האיום ולחשיבות הנכס‬
‫עליו שומרים‪.‬‬
‫האתגר האמיתי שעמד מאז ומתמיד בפני מנהלי‬
‫מערכות המידע ומנהלי אבטחת המידע היה ועודנו‬
‫ההגנה הארגונית על משאבי המידע ונכסי המידע‪.‬‬
‫על מנת להתמודד עם יתר איומי הסייבר החדשים‪,‬‬
‫יש צורך לאמץ גישה שונה‪ ,‬של מודל הגנה רב‬
‫שכבתי (‪ )MLP = Multi Layer Protection‬הנותן‬
‫מענה לשדרוג מערכות האבטחה המסורתיות‬
‫ומתאים אותם לאיום המודרני בעידן הסייבר של‬
‫היום‪.‬‬
‫תפיסה זו מספקת מענה טכנולוגי‪ ,‬תפיסתי וארגוני‬
‫לדילמה שנוצרת כתוצאה מהפער בין הצורך‬
‫העסקי לחשוף את המידע לצורך בהסתרה‬
‫ושמירה על סודות מסחריים ועסקיים ומידע רגיש‬
‫של לקוחות ועובדים‪.‬‬
‫עקרונות מודל‬
‫הגנה רב שכבתי‬
‫הגנה רב שכתבית מקנה לארגון את היכולת‬
‫להתמודד ישירות על שמירה על הנכסים‬
‫‪18‬‬
‫גיליון ‪ | 8‬פברואר‪-‬מרץ ‪| 2013‬‬
‫הארגוניים‪ ,‬על הידע והשירות‪ ,‬תוך יישום פתרונות‬
‫טכנולוגיים נאותים לכל אחת משכבות ההתנהלות‬
‫והתפעול במערכות השונות בארגון‪ .‬על פי‬
‫התפיסה הרב שכבתית‪ ,‬רכיבי ההגנה נפרסים‬
‫על גבי מודל בן ‪ 7‬שכבות הגנה כך שלמעשה‬
‫נוצר מיתאם בן שכבות התקשורת‪ ,‬רמת האיום‬
‫הנובע ממנה ואמצעי ההגנה הרלוונטי‪ .‬ומצד שני‬
‫מתאפשרת ההגנה הייעודית מותאמת לנכס‬
‫המוגן‪ ,‬סוג התעבורה והאיום עליו‪.‬‬
‫בתפיסה של מודל הגנה רב שכבתי נוצרו למעשה‬
‫שלוש שכבות מידע חדשות‪:‬‬
‫‪ –Network Perimeter‬הצורך בהפצת ידע ושירות‬
‫גרם למעשה לכך שגבול הרשת (‪)Perimeter‬‬
‫נמצא בכל מקום בו משתמש פוגש באפליקציה‪.‬‬
‫מערך ההגנה נדרש אפוא לאפשר הגנה מול‬
‫מתקפות לא מאופייניות (עדיין) על ידי משתמשים‬
‫לא מוכרים מתוך רשתות ומערכות הפעלה לא‬
‫ידועות‪ .‬לצורך כך יש ליישם מערכי הזדהות‬
‫קשיחים ורב מימדים‪ ,‬לצד איתור פעילויות לא‬
‫שכיחות (‪ )Anomaly Behavior‬המצביעות בדרך‬
‫כלל על איסוף מידע לקראת תקיפה (‪Pre-Attack‬‬
‫‪.)Protection‬‬
‫‪ –Services Layer‬בעידן הידע והמידע נראה כי‬
‫ה‪( DMZ-‬האזור המפורז ברשת) איבד את היכולת‬
‫להוות שכבת חציצה ראויה שכן‪ :‬אחידות הפתרון‬
‫מייצר מפת דרכים כללית‪ ,‬המאפשרת לתוקף ידע‬
‫קדומני ובנוסף – אין "חצי מאובטח"‪ .‬בנוסף‪ ,‬כידוע‬
‫רוב האיום על המידע (כ‪ 75%-‬עפ"י מחקרים) נובע‬
‫מתוך הרשת ונוצר על ידי המשתמש המורשה‪.‬‬
‫למעשה אין בתשתית האבטחה המסורתית‬
‫מענה נאות לאיום שכזה (רוב האבטחה מתרכזת‬
‫עדיין בשער הכניסה הארגוני ומגינה מול העולם‬
‫החיצון)‪ .‬כמענה לכך מכילה שכבה זו את כלל‬
‫הכלים הנדרשים לצורך הפצת (‪ )Publishing‬מידע‬
‫כמו‪ :‬שרתי דואר קדמיים‪ ,‬שרתי פרוקסי ומסנני‬
‫תוכן‪ .‬בתצורה זו מתבצעת הסתרה מלאה של‬
‫השירות החשוף והדרך ממנו לרשת הלגאסי‪ ,‬וכן‬
‫מתאפשר להשוות את רמת ההגנה על התוכן‬
‫מפני משתמשים חיצוניים ופנימיים‪.‬‬
‫פתרונות אבטחת המידע המסורתיים‪ ,‬מבוססי‬
‫החתימות – חשובים אך לא מספקים‪ .‬על מנת‬
‫להילחם עם הדור הבא של המתקפות נדרש‬
‫לספק משהו מעבר לפתרונות אבטחת המידע‬
‫המסורתיים‪ .‬נדרשת שכבת הגנה אל מול איומים‬
‫של ‪ zero day‬ללא חתימות‪ ,‬שכבת הגנה שיודעת‬
‫לזהות חתימות באופן יוריסטי (אנומאליות)‪.‬‬
‫התפתחות בתקיפה‪,‬‬
‫מחייבת התפתחות‬
‫ברמת ההגנה‬
‫חלה התפתחות מהותית ברשת לאורך השנים‬
‫האחרונות‪ .‬בתחילה‪ ,‬המניע של התוקפים היה‬
‫המתברברות וגאווה‪ .‬לאחר מכן הגיעו מתקפות‬
‫מצד ההאקטיביסטיים פעלים בעלי מניע חברתי‪,‬‬
‫פוליטי או אידיאולוגי‪ .‬לפני כמה שנים‪ ,‬החלו‬
‫מתקפות מקוונות‪ ,‬שהמניע שלהן הוא כלכלי‬
‫– פריצה לצורך איסוף מידע בעל ערך עסקי‬
‫ומכירתו‪.‬‬
‫להרכיב את הפאזל‬
‫כיום‪ ,‬יש שני סוגי מתקפות שבולטות‪ :‬האחד הוא‬
‫מתקפות מניעת שרות (‪ ,)DOS‬שאלו מתקפות‬
‫פשוטות יחסית‪ ,‬אך מידת הנזק שלהם גדול‬
‫יחסית‪ .‬הסוג השני הן מתקפות ‪APT (Advanced‬‬
‫‪ )Persistent Threat‬שאלו מתקפות מתקדמות‬
‫ומתמשכות‪ .‬אלה מתקפות על ארגון עסקי‬
‫שמתמקדות במטרה מוגדרת והמניע שלהן הוא‬
‫עסקי או פוליטי‪ ,‬אם הן מבוצעות על ידי ממשלה‬
‫או שלוחיה‪.‬‬
‫כדי להרכיב את כל החלקים בפאזל‪ ,‬יש צורך‬
‫במימוש מערכת לניהול אירועי אבטחת מידע‬
‫(‪ .)SIEM‬מערכת זו תתממשק לכל הרכיבים‬
‫בארגון‪ ,‬בכל שכבה ושכבה‪ ,‬ותאסוף את הלוגים‪,‬‬
‫תנתח אותם ותתריע בזמן אמת על כל חריגה‬
‫(אנומאליות) או מגמות של תקיפה‪.‬‬
‫מה שנדרש ממנהלי אבטחת המידע בארגון הוא‬
‫לעבור מגישה של אבטחה תגובתית לאבטחה‬
‫צופה פני עתיד‪ ,‬פרו‪-‬אקטיבית‪ .‬ארגונים מצאו‬
‫עצמם מלאים בטכנולוגיות אבטחה שונות‪ .‬איחוד‬
‫של פונקציות האבטחה השונות למערכת אחת‬
‫מאפשר לצמצם משמעותית את העלות שלהן‬
‫ומפשט את הצורך בניהולן המורכב‪.‬‬
‫מימוש מודל הגנה בשכבות הינו חיוני בעידן של‬
‫מתקפת סייבר‪ ,‬כאשר מרבית המתקפות כלל לא‬
‫ידועות‪ ,‬ואין להם חתימות זיהוי‪.‬‬
‫קיימים נושאים רבים שנדרש להתייחס אליהם‬
‫בתחום הסייבר לפני שרוכשים כלים‪ .‬נדרש ליישר‬
‫קו בהיבט מדיניות האבטחה ועשיית סדר במגוון‬
‫נושאים‪ ,‬שלכאורה אינם מתקשרים ישירות לעולם‬
‫הסייבר‪ ,‬אך יכולים לעשות "רעש"‪ ,‬להשרות חוסר‬
‫ודאות ואף להוות פרצת אבטחה‪ ,‬אם הם לא‬
‫מנוהלים ולא נשלטים‪.‬‬
‫| גיליון ‪ | 8‬פברואר‪-‬מרץ ‪2013‬‬
‫‪19‬‬
‫מלחמת‬
‫סייבר‬
‫עולה השאלה האם התשתיות הקריטיות‬
‫למדינה‪ ,‬כגון מערך הבריאות‪ ,‬החשמל‪,‬‬
‫הרמזורים‪ ,‬הרכבות או התעופה‪ ,‬מסוגלות‬
‫להתמודד עם שיתוק אמצעי התקשורת ו\או‬
‫הטלפוניה‪ ,‬בעקבות מתקפת סייבר מתוחכמת‬
‫וכוללת? האם ארגונים במשק הישראלי‬
‫נערכים כהלכה להתמודדות עם שיתוק שכזה?‬
‫העולם השתנה בעשרים השנים האחרונות בסדר‬
‫גודל העולה באלפי מונים על השינויים שנערכו‬
‫בו באלפי השנים האחרונות‪ .‬המידע הפך להיות‬
‫זמין יותר‪ ,‬נגיש יותר‪ ,‬מרוכז יותר ומהותי יותר‬
‫לכל ארגון‪ .‬מתקפת סייבר אלימה עלולה להוביל‬
‫לקריסה של ארגונים וחמור מכך‪ ,‬לאובדן חיי אדם‪.‬‬
‫חדירה של האקר למאגר המידע של בנק הדם‪,‬‬
‫לדוגמא‪ ,‬עלולה להוביל להרג של מאות אם לא‬
‫אלפי אזרחים שיקבלו עירוי דם מסוג שגוי‪ .‬או אם‬
‫נחשוב‪ ,‬על משהו בסדר גודל רחב יותר‪ ,‬האקר‬
‫שיפרוץ למאגרי המידע של חברות כמו אוסם‪,‬‬
‫וישנו את המרכיבים כך שיגרמו להרעלה המונית‬
‫לכלל אזרחי המדינה‪ .‬נזקים לתשתיות המידע‬
‫עלולים לנבוע גם מחדירה פיזית בלתי מורשית‬
