e n i z a g a M y t i r u c e S n o i מגזין אבטחת מידע וניהול סיכונים | גיליון מס' | 11ינואר 2014 בשער הביג דאטה משנה את עולם אבטחת המידע מגמות לשנת 2014 מדוע פרויקטי אבטחת מידע נכשלים הגנה על תחנות הקצה t a m r o f n I דבר נשיא האיגוד הישראלי לאבטחת מידע ()ISSA חברי איגוד יקרים, התחלנו שנה אזרחית חדשה ,2014 ,ואני רוצה לשתף אתכם בעדכונים ובעשייה של האיגוד בחצי השנה האחרונה ל 2013 וכמובן תוכניות ל.2014 העיתון ימשיך להיות מופץ אחת לחודשיים ויספק לכם הקוראים סקירות אודות טכנולוגיות ,אירועים וחדשות בעולם אבטחת המידע והסייבר .כמו כן ,אנו נשיק בקרוב אתר חדש ,מעין פורטל חדשות בעולם הסייבר ,בשיתוף עם המגזין .GLOBAL SECURITY כך תוכלו להנות ממגוון רחב יותר של כתבות ,ידיעות וחדשות מעולם אבטחת המידע והסייבר מבלי לאלץ להמתין לעיתון הדו-חודשי .העיתון הדו-חודשי ,יבצע סקירה מעמיקה של כל האירועים והחדשות שמצאנו לנכון לרכז עבורכם במהלך התקופה הרלוונטית. כמו כן ,בקרוב יעלה לאוויר לוח של האירועים לשנת ,2014 ובמסגרת פעילות האיגוד תוכלו השנה ממגוון רחב יותר של ימים עיון ,כנסים ואף מסלולי הכשרה בעלי הסמכה בינלאומית. השנה הייתה עמוסה ומאתגרת עבור כל העוסק בתחום אבטחת המידע בכלל ,ועבור מנהלי אבטחת המידע בפרט ,ואינני צופה להקלות גם בשנה הנוכחית. דבר העורך ניהול סיכונים הפתרון של היום לבעיות של מחר אם מנהלי אבטחת מידע חפצים ביקרם ומעוניינים לשמור על המיקום שלהם בדרג ההנהלה ותשומת הלב הניהולית ,סיכם אורן, עליהם להרחיב את פעילותם בעולם ניהול הסיכונים" .מעמדם של מנהלי אבטחת המידע נמצא בפיחות .התחום נמצא בפיחות. לכן -המענה הטוב ביותר למצב זה הוא על ידי טיפול בעולם ניהול הסיכונים ,תוך יצירת ראייה רחבה -לא רק של סיכוני אבטחת מידע ,כי אם מכלול הסיכונים ,והבנה עמוקה של הביזנס. מנהלי אבטחת המידע צברו ידע ומתודולוגיות אותם ניתן להשליך על תחומים אחרים ,וזה לא נעשה,וחבל .זה היה צריך לקרות לפני שנה-שנתיים וזה לא קורה .כולם צריכים לעסוק בכך. עמידה בתקנות ,מתקפות סייבר מגוונות ,משתמשי קצה תמימים ,מגמות וטכנולוגיות חדשות ( ,BYODענן ,ביג דאטה) - כיצד מתמודדים עם של האיומים? הדרך היעילה ביותר למקד את המאמצים ,היא להפסיק לחשוב על פרצות ולהתחיל לאמץ מונחים של סיכונים .אף ארגון אינו יכול לסתום את כל הפרצות, משום שאין די משאבים ואף פעם לא יהיו .אפילו עם תקציבי האבטחה היו אינסופיים ,הרי שזירת האיומים משתנה בכל העת. אנחנו נהיה כאן ונלווה אתכם בדרככם בתחום אבטחת המידע, בין אם הנכם חדשים בתחום ,ובין הנכם מהותיקים ,ונחדש ונעשיר לכם את הידע בתחומים הרלוונטיים. השנה ,אנו צופים להמשכיות במגמות שהחלו לפני כשנתיים, והם רק ילכו ויתפתחו יותר ,ואני מדבר על מחשוב ענן ,עולם הביג דאטה שנכנס יותר ויותר לעולם אבטחת המידע ומודיעין העסקי ,וכמובן המגמה שמטרידה הכי הרבה את הארגונים... מגמת ה.BYOD- הערכת סיכונים אינה משמשת כמובן ,אך ורק לצורכי מחשוב ואבטחת מידע .חברות עסקיות נעזרות בניתוח סיכונים בכל פעם שהן משיקות מוצרים חדשים ,מנהלות תקציבי שיווק או משקיעות הון .מחלקות המחשוב יכולות להיעזר בידע שהצטבר כבר בתחום זה בחברה שלהן. וועדת ההכשרות של האיגוד ,עמלה וגיבשה תוכנית הכשרות והדרכות הכוללת סדנאות מקצועיות ,שמתבססות על מגוון רחב של נושאים אשר יאתגרו את מנהלי אבטחת המידע גם בשנת . 2014מטרת הסדנאות היא לספק לכם לכם את כל הכלים שנדרשים כיום מנהלי אבטחת המידע ,בהתמודדות מול מיתר האיומים והאתגרים בעולם אבטחת המידע בכלל ,ובתחום הסייבר בפרט. ניהול סיכונים משמש בעיקר לגיבוש מדיניות ביחס לצמצום סיכונים ותיקון פרצות .הוא יכול לתרום לייעול של תהליכים - דוגמת הסתייעות במסדי נתונים על מנת להקל על ניהול הנתונים והעמידה בתקנות .הבנת המקור לפרצות ותיקון גורמי השורש לתקלות מגבירים את היעילות בכל רחבי החברה .גם עמידה בתקנות מסייעת בדרך כלל לנהל סיכונים ,בין אם באמצעות שיפור של תשתיות האבטחה וניהול האחסון ובין אם באמצעות שיפור של ניהול הזהויות ותיעוד התהליכים. הנכם מוזמנים ליצור קשר עם האיגוד ,ולעקוב אחר הפעילות שלנו ברשת ובאתר ,בכדי שתוכלו להתעדכן על האירועים שלנו. אני אשמח לראות כל אחד ואחת מכם באירועים של האיגוד, ומאחל לכולכם שנה אזרחית שקטה ומאובטחת. בכבוד רב, השורה התחתונה היא ,שהעלות הראשונית של ניהול הסיכונים נראית גבוהה ,אך בטווח הארוך הוא משפר את היעילות ,מקל על ניהול הנתונים ,מסייע לתעד תהליכים קיימים וכמובן -משפר בפועל את אבטחת המידע ,ומשום כך המחיר מוצדק. בכבוד רב ,אלדד משולם ,העורך הראשי של המגזין. דני אברמוביץ נשיא האיגוד העולמי לאבטחת מידע ( - )ISSAהציאפטר הישראלי 2 גיליון | 11ינואר | 2014 ראיונות בלעדיים עם מנהלי ומומחי אבטחת מידע סיכום שנת 2013 מגמות לשנת 2014 מדוע פרויקטי אבטחת מידע נכשלים הגנה על תחנות הקצה הביג דאטה משנה את עולם אבטחת המידע סיכון ,בהגדרה הפשוטה ביותר ,הוא הסבירות שייגרם הפסד או אובדן כתוצאה מפעילות מסוימת .בתהליך של ניהול הסיכונים נעזרים באנשים ,תהליכים ומוצרים כדי להפחית את הסבירות שיתרחש אירוע בלתי רצוי ,וכדי שאם הוא יתרחש בכל זאת, ההפסד או האובדן יהיו מועטים. מנקודת מבט של אנשי מחשוב ,אין מדובר אך ורק בקביעה של מדיניות אבטחה .במקום להתמקד באופן שבו עלולות מתקפות להתרחש ,על מחלקת המחשוב להתמקד בשווי הנתונים ובסבירות שייפגעו .חשוב להבין כמובן גם את האופן שבו מתרחשות מתקפות ,אך לאחר שהנתונים אבדו ,כבר לא ניתן להשיבם. אני רוצה להודות בהזדמנות זו לכל חברי הנהלת האיגוד ,על תרומתכם לאיגוד ,ועמלתם קשה בכדי להרים את הפעילות השנתית ,ועל כך אני מודה לכם. מה בגיליון? נשמח לקבל הצעות לכתבות ,הערות והארות. עורך ראשי :אלדד משולם סגן עורך :שלומי מרדכי המערכתTITANS SECURITY GROUP : צלם המערכת :יוסי טובליס דוא"ל[email protected] : האיגוד אינו אחראי לתוכן המודעות .כל הזכויות שמורות. אין להעתיק רשימות וחלקים בלא היתר. בכל גיליון תקבלו חשיפה טכנולוגית על פתרונות אבטחת מידע שונים .אין אנו משמשים כגורם ממליץ ,או ממליצים על מוצר כזה או אחר .מטרת הכתבות היא חשיפה טכנולוגית בלבד .כמו כן ,כל הכתבות בגיליון מביאות את חוות דעתם של הכותבים ,ואין זה מביע את כוונת האיגוד. ניתן לשלוח לנו מייל למערכת לכתובת[email protected] : | גיליון | 11ינואר 2014 3 9 אתגרי אבטחה במחשוב ענן המונח מחשוב ענן ( )Cloud Computingמתייחס לרוב לשירותי מחשוב .שירותים אלה מתחלקים לסוגים שונים .המניע העיקרי לעבור לענן היא ,לכאורה ,חסכון במשאבים (שטח פיזי ,שרתים ,תוכנות ועוד) ומכך חסכון בעלויות .שירותי ענן מוצעים בשיטות שונות ומונחים שונים (.)SAAS, PAAS, IAAS להלן 9אתגרי אבטחה בעת עבודה עם מחשוב ענן ,שכל מנהל אבטחת מידע צריך לקחת בחשבון: 1 מעילה/גניבה :עובד אצל ספקית מחשוב ענן, בעל הרשאות גבוהות (כגון )Adminמסוגל להפעיל אפליקציות רגישות או להיכנס לבסיסי נתונים רגישים ולבצע מעילה בכספי הארגון או לגנוב נתונים רגישים .כל זאת ,ללא יכולת בקרה של הארגון. 2 תשתית לא מאובטחת :אם בארגון יש למנהלי הרשת בקרה על הקשחת שרתים ,השרתים בענן עשויים שלא להיות בשליטת הארגון .ניצול פרצות בהקשחות השרתים עשוי לאפשר ניצולם לרעה. 3 היעדר אמצעי אבטחה נאותים :אם ברשת הפנימית אנחנו יכולים להתקין מערכות אבטחה כראות עינינו ,בענן היכולת שלנו מוגבלת עד בלתי-אפשרית .רמת אבטחת המערכות שלנו עשויה לרדת באופן משמעותי ביציאה לענן. 4 ממשק ניהול פרוץ :כדי להקל על ארגונים ,או עקב חוסר מודעות ,ספק הענן עשוי לאפשר גישה לא מאובטחת כראוי ללקוחות השונים לצורך ניהול המערכות .סביר להניח שהאקר ינסה בראש ובראשונה להשיג גישה לממשק זה שיאפשר לו שליטה מלאה לביצוע פעולות זדוניות. 7 חבות משפטית :בשירותי ענן ,לא ברור איפה השירות נמצא – באיזה מדינה חוות השרתים מותקנת .ייתכן גם שהשירות ינדוד בין חוות שרתים במדינות שונות באופן שקוף לארגון. במקרה של אירוע ,מול איזה ישות משפטית ימוצה הדין ,ולפי חוק של איזה מדינה? האם יש לארגון שליטה על בחירת הרשות השופטת? 8 ניהול אירועי אבטחת מידע :במערך המחשוב בארגון ,בעת אירוע אבטחת מידע ,הצוות נגיש לכלל המערכות ,ויכול לנהל את האירוע במלואו. בעת מסירת מערך המחשוב לספקיות הענן, תהיה בעיה לנהל את האירוע ,ואנו הופכים להיות תלויים באנשים של ספקיות מחשוב הענן. 9 תחקור דיגיטלי ( :)Digital Forensicsבמקרה של אירוע אבטחת מידע ,כיצד והאם בכלל נוכל לבצע תחקור דיגיטלי על מנת לאסוף ראיות לביצוע המעילה\הונאה\עבירה פלילית שבגינה יש צורך לאסוף את המידע. ישנם עוד סיכונים שלא פורטו .יותר מכך ,כיום לא ברורים עדיין כל הסיכונים .בעתיד יתגלו סיכונים שטרם חשבו עליהם .ברור שאם טרם מופו כל הסיכונים ,טרם נתפרו מנגנוני הגנה מפני סיכונים אלה .ביום הדין ,הארגון עשוי למצוא את עצמו בבעיה קשה ,ולכן ,על מנהל אבטחת המידע לנהל היטב את הסיכונים הכרוכים בעבודה במחשוב ענן ,ולהציג את הממצאים להנהלת הארגון ,כדי שיהיו מודעים לכך .ההחלטה על מעבר לעבודה במחשוב ענן ,היא של הנהלת הארגון ,אך מתוקף תפקידנו כמנהלי אבטחת מידע ,להציג בפניהם את כלל הסיכונים הכרוכים בכך. אומנות ניהול הסיכונים אחד האיומים שמולם ניצבים מנהלי ITהוא מנהלים בכירים שעוקפים החלטות אבטחה קריטיות .לפעמים החלטות לא עומדות בד בבד מול היחס של יתרונות לעומת עלויות ומידת הסיכון .לכן מנהלי ITצריכים לוודא שההחלטות שלהם לא כוללות דרישות שהן לא סבירות מבחינת צרכי העסק .בתקופה האחרונה זה הפך לאתגר ממשי לאור הצמיחה של הרשתות החברתיות והאפשרויות העסקיות שהן מציעות. קרוב לוודאי שלא כל עובד זקוק לגישה לרשתות החברתיות ,אך מדיניות גורפת אשר מונעת גישה לאתרים אלו יכולה להוריד עסק לעמדה נחותה לעומת המתחרים. המניע העיקרי ,אם לא היחידי ,הוא כסף .התוקפים מכוונים את התקפותיהם לכל מקום שיש בו כסף כמו שנמר מכוון את התקפותיו לכל מקום שיש בו אוכל .ויש הרבה כסף בריגול עסקי ,מדינות וממשלות משלמות הרבה כסף להאקרים שמועסקים אצלן. איום נוסף שקיים היום הוא חוסר המודעות לצורך החיוני בחינוך והדרכה מתמשכת גם למשתמשי הקצה עם של המקצוענים בתחום .