‫לשטחי הארגון הרגישים‪ ,‬פגיעה בזדון או בשוגג‬
‫על‪-‬ידי גורמי צד ג' הנכנסים לחברה‪ ,‬הדלפה‬
‫מכוונת של מידע על‪-‬ידי עובדים ממורמרים ועד‬
‫שורה ארוכה של תרחישים‪.‬‬
‫מנהל אבטחת המידע אינו יכול עוד למקד‬
‫את פעילותו סביב סיכונים בהיבטים הלוגיים‬
‫(המחשוב והתקשורת) אלא עליו לנתח את‬
‫התרחישים בכל קשת הסיכונים‪ ,‬הפרוסים על‬
‫פני כל מעגלי האבטחה‪ .‬המורכבות בניהול מקביל‬
‫של הסיכונים והתרחישים בכל מעגלי האבטחה‪,‬‬
‫מחייבת כיום שימוש בסרגל אחיד שירכז תחתיו‬
‫את כל בקרות ההגנה‪.‬‬
‫‪20‬‬
‫גיליון ‪ | 8‬פברואר‪-‬מרץ ‪| 2013‬‬
‫באנלוגיה לכך‪ ,‬משמשים רגולציות ותקנים בתחום‬
‫אבטחת המידע‪ ,‬כסרגל זה‪.‬‬
‫ניהול סיכונים יעיל ונכון‪ ,‬מהווה כיום את הבסיס‬
‫לצמצום אמיתי של סיכוני האבטחה בארגון‪ .‬הדרך‬
‫האופטימאלית לניהול מקביל של כלל הסיכונים‪,‬‬
‫הינה באמצעות מערך ממוחשב לניהול בקרות‬
‫מרוכז‪.‬‬
‫תחום הסייבר מטופל בשתי רמות עיקריות –‬
‫הלאומית והעסקית‪ .‬בתוך המגזר העסקי‪ ,‬המגזר‬
‫הפיננסי הוא החשוף ביותר למתקפות סייבר והוא‬
‫זה שעלול להיפגע מהן באופן החמור ביותר‪.‬‬
‫מחקר שבוצע ע"י חברת ‪ ,PWC‬ציין שהפשע‬
‫הקיברנטי הולך וגובר‪ ,‬והוא השני בגודלו מבין‬
‫הפשעים הכלכליים‪ 40% .‬מהפשיעה הכלכלית‬
‫בעולם נעשית כיום באמצעות הרשת‪ .‬המחקר‬
‫אף הציג כי התעשייה הפיננסית היא המגזר‬
‫הרגיש ביותר למתקפות סייבר‪ .‬למרות זאת‪,‬‬
‫שליש מהעובדים בתעשייה הפיננסית לא עברו‬
‫הכשרה בנושא‪.‬‬
‫המסקנות העולות מהדו"ח הם שאבטחת‬
‫מידע קיברנטית צריכה להיות חלק בלתי נפרד‬
‫מהמערך העסקי וחלק בלתי נפרד מתהליך‬
‫ניהול הסיכונים בארגון‪ .‬כל ארגון‪ ,‬בכל מגזר‪,‬‬
‫ובדגש על המגזר הפיננסי‪ ,‬נדרש להכין תוכנית‬
‫בחלק מהבנקים בארץ נוסף תרחיש ייחוס לסייבר‬
‫למערך התרחישים של ההמשכיות העסקית‪ ,‬אולן‬
‫אין הכוונה מסודרת של גופי ממשל לנושא‪.‬‬
‫עלולה לפגוע ישירות בפעילות העסקית של‬
‫חברות גדולות וקטנות‪ ,‬מתחילה לחלחל מעלה‪-‬‬
‫מעלה‪ ,‬אל קומת ההנהלה‪.‬‬
‫הרגולטור האמריקאי הנפיק למנהלי אבטחת‬
‫המידע תוכנית אבטחה מפורטת ומעמיקה‪ .‬צד‬
‫זאת‪ ,‬המשרד להגנת המולדת הנחה באופן פרטני‬
‫את הגופים הפיננסיים במדינה‪ .‬בהשוואה לתקנה‬
‫‪ ,357‬אותה הנפיק המפקח על הבנקים בישראל‪,‬‬
‫התקנה בארצות הברית הרבה יותר מפורטת‬
‫ומתמודדת עם מגוון סוגיות רלוונטיות‪.‬‬
‫נדרש להחליט ברמה הלאומית על טיפול‬
‫בהיבטים העסקיים של הסייבר‪ .‬יש להאיץ הטמעה‬
‫של תוכנית הגנה בסייבר ולהביא ליצירת שקיפות‬
‫ציבורית גבוהה יותר בתחום‪ .‬קיים הצורך ליצור‬
‫שיתופי פעולה בין גורמי ממשל וביטחון לגופים‬
‫העסקיים‪ .‬שיתוף הפעולה הקיים אינו מספיק‪.‬‬
‫נדרש ליצור תשתית לשיתוף מידע בין הגופים‬
‫העסקיים והפיננסיים לתחום הסייבר‪.‬‬
‫סקר שנערך לאחרונה באוניברסיטת קרנגי‪-‬מלון‬
‫שבפנסילבניה‪ ,‬בשיתוף חברת האבטחה ‪,RSA‬‬
‫מגלה שהמודעות לסכנות הסייבר מגיעה בהחלט‬
‫גם אל קומת הדירקטוריון של החברות הציבוריות‪.‬‬
‫כך‪ ,‬מעלים הממצאים‪ ,‬כי חברי מועצות המנהלים‬
‫מתחילים להבין שקריסת מערכות מידע ומחשוב‬
‫כתוצאה ממתקפת סייבר‪ ,‬תתגלגל מהר מאוד‬
‫לפתחם‪ ,‬ותטיל עליהם את האחריות‪.‬‬
‫אחריות דירקטורים לנזקי סייבר‬
‫בארץ‪ ,‬נושא הסייבר כמעט שאינו נדון‪ .‬הנושא‬
‫מאוד טרי כאן והיה צריך להתחיל לטפל בו ברמה‬
‫המערכתית‪-‬לאומית לפני זמן‪ .‬אין אליו התייחסות‬
‫ספציפית במסגרת ההנחיות הניתנות לגופים‬
‫פיננסיים‪ .‬מה שכן יש הוא שיתוף פעולה עם רא"ם‬
‫שמנחה‪ ,‬את הגופים המוגדרים כתשתית לאומית‬
‫קריטית‪ .‬ובנוסף‪ ,‬יש שיתופי פעולה עם הרגולטור‬
‫הפיננסי‪ ,‬המפקח על הבנקים בבנק ישראל‪.‬‬
‫תהליך הגדלת המודעות בקרב דירקטורים לאיומי‬
‫הסייבר‪ ,‬למרות שעלול ליצור לחצים ודרישות‬
‫שיופנו לחדרו של מנהל אבטחת המידע‪ ,‬יסייע‬
‫לו בעקיפין‪ .‬הדו‪-‬שיח של המנמ"ר עם ההנהלה‬
‫יהיה ברור יותר‪ ,‬המנכ"ל יידע היטב כי עליו לדווח‬
‫לממונים איזה משאבים בדיוק הפקיד בידי מנהל‬
‫אבטחת המידע לביצוע המשימות – וכך האחריות‬
‫לא תהיה רכושו הבלעדי של ה‪.CISO-‬‬
‫מסתמנת מהסקר תופעה לפיה ביותר ויותר‬
‫מועצות מנהלים קיימים כיום גורמים שמתחילים‬
‫לבדוק את העניין של איומי הסייבר‪ .‬יש אפילו‬
‫ועדות מיוחדות שעוסקות בפרטיות ובסיכוני‬
‫אבטחה‪ .‬על פי הסקר‪ ,‬בשנת ‪ ,2012‬חל גידול‬
‫של ‪ 48%‬במספר החברות שמינו ועדות כאלו‪.‬‬
‫על פי סקר אחר‪ ,‬שנערך על ידי הכלכלי פורבס‬
‫(‪ ,)Forbes‬שני‪-‬שליש מאותן חברות מעסיקות‬
‫מומחי סייבר במשרה מלאה‪ .‬לעומת זאת‪,‬‬
‫בחברות עצמן עדיין אל קיימת הפרדה מוחלטת‬
‫בין תפקיד המנמ"ר או מנהל אבטחת המידע‪,‬‬
‫לתפקיד מנהל הסייבר או הפרטיות – והמשימה‬
‫מוטלת על כתפיהם של בעלי תפקידים אלו‪.‬‬
‫תגובה לאירועי סייבר‪ .‬תוכנית שכזו צריכה לענות‬
‫על דרישות הרגולציה בין היתר‪ .‬קיים חשש של‬
‫הגופים הממשלתיים מכישלון מערכתי כולל‬
‫של התשתית הפיננסית של העברת כספים‪.‬‬
‫התשתיות הללו חייבות להיות ברמות הגבוהות‬
‫ביותר של שרידות‪ ,‬אמינות וזמינות‪.‬‬
‫המפקח הנפיק בשנת ‪ 2012‬מסמך קצר שדורש‬
‫לחזק את רמת האבטחה‪ ,‬להתקין חדר מצב‪,‬‬
‫לעדכן את הנהלים‪ ,‬להגדיר נהלי דיווח ולבצע‬
‫הערכת סיכונים‪.‬‬
‫איומי הסייבר והנזקים שהם יכולים לגרום למערכו‬
‫מחשוב בסקטור האזרחי‪ ,‬חורגים מזמם מגבולות‬
‫חדרו הצר של מנהל אבטחת המידע או המנמ"ר‪.‬‬
‫העובדה ששיבוש מערכות המחשוב בארגון‬
‫גם בישראל המצב דומה‪ ,‬וגם פה קיים פער גדול‬
‫בהבנת הקשר שבין סיכוני האבטחה והסייבר‬
‫למערכות ה‪ ,IT-‬לבין הסיכון הנשקף להנהלת‬
‫החברה‪ .‬אבל גם בארץ‪ ,‬כמו בחו"ל‪ ,‬יש גם צד‬
‫אופטימי‪ :‬ככל שדירקטורים יגלו עניין רב יותר‬
‫בנושא הסייבר – ישאלו שאלות ויבקשו לדעת‬
‫כיצד הארגון נערך להתקפות מן הסוג הזה – כך‬
‫תגדל רמת האבטחה בארגון‪.‬‬
‫כל ההמלצות של מומחי אבטחה‪ ,‬מצביעות על‬
‫כך שיש צורך דחוף בהפרדה בין תפקיד מנהל‬
‫אבטחת המידע לתפקיד המנמ"ר‪ ,‬שבאופן עקיף‬
‫אחראי על הגנה מפני מתקפות סייבר‪ .‬מומלץ‬
‫לכל הדירקטוריונים להקים ועדות מקצועיות‪,‬‬
‫שתתכנסנה באופן דחוף לפגישות עם נציגים‬
‫מתחומי הביטחון ועם חטיבות הליבה המקצועיות‬
‫בארגון‪ .‬הפעילות הזו‪ ,‬תביא לרענון ולסקירת כל‬
‫נהלי האבטחה בחברה‪ ,‬בדיקתם אל מול האיומים‬
‫הקיימים וסריקה של כל הדופים שמספקים‬