מנהלי IT מקצועיים צריכים להגיע לכנסים ותערוכות על מנת לפתח קשרים עם קולגות בתחום שיכולות לחלוק מניסיונם ,לשתף ידע ,ולהיחשף לטכנולוגיות ואפשרויות חדשות. יש כסף גם במגזר העסקי-פרטי ,בעיקר בגניבת זהויות .יש כסף בגניבת זהויות במשחקי און-ליין ויש כסף בפריצה לחשבונות מדיה חברתית. לא מדובר יותר ב"תהיל"ה" שמניעה בעקבות איזו פריצה אלגנטית או וירוס שנכתב בצורה מתוחכמת .ברוכים הבאים למציאת הטרור הקיברנטי! הכשרה מקצועית בנושא אבטחת מידע למשתמשי הקצה ,שלרוב אינם מומחים בתחום אבטחת המידע ,יכולה להפחית מעומס העבודה של מנהלי ה IT-ולמנוע טעויות יקרות שניתן להימנע מהן בקלות עם חינוך מונע. ניהול סיכונים תקלות כלליות :תקלה בהגדרות או בתוכנה של הספק עשויות לפתוח ,באופן זמני ,פרצה רוחבית לכל המערכות המאוחסנות אצל הספק. לא מזמן פורסם מקרה כזה שאפשר ,למשך כשעתיים ,גישה לכולם ללא סיסמא. הונאות שמתבצעות באמצעות מייל או רשתות חברתיות הופכות ליותר ויותר נפוצות וחינוך בנושא זה הוא הכרחי אך כמעט שאינו קיים במרבית הארגונית .מעבר לכך ,ברור לנו היום יותר מתמיד שאבטחת מידע תלויה גם בטכנולוגיה עם אכיפת מדיניות על ידי משתמשים ,ואת זה עושים דרך הגברת מודעות וחינוך. שיתוף מידע :המידע המאוחסן ע"י הספק יושב בתשתית Storageמשותפת .הגדרות לקויות עשויות לגרום לזליגת מידע בין לקוחות. ניהול של עדכוני אבטחה במערכות הפעלה ותוכנות הוא נושא בעייתי בארגונים רבים. התולעת קונפיקר ,שפרצה לראשונה ב2007- 5 6 4 גיליון | 11ינואר | 2014 והדביקה מיליוני מחשבים ורשתות בעולם בתוך זמן קצר ,הסוסים הטרויאניים פליים ,וזאוס שהסתתרו במשך שנים רבות בארגונים ,מבלי שידעו על קיומם ,היא ההוכחה לחומרת הבעיה. אם כן ,מה מניע את התוקף ,ולאן הם מכוונים את ההתקפות הבאות? ניהול סיכונים הוא המדע והאומנות בקבלת ההחלטות של כמה להשקיע ואיפה להשקיע כדי למנוע אובדן של מידע או לפחות למזער את הנזק כתוצאה ממימוש האיום .אם הפתרון לאיום מסוים הוא כל כך יקר שהעסק נופל בגללו, סימן שאותו הסיכון לא נוהל כהלכה .אם העסק נראה שהוא מצליח ,אך נאלץ להתמודד עם קנסות כבדים שנובעים מאי עמידה בדרישות הרגולטור (כמו לדוגמא פרסום באמצעות ספאם או שימוש בתוכנות ללא רישיון) סימן שמדיניות ניהול הסיכונים לא יושמה בצורה נכונה בארגון. הטובים ביותר בתחום ניהול הסיכונים הם ממש אמנים ,מעבר להיותם מדענים. יישום מדיניות של ניהול סיכונים בארגון הנושא הזה משתנה מחברה לחברה ,מתחום לתחום וממגזר למגזר .ניהול סיכונים צריך להיות מיושם באופן אחד בחברה למוצרים רפואיים ובאופן אחר ברשת של מזון מהיר .זה מתייחס לרמת החשיפה של מידע על לקוחות ,קניין רוחני, מידע משפטי ואיזה נזק תדמיתי עלול להיגרם. לאחר סיכום כל הגורמים הללו ,יש ליצור משוואה של עלות תועלת שמתחשבנת גם בדברים כמו סביבה ,משפחה ,שימור עובדים וכד' ועל הפתרון להתאים לתקציב הארגון. בעת יישום מדיניות ניהול סיכונים ,לא צריך לחשוב רק על הערך הכספי הישיר של המידע עליך אתה מנסה להגן .העלות שנחסכת על אבטחת המידע לא משתווה לערך הישיר של המידע שנמצא בסיכון. במקרים רבים עלות הכשל והנזק עולה בהרבה על ערכו הישיר של המידע :על העלות הישירה צריך להוסיף את הנזק התדמיתי ,אובדן של עובדים חיוניים ,לקוחות ,קנסות וכדומה. לסיום עצה שימושית לכל מנהל אבטחת מידע הניצב בפני איומים שונים ומגוונים :אם יש לך רק פתרון אחד לבעיה ,כנראה שלא הבנת את כל ההשלכות של הבעיה .כשאני רואה שיש רק פתרון אחד לבעיה נתונה ,אני לוקח צעד אחורה ושואל את עצמי מה פספסתי והאם אכן הגדרתי את הבעיה בצורה מדויקת .למעשה ,זו גם המשמעות האמיתית של ניהול סיכונים נכון. הכותב הינו יועץ בכיר לתחום ה GRC-בכלל, ובתחום ניהול הסיכונים בפרט. | גיליון | 11ינואר 2014 5 זהירות, האח הגדול צופה בך! האם חשבת פעם שהאח הגדול הינה תכנית ריאליטי בטלוויזיה בלבד? כדאי שתחשוב פעם נוספת לפני עידן האינטרנט ושיתוף המידע ,אנשים היו מנהלים את המידע שלהם באופן מקומי. סוגי המידע כללו בדרך כך תמונות אישיות, מסמכים אישיים ,וכיוצ"ב. רק לאנשים עצמם הייתה גישה פיזית למידע ברוב המקרים ,ורק הם יכלו להציג אותו למי שהם שרצו. היום בעידן האינטרנט ,כמעט כל המידע מנוהל באינטרנט. כל אחד מאיתנו מחזיק תיבת דואר אישית באחד הספקים הגדולים כמו ,Hotmailג'ימייל ,וואלה ,ועוד. למי מאיתנו אין היום חשבון פייסבוק LinkedIn ,או כל חשבון רשת חברתי אחר אשר מחזיק פרופיל אישי עם פרטים אישיים ? למשל רשימת חברים קרובים ,קשר משפחתי ,סטאטוסים אישיים, תמונות ועוד. אתרי אינטרנט כמו eBayאו אתרי מוזיקה כגון YouTubeמאפשרים רישום לאתר שלהם ,ולאחר מכן יכולים לאסוף ולשמור את טעמי המשתמש. מנועי חיפוש כגון גוגל ,מתחזקת ומנהלת מידע עצום הנוגע למאפייני החיפוש של הגולשים. תכנית PRISMלחיבור שרתים כמו אפל, גוגל ,פייסבוק ,מיקרוסופט ,יאהו ,סקייפ ,יוטיוב, AOLו .Paltalkהתכנית נולדה בשנת ,2008 לאחר שעברה את FISAהחוק שמגן על חברות אמריקניות במקרים שבו שיתפו מידע אישי עם פקידים ממשלתיים אישיים מידע .התכנית הייתה סודית כמובן ורק ה FBI-וה NSA -ידעו על קיומו. ,Project Chessמיזם סודי שהופעל בחברת סקייפ מאפשר לממשל האמריקני להאזין לשיחות הסקייפ שלנו. חברת אקסיומה ,אשר מתמחה באיסוף מידע על לקוחות ,תפרסם את הפרטים לאנשים שנמצאים במאגרי המידע שלהם כדי לאפשר להם גישה לחלק מהמידע שנאסף. פרייקט אשלון ( , )ECHELONאשר מחובר לעשרות שרתים בעולם. בעבר לפני עידן הסייבר ,האתגר ברוב המקרים היה לקבל גישה פיזית על מנת להשיג את המידע הרגיש. דוגמה מפורסמת לכך היא פרשת ווטרגייט בשנות ה -70בארה"ב. כיום ,הגישה מתבצעת מרחוק ,באמצעות רשת האינטרנט. גדילה משמעותית בשירותי ענן כמו "אמזון", שהופכת להיות מאוד פופולרית לניהול משאבי הארגון באמצעות האינטרנט. מאחר והרשת הינה גלובלית ,אין צורך בגישה פיזית לנתונים הרגישים על מנת להשיג אותו. מדינות שונות ,כגון מדינת ישראל אשר החלה פיילוט לניהול המאגר הביומטרי עבור האזרחים. לפיכך ,החשיפה היא הרבה יותר גדולה ,ולכן האיום לגנוב אותו גדל בהתאם. אזרח אשר יגיע למשרד הפנים ,על מנת לחדש את הדרכונים ותעודות זהות או לבצע פעולות אחרות ,יתבקש לספק טביעות אצבע ותמונות פנים ,אשר יוכנס למאגר. האתגר המרכזי בעולם אבטחת המידע ,הינו למצוא דרך להגן על המידע והנכסים העסקיים של הארגון ,ועדיין להגן על פרטיות המשתמשים. כתוצאה מכך ,מידע בעל ערך רב על כל אחד מאיתנו נשמר ומנוהל מחוץ לידיים שלנו.חמור מכך ,אין לנו יכולת לשלוט בו ,לדעת מי יכול לשים את הידיים שלו עליו ולשם איזו מטרה. מאת רועי זימון ,מומחה אבטחת מידע אפליקטיבי בתחום הסייבר. נביא כאן מספר דוגמאות מהתקשורת העולמית: חברות פרסום משלמות סכומי עתק כדי לשים יד על מידע מסוג זה,כדי לפרסם את מוצריהם לקהל היעד בצורה אישית. קהל יעד אשר היה קשה מאוד להגיע אליו בדרך אחרת .כל אותן חברות משלמות עבור שטח פרסום בפייסבוק ,גוגל ,ועוד. ממשלות בעולם מנסות לשים את ידיהם על מידע גם כן לצורכי לריגול או ביטחון. ארגונים שונים מיישמים בקרות שונות כגון DLP (מניעת דליפת נתונים) ,אשר נועדו לפקח ולוודא שמידע רגיש של החברה לא יגיע לידיים הלא נכונות. מסיבה זו יש צורך למצוא את האיזון הנכון בין הגנה על הפרטיות של המשתמש ,ועדיין לשמור על האינטרסים של הארגון. לכן חיוני מאוד ,לעשות הבחנה בין נתונים אישיים של עובדים ,לנתונים לא אישיים ,ולדאוג שמידע אישי ופרטי של העובד אינו במעקב. כמו כן חשוב מאוד ליידע את העובד על הבקרות השונות אשר מופעלות ובאילו תנאים הם מופעלים. צריך לקחת בחשבון שרק קומץ של בעלי תפקידים מוגדר ,יקבלו גישה לבקרות עם המידע הרגיש. לסיכום ,יש לזכור שברגע שהמידע עולה לרשת, הוא אינו בשליטתנו יותר. לכן כדאי לחשוב פעמיים לפני שעושים זאת. 6 גיליון | 11ינואר | 2014 | גיליון | 11ינואר 2014 7 האיגוד העולמי לאבטחת מידע (– )ISSAהצ'אפטר הישראלי קורס CISO האיגוד הינו גוף מלכ"ר (ללא מטרות רווח) כאשר מטרתו העיקרית היא קידום נושא אבטחת המידע בישראל ,בכל ההיבטים. אודות גיליון Global Security למה כדאי לחפש מידע במגזין שלנו ולא למשל ב Google-או כל עיתון אחר? חברי האיגוד נהנים מהטבות ייחודיות במהלך כל השנה ,כגון הרצאות מקצועיות ,ימי עיון ,חומרים מקצועיים ,ועוד .כיום ,חברים באיגוד כמה מאות מקצועני אבטחת מידע ,ואנו שואפים לגייס את כלל קהילת ה IT-בישראל. בנוסף ,חברי האיגוד נהנים ממהדורה ייחודית ובלעדית של –Global Security המגזין המוביל בישראל בתחום אבטחת המידע. e S e c u r i t y M a g a z i n e n i z I n f o r m a t i o n מגזין א בטחת מגזין אב a g a M y t i r u c e S n o i t a m r o f •מיקוד בתחום אבטחת המידע – המגזין עוסק אך ורק בתחום אבטחת המידע וניהול סיכונים. •יותר כתבות מקצועיות ופחות תדמיתיות – רוב המגזינים כיום יותר תדמיתיים, ופחות מקצועיים .אנו שומרים על רמה מקצועית ,וכמות מינימאלית של כתבות תדמית. n מידע וניהול סיכונים | גיליון מס' 4 | אוגוסט 2012 | יולי 2012 גיליון מס' 3 יהול סי כונים | I •השוואתיות – מאפשר השוואה פשוטה ואובייקטיבית בין הספקים והפתרונות. •היקף מידע – תמונה רחבה יותר ,ולא רק התמקדות בנושאים ספציפיים. Identity M anagemen t נתי של האיגוד קור הכנס הש סי בעולם הסייבר מגמות ערכות SIEM מ ערכות IPS מ זהירות בוטנט •תשלום סמלי – מדובר בעלות סמלית, והנכם מנויים למגזין אבטחת המידע המוביל בישראל •מקצועני אבטחת מידע – כל הכותבים שלנו עוסקים בתחום אבטחת המידע למעלה מ 7-שנים ,והם בכירים בתחום, ברמה העולמית. טחת מידע ונ בשער מלחמת בשער ניהול זהויות תלמד • תוביל • תצליח! סייבר האיום החדש בעידן הסייבר מתקפות APT הגנה על מערכות SCADA אחת לרבעון – מוסף מיוחד מה הערך המוסף שלנו? בעת בחירת ספק (מערכת\מוצר) תהליך מכרז או בקשה למידע מתחיל בפנייה שלכם לכמה ספקים בהתאם להוצאת RFI/RFPמהחברה .