‫פתרונות לארגון‪.‬‬
‫והשלב האחרון הוא כמובן כתיבת נהלים תרגול‬
‫קבוע ומסודר – פעולה שלא מתבצעת מספיק‪.‬‬
‫ברגע שהנושא יעמוד על סדר היום של מועצות‬
‫המנהלים‪ ,‬והן תדרושנה דיווחים שוטפים‪ ,‬נוכל‬
‫לראות הרבה יותר פעילות בתחום הזה‪.‬‬
‫| גיליון ‪ | 8‬פברואר‪-‬מרץ ‪2013‬‬
‫‪21‬‬
‫הכשרת מנהלי אבטחת מידע (‪)CISO‬‬
‫‪Knowledge to People‬‬
‫חברת ‪ TITANS SECURITY‬גאה להציג את המסלול המקצועי‪ ,‬האיכותי‬
‫והמקיף ביותר להכשרת מנהלי אבטחת מידע (‪ )Certified CISO‬וגם‬
‫היחידי שכולל הסמכה בינלאומית –‪ CISM‬מבית ‪ .ISACA‬מדובר בקורס‬
‫בן ‪ 200‬שעות פרונטאליות‪ ,‬ועוד כ‪ 500-‬שעות תרגול עצמאי‪ ,‬כאשר ישנה‬
‫התייחסות לכל עולמות אבטחת המידע‪.‬‬
‫בעידן טכנולוגיות המידע הצורך להגן על מערכות המחשוב של הארגון‬
‫רק הולך וגובר וישנם לקוחות פוטנציאליים רבים הדורשים שירותי‬
‫אבטחת מידע ברמה גבוהה מאוד‪ .‬הקורס נוצר כתוצאה מדרישת השוק‬
‫למנהלי אבטחת מידע המבינים ומכירים היטב את תחום אבטחת המידע‬
‫על כל שכבותיה‪ .‬בוגרי הקורס יוכלו לתת ערך מוסף אמיתי ללקוחותיהם‬
‫ו\או לארגון בהם מועסקים על‪-‬ידי מתן ייעוץ מקצועי ואיכותי כפי שנדרש‬
‫מהם‪.‬‬
‫שלנו‬
‫‪Bringing‬‬
‫המודול הראשון מפגיש את תלמידי הקורס עם תחום אבטחת המידע‬
‫בהיבט העסקי ועם העולם הרגולטורי\חוקי‪ .‬המודול השני עוסק ברק‬
‫הטכנולוגי ומכין את תלמידי הקורס להתמודד עם כלל היבטי אבטחת‬
‫המידע הן בהיבט התשתיתי והן במישור האפליקטיבי על כל ההיבטים‪.‬‬
‫המודול השלישי עוסק בתחום ניהול אבטחת המידע‪ ,‬מסגרות לניהול‬
‫אבטחת מידע וניהול סיכונים‪ .‬המודול הרביעי דן כולו בהיבטים של‬
‫אבטחת מידע פיזי וסביבתי‪ ,‬והמודול החמישי עוסק בפן האנושי מבחינת‬
‫אבטחת מידע‪.‬‬
‫הקורס עובר עדכונים שוטפים‪ ,‬כדי להתאימו לעולם הדינאמי של‬
‫השוק‪ ,‬והתוקפים\התקפות השונות‪ ,‬וסוקר בצורה מלאה את כל עולם‬
‫אבטחת המידע על כל רבדיו‪ .‬בכל רובד אנו מתרגלים ודנים בתפיסות‪,‬‬
‫מתודולוגיות ובטכנולוגיות הקיימות‪ ,‬ובחולשות הרבות הנסתרות בהן‪.‬‬
‫חולשות‪ ,‬אשר בידיים הלא נכונות הופכות לכלי תקיפה רבי עוצמה‪ .‬כמו‬
‫כן‪ ,‬אנו לומדים את המוטיבציה ואת דרכי הפעולה של התוקף‪ ,‬כנגד‬
‫החולשות שלנו‪ ,‬על מנת לדעת ולהכיר היטב את האויב‪.‬‬
‫כפי שהספר המפורסם "אומנות המלחמה" אומר‪:‬‬
‫‪If you know the enemy and know yourself, you need‬‬
‫‪not fear the result of a hundred battles. If you know‬‬
‫‪yourself but not the enemy, for every victory gained‬‬
‫‪you will also suffer a defeat. If you know neither the‬‬
‫"‪enemy nor yourself, you will succumb in every battle‬‬
‫חברת ייעוץ אובייקטיבית‬
‫מומחים לייעוץ וליווי פרויקטים בתחום אבטחת מידע‬
‫הגדרת אסטרטגיה‬
‫הכנת הארגון‬
‫ותפיסת ממשל לעמידה בדרישות‬
‫אבטחת מידע‬
‫רגולציה שונות‬
‫בארגון‬
‫אפיון דרישות‬
‫מערכת‪ ,‬כתיבה‬
‫וליווי במכרזים‬
‫לתיאום פגישות וקבלת פרטים נוספים‪:‬‬
‫לתיאום פגישות וקבלת פרטים נוספים‪:‬‬
‫חייגו‪ :‬דני – ‪050-8266014‬‬
‫חייגו‪ :‬דני – ‪050-8266014‬‬
‫או בדוא"ל‪:‬‬
‫‪22‬‬
‫שלך‬
‫העבודה‬
‫זהו מסלול חדש‪ ,‬העדכני והמקיף ביותר למנהלי אבטחת מידע וכולל‬
‫בתוכו מגוון נושאים הנוגעים לתחום אבטחת מידע וניהול סיכונים‪.‬‬
‫המסלול מחולק לשני חלקים עיקריים‪ ,‬כאשר החלק הראשון הינו החלק‬
‫המעשי של הקורס‪ ,‬והחלק השני מכין את התלמיד לבחינת ההסמכה‬
‫הבינלאומית של ‪ CISM‬מבית ‪ .ISACA‬החלק הראשון בנוי מ‪ 5-‬מודולים‬
‫עיקריים המכינים את התלמיד להתמודד עם כל נושאי אבטחת המידע‬
‫על פניהם השונים‪.‬‬
‫כחלק מערכת הלימוד‪ ,‬התלמידים מקבלים ספרי לימוד‪ ,‬ספרי תרגול‬
‫(בכיתה ובבית)‪ ,‬ועוד ‪ DVD‬הכולל כלי עזר רבים של מנהל אבטחת מידע‪.‬‬
‫גיליון ‪ | 8‬פברואר‪-‬מרץ ‪| 2013‬‬
‫הביטחון‬
‫‪danny @ titans 2. com‬‬
‫או בדוא"ל‪:‬‬
‫בחירת טכנולוגיה‬
‫המתאימה ביותר‬
‫לארגון בתהליך‬
‫‪ RFP‬מסודר ושיטתי‬
‫ניהולי פרויקטים‬
‫אבטחת מידע‬
‫מורכבים‬
‫‪danny @ titans 2. com‬‬
‫| גיליון ‪ | 8‬פברואר‪-‬מרץ ‪2013‬‬
‫‪23‬‬
‫ענן‬
‫מחשוב‬
‫ושירותי התאוששות‬
‫סייבר‬
‫באז תקשורתי או איום ממשי?‬
‫מאסון‬
‫אבטחת סייבר היא באאז ואינה מהווה תחליף לאבטחת המידע‬
‫המסורתית‪ .‬עם זאת‪ ,‬לא ניתן להתעלם ממה שקורה בעולם‬
‫המידע‪ ,‬שמצריך מענה אבטחתי הולם‪.‬‬
‫בעולם של ביזור והחצנת שירותים‪ ,‬הארגון‬
‫המודרני נדרש להגן על שלושה נכסים עיקריים‪:‬‬
‫המידע‪ ,‬המוניטין הארגוני ועצם היכולת להחצין‬
‫את השירות‪ .‬לצד אלה יש רגולציה שמנסה‬
‫לתחום ולייצר סטנדרטים להגנה ארגונית‪ .‬יש‬
‫לוודא שהמידע סודי‪ ,‬שלם וזמין‪.‬‬
‫ונותני השירותים‪ ,‬כדי לוודא שהם לא יפתחו‬
‫פרצה שבעקבותיה ייגרם נזק לארגון‪ .‬יש בנוסף‬
‫לקבוע נהלים לביצוע מיידי כשמתרחשת פריצה‬
‫למערכת ולא פחות חשוב – על הארגון לבחון האם‬
‫הוא מכוסה מבחינת ביטוח של אירוע אבטחת‬
‫מידע‪ ,‬מאחר שהוא עלול להיתבע‪.‬‬
‫נדרשת מעורבת‬
‫הנהלת הארגון‬
‫אין טכנולוגיה שהיא‬
‫כולם חושבים שהם יודעים מה זה סייבר‪ ,‬אבל‬
‫המצב לא באמת כך‪ .‬כדי לטפל בנושא באופן‬
‫מיידי‪ ,‬על החברות להקים ועדה מיוחדת כדי‬
‫לבחון מהם סיכוני האבטחה בארגון‪ ,‬לבצע‬
‫התאמה לאבטחת הסייבר אצל כל הספקים‬
‫ונותני השירותים‪ ,‬ובנוסף לקבוע נהלים לביצוע‬
‫מיידי כשמתרחשת פריצה למערכת ולא פחות‬
‫חשוב – לבחון האם הארגון מכוסה מבחינת ביטוח‬
‫במקרה של אירוע אבטחת מידע‪ ,‬מאחר שהוא‬
‫עלול להיתבע‪.‬‬
‫אין כיום טכנולוגיה שמבטיחה אבטחת מידע‬
‫מלאה‪ .‬אי אפשר לאבטח ולא ניתן למנוע התקפה‬
‫באופן מוחלט‪ .‬מה שניתן לעשות הוא להקשיח את‬
‫סביבת האמולציה‪ ,‬ההדמייה‪ ,‬החיקוי‪.‬‬
‫‪Bulltet-Proof‬‬
‫חברות וארגונים סובלים מהתקפות סייבר בכל‬
‫יום‪ ,‬כולל בישראל‪ .‬יש חברות שאיבדו קניין רוחני‬
‫בערכים של מיליוני דולרים‪ .‬כולם חושבים שהם‬
‫יודעים מה זה סייבר‪ ,‬אבל בחברות גדולות‪,‬‬
‫מתברר שהבאז אולי הגיע לכל מנהלי ה‪ ,IT-‬אולם‬
‫לא להנהלות‪.‬‬
‫רוב הארגונים בישראל שאינם מונחי רגולציה‪,‬‬
‫ביטחונית או עסקית ‪0‬פיננסית)‪ ,‬מחוברים כיום‬
‫לגלישה ישירה באינטרנט‪ .‬כלומר‪ ,‬העובד גולש‬
‫באינטרנט ישירות מתחנת העובדה האישית‬
‫שלו ברשת הפנימית של הארגון‪ .‬גלישה מעין‬
‫זו מייצרת סיכון רב יותר לארגון‪ .‬אם קיים יישום‬
‫זדוני מסוג דלת אחורית (‪ )Backdoor‬על התחנה‬
‫(רוגלה או סוס טרויאני)‪ ,‬הקישור הישיר לאינטרנט‬
‫מאפשר לאותה תוכנה לתקשר ישירות עם‬
‫התקוף‪ ,‬לשמש כשלוח שלו וכמנוף להשתלטות‬
‫על הרשת‪ ,‬ועלול לאפשר חשיפה או פגיעה ברשת‬
‫ובמידע המאוחסן בה‪.‬‬
‫צריך להבין שקיים פער מאוד גדול בין הבנת‬
‫סיכוני הסייבר במרחב ה‪ –IT-‬לבין ההבנה מה צריך‬
‫לעשות ומי צריך לעשות‪ .‬צריכה להיווצר פונקציה‬
‫חדשה בכל חברה בעולם‪ ,‬תפקיד של ‪ –CPO‬מנהל‬
‫פרטיות מידע ראשי‪ ,‬שאמור לשמור על הפרטיות‬
‫של הנתונים ששמורים בחברה‪.‬‬
‫החלק מראשית שנות ה‪ ,2000-‬גופי הבנקאות‪,‬‬
‫ואחריהם גופי הביטוח‪ ,‬ההון והחיסכון‪ ,‬מחויבים‬
‫לבצע הפרדה של רשתות הגלישה באינטרנט‬
‫מהרשתות הפנימיות‪ .‬רשתות אלה יכולות‬
‫להיות רשתות פיזיות והן יכולות להיות מופרדות‬
‫באמצעות יישומי אמולציית מסוף‪.‬‬
‫לצערי‪ ,‬יש מעט מדי שמירה כזאת בישראל‪.‬‬
‫בנוסף‪ ,‬מנהל אבטחת המידע לא צריך להיות‬
‫כפוף למנמ"ר אלא רק ישירות למנכ"ל‪ .‬חיבור בין‬
‫אבטחת מידע ל‪ –IT-‬הוא לא טוב ולא נכון ניהולית‪.‬‬
‫יישומי מסוף מבוססים על גישה באמצעות‬
‫אמולציית מסכים (‪ )RDP/ICA‬מהרשת הפנימית‬
‫לשרתי גלישה – ומשם לגלישה באינטרנט‪ .‬בדרך‬
‫זו‪ ,‬גם אם הייתה השתלטות של התוקף על סביבת‬
‫שרתי הגלישה‪ ,‬הוא לא נגיש לתחנות ברשת‬
‫הפנימית‪ ,‬שכן הפורט היחיד הפתוח הוא זה של‬
‫יישום אמולציית המסוף‪.‬‬
‫חברות צריכות לפעול בעניין זה באופן מיידי‪,‬‬
‫ולהקים ועדה מיוחדת מתוך הדירקטוריון כדי‬
‫לבחון מהם סיכוני האבטחה בארגון‪ .‬צריך לבצע‬
‫התאמה לאבטחת הסייבר אצל כל הספקים‬
‫‪24‬‬
‫גיליון ‪ | 8‬פברואר‪-‬מרץ ‪| 2013‬‬
‫בעידן מחשוב ענן‪ ,‬שכבר הפך לנחלתם של‬
‫מרבית מנהלי מערכות המידע בעולם‪ ,‬נשאלת‬
‫השאלה כיצד המעבר לסביבת עבודה במחשוב‬
‫ענן תשנה את שירותי ההתאוששות מאסון‪.‬‬
‫בלי קשר לגודל החברה או לענף שבה היא פועלת‪,‬‬
‫העסקים אינם יכולים היום להרשות לעצמם זמן‬
‫השבתה‪ ,‬אך קשה להצדיק השקעה רק ביכולות‬
‫ה‪ DR-‬כאשר נמצאים תחת לחץ להפחית את‬
‫הוצאות ה‪ IT-‬וכאשר ה‪ DR-‬נראה כמו תוכנית‬
‫ביטוח יקרה‪.‬‬
‫במשך זמן רב‪ ,‬ספקים אלה חסרו אפשרות לשירות‬
‫במחירים סבירים‪ ,‬שיספק אחזור בשמונה שעות או‬
‫פחות‪ ,‬עם אובדן נתונים מינימאלי‪ .‬כתוצאה מכך‪,‬‬
‫ארגונים גדולים החלו להחזיר את השירות לתוך הבית‪,‬‬
‫ואולם חברות קטנות נתקעות‪ .‬הודות לענני המחשוב‪,‬‬
‫הדבר משתנה כעת‪.‬‬
‫קיים קשר ישיר בתוכנית להתאוששות מאסון (‪)DRP‬‬
‫בין מהירות השחזור לבין העלות‪ .‬ככל שרוצים לשחזר‬
‫את הנתונים העסקיים מהר יותר‪ ,‬הדבר יעלה הרבה‬
‫יותר כסף‪ ,‬ואולם מערכות השירותים מבוססות הענן‬
‫מצליחות להשיג יכולות אחזור מהירות של שירותי ‪DR‬‬
‫מתקדמים במחיר שכל ארגון יכול להרשות לעצמו‬
‫בתעריפים מבוססי מנוי‪.‬‬
‫חברת המחקר פורסטר מגדירה מחשוב ענן בהגדרה‬
‫הבאה‪" :‬קיבולת ‪ IT‬סטנדרטית (שירות‪ ,‬תוכנה או‬
‫תשתית)‪ ,‬שנמסר ללקוח דרך האינטרנט בשירות‬
‫עצמי ובתשלום לפי שימוש‪.‬‬
‫באמצעות אפשרויות כגון "אחסון כשירות"‬
‫(‪" ,)Storage-as-a-Service‬גיבוי כשירות"‬
‫(‪ )Backup-as-a-Service‬ו"שכפול כשירות"‪,‬‬
‫מסוגלים מקצועני ה‪ IT-‬לשלב בחוזי ה‪DRP-‬‬
‫אפשרויות שונות כדי לענות על מגוון דרישות של‬
‫שחזור יישומים בכל חלקי הארגון‪ .‬בשילוב עם‬
‫וירטואליזציה‪ ,‬פתרונות אלה שוברים את הקשר‬
‫בין עלות לערך ומבטיחים עידן חדש של יכולות‬
‫התאוששות מאסון (‪)Disaster Recovery‬‬
‫במחירים סבירים‪.‬‬
‫אחסון בענן‬
‫ארגונים קטנים ובינוניים רבים מוצאים את עצמם‬
‫במלכוד ‪ ,22‬כאשר הדבר נוגע ליכולות ההתאוששות‬
‫מאסון (‪ )DR‬שלהם‪ .‬הם לא יכולים להרשות לעצמם‬
‫לתכנן‪ ,‬לבנות ולתחזק את תוכניות ההתאוששות‬
‫מאסון (‪ )DRP‬שלהם‪ ,‬אך גם אינם יכולים להרשות‬
‫לעצמם שירותי ‪ DR‬המוצעים על ידי ספקים גלובליים‬
‫כגון ‪ ,HP, IBM‬ואחרים‪.‬‬
‫הספקים מציעים אחזור מבוסס טייפים בקצה אחד‬
‫של הספקטרום ושירותי אחזור מתקדמים‪ ,‬המבוססים‬
‫על מערכות תשתית ‪ IT‬ושכפול מבוסס אחסון בקצה‬
‫השני‪ .‬שחזור מבוסס טייפים הוא זול‪ ,‬אך במקרה‬
‫הטוב ניתן לשחזר את הנתונים בתוך ‪ 24‬עד ‪ 48‬שעות‪.‬‬
‫שירותי אחזור מתקדמים מביאים אותך חזרה לאפס‬
‫אובדן מידע או לאובדן מידע מינימאלי‪ ,‬אך הם יקרים‬
‫מאוד‪.‬‬
‫בהגדרה‪ ,‬ספק השירות משחזר את השרתים שלכם‬
‫כשרתים וירטואליים‪ ,‬המאוחסנים בסביבה שלו‪.‬‬
‫עם שירותים אלה‪ ,‬ניתן לשחזר את המערכות בתוך‬
‫מספר שעות עם אובדן מידע של דקות או שעות‬
‫מועטות בלא עלות תשתיות ‪ IT‬ייעודיות‪ ,‬או שחזור‬
‫מבוסס שכפול‪ ,‬וברוחב פס גבוה‪ ,‬בקישוריות עם שיהוי‬
‫נמוך בין מרכז הנתונים של הארגון לבין ספק השירות‪.‬‬
‫בנוסף לעלויות הנמוכות הן לארגון והן לספק השירות‬
‫וליכולות השחזור הטובות יותר‪ ,‬ספקים אלה עונים‬
‫על הדרישות החשובות ביותר שיש לארגון ממערכות‬
‫ה‪:DR-‬‬
‫ • תמחור שקוף ומבוסס מנוי– התמחור כולל את כל‬
‫התוכנה‪ ,‬התשתית והשירותים לאספקת הפתרון‪.‬‬
‫החיוב הוא לפי צריכת הנתונים לפי גיגה‪-‬בייט‪ ,‬לפי‬
‫שרת או שילוב של השניים‪ .‬העלות היחידה שאינה‬
‫כלולה היא עלות החיבוריות של הרשת‪ .‬אתם‬
‫משלמים רק עבור השרתים שאתם רוצים להגן‬
‫עליהם‪.‬‬
‫ •התקנה קלה ומהירה– מרבית תצורות השחזור‬
‫יכולות להיעשות און‪-‬ליין משום שאין צורך בשמירת‬
‫חומרה זהה‪ ,‬הקצאת קישורים ייעודיים‪ ,‬או מו"מ על‬
‫רמת שירות (‪ )SLA‬ספציפית‪ .‬מכיוון שהגיבוי נעשה‬
‫לכוננים ולשרתים וירטואליים‪ ,‬צריך רק להבטיח את‬
‫שכבות הווירטואליזציה הנכונות‪ .‬ואולם שירותים‬
‫אלה מוגבלים בדרך כלל לסביבת שרתי ‪.X86‬‬
‫ • מזעור הסיכון לרישוי יתר– במערכות ‪DR‬‬
‫מסורתיות‪ ,‬הספקים מזמינים רישיון לכמה לקוחות‬
‫על אותם משאבי ‪ ,IT‬והם מנוהלים לפי יחס של‬
‫רישוי יתר בכך שהם מונעים מלקוחות מאותו‬
‫אזור להשתמש באותה תשתית‪ .‬ואולם יש סיכון‪,‬‬
‫שאם יוכרזו אסונות המוניים לא תהיה גישה לציוד‬
‫ה‪ ,IT-‬ולכן ארגונים עלולים לשלם אלפי דולרים‬
‫כדי להחזיק רזרבות‪ .‬בעוד הדבר נכון גם לשירותי‬
‫‪ DR‬בענן‪ ,‬הסיכון במקרה זה הוא מינימאלי‪ ,‬משום‬
‫שהרבה יותר לקוחות יכולים להיכנס לאותה‬
‫תשתית ‪ IT‬פיסית‪.‬‬
‫ •העונש על תרגולים מופחת– מה הטעם בתוכנית‬