אנו מרכזים עבורכם את כל המידע המקצועי המקיף ביותר ,ובר השוואה אודות הפתרונות אבטחת המידע השונים, באופן שזה מכסה את כל השאלות המרכזיות הנשאלות בנוגע לפתרון אפשרי: .1סקירה טכנולוגית רחבה אודות הפתרון שמחפשים .2סקירת הפתרונות בתחום הספציפי. .3מי הם הספקים המובילים בתחום? .5פרטי החברה של היצרן/ספק/האינטרגטור: שם ,מספר עובדים ,שנת הקמה ,יתרונות וחסרונות ,סוגי פעילות בחברה ,נושאים \תחומי פעילות והתמחות ,קישורים ,מידע טכנולוגי ,איש קשר ,חוסן כלכלי ,לקוחות בארץ ,לקוחות בחו"ל, תוכניות הרחבה למוצר ,מספר התקנות בארץ .6מה הערך המוסף של כל ספק בתחום הפתרון המוצע? .7כיצד מנהלים את הפרויקט? .8מהם נקודות כשל בפרויקט שמהם צריכים להיזהר? .9מה צריכים לדרוש מהספקים בעת יציאה למכרז? הטכנולוגיה רצה קדימה ,ההנהלות דורשות החזר השקעה ,הספקים מציעים לנו פתרונות ללא סוף, והלקוחות מצפים לשירות עם אפס תקלות ושמירה על המידע שלהם .זוהי הסביבה שאיתה נאלץ כל מנהל אבטחת מידע להתמודד יום יום כחלק מהעשייה והחיפוש אחר ההצלחה בתפקיד .הקורס שם דגש על החידושים והאתגרים השונים בתחום אבטחת מידע וניהול. במסגרת הקורס נציג את הנושאים החדשים וההתפתחויות בתחום תוך מתן כלים מעשיים למנהל אבטחת המידע לניהול תקין של מערך האבטחה בארגון. נציג בצורה אובייקטיבית את הנושאים השונים תוך מתן המלצה לגבי דרכי היישום וקביעת סדרי העדיפות של הנושא (בהתאם לחומרת העניין ותהליך ניהול סיכונים מובנה) ,וכמובן נצייד את התלמידים בכל הכלים ,הן בפן הטכנולוגי והן בפן העסקי-ניהולי, שכל מנהל אבטחת מידע צריך כדי לשרוד בתפקידו. הקורס חושף את התלמיד למגוון רחב של נושאים ,הן בפן הטכנולוגי ,והן בפן העסקי-ניהולי .הקורס חובה לכל מנהל אבטחת מידע הרוצה להתעדכן בצורה שיטתית וחסרת אינטרס במגמות ובכיוונים של עולם אבטחת המידע וניהול סיכונים. מנחה ומרצה ראשי דני אברמוביץ, מנכ"ל טיטנס סקיוריטי שיטת הלימוד •הקורס יציג תפיסות טכנולוגיות ,עסקיות וניהוליות ודרך יישומן בארגון •הקורס יכלול הרצאות פרונטאליות משולבות בהצגת וניתוח מקרים (Case )Studies •הקורס כולל הגשת והצגת פרויקט גמר קהל יעד מנהלי אבטחת מידע ,מנהלי תחום ניהול סיכונים ,מנהלי ,ITיועצים היקף הקורס 200שעות פרונטאליות כ 500-שעות תרגול עצמי 50מפגשים של 4שעות כל מפגש למידע ,ייעוץ והרשמה ניתן לפנות לטלפון 077-5150340 דוא"ל[email protected] : www.titans2.co.il | www.ts2.co.il | www.titans2.com הביג דאטה משנה את עולם האבטחה תופעת הביג דאטה תיצור בשנים הקרובות שינויים משמעותיים בתעשיית אבטחת המידע ותניע את פיתוחם של מודלים חדשים להגנה על נתונים .ההערכה היא כי לתהליכי ניתוח ביג דאטה תהיה השפעה מכרעת על רוב קטגוריות המוצרים בשוק אבטחת המידע בעשור השנים הקרוב ,ובהן מערכות ,SIEM ניטור רשת ,אימות משתמשים והרשאות ,ניהול זהויות ,גילוי הונאות ,סריקת מחשבים וניהול סיכונים. 10 גיליון | 11ינואר | 2014 בכנס השנתי של , RSAשהתקיים בסוף פברואר ,2013טען ארט קוביילו ,נשיא החברה ,כי הביג דאטה יאפשר סוף סוף "לחבר'ה הטובים" לגבור על "הרעים" ,כאשר הביג דאטה ,המשלב יכולות מעולמות הרשתות החברתיות ,הטכנולוגיות הניידות ומחשוב הענן ,יספק עושר של מידע שאותו ניתן לפלח ולנתח – ולהפיק תובנות שיניעו מערכות אבטחה מבוססות אינטיליגנציה. מערכות שכאלה יכולות להיות עמידות גם לשינויים עתידיים ,כיוון שהן מתפתחות ולומדות כל העת ,ומגיבות לאותם שינויים. כבר בשנה הקרובה נראה חברות אבטחת מידע שמציעות פתרונות ביג דאטה מסחריים .אם בעבר ,כלים מתקדמים לניתוח מידע שהוטמעו במוקדי אבטחת המידע ,נבנו לפי הזמנה ,ב2014- יחל תהליך מסחור של טכנולוגיות ביג דאטה הנכללות במוצרי אבטחה ,מגמה שתעצב מחדש גישות אבטחה ופתרונות תוכנה ותייצר הוצאות כספיות בשנים הקרובות .בטווח הארוך יותר, ישנה הביג דאטה את טיבם של מנגנוני האבטחה הקונבנציונליים הפועלים כנגד תוכנות זדוניות, מונעים אובדן מידע ויוצרים "חומות אש" למיניהן. במהלך שלוש עד חמש השנים הקרובות ,נראה המשך פיתוח של כלים לניתוח נתונים אשר יאפשרו מגוון של יכולות חיזוי מתקדמות ובקרות הגנה בזמן אמת. העולם העסקי של ימינו ,הגדוש במידע ומבוסס על מחשוב ענן ומכשירים ניידים ,הפך למיושנים את נהלי האבטחה התלויים במערכות הגנה היקפית ואבטחה סטטית ,שלצורך פעולתן התקינה נדרש ידע מוקדם על איומים .זאת הסיבה לכך שמנהלי אבטחה בוחרים לעבור למודל המבוסס על מודיעין – מודל גמיש ,חוקר הקשרים ומודע לסיכונים אשר מסייע לארגונים להתגונן מפני איומים ידועים .מדובר בגישת אבטחה מושכלת הנתמכת בידי כלים לניתוח ביג דאטה ומשלבת הערכות סיכון דינמיות ושיתוף מידע אודות איומים וטכניקות התקפה. להלן הנחיות לארגונים המבקשים לתכנן מעבר להגנה מבוססת ביג דאטה ,כחלק מתוכנית כוללת לאבטחה מבוססת מודיעין: 1 אסטרטגיה הוליסטית לאבטחת סייבר – יש לתכנן את ההגנה בהתאם לדרישות ,לסיכונים ולאיומים הספציפיים של הארגון. ארכיטקטורה למידע המשותף – מכיוון שניתוח הביג דאטה מתבסס על איסוף מידע ממקורות שונים בפורמטים רבים ,יש להקים ארכיטקטורה אחת המאפשרת ביצוע תהליכי איסוף ,מדידה ,ניתוח ושיתוף המידע. 2 ארכיטקטורת אבטחה מאוחדת – ארגונים צריכים להחליט באיזה מוצרי אבטחה הם ימשיכו לתמוך ולהשתמש בשנים הקרובות .זאת מאחר וכל מוצר מציע מבנה נתונים משלו, שבעתיד הקרוב יצטרך להשתלב במסגרת מאוחדת לניתוח נתונים. 3 כלי אבטחה פתוחים וניתנים להרחבה עבור הביג דאטה – ארגונים נדרשים להבטיח שהשקעות שוטפות במוצרי אבטחה יתמקדו בטכנולוגיות המשתמשות בגישות גמישות לניתוח נתונים ולא בכלים סטטיים המתייחסים לגבולות הרשת ולאיומים המוכרים .על כלי הניתוח החדשים להציע גמישות מבנית שתאפשר שינויים ככל שהעסק, טכנולוגיית המידע או איומי האבטחה ,ילכו ויתפתחו. 4 חיזוק המיומנויות המדעיות של צוות האבטחה – פתרונות אבטחה לביג דאטה יסופקו ודאי בזמן ,אך צוותי האבטחה בארגונים עלולים שלא להיות מוכנים כהלכה לשינויים .מדעני מידע עם ידע מקצועי בתחום האבטחה הם מצרך נדיר והביקוש להעסקתם ימשיך להיות גבוה .זאת הסיבה לכך שארגונים רבים נוטים להיעזר בגורמים חיצוניים בכדי להוסיף על היכולת העצמית לניתוח אבטחה. 5 מודיעין על איומים חיצוניים – יש להרחיב תכניות פנימיות לניתוח אבטחה באמצעות הכללת מודיעין על איומים חיצוניים .יש לבצע הערכה של מידע המגיע רק ממקורות מהימנים ורלוונטיים. 6 שילוב הביג דאטה בנוהלי האבטחה יספק תמונה ברורה יותר של סביבת ה , IT-ישפר את היכולת להבחין בין פעולות חשודות לרגילות ,יגביר את האמון במערכות ויעצים באופן משמעותי את היכולת להגיב לאירועים .המשחק משתנה אל מול עינינו :יותר ויותר נתונים מוכנסים לאינטרנט באופן אוטומטי ,ומגמה זאת תמשיך ותצבור תאוצה .כלי ניתוח אבטחה שעבד באופן נפלא לפני שנתיים או שלוש ,כבר לא ממלא היום את תפקידו .ארגונים כיום צריכים לעבור על הרבה יותר נתונים ,בזמן שהאיומים הופכים למרומזים מאי פעם. הביג דאטה משנה את טיבם ומתייחס למוגבלותם של תחומי האבטחה הקונבנציונליים ,כמו חומות אש ומאבק בתוכנות זדוניות ,כמו גם הליכי זיהוי והיתרי גישה .הוא מיושם בדרכים חדשות המאפשרות למיומנויות המתאפיינת בתאימות, למידה עצמית והתבססות על ניתוח סיכונים, להשיג הערכה מתמדת של האבטחה ולהתאים את רמת ההגנה לשינויים הסביבתיים ולתנאי הסיכון .את גילוי האיומים ומעשי המרמה ניתן יהיה לחזות מראש ,ככל שיתקיים מאגר עשיר יותר של פרטי המשתמש וניתן יהיה להרכיב מהמידע המורכב שהשגנו תמונת עולם לגבי מה נחשב לנורמאלי לעומת מה נראה כסוטה מהתקן. אין ספק כי כבר בשנה הקרובה ,ארגונים מהשורה הראשונה עם יכולות אבטחה מתקדמות יאמצו מודלים לאבטחה מודיעינית המבוססת על ניתוחי ביג דאטה. | גיליון | 11ינואר 2014 11 הגנה על תחנות הקצה אחת הסיבות לגידול בדרישה על ההגנה ברמת תחנות הקצה היא בשל הוספת עוד שכבת מתחברים לארגון -השותפים העסקיים והספקים, כמו גם העובדים הפנימיים שעובדים מרחוק ובייחוד עם הצמיחה במגמת ה.BYOD- צמצום הנזק הפוטנציאלי הגורם האנושי הוא זה שיכול להוביל לקריסת ההגנה על מערכות ה IT-הארגוניות ,וההגנה על תחנות הקצה יכולה לצמצם את מידת הנזק והחשיפה הפוטנציאלית אליו .עפ"י אנליסטים מחברות מחקר ,שיעור הנזק הנגרם ממכלול הנוזקות הוא רב :למרות ש 70%-מהארגונים מתקינים תוכנות אנטי-וירוס ופירוולים -הם עדיין מותקפים.ככל שהארגון גדול יותר = כך גדלה מידת פגיעותו וכמות ההתקפות עליו. בהגנה על תחנות הקצה מדובר על ישות מרכזית אחת ,המנוהלת ממקום אחד ,ומבצעת את מדיניות אבטחת מהידע שנקבעה ,תוך שהיא שולטת על כל החיבורים -הפנימיים והחיצוניים. מכיוון שמיתר האיומים גדול ,ופוטנציאל הנזק עצום. התחום הזה זכה לפופולאריות רבה בשנים האחרונות ,בעקבות הגידול במספר העובדים הניידים המתחברים לרשת הארגונית מחוץ למשרד -מהבית וממרכזים ציבוריים אחרים. בשל צורת עבודה זו ,נולד חשש ,לפיו הם ייצרו חורי אבטחה ,או יחדירו קוד זדוני לרשת הארגונית. יש היום אוסף לא קטן של מוצרים ,אשר יודעים להגן על תחנות קצה בארגונים .ה"כוכב" שביניהם הוא האנטי-וירוס ,אולם ישנן גם לא מעט תוכנות נוספות שמגינות ,מעבר לאנטי-וירוס :יש פירוול אישי ,תוכנות לזיהוי התקפות ,תוכנות הבודקות אביזרים המתחברים למחשב ,וכן יש תוכנות הבודקות טלאי אבטחה .כל אלו רכיבים המותקנים על המחשב. היבט נוסף שנדרש לטפל בו ,הוא האיום הפנימי עובדים שלא מעדכנים את המחשבים שלהם,כמו גם נזקים הנעשים בזדון על ידי עובדים ממורמרים. הבעיה הי ישמור על השומרים ,כלומר ,איך יודעים שהתוכנות הללו עובדות בצורה תקינה ושהכל מתפקד במאה אחוזים .מה שמחמיר את הבעיה הם המחשבים הנישאים והטלפונים החכמים. זאת כאשר הם לא מחוברים לרשת הארגונית, והם מתחברים לכל מיני רשתות -כגון מודמים בבתי מלון ,רשתות אלחוטיות בבתי קפה ,רשתות בבית שהילדים עובדים עליהן ,ועוד. סיבות נוספות ,הן ריבוי יישומים ווביים ,מורכבות שכבות ה ,IT-והשימוש הגובר והולך ברכיבים הניידים (מגמת ה.)BYOD- אחר כך ,כל ה"זבל" שהתחנות קצה הללו צברו מגיע לרשת הארגונית ,כאשר תחנות הקצה האלו בדרך כלל אינן מעודכנות בהיבט האבטחתי. סקרים העלו כי כ 80%-מהארגונים כבר הטמיעו פתרונות כאלה ,או נמצאים בשלבי ההטמעה ,וכי 90%מהם -מרוצים מההטמעה. פן נוסף של הבעיה ,הוא מתן אפשרות לעובדים להכינס לרשת מהמחשבים הביתיים שלהם ,או מעמדות קיוסק ,שם המדובר בתחנות שאין לנו מושג מה קורה בהן בהיבט האבטחה .השאיפה היא להיכנס לרשת הארגונית בצורה מאובטחת, דרך מערכת ,SSL VPNהמאפשרת להגיע לכל יישום ארגוני דרך הדפדפן .זאת ניתן לעשות בכל תחום אבטחת נקודות הקצה בארגון -מחשבים שולחניים ,מחשבים ניידים ,התקנים אלחוטיים למיניהם ,כמו טאבלטים ,וטלפונים חכמים -הינו אחד מהתחומים החמים בעולם אבטחת המידע, 12 גיליון | 11ינואר | 2014 99%מהארגונים התקינו אנטי וירוס -אך 78% מהם עדיין מותקפים, כך העלה מחקר בתחום אבטחת המידע .לדברי האנליסטים ,בין הסיבות להמשך ההתקפות, העדר יכולת לממש את אכיפת מדיניות אבטחת המידע הארגונית. מעבר לכך ,ישנן תוכנות המאפשרות לכל ארגון להיכנס לעולם שבו מאובטחות נקודות הקצה, בלי "לברוח" מתקן ,802.1xאבל בלי לכפות על הארגון ליישם אותו באופן כולל מיידי .המדובר בתקן ,המאפשר מניעה של תחנות שלא הזדהו כראוי -מלהיכנס לרשת הארגונית .זאת ,על ידי עצירתן של התחנות כבר בשלב ההתחברות למתג. יישום פתרון כזה דורש עבודה עם מתגים התומכים בפתרון ,דבר שברוב הארגונים אינו ישים במאה אחוז .ולכן חשוב לבחור בפתרון המאפשר להיכנס לעולם אבטחת תחנות הקצה גם כאשר סביבת המתגים שלהם הטרוגנית, מעורבת ,גם כאשר לא כולם תומכים בתקן האמור ,ותוך הרחבה של התקן להגנה -לא רק בנושא ההזדהות ,אלא גם בנושא מדיניות אבטחת המידע הארגונית. האכיפה של הכניסה לרשת יכולה להיעשות בעזרת כלים שונים ,כגון שימוש בתקן ,802.1x חלוקת כתובות ,DHCPשימוש ב ,Gateway-או אכיפה בעזרת פירוול אישי. חיבור מרחוק מאובטח ישנם פתרונות אבטחה שמספקות רכיב מבוסס ,Javaהבודק את תחנת הקצה ,מייצר שולחן עבודה וירטואלי ,ודואג לכך שכל החומר המועבר בין הארגון לבין תחנת הקצה -ייכתב בסביבה הווירטואלית בצורה מוצפנת .עם סיום ההתקשרות ,נסגר שולחן העבודה הוירטואלי ,וכל החומר השייך לארגון -נעלם .כך ,ניתן לאפשר לעובדים להיכנס ממחשבים מרוחקים ,תוך שמירה על מדיניות אבטחת מידע -גם הקיוסק יהיה חייב להריץ תוכנות הגנה כגון אנטי-וירוס וכו' לפני הכניסה לרשת ,ובלי להשאיר שום שאריות של חומר פרטי על מחשב ציבורי. יישום אבטחת תחנות הקצה הייתה אחת מהמגמות המובילות ביותר בשנים האחרונות, שכן אחרי כל ההשקעות הגדולות באבטחת שער הכניסה לארגון ,מנהלי אבטחת המידע הבינו כי עליהם לאבטח גם את הצד השני -תחנות הקצה. מקום. לפני מתן הגישה לרשת הארגונית ,על המערכת לבדוק כי כל המחשבים השולחניים והניידים המתחברים לרשת הארגונית מצוידים בכל כלי האבטחה שהארגון קבע (אנטי-וירוס ,פירוול אישי, מניעת פרצות ועוד) ושאותם כלי אבטחה מצוידים גם בעדכוני האבטחה החדשים ביותר ותואמים למדיניות האבטחה הארגונית. על המערכת לבדוק לפני הכניסה לרשת הארגונית ,כי כל תוכנות האבטחה על המחשב בעמדת הקצה -אכן עומדות במדיניות האבטחה, כפי שנקבעה על ידי הארגון .כך ,התוכנה בודקת, לדוגמא ,האם טלאי האבטחה החיוניים הותקנו גם הם ,האם תוכנות קריטיות נמצאות בגרסאות הנכונות ועוד. ניתוק זמני מהרשת אם אחד מהתנאים הללו לא מתקיים -ניתן לנתק באופן זמני (בהתאם למדיניות אבטחת המידע של הארגון) את התחנה מהרשת ולחבר אותה לרשת חלופית (זמנית ומבודדת) .ברשת החלופית זו מתבצע תהליך אוטומטי של תיקון, הורדת חתימות אנטי וירוס ,הורדת טלאי האבטחה הקריטיים ,וכל מה שנדרש על פי מדיניות אבטחת המידע הארגונית .מיד עם סיום שלב התיקון - התחנה מחוברת לרשת הארגונית. | גיליון | 11ינואר 2014 13 ראיון בלעדי עם מר אבי רושט סוקר בכיר של מכון התקנים הישראלי האיומים הפיסיים והקיברנטיים שמדינת ישראל נתונה בהם ,לצד תסריטי תקלות וכשלים שיכולים לגרום להשבתת מערכות קריטיות ,מעלים שוב ושוב לסדר היום את הנושא של התאוששות מאסון והמשכיות עסקית .חשיבות ההיערכות לשעת חירום ידועה לכל :בלעדיה פגיעה בנתונים ומידע בעת אסון עלולה לגרום נזק כבד לחברות .בעולם קיימים סטנדרטים ומסגרות לבניית תוכנית להמשכיות עסקית והתאוששות מאסון ,המוביל מביניהם התקן העולמי .ISO 22301 כדי ללמוד יותר על הערך של ניהול המשכיות עסקית בכלל ,ועל התקן המוביל בעולם בנושא זה ( )ISO 22301שוחחנו עם מר אבי רושט ,סוקר בכיר של מכון התקנים הישראלי. ראיון עם מר אסף גל מנהל אבטחת המידע של חברת דוראד אנרגיה כיצד אתה רואה את המוכנות והמודעות של ארגונים בישראל מבחינת עמידה מפני איומי סייבר? מוכנות הארגונים בישראל הולכת וגוברת משנה לשנה ,וניתן לראות שיתוף-פעולה בין השוק הפרטי לבין משרדי הממשלה באימוץ מתודלוגיות מקובלות ואף בהטמעות טכנולוגיות. דיוני סייבר כיום הינם חלק בלתי נפרד מדיונים של אסטרטגיה ובטחון לאומיים ,בהם לוקחים חלק חברי כנסת ,חברי אקדמיה ומנהלים בכירים במשק הישראלי. חברות ציבוריות או קריטיות למדינה הינן מונחות רגולציה ,ולכן רוב החברות בארץ נוגעות בדרך זו או אחרת בנושא. שאלה :2האם לדעתך מדינת ישראל ערוכה בעצמה למלחמת סייבר כוללת? האם היא מוכנה להגן על הארגונים ואזרחיה? לאחרונה התקן בנושא ניהול אבי שלום ,תספר קצת על עצמך ,ותפקידך במכון התקנים .המשכיות עסקית ,הפך להיות מהנדס תוכנה (תדיראן) כ 15שנים ,מנמ"ר תקן ISOרשמי ( – )22301האם (אלקטל) כ 7שנים ,סוקר בכיר (במכון התקנים) תוכל לפרט מהם ההבדלים כ 8-שנים. העיקריים בין שני התקנים? במסגרת תפקידי במכון התקנים אני אחראי מוצר לתקני :אבטחת מידע ,המשכיות עסקית ,וניהול ידע. לעניות דעתך ,מהן המגמות בתחום התקינה בעולם אבטחת המידע? אחת המגמות שאני רואה היא התפתחות תקנים נוספים בתחומים ספציפיים כמו איומי סייבר ,סיכוני א"מ בעולם התוכן הרפואי. מגמה נוספת היא שילוב עם תחומי אחרים כמו ניהול ( ITעל פי מתודולוגית , )ITILוניהול המשכיות עסקית -דוגמה :תהליך ניהול קיבולת( )Capacity שהוא אחד התהליכים ב ( ITSMניהול השרות) נכנס כבקרה חדשה בגרסת תקן החדשה. 14 גיליון | 11ינואר | 2014 האימוץ של התקן הבריטי 25999כתקן של ISO חייב התאמה למסגרת האחידה של תקני מערכות הניהול ולמעשה היה התקן הראשון שנכתב כך . בנוסף הושם דגש על :זיהוי הגורמים שאיתם מתממשק הארגון והתקשרות איתם ,מחויבות פעילה של הנהלה,הגדרת מטרות ברות מדידה של מערכת הניהול,ניהול סיכונים ,בקרת מסמכים ,מתן סמכות בנוסף לאחריות לבעל תפקיד,תקשורת פנים וחוץ ארגונית ,רמת השירות הנדרשת בזמן מצב של אירוע ,ועוד ועוד. מהם האתגרים העיקריים שעימם מתמודדים ארגונים ביישום התקן ?22301 נחוצה הבנה טובה של תהליכי הארגון – מומלץ במידת האפשר להכין את הארגון לעבודה על פי תקן האיכות המפורסם ISO 9001כתהליך מקדים להתעדה לתקן המשכיות עסקית. בנוסף נחוצה מעורבות חזקה של שכבת ההנהלה כבעלי תפקיד בצוות ניהול האירוע. מהן ההמלצות לפי ניסיונך, לארגונים שרוצים להטמיע את התקן בארגון? לא ללמוד לבד! עקומת הלמידה של תקנים מורכבים ותובעניים כמו ISO 270001ו ,ISO 22301 גבוהה ,ודורשת הכשרה מוקדמת של האחראים בארגון או שיתוף חברות ייעוץ בעלי ניסיון מוכח. מהם הכיוונים והמגמות של עולם התקינה בהקשר התקן הנ"ל? גם פה נמצאים בתהליך פיתוח תקנים תומכים (כמו התקן ISO 22398לעריכת תרגילי המשכיות עסקית). המדינה משקיעה משאבים נרחבים ופיקוח צמוד על כל תשתית אשר מוגדרת קריטית למדינת ישראל. ההנחיות החלות על תשתיות קריטיות בישראל כוללות פיקוח הדוק של הרשות הממלכתית לאבטחת מידע להפרדה גלוונית מוחלטת של רשתות קריטיות מכל רשת אחרת ,הקשחות ואמצעים טכנולוגיים מובילים בתחומם למניעה וגילוי של אירועי סייבר. חברת דוראד אנרגיה אשר מסיימת בימים אלו את הקמתה של תחנת-הכח הפרטית הגדולה בישראל, הינה גוף מונחה של משרד האנרגיה והמים. משרד האנרגיה והמים מנחה את החברה באופן שוטף ,ומספק מודיעין והתראות בפני ארועים מכוונים על תשתיות ישראליות .בכוונת המשרד להקים מטה סייבר לאומי ,בעל רשת מאובטחת לקליטת דיווחים מכלל הגופים המונחים במטרה להתריע ולהנחות בזמן-אמת על אירועי סייבר. מהיכרות עם תשתיות ורשתות מחשוב קריטיות בארץ ובמקומות אחרים ,ניתן לאמר בודאות כי מדינת ישראל הינה מעצמה מובילה בתחום. מה דעתך על האכיפה של חוק הגנת הפרטיות בישראל? ישנו מקום רב לשיפור בנושא .אולם ,המדינה מודעת לכשלים הקיימים בשמירה על מידע הקיים בבסיסי נתונים רגישים ,ופועלת לסגור אותם. Big Data טכנולוגית בסיסי הנתונים בעולם של ופתרונות BIוחיזוי מתקדמים ,הינה טכנולוגיה אשר רצה ומתקדמת בקצב מאוד מהיר .בניית רגולציה אשר תתאים בצורה רחבית להכיל מגזרים שלמים, טכנולוגיות רבות ומגוונות ואכיפתה באופן גורף ,אינו עניין של זבנג וגמרנו ...אלא מצריך פינג-פונגים רבים של תשאול והתאמה לשוק ,ולכן הבשלת הנושא מתקדמת אך לוקחת זמן. דוגמא טובה לפעילות מבורכת הנעשית בימים אלו בנושא ,הינה הגנת משרד הבריאות על המידע במערכות ממוחשבות במערכת הבריאות ע"י בנייה ואימוץ של "תקן 27799לניהול בטחון המידע בתחום הבריאות". כיצד אתה רואה את תפקידו של מנהל אבטחת המידע בעידן הסייבר? תפקידו של מנהל אבטחת המידע בעידן הסייבר הינו להציף את החולשות והסיכונים בהם נמצא הארגון, ולהציע פתרונות מתאימים אשר יביאו לרמת אבטחה נאותה ומיקסום הרווחים של הארגון. מה לדעתך הידע הנדרש היום ממנהל אבטחת המידע? להתבסס על מודל הגנה בשכבות ,כאשר בכל שכבה נמצאים פתרונות אבטחה הולמים, והמוכנות של צוות אבטחת המידע כשירים ויודעים מה צריכים לבצע בזמן המתאים. היכרות עם מתודולוגיות מקובלות לניהול סיכונים ואבטחת-מידע ,רגולציות החלות על החברה, והפתרונות הקיימים בשוק. במידה והותקפת – כיצד ניתן להתאושש ביעילות? אך יותר חשוב מכך -היכרות עם המנגנון העסקי והתפעולי של החברה ,על-מנת להתאים פתרונות נכונים לארגון אשר לא יפגעו בתפעוליות החברה. כמו במלחמה ...קשה באימונים קל בקרב .ארגון אשר ייבנה מראש תהליכים להתאוששות מאסון ויתרגל התמודדות עם מתקפות רלוונטיות ,יידע לצמצם את זמני התגובה בזמן אמת. זוהי גם הדרך היחידה לקבלת רוח גבית מההנהלה לאישור פרויקטים המתאימים לחזון העסקי ולאסטרטגיה של החברה .ללא היכרות מעמיקה של המנגנון התפעולי ,מנהל אבטחת המידע יישוחח בשפה אחרת משאר הנוכחים בדיון ויהווה גורם זר... מהם איומי הסייבר המשמעותיים ביותר שארגונים נאלצו להתמודד איתם במהלך ?2013 בעיתונות הגדירו כאיום משמעותי ל- 2013- אירגונים כמו אנונימוס ודומיו ,פרסום כרטיסי אשראי ברשת ,והשחתת אתרי-אינטרנט עם דגלי פלסטין או צלבי קרס. אלו הן כמובן אי-נעימויות ,אך לא אירועי סייבר משמעותיים ,והסיבה לחשיפתם הציבורית היתה מטרת התוקף – פירסום ,מוניטין וקבלת אהדה עולמית. אירועי סייבר משמעותיים אשר נעשים במטרה לביצוע נזק מהותי של שיבוש מידע והשבתה של ארגון -מטרתם אינה להתגלות .