‫‪ DR‬אם לא עורכים חזרות כדי לבחון שהיא אכן‬
‫עומדת במבחן המציאות ועובדת כראוי? ספקי‬
‫שירותי ‪ DR‬מסורתיים מכירים בכך שהם חייבים‬
‫לערוך תרגולים תקופתיים‪ ,‬לשמור עתודות ציוד‪,‬‬
‫וצריכים לתת שירות ללקוחות גם בזמן התרגיל‪.‬‬
‫כל עלויות ההכנה הללו הם בנוסף ומעבר לכתוב‬
‫בחוזה שירות ה‪ .DR-‬בשירותי ה‪ DR-‬בענן‪ ,‬אין‬
‫צורך בהכנות‪ ,‬דבר שיאפשר לבצע תרגולים בקלות‬
‫ובעלות נמוכה בהרבה‪.‬‬
‫שירותי אחזור באמצעות‬
‫מחשוב ענן‬
‫קיימים כמה שירותים של אחזור מבוסס ענן‪ ,‬המציעים‬
‫מגוון רחב של יכולות אחזור‪ .‬כמו בכל אסטרטגיית‬
‫התאוששות (‪ ,)DR‬השירות שצריך להיבחר הוא‬
‫המתאים ביותר למערכות הקריטיות ביותר שאותן‬
‫רוצים לשחזר‪.‬‬
‫צריכים להבין שגיבוי בפני עצמו איננו מערכת‬
‫התאוששות מאסון – חשוב לציין כי ישנם שירותים‬
‫שלא מציעים את כל ה‪ DR-‬אלא רק שחזור נתונים‪.‬‬
‫הדבר נכון ברבים משירותי ה"אחסון כשירות"‬
‫(‪ )Storage-as-a-Service‬המוצעים כיום‬
‫בשוק‪ .‬הם מגבים נתונים באתר שלהם‪ ,‬אך אין להם‬
‫גיבוי של תמונת המערכת (‪ )Image‬או את היכולת‬
‫לשמור אותה באתר שלהם‪ .‬כמה ספקי שירותים‪,‬‬
‫יכולים לשמש כשירותי גיבוי וכתשתית להציע ‪DR‬‬
‫גדול יותר‪ .‬כדי לעשות זאת‪ ,‬הם שומרים עותקים של‬
‫ה‪ Image-‬במרכזי המחשוב שלהם‪ ,‬ובמקרה של‬
‫הכרזה של אסון‪ ,‬הם משחזרים את הנתונים מהגיבוי‬
‫לשרתים של החברה‪.‬‬
‫חשוב לבחון מהם הדרישות העסקיות של הארגון‪,‬‬
‫ובהתאם לכך‪ ,‬לבחור את הספק‪ ,‬ואת השירותים‬
‫שהוא מציע‪.‬‬
‫| גיליון ‪ | 8‬פברואר‪-‬מרץ ‪2013‬‬
‫‪25‬‬
‫עקרונות ביישום‬
‫מערכות ‪SIEM‬‬
‫מערכות (‪ SIEM (Security Information Event Management‬הופכות להיות כיום בעידן המלחמה‬
‫במתקפות הסייבר‪ ,‬לחלק אינטגראלי ממערך אבטחת המידע בארגונים שונים‪ .‬מערכות אלה משמשות‬
‫לאיסוף לוגים מפלטפורמות שונות‪ ,‬אפליקציות ומוצרים שונים למקום מרכזי שבו ניתן לנתח את המידע‬
‫שהתקבל לאחר שעבר תהליך נרמול (העברה לפורמט אחיד)‪.‬‬
‫דור מערכות ה‪ SIEM-‬צמח מתוך צורך של עולם‬
‫אבטחת המידע לעשות סדר בבלגן‪ .‬במציעות של‬
‫ריבוי מערכות אבטחה שונות‪ ,‬המייצרות סוגים‬
‫שונים של התרעות‪ ,‬עמוד הארגונים במבוכה‬
‫רבה מאחר ולא השתלטו על שטף האינפורמציה‬
‫שהתקבל מהן ולא הצליחו לזהות את המוקדים‬
‫אליהם יש להפנות את תשומת הלב‪.‬‬
‫מערכות ‪ SIEM‬מספקות כלים שונים להשבת‬
‫הסדר על קנו‪ ,‬הבולטים שביניהם‪:‬‬
‫ •אגריגציה (‪ – )Aggregation‬לשם צמצום‬
‫כמות ההתרעות מכל מקור מידע מתאפשר‬
‫לאחד רצף התרעות זהות להתרעה אחת‪.‬‬
‫ •קורלציה ( ‪ – )Correlation‬הצלבת‬
‫אינפורמציה ממקורות מידע שונים וזיהוי‬
‫רצפי אירועים חשודים לשם צמצום התרעות‬
‫השווא בהתבסס על התפיסה שכל אירוע‬
‫בפני עצמו עשוי להיראות תמים‪ ,‬אך התמונה‬
‫השלמה של רצף אירועים מסוים יכולה להעיד‬
‫על משמעות אחרת‪ ,‬שאינה בהכרח תמימה‪.‬‬
‫ואכן‪ ,‬קורלציה היא המילה שקופצת לראש של‬
‫רבים מאיתנו כשמוזכרות מערכות ‪ .SIEM‬קורצליה‬
‫היא אכן כלי חשוב וחזק שמספקות מערכות‬
‫‪ .SIEM‬קיימים סוגים שונים של קורלציות‪ .‬בדומה‬
‫למערכות ‪ ,IPS‬גם קורלציות יכולים להיות מונחות‬
‫חוקים מוגדרים מראש מחד‪ ,‬או מבוססות זיהוי‬
‫אנומליות מאידך‪.‬‬
‫החסרונות והיתרונות של גישות אלה נידונו רבות‬
‫סביב נושא זיהוי התקפות אבטחת מידע – חוקים‬
‫וחתימות הם מוגבלים למה שידוע מראש ולכן‬
‫לא יזהו התקפות חדשות (‪ )Day Attacks 0‬או‬
‫‪26‬‬
‫גיליון ‪ | 8‬פברואר‪-‬מרץ ‪| 2013‬‬
‫וריאציות של התקפות ישנות‪ ,‬אך הם ממוקדים‬
‫יותר ומדויקים יותר‪ .‬זיהוי אנומליות אינו מוגבל‬
‫למה שמוכר ומוגדר מראש‪ ,‬אך אמינותו מוטלת‬
‫בספק – אנומליה אינה מעידה בהכרח על פעילות‬
‫פוגענית‪.‬‬
‫אך חשוב לזכור שאיכות תהליך הקורלציה מותנה‪,‬‬
‫בראש ובראשונה‪ ,‬באיכות החומר המנותח – אם‬
‫מערכות הקצה המזינות את מערכת ה‪SIEM-‬‬
‫הוגדרו נכון (מבחינת הקונפיגורציה)‪ ,‬והן מייצרות‬
‫ריבוי התרעות שווא‪ ,‬המידע שינותח לא יהיה אמין‬
‫וכך גם התוצאות‪.‬‬
‫עניין נוסף שדורש התייחסות – תהיה ההתרעה‬
‫שתיווצר כתוצאה מתהליך קורלציה ממוקדת‬
‫ככל שתהיה‪ ,‬היא תמיד תישאר התרעה‪ .‬התרעה‬
‫שעל האיש האמון על הנושא בארגון להגדיר כיצד‬
‫לטפל בה‪.‬‬
‫דוגמאות אלו מצביעות על נקודת מפתח באשר‬
‫להצלחת הטמעת מערכות ‪ :SIEM‬השגת היעדים‬
‫ופתרון הבעיות שהוזכרו לעיל לשם העלאת‬
‫רמת אבטחת המידע בארגון מותנה למעשה‬
‫באופן ההטמעה והתפעול של מערכת ה‪SIEM-‬‬
‫בארגון‪ ,‬המערכות המהוות מקור מידע והמערכות‬
‫והגורמים מולם יטופלו ההתרעות‪ ,‬ולא רק באיכות‬
‫מערכת ה‪.SIEM-‬‬
‫תהליך הקורלציה היא שלב מתקדם יחסית‬
‫ביישום מערכות ‪ .SIEM‬מערכות אלה‪ ,‬כפי ששמן‬
‫מעיד עליהן מהוות למעשה כלי לניהול מערך‬
‫אבטחת המידע בארגון‪ .‬על בסיס עקרון זה‪ ,‬הרבה‬
‫לפני שמדברים על קורלציה ניתן להשתמש‬
‫במערכות ‪ SIEM‬לצרכי שיקוף אירועים חשובים‬
‫במערכות הקצה שעד כה לא ניתן היה לתת‬
‫להן את תשומת הלב בשל ביזור המידע וריבוי‬
‫ההתרעות‪ .‬הקונסולודציה מאפשרת לנהל את‬
‫בקרת אבטחת המידע מנקודה מרכזית אחת‬
‫המספקת חיוויים מהמערך הכולל‪ .‬ניהול נאות של‬
‫מערך אבטחת מידע‪ ,‬מעמיד מוקד אבטחת מידע‬
‫כבסיס אשר משתמש במערכת ‪ SIEM‬כתשתית‬
‫מרכזית‪ .‬מוקדי אבטחת מידע כיום נוטים להיות‬
‫ריאקטיביים–זיהוי פגיעה כלשהי בארגון גורמת‬
‫להם לתחקר את התקרית (‪ )incident‬לשם הבנה‬
‫כיצד ניתן להתמודד עימה‪ .‬באמצעות יישום נכון‬
‫של שימוש המוקד ביכולות מערכת ‪ – SIEM‬ניתן‬
‫להפוך את המוקד לפרואקטיבי שוב‪ ,‬הדגש כאן‬
‫הוא על אופן השימוש במערכת מצד הארגון‪.‬‬
‫ניתן ואף רצוי להרחיב את מערך מקורות המידע‬
‫מהם אוספים לוגים למערכת ה‪ .SIEM-‬לא רק‬
‫מערכות ההגנה אלא המערכות העסקיות עליהן‬
‫מנסים להגן צריכות להוות מקור לוגים לניתוח‬
‫במערכת זו‪ .‬במערכת ה‪ SIEM-‬יש להגדיר חוקים‬
‫לזיהוי סיכונים במערכות עסקיות וכך ליצור מוקד‬
‫פרואקטיבי ודינאמי מונחה סיכונים עסקיים‪.‬‬
‫מוקד פרואקטיבי עוסק בזיהוי מגמות התנהגות‬
‫חריגות המהווה בסיס לתחקור (‪,)Forensics‬‬
‫מבצע פעילות מניעתית ומתערב בתהליכים‬
‫בזמן התהוותם‪ .‬המוקד מבצע פעילויות שונות‬
‫על מנת לאתר את המוקדים אליהם יש להפנות‬
‫את תשומת הלב‪:‬‬
‫ •בקרות מפצות המבוצעות ע"י המוקד על‬
‫מערכות עסקיות – פעילות זו מרחיבה את‬