לכן גם אם הארגון יתמודד מולם ,כנראה שאינו ידווח על-כך לעיתונות מחשש לנזק תדמיתי (בדומה להונאות ופשעים אחרים תוך-ארגוניים). אירועים אלו הינם איומים עקביים מתקדמים ( )APTאשר נעשים בזדון ובצורה ממוקדת על ארגונים. מהם איומי הסייבר שמצפים לנו ב?2014- להערכתי יחמיר האיום על מכשירי הסלולר. מהי הדרך הטובה ביותר להימנע ממתקפות סייבר? לחתוך את כבל-הרשת התת-ימי .אבל אם זה לא אפשרי ,אז המוכנות של הארגונים צריכה על התהליכים לכלול אינדיקטורים לזיהוי אירועי סייבר ,תרחישים לקבלת החלטות הנהלה בזמן אמת עבור תגובות אפשריות לפתרון האירוע ,והבאת דו"ח תחקיר אירוע והפקת לקחים להנהלה. מהן המגמות החמות של ?2014 עד לאחרונה פתרונות אבטחת המידע הטכנולוגיים הוטמעו ועיבדו את הנתונים בתוך הארגון ,ורק מאגרי החתימות והאינדיקציה שלהם התעדכנו מהענן. מגמה חמה הינה שימוש באמצעי אבטחת מידע הנמצאים ככללותם בענן. דוגמאות לכך ניתן לראות מערכות ,SIEMמערכות ,IPSומערכות לניטור אנומליה ,אשר כוללות בתוך רשת הארגון הטמעה של חיישנים בלבד. החיישנים מוציאים את המידע החוצה מהארגון, לניתוח ועיבוד נתונים בזמן-אמת ע"י מחשבי-על הנמצאים בענן של ספק הפתרון. היתרונות והחסרונות הינם כמו כל ענן ...יתרונות של יכולות עיבוד חזקות ,וניהול החוסך בכח-אדם, וחסרונות של תלות בחברה צד ג' ,והוצאת ניהול של מידע קריטי מתוך הארגון. אילו טכנולוגיות לדעתך יעניינו את ה ,CISOבמהלך ?2014 כולי תקווה שהטכנולוגיות אשר יעניינו את הCISO- הינן טכנולוגיות כחול-לבן ,התורמות לנסיקת האיכות הישראלית בתחום. מה דעתך על האיגוד ועל תרומתו לפיתוח תחום אבטחת המידע בישראל? החפצים בידע בית עשיר במידע ,המחבר בין כל ֵ מקצועי ועדכני בתחום אבטחת המידע בישראל. | גיליון | 11ינואר 2014 15 הכשרת מנהלי אבטחת מידע ()CISO Knowledge to People חברת TITANS SECURITYגאה להציג את המסלול המקצועי ,האיכותי והמקיף ביותר להכשרת מנהלי אבטחת מידע ( )Certified CISOוגם היחידי שכולל הסמכה בינלאומית – CISMמבית .ISACAמדובר בקורס בן 200שעות פרונטאליות ,ועוד כ 500-שעות תרגול עצמאי ,כאשר ישנה התייחסות לכל עולמות אבטחת המידע. בעידן טכנולוגיות המידע הצורך להגן על מערכות המחשוב של הארגון רק הולך וגובר וישנם לקוחות פוטנציאליים רבים הדורשים שירותי אבטחת מידע ברמה גבוהה מאוד .הקורס נוצר כתוצאה מדרישת השוק למנהלי אבטחת מידע המבינים ומכירים היטב את תחום אבטחת המידע על כל שכבותיה .בוגרי הקורס יוכלו לתת ערך מוסף אמיתי ללקוחותיהם ו\או לארגון בהם מועסקים על-ידי מתן ייעוץ מקצועי ואיכותי כפי שנדרש מהם. זהו מסלול חדש ,העדכני והמקיף ביותר למנהלי אבטחת מידע וכולל בתוכו מגוון נושאים הנוגעים לתחום אבטחת מידע וניהול סיכונים. המסלול מחולק לשני חלקים עיקריים ,כאשר החלק הראשון הינו החלק המעשי של הקורס ,והחלק השני מכין את התלמיד לבחינת ההסמכה הבינלאומית של CISMמבית .ISACAהחלק הראשון בנוי מ 5-מודולים עיקריים המכינים את התלמיד להתמודד עם כל נושאי אבטחת המידע על פניהם השונים. הביטחון שלך העבודה שלנו Bringing המודול הראשון מפגיש את תלמידי הקורס עם תחום אבטחת המידע בהיבט העסקי ועם העולם הרגולטורי\חוקי .המודול השני עוסק ברק הטכנולוגי ומכין את תלמידי הקורס להתמודד עם כלל היבטי אבטחת המידע הן בהיבט התשתיתי והן במישור האפליקטיבי על כל ההיבטים. המודול השלישי עוסק בתחום ניהול אבטחת המידע ,מסגרות לניהול אבטחת מידע וניהול סיכונים .המודול הרביעי דן כולו בהיבטים של אבטחת מידע פיזי וסביבתי ,והמודול החמישי עוסק בפן האנושי מבחינת אבטחת מידע. הקורס עובר עדכונים שוטפים ,כדי להתאימו לעולם הדינאמי של השוק ,והתוקפים\התקפות השונות ,וסוקר בצורה מלאה את כל עולם אבטחת המידע על כל רבדיו .בכל רובד אנו מתרגלים ודנים בתפיסות, מתודולוגיות ובטכנולוגיות הקיימות ,ובחולשות הרבות הנסתרות בהן. חולשות ,אשר בידיים הלא נכונות הופכות לכלי תקיפה רבי עוצמה .כמו כן ,אנו לומדים את המוטיבציה ואת דרכי הפעולה של התוקף ,כנגד החולשות שלנו ,על מנת לדעת ולהכיר היטב את האויב. כחלק מערכת הלימוד ,התלמידים מקבלים ספרי לימוד ,ספרי תרגול (בכיתה ובבית) ,ועוד DVDהכולל כלי עזר רבים של מנהל אבטחת מידע. כפי שהספר המפורסם "אומנות המלחמה" אומר: If you know the enemy and know yourself, you need not fear the result of a hundred battles. If you know yourself but not the enemy, for every victory gained you will also suffer a defeat. If you know neither the "enemy nor yourself, you will succumb in every battle חברת ייעוץ אובייקטיבית מומחים לייעוץ וליווי פרויקטים בתחום אבטחת מידע הגדרת אסטרטגיה הכנת הארגון ותפיסת ממשל לעמידה בדרישות אבטחת מידע רגולציה שונות בארגון אפיון דרישות מערכת ,כתיבה וליווי במכרזים לתיאום פגישות וקבלת פרטים נוספים: לתיאום פגישות וקבלת פרטים נוספים: טלפון077-5150340 : טלפון077-5150340 : או בדוא"ל[email protected] : או בדוא"ל[email protected] : בחירת טכנולוגיה המתאימה ביותר לארגון בתהליך RFPמסודר ושיטתי ניהולי פרויקטים אבטחת מידע מורכבים צריכים לבצע מבדקי חוסן על מה חשוב לשים לב? מבדק חוסן ( )Penetration Testingהינו תהליך שבו נבדקת יעילותו של מערך האבטחה בארגון באמצעות פריצה יזומה אל רשתות ומשאבי המחשוב של הארגון .הלקוח (מנהל אבטחת המידע בארגון) מבקש לאתר חולשות ופרצות המאפשרות חדירה אל המערכות הקריטיות בארגון לפני שגורם עוין אחר יעשה זאת ,וזאת תוך ניצול מכוון של נקודות תורפה ושימוש בטכניקות פריצה המבוססות על ידע טכני מובהק. העלייה ברמת הפגיעויות של מערכות מחשב ורשתות התקשורת ,וריבוי אירועי הסייבר (כולל התקפות של האקרים מבחוץ ומתוך הרשת הפנימית) למערכות אלה ,מחייבים את מנהלי אבטחת המידע להיות מעודכנים ברזי ההתקפות והטכנולוגיות ולהקדים תרופה למכה. בדית העמידות בפני פריצות מחשב היא תהליך בקרה המאפשר להתבונן בארגון מעיניו של התוקף (האקר) .אך ישנו גם צד שלישי בעניין בדיקה זו .שימוש בהאקרים "בדימוס" (White Hat )Hackerלצורכי שירותי ייעוץ רגישים כגון מבדקי חוסן עלול לחשוף את הארגון לסיכונים רבים. רבים מאותם האקרים "לבנים" נכנסו לעסקי הייעוץ בתחום אבטחת המידע וסייבר .לעיתים הם אף מתפארים בהיותם האקרים לשעבר או אפילו לא לשעבר .מצב זה גורם למבוכה ומעורר חששות בקרב ארגונים ,המתחבטים אל מי עליהם לפנות לקבלת שירותי ייעוץ בתחומים רגישים ורבי חשיבות אלה. רמת הידע הכוללת של היועץ אינה השיקול הבלעדי והמכריע ,מכיוון שייעוץ בתחום אבטחת המידע מחייב יותר מאשר כישורים טכניים גרידא. ייעוץ בתחום זה ,הוא למעשה שילוב ואינטגרציה של ניתוח תהליכים עסקיים ,נהלים ומדיניות עסקית יחד עם ניסיון רב-תחומי מצטבר בתחום אבטחת המידע והסייבר .לרבים מבין ההאקרים לשעבר אין כלל הבנה של הנושאים והשיקולים העסקיים המורכבים אשר נלווים לאינטגרציה של פתרונות אבטחת מידע במסגרת עסקית גלובליים ובזירת העסקים האלקטרוניים. ביצוע מבדקי חוסן ()Penetration Testing בביצוע מבדקי חוסן ,יש לשים דגש על הסיכון בו הארגון נמצא במהלך הבדיקה כגון הסיכון לאובדן שירותים עסקיים לא במכוון (כתוצאה מהתקפות מניעת שירות = )Denial of Serviceאו להפלת מערכות עסקיות קריטיות שיגרמו נזק גדול מערך מניעת הפריצה שלה כיוונו. 18 גיליון | 11ינואר | 2014 תחום אבטחת המידע הוא התגלמות התפיסה של "תאמין אבל תבדוק ותאמת" .)Verifyהנהלת הארגון צריכה לשאול את עצמה: "האם אני יכול להקפיד בידי אדם זה את הטיפול במשאבים הרגישים ביותר שלנו?". (Trust but תרבות ה"סמוך" הנפוצה בישראל ,אשר מתאפיינת לרוב בחוסר שימוש במתודולוגיות ובנהלים נאותים ,מתירה שימוש בהאקרים לשעבר ללא שום פיקוח ובקרה .מחסור בכח אדם מקצועי בתחום אבטחת המידע מחד וזמינותם ועלותם הנמוכה של האקרים מתחילים (המוכרים בכינוי של )Script Kiddiesמאידך מביאים ארגונים לשימוש בכוח אדם לא מומלץ זה ועשוי להוביל לתוצאות המפורטות לעיל. כללי זהירות בעת הזמנת עבודה מחברת ייעוץ לצורך ביצוע בדיקות חוסן ,יש ליישם ארבעה קריטריונים מנחים על מנת להבטיח את האמינות והמהימנות של צוות ייעוץ בתחום מאבטחת המידע: 1.1שימוש במתודולוגיה מוכרת -הצוות צריך להשתמש במתודולוגיה מובנית ,המתוכננת למנוע הרס של נתונים ,השבתת מערכות או כל פגיעה אחרת בתהליכי עיבוד המידע. הפרוטוקול המיושם (נוהל הפעולה המוגדר) צריך לכלול מנגנונים שיבטיחו דיווח מיידי ללקוח על אודות נקודות רגישות (פגיעויות) מהותיות שנתגלו ,וכן העברה משמעותית של הידע הנדרש .בנוסף ,הצוות חייב להגדיר וליישם מתודולוגיה שתבטיח את אמינות והמהימנות של כל כלי התקיפה שייעשה בהם שימוש במהלך ההתקשרות. 2.2בדיקות רקע (אמינות ,מהימנות) -רמת המקצוענות ,הרקע והיושר של כל חברי הצוות חייבים להיות ללא רבב .חברי הצוות חייבים לעבור בהצלחה מערך מקיף ויסודי של בדיקות רקע לפני תחילת ההתקשרות. 3.3רמה מקצועית גבוהה -הצוות חייב להיות בעל ידע וכישורים טכניים גבוהים ביותר. חברי הצוות חייבים להכיר היטב את שיטות התקיפה וכלי התקיפה החדישים ביותר, וכמו כן ,עליהם להבין באופן מלא את כל ההשפעות והסיכונים הנלווים לשימוש בכלים או בהרצת התוכנות. 4.4ניסיון מוכח -לצוות חייב להיות ניסיון רב בתחום התעשייה הרלוונטי .חברי הצוות חייבים להבין שבכל תחום תעשייה קיימות דרישות אבטחה שונות ,ועליהם להיות מסוגלים להציע הצעות להתמודדות עם נקודות חולשה אשר יתאימו לרמת הסיכון הקבילות והמקובלות בארגון שלו הם מייעצים. ניתן להניח במידה רבה של ודאות כי כל יועץ אשר עונה על ארבעת הקריטריונים הנ"ל הוא מקור אמין ומהימן של שירותי ייעוץ ,והוא יצליח לעמוד במשימת הייעוץ באופן משביע רצון. תקן אבטחת מידע ISO 27001 -ככלי בקרה התקן אבטחת מידע העולמי ,ISO 27001מכתיב ומספק הנחיות בגין נושא זה ,וניתן בהחלט להיעזר בו לצורך פיקוח ובקרה על כלל תהליכי הערכת הסיכונים בכלל ,ומבדקי החוסן בפרט. להלן מספר פרקים בתקן ,שניתן להיעזר בהם לצורך בקרה נאותה על תהליכי מבדקי החוסן בארגון. הגדרת תחולת עבודה )SOW (Statement of Work ראשית כל ,יש להגדיר היטב את התחולה ()Scope של המבדק ,על מנת לייעל את תהליך המבדק, ולמזער את הסיכון בחשיפת מידע\מערכות רגישות נוספות. שלב שני ,יש לבחור במתודולוגיה (ביחד עם הספק) לביצוע המבדקים ,ולהגדיר מהם הכלים ושיטות הבדיקה שניתן לעשות בהם שימוש במהלך המבדק ,ומה אסור לחלוטין לבצע (למשל ניסיונות תקיפה של מניעת שירות). בתחולת המבדק ,ו\או מזעור הסיכון בגרימת נזק למערכות אחרות. לאחר אישור קו לשני הסעיפים הנ"ל ,יש לקבל אישור בכתב ,על תכולת העבודה )(Statement of Workואין לסטות ממנה בשום אופן ,למעט מקרים חריגים של בקשת הלקוח בלבד .האישור לביצוע המבדק על כל תחולתו ( ,)SOWיינתן ע"י הנהלת הארגון ,בכדי למנוע מצב שבו יתבצע מבדק ללא ידיעתם ואישורם של הנהלת הארגון. פרק .8א - 1.מתייחס לבדיקות מהימנות ואמינות של עובדים ,עובדי חוזה או משתמשים צד שלישי לפני קליטתם לארגון ,ולכן ניתן להיעזר באותם קריטריונים ובקרות לצורך בחינת האמינות והמהימנות של צוות התקיפה שתשמש לצורך ביצוע מבדקי החוסן. SOW פרק .6.1.5א :הסכמי חיסיון -חשוב מאוד לחתום הסכמי חיסיון מול החברה שתספק את השירותים, אך גם מול כל יועץ (ניתן להגדיר מול הספק מיהם האנשים שיאושרו לבצע את המבדק ,להלן "הצוות") שיבצע את המבדק ו\או יהיה מעורב בתהליך .ישנה חשיבות רבה לנושא הזה ,בייחוד בתעשיות מיוחדות כגון מערכת הבריאות ,שם חשוב לציין ולהזכיר לספק (וליועציו) שההסכם חתימה על שמירת סודיות הינו ללא תפוגה במקרה שמדובר על חשיפה למידע רפואי. פרק .6.2.1א :זיהוי סיכונים הקשורים לגורמים חיצוניים -לפני שמאשרים גישה לצוות הבדיקה (מבדקי חוסן) ,יש לזהות את כלל הסיכונים הכרוכים בכך ,ולוודא שיישמנו בקרות נאותות במטרה למזער את הסיכונים הללו .כפי שהזכרנו, במבדקי חוסן ,אנו מפקידים את הנכסים הכי רגישים (קריטיים) שלנו בידי צוות הבדיקה ,ולכן חשוב לוודא שחישבנו את כלל הסיכונים ,וזה מקובל ומאושר ע"י הנהלת הארגון .אחת הבקרות למשל ,הינה הגדרת תיחום מוגדר של הבדיקה (מערכות ספציפיות ,תשתית ספציפית ,אתר מסוים וכו') ,ומהו סט הכלים שבהם ניתן לעשות שימוש במהלך הבדיקה ,כל זה במטרה כמובן למזער את הסיכון בחשיפת מידע רגיש שלא פרק :5.1.9.5עבודה באזורים מאובטחים -לעתים קרובות ,המבדק מתבצע הן מבחוץ ,והן מתוך הארגון .אם עולה הצורך לאפשר גישה לצוות התקיפה לאזורים מאובטחים (רגישים) ,יש לנקוט באמצעי זהירות ,ולוודא שהגישה מבוקרת ותחת פיקוח .יש לגבש נהלי עבודה באזורים מאובטחים, ולוודא אכיפתם. פרק .10.2א :ניהול שירותים המסופקים ע"י צד שלישי -היות ומדובר על תהליך רגיש ,שבו ניתנת גישה או אפשרות לגישה לגורם חיצוני "עוין" (צוות התקיפה) ,לצורך מבדק רמת האבטחה בארגון, חשוב לגבש תהליכי בקרה ופיקוח על הספק\ חברה שתספק את השירותים הנ"ל .דוגמא אחת יכולה להיות סט הנחיות ,שבו ניתן להגדיר לספק את צורת העבודה מול הלקוח ,למשל ,חל איסור להוציא מידע מהארגון (הלקוח) החוצה ,ואם כן יש צורך ,והדבר מתאפשר ,אז מהי רמת האבטחה בחברה (הספק) שנדרשת לצורך אבטחת המידע של הלקוח .דוגמא נוספת (וזה חייב להיכלל בתוך חוזה העבודה) ,היא שהלקוח ראשי לבצע ביקורת אבטחה אצל הספק ,על מנת לוודא כיצד הוא שומר על המידע הרגיש שלו ,באתר החברה. פרק .10.8.2א :הסכמי החלפת מידע -על הלקוח להגדיר בבירור מהם שיטות הדיווח ,לצורך העברת המידע בין הספק ללקוח .היות ומדובר ככל הנראה במידע רגיש (חולשות ופרצות של מערכות הארגון ,או שרטוטי רשת ,מיפוי נכסים קריטיים של הארגון ועוד) חשוב להגדיר בקרות נאותות על תהליך העברת המידע .למשל ,הלקוח יכול להגדיר שהעברת המידע תתבצע באופן ידני או באמצעות כספת (אמצעי להעברת מידע באופן מאובטח). פרק .10.10א :ניטור -ישנה חשיבות לצוות אבטחת המידע בארגון (הלקוח) ,לנטר ולבקר את הפעילות של צוות התקיפה ,בייחוד כשמדובר על ניסיונות פריצה לארגון .הניטור יכול לשרת מספר מטרות ,כגון לימוד אודות שיטת התקיפה לצורך הפקת לקחים ליישום בקרות נאותות בעתיד, וגם לבחון את המוכנות של צוות אבטחת המידע שאמון על ניטור ובקרת המערכות. פרק .11א :בקרת גישה -לעתים ,יש צורך לספק אמצעי לבקרת גישה (כגון כרטיס חכם) על מנת לבצע את המבדקים .יש לנקוט בכללי זהירות בעת מתן ההרשאות ו\או אמצעי הזיהוי ,ולוודא שאלו מוחזרים בתום המבדק. פרק .15.3א -מתייחס לשיקולי מבדק מערכות מידע ,ומספק הנחיות ובקרות נאותות שחשוב ליישם בכל תהליך של מבדקים (הערת סיכונים ו\או מבדקי חוסן) וגם מהן הבקרות שחשוב ליישם על כלי המבדק של מערכות המידע ,על מנת למנוע מגורמים שאינם מורשים ,מלעשות שימוש בהן או למנוע מגורמים מורשים מלעשות שימוש לרעה. הכותב הינו סמנכ"ל תפעול בקבוצת טיטנס סקיוריטי ,ויועץ בכיר לתחום הסייבר ואבטחת המידע .ניתן לפנות אליו בכתובת [email protected] | גיליון | 11ינואר 2014 19 ראיון אבטחה עם מר קובי לכנר ,מנהל אבטחת המידע בחברת PLAYTECH מגמות אבטחת מידע לשנת 2014 ר א י ו ן בלעדי מהן המגמות המרכזיות בעולם אבטחת המידע? עולם ה IT-מורכב מארבעה חלקים :נקודות הקצה ,הרשת ,היישומים והנתונים עצמם .עולם אבטחת המידע גילה ,כי בכל אחד מהתחומים הללו יש אזור תורפה ,וזו דורשת אבטחה שונה. בתחנות הקצה האבטחה היא על-ידי חסימה או הצפנה ,או טיפול מחמיר באכיפת מדיניות ואכיפה. ברשת האבטחה היא בסינון התעבורה ,מה מותר ומה אסור להוציא חוצה ,מה מותר להכניס לארגון ועוד.ברמת היישומים ההגנה היא ברמת מניעת מתקפות אפליקטיביות .אולם אין ספק ,שבעידן החדש ,שבו עולם מחשוב הענן והמובייל ()BYOD מתפתחים ,ההתמקדות תהיה בהגנה על המידע (נתונים) עצמם. עולם האבטחה צריך ללמוד לשמור על הנתונים הנמצאים בארגון -אם בתצורת מידע ואם בהיותם נתונים ,וכמובן לדאוג לכך שלא ייגעו בהם ,או חמור מכך -ישנו אותם. הרי אם אתה הולך לבנק ,מרגע שאתה מושך כסף אצל הכספר ,ובוודאי כאשר אתה יורד לחדר הכספות -אתה מוקף במצלמות .תהליך זהה אינו קורה בעולם המידע והנתונים .אין בקרה מספקת, אין מצלמות על הדטה .לא רואים מי השתמש בנתונים -ובאיזה אופן .איננו יודעים מספיק מי חדר מבחוץ ,ובוודאי שאין לנו מספיק נתונים על דפוסי ההתנהגות של המשתמשים הפנימיים. זה צריך לקרות בכל מקום בו יש נתונים ארגוניים, ועל ספקיות האבטחה ללמוד כיצד מפקחים על אמינות הנתונים ,לאחר שחסמנו את הרשתות הארגוניות מפני אותם איומים חיצוניים ופנימיים. לא טיפלנו מספיק ב"אוצר הפנימי" של הארגונים. מה לגבי התפרצות האם ארגונים מודעים למשמעות מגמת הניידות האמיתית של ההגנה (?)BYOD על המידע? כמעט שלא .השאלה צריכה להישאל לא בהיבט אבטחת המידע ,אלא ברמה העסקית -שכל משתמש יקבל תשובה לשאלה" :מי נגע בנתונים שלי ב 30-הימים האחרונים ,האם משהו השתנה בנתונים אלו ולהיכן שונע המידע הרגיש שלי? עדיין אין טכנולוגיה שתענה על השאלות החשובות הללו. המגזר הפיננסי רגיש דיו לנושא ,בעיקר בגלל הרגולציות החמורות שכופות עליו .מעבר לכך - שאר המגזרים אינם יכולים לספק תשובה לשאלה. רק לאחרונה אנחנו מבחינים בניצנים של מועדות בעולם הבריאות לתחום .קופות החולים ובתי החולים התחילו לקלוט את מה שהם סירבו להפנים במשך שנים -שהחולים הם הבעלים של המידע אודותיהם, ולא המוסדות המארכבים את התיקים. הבעיה יכולה להיות במגוון דרכים -עובדים לא מסווגים שמטפלים במידע מסווג אישית ,דליפת מידע רפואי חסוי ועוד .המוסדות הרפואיים צריכים לעשות את מה שבעבר עשו הבנקים עבור לקוחות הVIP- העשירים שלהם :טיפול במידע על אודותיהם כאילו היה אתרוג .זה ,לצערי עדיין לא קורה ברוב המגזרים. הם רק מחריפים את הבעיה של שמירה על המידע. כל עובד רוצה להראות שהוא יעיל יותר ,עובד מהבית בסופי שבוע ובערבים ,ולשם כך מוציא מידע ארגוני ,מסווג בחלקו ,ומוריד אותו למחשב הנייד או הטאבלט שלו .מנגד ,לא מבוצעים מספיק תהליכי אכיפה של מדיניות אבטחת המידע הארגונית ,וזה קורה סדרך כלל ללא בקרה. והתוצאה יכולה להיות הרסנית ,כמו שאירעו מקרים בארץ ובעולם ,למשל איש מנהלה בשלישות של המארינס איבד מחשב נייד ובו קובץ עם פרטים על עשרות אלפי מילואימניקים ,או בארץ מקרה שבו קצינת מבחן במשרד ממשלתי השאירה מחשב נייד באוטו ,וזה נגנב ,יחד עם המידע הרגיש שהיה עליו. אבל מעבר לפתרונות למניעת זליגת מידע שקיימים ,יש לערוך רביזיה ברמה הארגונית. ארגונים צריכים להסתכל על השולחן ,על החומר שנשלח ,ולעשות הצפנה על מה שנמצא על המחשב הנייד .אסור להיות מצב שבו מידע ינוע מבסיס הנתונים לעבר המשתמשים מבלי שמשיהו במערך אבטחת המידע הארגוני יידע על כך .אני מעריך כי 2014תהיה השנה שבה ארגונים יכירו בכך שמדובר בפוטנציאל חמור לדליפת מידע ,ויתחילן לקחת אחריות על הנושא ובשל כך ,יטמיעו פתרונות לתחום ,כולל קביעת מדיניות ונהלי אבטחה ואכיפתם כראוי. השירותים המאובטחים צריכים להיות גם בעולם הנייד -הסלולר הפך להיות פלטפורמה מחשובית לכל דבר .זו חלק מהתפיסה שעולם אבטחת המידע צריך לעבור :מהתפיסה הנוקשה המאפיינת אותו כיום לתפיסה גמישה יותר -של אבטחת היישומים. מה לגבי גניבת זהויות? האיום הגדול שעמד וימשיך לעמוד מול השימוש הנרחב ברשת הוא גניבת זהויות .הבעיה בה"א הידיעה של האינטרנט היא המשתמשים .כיום יש מאות מיליוני משתמשים ברשת .לכל חברה יש מאות ואלפי משתמשים .בכל חברה יש מאות יישומים .הבעיה ,כפי שאני רואה אותה, והיא זו שתהיה במוקד הפתרונות שספקיות אבטחת המידע תספקנה לתעשייה בשנתיים הקרובות היא המשתמשים -ניהול הזהויות ,ניהול המשתמשים ,הרשאות ,הרחבת וניטור ובקרה על ההרשאות .ובקיצור -כיצד לדעת שהאדם הנכון נמצא ביישום הנכון ומשתמש במידע המותר לו, ורק במידע זה ולא מעבר לכך. למרות שהתחומים של ניהול הזהויות ונושא ההרשאות אינם חדשים ,למה הם הפכו להיות פתאום אקוטיים? מכיוון שכמות הזהויות גדלה מצד אחד ,והנפיצות של השימוש ברשת גדלה מצד שני. למשל ,אם ניקח לדוגמא משתמש בארגון גלובלי, קודם הוא סמנכ"ל שיווק בסניף הישראלי ,לאחר מכן מקודם להיות עוזרו של מנכ"ל הסניף הישראלי בחברה ,לאחר מכן הוא הופך להיות סמנכ"ל טכנולוגיות המידע ,ולאחר מכן הוא הופך להיות CTOבחברה הגלובלית .המדובר בארבע תפקידים שונים ,שבגינם הוא נכנס למערכות שונות ,על מנת שיוכל לתפקד כיאות בחברה. אף אחד לא בודק את "מחזור חיי המשתמש" בעבודתו מול היישומים -בפנים החברה וכלפי חוץ .