‫פעילות המוקד אל מעבר לגבולות מערכת‬
‫ה‪.SIEM-‬‬
‫שונות ותחקור חריגה‬
‫ממגמות אלו‬
‫ •טיוב המערכת לאחר תחקור וטיפול‬
‫בהתרעות השונות‬
‫יישום מוקד כמתואר לעיל משמעותו יצירת‬
‫יישות מרכזית שמהווה את מרכז האבטחה‬
‫של הארגון‪ .‬תהליך האפיון וההקמה של המוקד‬
‫כרוך בהקצאת כח אדם מקצועי ומנוסה בתחום‬
‫אבטחת המידע לתפעול המוקד‪ ,‬והגדרת פעילויות‬
‫בקרה דינאמית מבוססות כלים שונים לביצוע‬
‫פעילויות כגון בדיקת תאימות למדיניות (‪Policy‬‬
‫‪ )Compliance‬וסקירת פגיעויות (‪Vulnerability‬‬
‫‪ ,)Scanning‬הגדרת מקורות מידע שונים מהם‬
‫יתקבלו עדכונים בנושא אבטחת מידע ותהליכי‬
‫המעקב והעדכון ממקורות מידע אלה‪.‬‬
‫כמובן שיש צורך לאפיין את תהליך העבודה של‬
‫המוקד עם מערכת ה‪ SIEM-‬באמצעות הגדרת‬
‫נהלי תגובה להתרעות המתקבלות במערכת‪.‬‬
‫נהלים אלה מגדירים את תהליכי התחקור‬
‫והאסקלציה שיש לבצע בהתאם לתוכן ההתרעה‪.‬‬
‫לדוגמה‪ ,‬בהתאם להתרעה העוסקת בחולשה‬
‫במערכת הפעלה המהווה תשתית רוחבית בארגון‪,‬‬
‫יבוצע ניתוח מגמות פעילות על פרמטרים שונים‬
‫במערכות המתבססות על תשתית זו‪ .‬כתוצאה‬
‫מתהליך הניתוח ייקבע האם החולשה שזוהתה‬
‫נוצלה לרעה‪ ,‬האם נגרם נזק וכדומה‪.‬‬
‫נושא‬
‫נוסף‬
‫ו ח ש ו ב‬
‫שיש לטפל בו‬
‫ברמת אפיון השימוש‬
‫במערכת הוא תהליך טיוב‬
‫מתמיד‪ .‬תהליך זה מתבסס‬
‫על כך שאין טוב ממבחן המציאות‬
‫על מנת להעריך איכות של חוק או מדד‬
‫שנקבע במערכת‪ .‬אי לכך‪ ,‬יש להגדיר את‬
‫האופן בו תינתן אינדיקציה על איכותו לאחר‬
‫תחקור וטיפול במוקד‪ ,‬על מנת לטייבו אם יש בכך‬
‫צורך‪ .‬כך למעשה המערכת הופכת להיות חלק‬
‫מתהליך דינאמי של שיפור וייעול‪.‬‬
‫לסיכום‪ ,‬מערכות ‪ SIEM‬נועדו לספק את הכלים‬
‫לניטור‪ ,‬בקרה וניהול מערך אבטחת המידע‬
‫בארגון‪ .‬על מנת להשתמש בכלים אלה על‬
‫הארגון להקצות משאבים רבים מעבר לאלה‬
‫הכרוכים ברכישת המערכת ובפריסת הסוכנים‬
‫שלה‪ .‬הצלחת יישום מערכת ‪ SIEM‬בארגון טמונה‬
‫באפיון השימוש במערכת תוך עיגון עקרונות ייעול‬
‫ושיפור מתמיד בתהליכי העבודה‪.‬‬
‫ •התבססות על תצוגות של מגמות פעילות‬
‫| גיליון ‪ | 8‬פברואר‪-‬מרץ ‪2013‬‬
‫‪27‬‬
‫תקן אבטחת מידע לעולם הרפואי‬
‫‪ISO27799‬‬
‫סקירהטכנולוגית‬
‫(חלק א')‬
‫מדובר בתקן בינלאומי‪ ,‬שמנחה ארגוני שירותי‬
‫בריאות‪ ,‬וישויות אחרות השומרות על מידע בריאות‬
‫אישי‪ ,‬באשר לדרך המיטבית להגנה על סודיותו‪,‬‬
‫שלמותו וזמינותו של אותו המידע על ידי היישום‬
‫של התקן אבטחת מידע ‪ .ISO27001/2‬התקן בעצם‬
‫מהווה הרחבה של התקן הבסיסי ‪ ,ISO27001‬עם‬
‫התייחסות לדרישות ספציפיות להגנה על המידע‬
‫בעולם הרפואי‪.‬‬
‫‪DataCha0s/2.0‬‬
‫‪ZmEu‬‬
‫מדובר בכלי סריקה אפליקטיבי לזיהוי חולשות באתרי‬
‫אינטרנט‪ .‬הכלי נכתב ע"י קבוצה של האקרים ברזילאיים‪,‬‬
‫ב‪ 2007-‬וניתן להורדה בחינם באתרי ‪ Warez‬ופורומים סגורים‬
‫של האקרים‪.‬‬
‫מדובר בכלי סריקה שמטרתו לאתר פרצות אבטחה בשרתי‬
‫‪ .Web‬כלי זה מנצל פרצת אבטחה נפוצה בשרתים שלא עברו‬
‫הקשחה‪ .‬עיקר פעילותו של הלכי הוא באיתור אופציה לגישה‬
‫מרחוק לתיקיות בשם ‪ Scripts, PHPMyAdmin, Admin‬ורבות‬
‫נוספות‪ ,‬באמצעותן יוכל לבצע שינויים או לתפוס שליטה על‬
‫שרת הקורבן‪.‬‬
‫מעבר לסריקה הסטנדרטית המחפשת קבצי סיסמאות‪ ,‬גישה‬
‫לקבצי ניהול וסטטיסטיקות ואיתור פרצות אבטחה ידועות‬
‫נוספות‪ ,‬לכלי זה ישנן יכולות איתור של פרצות אבטחה פחות‬
‫מוכרות ב‪ PHP-‬ולכן הוא ופופולארי בקרב גורמים זדוניים‪.‬‬
‫הכלי ניתן להורדה באתרים שונים‪ .‬רוב הסריקות המבוצעות‬
‫באמצעות כלי זה מגיעות מסין‪.‬‬
‫שה‪User Agent-‬‬
‫הכלי ניתן לאיתור בקלות יחסית‪ ,‬מכיוון‬
‫שבאמצעותו הוא מזהה‪ ,‬מכיל את שמו ולכן רוב מערכות‬
‫ההגנה כבר מכילות חתימות לחסימתו‪.‬‬
‫מידע נוסף ניתן למצוא בקישור הבא‪:‬‬
‫‪http://eromang.zataz/2011/05/23/suc026-datacha0s‬‬‫‪web-scannerrobot‬‬
‫באופן ספציפי מטפל תקן זה בצרכי ניהול אבטחת‬
‫המידע במגזר הרפואי ושל סביבותיו התפעוליות‬
‫הייחודיות‪ .‬בעוד שההגנה על המידע האישי וביטחונם‬
‫חשובים לכל אדם‪ ,‬חברה‪ ,‬ישות וממשלה‪ ,‬במגזר‬
‫שירותי הבריאות קיימים צרכים ייחודיים החייבים‬
‫למצוא מענה על מנת שיובטחו הסודיות‪ ,‬השלמות‪,‬‬
‫יכולת הבקרה והזמינות של מידע הבריאות האישי‪.‬‬
‫ההגנה על המידע דלעיל היא חיונית אם אנו שואפים‬
‫לשמר את פרטיותם של המטופלים בהם מערכת‬
‫הבריאות מטפלת‪ .‬שלמותו של המידע הרפואי‬
‫חייבת להישמר כדי להבטיח להבטיח את בטיחותו‬
‫של המטופל‪ ,‬ומרכיב חשוב של הגנה זו הוא היכולת‬
‫להבטיח כי מחזור החיים השלם של המידע שנמצא‬
‫ברשות מוסד בריאותי‪ ,‬ניתן לבקרה בשלמותו‪.‬‬
‫זמינותו של המידע במערכות הבריאות הינו קריטי‬
‫גם מן ההיבט של האספקה היעילה של מתן שירותי‬
‫בריאות לציבור‪ .‬מגוון מערכות המידע בתחומי שירותי‬
‫הבריאות חייבות לתת מענה לדרישות ייחודיות‪ ,‬כגון‬
‫שרידות במקרים של אסונות טבע‪ ,‬כשלים מערכתיים‪,‬‬
‫והתקפות מניעת שירות יזומות על מאגרי במידע‪.‬‬
‫ההגנה על הסודיות‪ ,‬השלמות והזמינות של מידע זה‬
‫דורשת‪ ,‬אם כן‪ ,‬כי תתקיים מומחיות ספציפית למגזר‬
‫שירותי הבריאות‪.‬‬
‫הצורך בניהול ביטחון יעיל של מערכות המידע בתחום‬
‫שירותי הבריאות הופך לדחוף יותר לנוכח השימוש‬
‫ההולך וגובר בטכנולוגיות אלחוטיות ומבוססות‬
‫אינטרנט באספקת שירותי הבריאות‪ .‬אם אל מיישמים‬
‫אותן כהלכה‪ ,‬טכנולוגיות מורכבות אלה יגבירו את‬
‫‪28‬‬
‫גיליון ‪ | 8‬פברואר‪-‬מרץ ‪| 2013‬‬
‫הסיכון הקיים לסודיותו‪ ,‬שלמותו וזמינותו של מידע‬
‫רפואי במערכות הבריאות השונות‪.‬‬
‫היתרונות הכרוכים בשימוש בתקן‬
‫‪ISO 27799‬‬
‫ללא קשר לגודלן‪ ,‬מיקומן ומודל אספקת השירות שהן‬
‫מאמצות‪ ,‬חייבות כלל ישויות שירותי הבריאות ליישם‬
‫ביקורות קפדניות על מנת להגן על המידע הרפואי‬
‫המופקד בידיהן‪ .‬עם זאת‪ ,‬גורמים מקצועיים רבים‬
‫בתחומי הבריאות פועלים כספקי בריאות עצמאיים‪,‬‬
‫או במסגרת קליניקות קטנות שאינן מייעדות משאבי‬
‫טכנולוגיות מידע לניהול ביטחון המידע שברשותן‪.‬‬
‫תקן זה מאפשר ליישם מסגרת נאותה של ניהול‬
‫אבטחת המידע הרפואי במערכות הבריאות באופן‬
‫עקבי‪ ,‬תוך תשומת לב מיוחדת לאתגרים המיוחדים‬
‫המאפיינים את התעשייה הזו‪ .‬ארגון המאמץ את‬
‫התקן מסייע להבטיח כי נשמרות סודיותו ושלמותו של‬