זה מה שעלול להרוס את השימוש בנרחב ברשת -העובדה שהאנונימיות הופכת להיות לאבן נגף בשימוש הארגוני. אני רואה את הסיכונים הללו כאיומי אבטחה משמעותיים מאוד ,הן ברמה הארגונית ,הם כגן עדן לגנבי זהויות והן ברמה של השימוש הפרטי. מה שדרוש הוא ניהול זהויות קפדני של כל האנשים שעימם אני נמצא בקשר ברשת .עם כל הכבוד למימד השמירה על הפרטיות ,הרי ההגנה על המידע והגנה מפני גנבים ומפני הונאות ורמאויות -חשובה יותר .המימד העסקי בפעילות המקוונת גדל ללא הרף ,ולכן נדרש אימות של נתונים שעוברים ,כמו גם אימות של האנשים שמסרו את הנתונים הללו .אחרת ,איזה משמעות יש לקבלת החלטות של מנהלים ,אם היא מבוססת על נתונים כוזבים?. אז מה הפתרון לבעיה? לטפל ביישומים ובשירותים המסופקים -ולא 20 גיליון | 11ינואר | 2014 במשתמשים .קח לדוגמא ,את ענף השכרות כלי הרכב.לכל חברת השכרה יש שירותים ועסקאות שונות ומגוונות ,שאותם היא מספקת לסוכני הנסיעות .אתה ,בבואך לניו-יורק -לא יוצר קשר ישיר עם סוכנות השכרת הרכב ,אלא עם סוכן הנסיעות .זה מתחייב לתת לך את העסקה הטובה ביותר .נוצר מצב של סיבוכיות בשימוש ביישומים ,ובתוכה -מובנית בעיית אבטחת המידע ובכלל בעיית אימות הזהויות בפרט .על מנהלי ה IT-בסוכנות להשכרת רכב ליצור תשתית חזקה מספיק מבחינת היישומים המאובטחים, כך שלא ייווצרו מצבים של התחזויות ,הונאות, גניבת זהויות ,פישינג ו"הנדסה אנושית" .כבר לא מדובר בתחזוקת אתרים קלאסית ,כבעבר ,אלא במיליארדי יישומים ,שחלק ניכר מהם יכול להיות גנוב .נדרש לקשר בין היישומים ,לוודא שהיישומים אמינים ומאובטחים ,ונדרש שהקישוריות הזאת תהיה מאובטח. ובטיפול במידע עצמו. מה לגבי הטיפול במידע? ישנם מוסדות ממשלתיים רבים בארה"ב, שמפירים את הפרטיות בכך שהם אוספים מידע ,עם מטרה נכונה לכשעצמה ,אבל קיים חשש שבשל שיתוף פעולה ביניהם והגדלים של בסיסי הנתונים -תיווצרנה בעיות של אבטחת מידע ,מעבר להפרת זכויות האזרח והפרטיות. היו כבר ניסיונות בשנים קודמות לקדם חוקים בנושא ,והם כשלו ,אני מעריך כי העולם של החוקים והסטנדרטיזציה ילך ויתפתח מה שיחייב ארגונים רבים להקדיש יותר תשומת לב לנתונים ולמשמעות של היותם אגורים בארגונים. ברמה הטכנולוגית ,אני מעריך כי הפתרון יהיה בחלוקתו הווירטואלית של המידע .המדובר בטכניקה של "ערפול" מידע" ,הלבנת" חומר מסווג אישי ,ביטחוני ,או עסקי.למשל ,מוסד רפואי אוסף נתונים על נשאי איידס. התיק הרפואי "יחולק" לשניים -באחד פרטיו הרפואיים של הנשא ,ובשני -פרטי האישיים (לזיהוי) .כך ,ניתן יהיה לעשות חיבורים לצורכי בינה עסקית -חלוקה בין נתונים כספיים של חשבון שתהיה מסווגת בלמ"ס ,ובעל החשבון - שפרטיו יהיו סודיים .כך ,ניתן יהיה לפעול בצורות שונות ,מבלי לפגוע בפרטיות המטופלים. ומה צפוי לנו בעתיד? כמו תחומים רבים בעולם ה ,IT-גם האבטחה תנוע מכיוון המוצרים לכיוון אספקת שירותים. המשמעות -תהיה ארכיטקטורה מוכוונת שירותים לאבטחת מידע )SSOA (Security SOA - בעוד כשנתיים-שלוש מהיום .זה יבלוט במיוחדבארגונים שירכשו ,או ימזגו ,עם ארגונים אחרים. בעת המיזוג בין שני מערכי ה IT-הארגוניים הללו, מערת ה IT-של הארגון שנקנה יצטרך להיכנס למערך ה IT-של החברה הרוכשת ,כשהוא כבר מאובטח .זה מסובך מאוד .איך תפתור זאת? ע"י יצירת "חוט שדרה" מאובטח ,שלתוכו ייכנסו היישומים והמוצרים .חוט שדרה זה יכיל היבטי ניהול זהויות ,סטנדרטיזציה בגישה למידע ,כולל הרשאות ,וגישה לתהליכי עבודה ,כך שניתן יהיה לאשר את כל המשתמשים החדשים בקלות. את אותו טריק ניתן לעשות ,כמובן ,בסוגי מידע אחרים .מובן שגם פה -ניהול הזהויות הוא מרכיב קריטי בפתרון. אני מוטרד למדי מרמת האבטחה של הנתונים הפרטיים שלנו ,אלו שקיימים במוסדות השונים - הפיננסיים והרפואיים -ובמוסדות הממשלתיים, אך יש לי יסוד סביר להניח כי בתוך כמה שנים המצב ישתנה והפעולות שאותן נבצע ברשת תהיינה מאובטחות יותר. הפתרון ,אם כן ,הוא ,להערכתי ,שתוך שנים ספורות יהיו כלי ניהול אבטחה מבוססי סטנדרטים, שיהיו חשופים לווב ,והם יטפלו בכל הבעיות שפירטתי בעזרת ממשקים .יתקבל חוט שדרה של אבטחת מידע -ארגוני ובין-ארגוני ,אשר לפיו כולם פועלים על בסיס סטנדרטים ,ומעבירים ביניהם פרטי אבטחת מידע .חוט השדרה הזה יתפקד כמעין "תווך אבטחה" .האבטחה תמומש בכל אחת מהשכבות -בתשתיות ,ביישומים | גיליון | 11ינואר 2014 21 הערכת סיכונים מיפוי ותיעוד תהליכים במרבית תקני אבטחת המידע העולמיים ,כגון ( ISO 27001וכמובן ההרחבות שלו ,27011 ,27799וכו') ,נדרש לבצע מיפוי ותיעוד של כלל התהליכים העסקיים\תפעוליים בארגון ,כחלק מהערכה וניהול הסיכונים של הארגון. אם ניקח רגע לדוגמא ארגון גדול ,ארגון שכזה מתאפיין באוסף גדול של כלי בקרה טכנולוגיים תשתיתיים ,תוכנות אבטחת מידע מסוגים שונים ועובדים בעלי הכשרה טכנולוגית מתאימה שלכל אחד מהם מטען של ידע מקצועי וניסיון אישי רלוונטי ,המבצעים משימות שונות תוך יישום כלי תוכנה מתאימים .חלק מהעובדים הללו הם עובדי הארגון ,וחלקם שייכים לחברות מיקור חוץ (.)Outsourcing הארגון שואף כמובן לשמר את הידע המקצועי בתחומו ומודע לכל שעובדי חברות חיצוניות עלולים להיות ניידים יותר ובעלי מחויבות יתר לחברות האם שלהם. כל עובד העוזב את יחידת אבטחת המידע או ה IT-עלול להותיר חלל ריק ולקחת עימו ידע מקצועי ומידע שצבר בהקשר לפעילויות ולתהליכי עבודה שונים מבלי שהונחל לעובדים אחרים .כדי למלא חלל ריק זה יצטרכו עובדי היחידה שימלאו את מקומו ,או עובד חדש שהגיע לא מכבר ,להזיע לא מעט ,לשחזר תהליכים ושיטות עבודה ולהגיע בסופו של דבר לרמת התפעול הנדרשת. שימור ידע, סדר ויעילות אינטואיטיבית ,זה המניע הראשוני לתיעוד תהליכים תפעוליים ביחידת אבטחת המידע ובכל יחידה ארגונית אחרת .הסיבה העיקרית לתיעוד ,היא בכדי לעשות סדר בארגון ,לקצר ולייעל תהליכי עבודה ,וכמובן לשמר את הידע שנצבר בארגון גם אם מקור הידע יעזוב את הארגון. אבל היריעה רחבה הרבה יותר .לתיעוד חשיבות רבה והשלכות כבדות על תפקוד עובדי היחידה והנהלתה .תיעוד נכון ,פירושו סדר ,סדר פירושו שיטתיות בביצוע ,כך שפרטים אינם הולכים 22 גיליון | 11ינואר | 2014 לאיבוד וניתן לבצע בקרת תהליכים נאותה. ומכאן קצרה הדרך לבניית מתודולוגיה שאחד מיתרונותיה הבולטים בכך שהיא מאפשרת עבודה מובנית ,שיטתית וניתנת לבקרה הולמת. עובדים רבים ביחידות אבטחת המידע מבצעים לא רק את משימותיהם האנכיות ,אלא משימות רוחביות רחבות חוצות תהליכים ,החייבות להיות ברורות ומוגדרות לחלוטין ,כדי להתבצע ברמה הטכנולוגית הראויה. משימות אלה כל עוד לא יתועדו ,לא יבוצעו לכל הרוחב הדרוש ולא יהיו ברורות לכלל העובדים האמורים לבצען או להתממשק אליהן. ולבסוף ,תיעוד מאפשר ביצוע נכון ונאות של תהליכי עבודה מסוימים .אי ביצוע נכון עלול להיות בעל השלכות קריטיות על הפעילות התפעולית והעסקית של הארגון .על מנת להימנע מ"כאוס" תפעולי ,רצוי לוודא שקיים תיעוד נאות לכל דבר. תיעוד הוא הפתרון לחוסר עקביות בביצוע ,ריכוז ידע חיוני בידי מתי מעט ,חוסר יכולת לבקר פעילויות של אחרים ,חוסר יכולת לשלוט ולנהל ולעתים גם חוסר יכולת לתכנן כראוי. האתגר לאנשי יחידת ה IT-בארגון מגוון רב של מטלות. מהן שגרתיות יומיומיות ,מהן מטלות מתוכננות, ויש גם פרויקטים שונים ,מהם פנימיים ומהם חיצוניים ,בחלקם כאלה היזומים ע"י עובדי הארגון ודורשים שילוב בקרות אבטחת מידע ביישומים ובתהליכים. ויש גם מטלות בלתי צפויות הנובעות מאירועים והתרחשויות הנוגעים בנושאי אבטחת המידע והדורשות טיפול מהיר ויעיל. העובדים העוסקים במגוון מטלות אבטחת המידע ,הם בעלי רקע טכני עשיר במחשוב ובעלי יכולת ומיומנויות ליישם טכנולוגיות מחשוב ממוקדות אבטחת מידע .יישום טכנולוגיות כגון אלה ,מתבסס בדרך כלל על כלי תוכנה מתאימים ועל חומרה ייעודית ודורש מומחיות לא מבוטלת. על פי רב ,בלהט העיסוק במטלותיהם ובמשימותיהם השונות ,אין העובדים מתעכבים ומנסים להשליט סדר כלשהו בתהליכי עבודתם. הזמן קצר ,המלאכה מרובה והפועלים אומנם חרוצים ,אך הס מלהזכיר את המילה תיעוד (רובנו לא כל כך נוטים לעשות זאת). בדרך כלל ,כולם עושים את העבודה אך אי מהעושים את המלאכה אינו אוהב לתעד .כשם שאיש אינו אוהב לכתוב וליישם נהלי אבטחת מידע ,ולפי כך קשה לדרוש מעובד יחידת הIT- לתעד את תהליכי עבודתו ולהשאיר משהו מסודר גם ל"דורות הבאים" .תמיד יהיה משהו דחוף יותר לעשות ,ואם לא ,יצוצו פתאום משימות דחופות והתיעוד יידחה ויידחה. כיצד עושים זאת נכון? תיעוד המשימות והתהליכים ביחידת ה IT-בארגון ראוי שיבוצע בידי גורם חיצוני בעל ניסיון ומיומנות בתחום זה ,המסוגל לצלול לעומק תהליכי העבודה המבוצעים ביחידה תוך הכרות עם המערכות הטכנולוגיות הקשורות בתהליכים אלה. התיעוד אמור להתבצע בשני שלבים: השלב הראשון הוא שלב המיפוי .בשלב זה יש למפות את כל המשימות ותהליכי העבודה ,כך שכל תהליך יירשם ויפורט ברמה המגדירה "מה יש לעשות" .שלב זה יש לבצע בהיבט של תהליכי עבודה המבוצעים ע"י כל עובד או ע"י מספר עובדים במשותף ובהיבט של כלים טכנולוגיים המשמשים לניטור ויישום אבטחת המידע המופעלים ומתוחזקים ע"י עובדי היחידה הרלוונטית. כיצד התיעוד מסייע לניהול תקין במסגרת זו יש לקשור כל עובד מצד אחד לתהליכי העבודה המבוצעים על ידו ומצד שני לכלים הטכנולוגיים בהם הוא משתמש ותומך. גם הנהלת היחידה ( )ITמתקשה לעתים לשלוט בתהליכי העבודה ולווסת אותם ,היות ולעתים לא ברור גם לעומד בראש היחידה (המנמ"ר) ,מה עושה כל עובד לפרטי פרטים .פשוט אין לו זמן ואפשרות לרדת לפרטיהם של כל משימה ,מטלה ותהליך .זו גם הסיבה שלעתים גם אינו מנהל מעקב ובקרה מסודרים אחר משימות שהוטלו על ידו על אחד העובדים הכפופים לו ,כיוון שזמנו אינו פנוי לרדת לפרטים ואולי גם אינו מכיר את המשימה לפרטי פרטיה וזקוק להשלמת מידע וגם לזה אין לו זמן פנוי. כך נקבל כיסוי מלא לכלל המשימות המבוצעות ביחידת אבטחת המידע תוך התייחסות מלאה לצד התהליכי והצד הטכנולוגי. מכאן מתבקשת המסקנה כי תיעוד עשוי להוביל לעתים גם לשיפור מעקב ובקרה אחר משימות. ובקרה היא בעצם משוב חיובי לפעילות ,המוביל בסופו של דבר לטיוב תהליכי עבודה. נודעת גם תופעת הריכוזיות ,לפיה מנהל היחידה הוא גם המנהל וגם המצבע ואיש אינו מכיר את התהליכים בהם הוא מטפל .