‫המידע המוחזק על ידו‪ ,‬כי מערכות המידע קריטיות‬
‫שמספקות שירותי בריאות לציבור ממשיכות להיות‬
‫זמינות לציבור‪ ,‬וכי הנשיאה באחריות למידע הרפואי‬
‫נשמרת אף היא‪ .‬יישומן של הנחיות אלה על ידי ארגוני‬
‫שירותי בריאות‪ ,‬הן בתוך מדיניות‪ ,‬ובמישור הבין‪-‬‬
‫מדינתי‪ ,‬יסייע בתפעול ההדדי ובאימוץ הבטוח של‬
‫טכנולוגיות שיתוף פעולה חדשות הזמינות באספקת‬
‫שירותי הבריאות‪ .‬שיתוף מידע בטוח‪ ,‬וכזה המגן על‬
‫פרטיותו‪ ,‬יכול לשפר במידה ניכרת את תוצאותיהם‬
‫של שירותי הבריאות בעולם‪.‬‬
‫כתוצאה מיישומן של הנחיות אלה‪ ,‬יכולים ארגוני‬
‫שירותי הבריאות לצפות להקטנה משמעותית‬
‫במספרן ובחומרתן של תקריות אבטחת המידע‬
‫שלהם‪ ,‬מה שיאפשר את הפנייתם של משאבים‬
‫לפעילות יצרנית אחרת‪ .‬ביטחון מערכות המידע‬
‫יאפשר על ידי כך את השימוש היעיל מבחינת עלויות‪,‬‬
‫והיצרני‪ ,‬של משאבי הבריאות העומדים לרשות‬
‫הארגון‪.‬‬
‫לבסוף‪ ,‬גישה עקבית לנושא אבטחת מערכות המידע‬
‫הממוחשבות בארגון‪ ,‬המובנות לכלל המעורבים‬
‫בהענקת שירותי הבריאות‪ ,‬תשפר את מוראל העובדים‬
‫ואת אמון הציבור במערכות השונות המנהלות את‬
‫המידע הרפואי האישי של הציבור‪.‬‬
‫ארגוני שירותי בריאות חייבים‪ ,‬על כן‪ ,‬לקבל הנחיות‬
‫ברורות‪ ,‬תמציתיות וספציפיות באשר לבחירתן ויישומן‬
‫של בקרות אלה‪ .‬קובץ הנחיות זה חייב להיות גמיש‬
‫די הצורך כדי להיות בר‪-‬יישום בעבור קשת רחבה‬
‫של גדלים‪ ,‬אתרי פעילות ומודלים של שירות בהם‬
‫אנו נתקלים במגזר שירותי הבריאות‪ .‬לבסוף‪ ,‬לנוכח‬
‫החלפת מידע רפואי באופן דיגיטלי ההולכת ותופסת‬
‫תאוצה גם בקרב אנשי מקצועי בתחום הבריאות‪ ,‬קיים‬
‫יתרון ברור באימוצו של מפתח התייחסויות משותף‬
‫לניהול אבטחת המידע בתעשיית שירותי הבריאות‪.‬‬
‫מי צריך את התקן הזה?‬
‫תקן זה מיועד בעבור אלה הנושאים באחריות לפיקוח‬
‫על ביטחון המידע הרפואי שברשותם‪ ,‬לארגוני שירותי‬
‫בריאות‪ ,‬וגם עבור ישויות אחרות המחזיקות בקרבן‬
‫מידע רפואי והמבקשות לקבל הנחיות בנושא זה‪,‬‬
‫לרבות ספקים וצדדים שלישיים המהווים ספקי‬
‫שירותי‪.‬‬
‫‪Morfeus Scanner‬‬
‫מדובר בכלי סריקה אוטומטי המחפש חולשות מסוג ‪Remote‬‬
‫הכלי נוצר ע"י קבוצת האקרים רומנים ושמו לקוח מהמיתולוגיה‬
‫הרומנית‪ ZMEU :‬היה מפלצת יורקת אש שהתאוותה להתחתן‬
‫עם נערות צעירות‪.‬‬
‫‪W3af‬‬
‫מדובר בכלי לסריקה וערכית אפליקציות ‪ .Web‬הכלי הופץ‬
‫בראשית ‪ ,2011‬כאמצעי לאיתור פרצות אבטחת מידע באתרי‬
‫אינטרנט אולם בודקי קוד משתמשים בו לעתים לשם איתור‬
‫פרצות אבטחה בקוד שלהם לפני העלאת אתרם לאוויר‪.‬‬
‫‪ ,File Inclusion‬לרוב בשרתים מבוססים ‪ PHP‬למרות שניתן‬
‫להריצו על כל סוג של שרת אינטרנט‪ .‬הסריקה מתמקדת‬
‫באיתור קובץ ‪.soapCaller.bs‬‬
‫‬
‫•הכלי יציב ואמין וכמעט ואינו קורס‪.‬‬
‫הפניה תיראה כך‪:‬‬
‫‬
‫•מתעדכן אוטומטית מהרשת‪ .‬מאחר והכלי הוא קוד‬
‫פתוח‪ ,‬כל המשתמשים בו יכולים לעדכן ולשפר אותו‪.‬‬
‫‬
‫•דוח הממצאים שהכלי מספק הוא מקיף מספיק כדי‬
‫ללמוד מתוכו על האופן המדוייק בו ניתן לנצל את פרצת‬
‫האבטחה הרלוונטית שנבדקה‪.‬‬
‫‬
‫•מתאים לכל סוגי האתרים‪ ,‬במיוחד לאתרים מבוססי‬
‫‪.PHP‬‬
‫לכלי זה ישנן מספר איכויות חשובות‪:‬‬
‫"‪GET/user/soapCaller.bs HTTP/1.1 "403 345 "-" "Morfeus‬‬
‫‪"Fucking Scanner‬‬
‫ניתן לחסום את פעילות הכלי אם חוסמים בשרת את ה‪User-‬‬
‫‪ Agent‬הנושא את שמו‪ .‬לא נמצאו קישורים בהם ניתן להוריד‬
‫את הכלי‪ ,‬יתכן שבאתרי תוכנות לא חוקיות ופורומים סגורים‬
‫של האקרים ניתן להשיגו בחינם‪.‬‬
‫מידע נוסף ניתן למצוא בקישור הבא‪:‬‬
‫‪http://stateofsecurity.com/?p=467‬‬
‫הכלי ניתן להורדה בחינם למשתמשי ‪GNU General Public‬‬
‫‪.License V2‬‬
‫מידע נוסף ניתן למצוא בקישור‪http://w2af.sourceforge.net :‬‬
‫הערות‪:‬‬
‫הפרטים אודות כלי האבטחה שמפורטים בכל גיליון‪ ,‬נועדו לצורך הרחבת הידע בלבד‪ .‬חל איסור שימוש בכלים אלה‪ ,‬הן בתוך הארגון‪ ,‬והן על ארגונים חיצוניים ללא קבלת‬
‫אישור בכתב מגורם מאשר בתוך הארגון‪ .‬אין הנהלת האיגוד או המערכת של העיתון אחראים על נזק שעלול להיגרם כתוצאה משימוש מזיד בתוכנות אלה‪.‬‬
‫| גיליון ‪ | 8‬פברואר‪-‬מרץ ‪2013‬‬
‫‪29‬‬
‫ל‬
‫שכ‬
‫של‬
‫הא‬
‫רג‬
‫כל‬
‫כ‬
‫ונ י ם ה‬
‫ל י ים‬
‫ת הת‬
‫או ם‬
‫בגיליון הבא‬
‫הוועידה הלאומית לרציפות תפקודית והמשכיות עסקית במצבי חירום ואסון‬
‫‪ 10‬לאפריל ‪ | 2013‬מרכז הירידים‪ ,‬גני התערוכה‪ ,‬ביתן ‪ | 10‬בין השעות ‪08:00-17:00‬‬
‫מנחה ויו"ר צוות ההיגוי‪ :‬אל"מ )מיל'( אילן רובין‬
‫‪ 09:00-11:00‬מושב מליאה‬
‫‪ #‬ברכות‬
‫אל"מ )מיל'( אילן רובין ‪ -‬יו"ר צוות ההיגוי‬
‫‪ #‬רציפות תפקודית של המשק החיוני בשעת חרום‬
‫אלוף )מיל'( גבי אופיר – מנכ"ל המשרד להגנת העורף‬
‫‪ #‬רציפות תפקודית תחת אש בעורף ובחזית ‪ -‬איך בונים יכולת?‬
‫אלוף קובי ברק ‪ -‬ראש אגף הטכנולוגיה והלוגיסטיקה בצה"ל‬
‫‪ #‬רציפות תפקודית‪ :‬המימד הטכנולוגי‬
‫אלוף )מיל'( פרופ' יצחק בן ישראל‪ ,‬סדנת יובל נאמן למדע‪ ,‬טכנולוגיה וביטחון‪ ,‬אוניברסיטת ת"א‬
‫‪ #‬כיצד יפן‪ ,‬ארה"ב ומדינות נוספות‪ ,‬נערכו ופעלו ב"אפר"ן )אסון פתע רב נפגעים (‬
‫ד"ר אפרים לאור‪ ,‬יועץ ומומחה בינ"ל לאירועי אפר"ן‬
‫‪ 11:00-11:30‬הפסקה‬
‫מסלול ‪A‬‬
‫‪ 11:30-13:30‬מושב ‪ - 1.0‬ניהול המשק במצבי חירום ואסון‬
‫‪#‬‬
‫‪#‬‬
‫‪#‬‬
‫‪#‬‬
‫כיצד על הרשות המקומית להיערך לשעת חירום‬
‫מר אבי נעים‪ ,‬יו"ר וועדת הביטחון במרכז שלטון המקומי‬
‫וראש מועצה בית אריה ‪ -‬עופרים‬
‫"עיר במבחן אש" ‪ -‬כיצד שומרים על החוסן העירוני‬
‫וממשיכים לקיים שיגרת חיים?‬
‫ד"ר יחיאל לסרי‪ ,‬ראש עיריית אשדוד‬
‫מערכות התרעה משלימה להבטחת רציפות תפקודית‬
‫מר אילן פרידלנד‪ ,‬מנכ"ל קבוצת ביפר תקשורת‬
‫אחריות מנהלים וניתוח סיכונים כבסיס להישרדות עסקית‬
‫מר ניר רן‪ ,‬מנכ"ל אקסיום אבטחה וניהול‪ ,‬וראש בית הספר‬
‫לניהול אבטחה וחירום במכללה האקדמית בווינגייט‬
‫ •איומי סייבר‬
‫ודרכי התמודדות יעילים‬
‫‬
‫מסלול ‪ B‬המשכיות עסקית במצבי חירום ואסון‬
‫מסלול ‪ C‬יישומים טכנולוגיים‬
‫‪ 11:30-13:30‬מושב ‪TO BE OR NOT TO BE - 3.0‬‬
‫‪ 11:30-13:30‬מושב ‪ - 5.0‬שימור יכולת הרציפות והמשכיות‬
‫‪#‬‬
‫‪#‬‬
‫‪#‬‬
‫‪#‬‬
‫מרציפות תפקודית בשדה הקרב‪ ,‬לרציפות במצבי חירום ואסון‬
‫תת אלוף )מיל'( ד"ר אביאם סלע‪ ,‬נשיא חטיבת הביטחון‬
‫והייעוץ האסטרטגי בחברת מטריקס‬
‫‪ – ISO-22301‬תפיסה ניהולית ולא רק המשכיות עסקית‬
‫מנכ"ל חברת מעוף ‪ ,BS‬מר דורון טמיר‬
‫ייצירת יתרון עסקי לקראת ובעת מצב חירום בסביבת‬
‫עבודה תחרותית‬
‫מר שלומי אדר‪ ,‬מנכ"ל חברת שלומי אדר‬
‫ניהול סיכונים כבסיס למעבר משיגרה לתפקוד במצבי‬
‫חירום ואסון‬
‫מר חיים כהן‪ ,‬יו"ר ארגון מנהלי סיכונים‬
‫‪#‬‬
‫ניהול סיכונים והמשכיות עסקית בעידן הסייבר‬
‫מר דני אברמוביץ‪ ,‬נשיא האיגוד העולמי לאבטחת מידע‬
‫"לא עוצרים בשעת חירום" ‪ -‬המשכיות עסקית בשעת‬
‫חירום‬
‫מר ארז בטיש‪ ,‬ארכיטקט פתרונות המשכיות עסקית‪IBM ,‬‬
‫איומי הייחוס על ה‪DATA CENER -‬‬
‫או למה הארגון עלול להפסיק את תפקודו?‬
‫מר יגאל שניידר‪ ,‬מנכ"ל חברת אלכסנדר שניידר‬
‫‪#‬‬
‫"שרות ללא הפסקה" – שילוב טכנולוגיות חדישות‬
‫להמשכיות עסקית ומניעת אסון‪ ,‬כחלק מהתפעול השוטף‬
‫מר יוחאי גל‪ ,‬מנהל טכנולוגיות ו‪ CTO-‬אזורי‪EMC ,‬‬
‫‪#‬‬
‫‪#‬‬
‫‪ 13:30-14:15‬ארוחת צהריים‬
‫‪ 13:30-14:15‬ארוחת צהריים‬
‫‪ 13:30-14:15‬ארוחת צהריים‬
‫‪ 14:15-16:15‬מושב ‪ – 2.0‬ניהול ארגונים תחת אש‬
‫‪ 14:15-16:15‬מושב ‪ – 4.0‬המשכיות עסקית ושרשרת האספקה‬
‫‪ 14:15-16:15‬מושב ‪ – 6.0‬שימור יכולת הרציפות והמשכיות‬
‫‪#‬‬
‫‪#‬‬
‫‪#‬‬
‫‪#‬‬
‫מלחמה ושלום – עיקרון הרצף‬
‫ד"ר בועז לב‪ ,‬המשנה למנכ"ל משרד הבריאות‬
‫מרגולציה קפדנית באמצע המאה הקודמת‪,‬‬
‫להתפתחותם של תקנים וולונטריים להערכות לחרום‬
‫אל"מ )מיל( יחיאל קופר‬
‫האם אנו מנהלים או מתנהלים במצבי חרום ואסון?‬
‫פרופסור קובי פלג‪ ,‬ראש החוג לניהול מצבי חרום ואסון‬
‫באוניברסיטת תל אביב‬
‫הפעלת בית חולים תחת מתקפת טילים‬
‫ד"ר חזי לוי‪ ,‬מנהל ביה"ח ברזילאי‬
‫‪#‬‬
‫‪#‬‬
‫‪#‬‬
‫‪#‬‬
‫‪#‬‬
‫פיקוח ורגולציה על רציפות והמשכיות עסקית של שוק ההון‬
‫מר אליאור גבאי‪ ,‬סגן בכיר הממונה על שוק ההון ‪ -‬משרד האוצר‬
‫שימור התהליכים העסקיים הקריטיים – איך עושים זאת?‬
‫מר שלמה אבידן‪ ,‬סמנכ"ל תפעול בנק דיסקונט‬
‫ניהול סחר חוץ מנקודת המבט של נמל אשדוד‬
‫מר שוקי סגיס‪ ,‬מנכ"ל נמל אשדוד‬
‫כיצד מבטיחה חברת ס‪.‬ל‪.‬א‪ .‬אספקת תרופות וציוד‬
‫רפואי בצורה רציפה גם במצבי חירום‬
‫מר אביעד בוסי‪ ,‬מנכ"ל חברת ס‪.‬ל‪.‬א מקבוצת טבע‬
‫איך מבטיחים את תפקוד שרשרת האספקה במצבי משבר?‬
‫מר משה ריעני‪ ,‬סמנכ"ל שרשרת ההספקה בקבוצת שטראוס‬
‫‪#‬‬
‫‪#‬‬
‫‪#‬‬
‫‪#‬‬
‫כיצד איומי הסייבר משפיעים על הרציפות‬
‫וההמשכיות?‬
‫ד"ר נמרוד קוזלובסקי‪ ,‬המסלול ללימודי סייבר בבית הספר‬
‫למינהל עסקים בתל‪-‬אביב‪ ,‬יו"ר חברת אלטל אבטחת מידע‬
‫מאיסוף מידע ועד מתקפת סייבר מתוחכמת‬
‫מר ניר ולטמן‪ ,‬יו"ר הועדה המקצועית של האיגוד ‪ISSA‬‬
‫הצגת ‪CASE STUDY‬‬
‫הצגת ‪CASE STUDY‬‬
‫מחיר רגיל ‪ 440 -‬ש"ח‬
‫למשלמים‬
‫בהמחאה או‬
‫עלויות‪:‬‬
‫חברי הארגונים‬
‫בהעברה בנקאית או לקוחות נותני החסות* ‪ 380 -‬ש"ח‬
‫למשלמים‬
‫כרטיס אשראי‬
‫•בניית מרכז ‪SOC‬‬
‫ •מתודולוגיה להתמודדות עם‬
‫סייבר עפ"י תקן ‪ISO 27032‬‬
‫האיגוד הישראלי לאבטחת מידע (‪ )ISSA‬רוצה לברך‬
‫ולהודות לכל המשתתפים שתרמו לעריכת גיליון זה‪.‬‬
‫בין הכותבים שלנו‪:‬‬
‫ניר ולטמן ‪ CISO -‬בחברת ‪RETALIX‬‬
‫דני אברמוביץ ‪ -‬מנכ“ל חברת ‪TITANS SECURITY‬‬
‫שלומי מרדכי ‪ -‬מנמ“ר הקריה האקדמית‬
‫הדס שני ‪ -‬ראש צוות ‪ CERT‬בתהיל“ה‬
‫אלי כזום ‪ -‬מנהל אבטחת מידע אגף המכס והגבייה‬
‫מוטי מאירמן – יועץ אבטחת מידע בכיר‬
‫ארז מטולה – מנכ"ל ומייסד חברת ‪Appse-Labs‬‬
‫אורן הדר – מנכ"ל חברת ‪KnowIT‬‬
‫‪ 16:20-17:00‬ההרצאה המבוקשת ביותר בישראל ‪ -‬מר אלון אולמן‪" ,‬איש הברזל"‬
‫רציפות תפקודית וניהול משברים‬
‫מחיר רגיל ‪ 375 -‬ש"ח‬
‫חברי הארגונים‬
‫או לקוחות נותני החסות* ‪ 330 -‬ש"ח‬
‫ •מוקד התרעות סייבר‬
‫ •מגמות בעולם אבטחת המידע‬
‫‪ 08:00-09:00‬התכנסות‬
‫רציפות תפקודית והגנה אזרחית‬
‫ •המשכיות עסקית‬
‫עפ"י תקן ‪ISO 22301‬‬
‫להרשמה לחץ כאן‬
‫או על המודעה‬
‫אם גם אתם רוצים לכתוב כתבות‪,‬‬
‫נא לפנות אלינו בכתובת‪:‬‬
‫‪[email protected]‬‬
‫למתן חסות לאיגוד‪ ,‬ניתן לפנות אלינו‬
‫בחסות‪:‬‬
‫‪30‬‬
‫גיליון ‪ | 8‬פברואר‪-‬מרץ ‪| 2013‬‬
‫| גיליון ‪ | 8‬פברואר‪-‬מרץ ‪2013‬‬
‫‪31‬‬
‫האבטחה שלך‬
‫להצלחה בטוחה!‬
‫מנהלי אבטחת מידע‬
‫בואו ללמוד איך לקשר בהצלחה בין מטרות עסקיות של הארגון לאבטחת מידע‬
‫שם הקורס‬
‫תיאור הקורס‬
‫מסלול‬
‫משך הקורס‬
‫תאריך פתיחה תעודה‬
‫מסלול להכשרת מנהלי אבטחת מידע‬
‫(‪ )CISO‬מוסמכים‬
‫מסלול ייחודי להכשרת מנהלי אבטחת‬
‫מידע בעל ‪ 2‬הסמכות בינלאומיות‪.‬‬
‫‪ 200‬שעות‬
‫ערב‬
‫‪29.04.2013‬‬
‫בינלאומית‬
‫‪CISSP‬‬
‫מסלול ייחודי להכנה לבחינת ההסמכה‬
‫‪ 56‬שעות‬
‫ערב‬
‫‪29.04.2013‬‬
‫בינלאומית‬
‫‪CISSP‬‬
‫מסלול ייחודי ארוך במיוחד להכנה‬
‫לבחינת ההסמכה‬
‫‪ 100‬שעות‬
‫ערב‬
‫‪29.04.2013‬‬
‫בינלאומית‬
‫‪CISM‬‬
‫מסלול ייחודי להכנה לבחינת ההסמכה‬
‫‪ 40‬שעות‬
‫בוקר‬
‫‪19.05.2013‬‬
‫בינלאומית‬
‫‪CISM‬‬
‫מסלול ייחודי להכנה לבחינת ההסמכה‬
‫‪ 40‬שעות‬
‫ערב‬
‫‪19.05.2013‬‬
‫בינלאומית‬
‫‪CRISC‬‬
‫מסלול ייחודי להכנה לבחינת ההסמכה‬
‫‪ 40‬שעות‬
‫בוקר‬
‫‪19.05.2013‬‬
‫בינלאומית‬
‫‪CRISC‬‬
‫מסלול ייחודי להכנה לבחינת ההסמכה‬
‫‪ 40‬שעות‬
‫ערב‬
‫‪19.05.2013‬‬
‫בינלאומית‬
‫מסלול להכשרת מנהלי ניהול סיכונים (‪ )CRO‬מסלול ייחודי להכנה לבחינת ההסמכה‬
‫‪ 200‬שעות‬
‫ערב‬
‫‪24.03.2013‬‬
‫בינלאומית‬
‫‪Mobile Forensics‬‬
‫מסלול ייחודי להכשרת מומחי‬
‫ניתוח ממצאים בפלאפונים חכמים‪,‬‬
‫מכשירי‪ ,GPS ‬וטאבלטים‪.‬‬
‫‪ 40‬שעות‬
‫ערב‬
‫‪14.04.2013‬‬
‫‪CRISC‬‬
‫מסלול ייחודי להכנה לבחינת ההסמכה‬
‫‪ 40‬שעות‬
‫ערב‬
‫‪19.05.2013‬‬
‫‪Cyber Security and Incident Handling‬‬
‫מסלול טכנולוגי ייחודי ובלעדי‬
‫‪ 40‬שעות‬
‫ערב‬
‫‪19.05.2013‬‬
‫בינלאומית‬
‫לרשימה מלאה של כל הקורסים שלנו ניתן לפנות אלינו לכתובת‪ [email protected] :‬או לטלפון‪077-5150340 :‬‬
‫לתיאום פגישה וקבלת פרטים נוספים‬
‫‪077-5150340‬‬
‫חייגו‪:‬‬
‫אקדמיה‪ :‬דוא"ל‬
‫‪[email protected]‬‬
‫מכירות‪ 054-9844855 :‬דוא"ל ‪[email protected]‬‬
‫‪www.titans2.co.il‬‬
‫|‬
‫‪www.ts2.co.il‬‬
‫|‬
‫‪www.titans2.com‬‬