מנהל כזה ,אם יעזוב יום אחד את יחידת ה ,IT-יותיר אחריו חלל ריק קשה למילוי. אכן ,יש תהליכי חפיפה ,אך מי כמונו יודע שבמקום עבודה דינמי בו משימה רודפת משימה והכל דחוף ,קשה לקיים חפיפה מסודרת ובפרט ברמה הניהולית הבכירה. מצב זה יימנע אם יטרח לתעד מפי המנהל העוזב את תהליכי העבודה הניהוליים והתפעוליים המבוצעים על ידו ברמה שתובן לכל ותהווה בסיס ליצירת מתודה מובנית לכל הפעילויות המבוצעות, כך שמחליפו בתפקיד יוכל לבצע מטלות אלה באיכות וביעילות הראויות. תוצר שלב זה הוא מסמך המספק לקורא מידע על מכלול המשימות ביחידת אבטחת המידע ותוכנן ,מבלי להיכנס לפרוט יתר תהליכי וטכנולוגי. השלב השני הוא שלב ההגדרה המפורטת (Drill .)Downשלב זה בא לענות אל שאלת ה"איך לעשות". במסגרת זו מבוצע ניתוח ופירוט מקסימאלי של כל משימה שהופיעה בשלב הקודם ,כאשר המטרה הסופית היא ליצור מתודה לביצוע של כל משימה הנכללת במפת המשימות ,כפי שתועדו בשלב הראשון. תוצר שלב זה הם תרשימי תהליך מובנים המכילים תרשימי זרימה מפורטים ,המגובים בנהלים מתאימים בהתאם לצורך. תוצרים אלה יכללו בין היתר הגדרה מפורטת של סטנדרטים ותהליכים שונים ,הגדרה של תהליכי התמודדות עם אירועי חירום ,עד רמת נוהל והגדרה מפורטת של תהליכי ניטור ובקרה. לעתים קרובות ,יוביל שלב זה לשלב שלישי שמהותו כתיבת מתודולוגיה לטיפול במכלול התהליכים שנותחו ופורטו בשלב השני. כך מושגת בסופו של דבר המטרה בבסיס תהליך תיעוד התהליכים התפעוליים ביחידות השונות בארגון .כפי שצויין לעיל ,יאפשר התיעוד שימור הידע המקצועי ,טיוב תהליכים ,שיפור בתפקוד היחידה רלוונטי ,וכו'. | גיליון | 11ינואר 2014 23 קבוצת טייטנס סקיוריטי פיתחה את המסלול המוביל בעולם כהכנה לבחינת ההסמכה של CISSP CISSP •קורס CISSP מדוע פרויקטי IT r ואבטחת מידע נכשלים? לעתים ,ארגונים אינם מתייחסים לפרויקטים ITואבטחת מידע ,כאל פרויקט שצריך לנהל אותו כהלכה, כמו כל פרויקט פיתוח אחר .וזו הסיבה לכך ,שלא מעט פרויקטים נכשלים ,ורחוקים מלהשיג את המטרה. אחת מהסיבות המרכזיות לכשל בניהול פרויקטי ITואבטחת מידע נובע מניהול פרויקט לקוי. ניהול פרויקטי ITואבטחת מידע הינו תפקיד הדורש שילוב ייחודי של מיומנויות מקצועיות יחד עם מיומנויות אישיות ושימוש במתודולוגיות ושיטות עבודה נכונות .במחקרים שנערכו לאורך השנים מתגלה תמונה עצובה ,לפיה הפרויקטים לא עומדים בזמנם\בתקציב\בתכולה בגלל ניהול פרויקטים לקוי -החל מבחינת המנהל המתאים ברמת האישיות ,הידע והניסיון ודרך ניהול פרויקטים שאיננו מבוסס על שיטות עבודה נכונות והקצאת זמנים ותעדוף נכון של משימות מנהל הפרויקט. קיימות שש סיבות עיקריות ברמת מנהלי הפרויקטים שגורמות לכשלים בעמידה ביעדי הפרויקט: .1בחירת המנהלים על בסיס כישורים טכנולוגיים הארגונים בוחרים לקדם לעמדות הניהול את האנשים שהצטיינו ברמה הטכנולוגית .פעמים רבות מוקדם הטכנולוג דבר שיוצר מצב של מינוי האדם הנכון בתפקיד הלא נכון. 24 גיליון | 11ינואר | 2014 .2מבצעים ולא מנהלים מנהלי פרויקטים רבים מתמקדים בעשייה ובביצוע הפרויקט ולא במשימות הניהול .קיים דגש גדול מדי על כיבוי שריפות וטיפול דחוף על חשבון בניית תהליכי עבודה ,תשתיות עבודה וטיפול בנושאים החשובים .יש חשיבות רבה להשקעה בנושאים כמו ניהול הלקוח ,ניהול התכולה וניהול העובדים וניהול הסיכונים. .3אין הקצאת זמן פעמים רבות לא מקצים מספיק משאבי ניהול וכל תהליך התכנון וההקצאה של הזמן בתחום לוקה בחסר .יש להגדיר בתחילת העבודה את חבילות העבודה של ניהול הפרויקט (ולא רק את חבילות העבודה של הפרויקט עצמו) ולהקצות זמן ומשאבים שמתאימים לעמוד באותם משימות. הקצאת זמנים לקויה לתהליכי התכנון ,הניהול והבקרה גורמת לעומס ניהולי במהלך הפרויקט שלא מאפשר למנהל הפרויקט לנהל את הפרויקט כהלכה. .4בעיית מודעות ויכולת לעיתים הבעיה בניהול הפרויקט מתחילה בחוסר המודעות לגבי מה צריך לעשות מנהל הפרויקט ולחוסר היכולת של מנהל הפרויקט קודם כל לנהל את הפרויקט (הרבה פעמים זה נובע מהסיבה של בחירת המנהל הלא מתאים ,כפי שציינו בסעיף .)1 .5בעיית הכשרה רבים ממנהלי הפרויקטים מנהלים את הפרויקט על סמך תורה שבעל פה ,שיטות עבודה שהם המציאו (והם ממציאים כל פעם את הגלגל מחדש, רק שלעיתים הגלגל שהומצא מרובע וכלל לא מתגלגל )...וחוסר ידע בתחום המתודולוגי של ניהול הפרויקט .חשוב שכל מנהל פרויקט בארגון יהיה בעל הסמכה שמעידה על רכישת הידע והבנת המתודולוגיות והתפיסות הנכונות לניהול הפרויקט .כך ,למשל בתחום ניהול הפרויקט יש את הסמכת ה - PMI-הסמכה מצוינת ומוכרת בכל העולם שלצערנו הרב לא מהווה תנאי סף בכניסה לתפקידי ניהול פרויקטים בארגונים בישראל. .6בעיית תרבות וחוסר בנהלים לניהול ברוב הארגונים אין תורה כתובה של צורת ניהול הפרויקט וגם אם יש תורה כזאת -הרבה פעמים מדובר בנוהל שיושב על המדף ולא מיושם בפועל. על מנת שהפרויקטים יצליחו ,יש לבנות סביבה תומכת ותרבות ארגונית שתומכת בניהול פרויקט מתודולוגי ששם דגש על ניהול הפרויקט כתורה וכמקצוע לכל דבר. a n i m e S Special Boot-Camp Preparation זהו המסלול היחיד שכולל הכנה מלאה לבחינות ההסמכה בפורמט החדש (100%הצלחה בשלושת הבחינות האחרונות) אין מנהל אבטחת מידע לא מוצלח ,יש מנהל אבטחת מידע לא מודרך! למה כדאי ללמוד אצלנו? • הצלחה בטוחה -למעלה מ 98%-הצלחה בבחינות הגמר. • Networkingעם מיטב הבכירים במשק הישראלי. • מיטב המרצים בתעשייה הישראלית והבינלאומית. • חברות שנתית באיגוד העולמי לאבטחת מידע ISSAובאיגוד הישראלי. • תרגול מעשי רב ומגוון בנושאים • ערכות לימוד ייחודיות ובלעדיות. העכשוויים. והדבר הכי חשוב!!! היות ואנו בטוחים בהצלחה שלנו ,אנו מציעים לכלל התלמידים הטבות נוספות: לא עברת את הבחינה? קבל קורס חוזר ב50%- (ללא אותיות קטנות) עברת את הבחינה? קבל זיכוי של עלות הבחינה ,לניצול בקורס הבא במכללת .Titans Security מלגות והטבות ייחודיות לחיילים משוחררים וסטודנטים. למידע נוסף וקביעת פגישת ייעוץ: ייעוץ אקדמי [email protected] | 077-5150340 : ת ת ו מ ד א י ו י נ ב ט ח כמות העובדים המביאים מכשירי טלפון חכמים לארגונים הולכת וגדלה ,אולם בשל חששות אבטחת מידע ,ברוב המקרים מכשירים אלה משמשים כחפצים ,גאדגיטים .יש לנהל את היישומים בעולם הנייד באופן כולל ,ובצורה מאובטחת .צריך לממש את התפיסה המאפשרת הבאת מכשירים לעבודה תוך הבטחת הצורך במנגנוני אבטחת מידע ,לצד השמירה על רמת הביצועים. אבטחת המידע אינו הליך עסקי ,אלא הליך שתומך הדרישות העסקיות ,ולכן זה לא מקומו של מנהל אבטחת המידע בארגון לומר האם מותר או אסור לעשות שימוש במכשירים ניידים חכמים בארגון .תפקידו ,עפ"י הדרישה העסקית של הארגון ,היא לאפשר את מגמת ה,BYOD- לפיה עובדים מביאים לעבודה את מכשירי הטלפון הניידים שלהם ,לקרות ,תוך שיתוף מאובטח של מכשירים אלה ביישומים הארגוניים השונים. שימוש מוגבל העולם הנייד נכנס לארגונים ,אולם בצורה חלקית ביותר .ארגונים מאפשרים להחדיר חלקית טאבלטים לארגון ,אך במקרה הטוב מתקבלת גישה לדואר אלקטרוני בלבד. יש לתת מענה הולם למגמה ההולכת וגוברת של הבאת יישומים לכל מכשיר ,לכל משתמש ובכל ערוץ תקשורת .צריך לממש את התפיסה הזו תוך הבטחת הצורך במנגנוני אבטחת מידע ,לצד השמירה על רמת הביצועים. כיום ,ארגונים עדיין חוששים מלהתמודד עם מגמת ה ,BYOD-ולכן השימוש במכשירים ניידים עדיין מוגבל .ארגונים נוטים לנעול או לחסום את היישומים שלהם למכשירי הטלפון הניידים של העובדים .רוב הארגונים מעוניים לחבר את התקני הקצה לתשתית ,אך בפועל מאפשרים רק משלוח וקבלת דואר אלקטרוני. תועלת עסקית " 26 מגמת ה( BYOD-הבאת מכשירי טלפון ניידים חכמים מהבית לעבודה) הולכת וגוברת ,אלא שהכנסת מכשירים אלה למערכי ה - IT-היא חסרת ערך ואף עשויה להזיק, אם היא לא תלווה בניהול ובאבטחה מתאימה שלהם. גיליון | 11ינואר | 2014 " יש תועלות בהחדרת יישומים לטלפונים החכמים: הגברת תפוקה ,חדשנות ,חסכון כלכלי ,הגדלת הזמינות ,תחזוקה טובה יותר של תחנות הקצה ועוד .אך יחד עם זאת ,עדיין נדרש פתרון אבטחה הולם לתחום לפני שמאפשרים גישה גורפת לכלל היישומים בארגון. MDM vs MAM על אף שבתחילה ,ארגונים נטו לדבר בעיקר על מדיניות ה( MDM-ר"ת של Mobile Device )Managementכדרך המיטבית להתמודד עם תופעת השימוש במובייל על ידי העובדים ,המגמה בשטח נוטה יותר ויותר לכיוון מדיניות הMAM- (ר"ת של )Mobile Application Management המאפשרת ניהול יישומים ותוכן. באמצעות מדיניות ה ,MAM-ניתן להגן על נתונים ארגוניים בהתקני ה BYOD-על ידי יישום אבטחה אפליקטיבית של כל היישומים הארגוניים ,כגון אינטרנט ,דוא"ל Windows ,ויישומי אינטרנט נוספים ,לספק אפליקציות ויישומי HTML5 למכשירים הניידים ,ולספק SSO (Single Sign- )Onליישומי SaaSויישומי .Web פתרונות ה MAM-מקנים אפשרות ניהול מלא, אבטחה ושליטה על יישומים ניידים מקומיים ונתונים הקשורים בהם .יישומים ונתונים של החברה המנוהלים בצורה זו נמצאים במחיצה נפרדת ( ,)Secured /Encrypted Container הנפרדת מיישומים ונתונים אישיים אחרים במכשיר הנייד של המשתמש .שיטה זו מאפשרת לאנשי ה IT-לאבטח כל אפליקציה אשר פותחה בתוך הארגון עם פקדים מבוססי מדיניות מקיפה ל ,BYOD-כולל DLPויכולת נעילה מרחוק לניידים, להצפין יישומים ונתונים של צד שלישי ,או למחוק מרחוק את היישומים הללו. כיתרון ,יכולת זו מספקת גם ניהול פרטני מבוסס מדיניות ובקרות גישה על כל היישומים הניידים המקומיים ו . HTML5-בנוסף ,ניתן להגדיר Micro-VPNספציפי ליישומים ניידים וגישה לרשת הפנימית של ארגון ברמת היישום בלבד, כך שנמנע הצורך ב VPN-מלא ברמת המכשיר כולו ,אשר יכול לפגוע באבטחת המידע ובחוויית המשתמש .שליטה בתקשורת בין יישומים ארגוניים ניידים במכשירים מבטיחה חוויה 'חלקה' ומאובטחת לכל משתמש ומשתמש ,ולהבטיח לאנשי ה IT-ולהנהלת הארגון כי מידע ארגוני עובר אך ורק בין יישומים עטופים באבטחה עם ,MAM כך שהוא נתון לשליטתם ולבקרתם. פתרון נוסף להעברת יישומים בצורה מאובטחת למובייל הינו באמצעות טכנולוגיית Application Publishingבתצורה מוגנת מתוך Mobile ,Application Containerעם יכולות של הזדהות חזקה והצפנת תעבורה .בעזרת טכנולוגיה זו, היישום הארגוני רץ בשרת ,Terminal Servicesכך שכל המידע הרגיש נשאר מאובטח בתוך ארגון, ואף פעם לא נשמר במובייל עצמו .לטכנולוגיה זו ישנם יתרונות נוספים :ניתן להריץ כל יישום ארגוני שרץ על שרתי) Windows Serverלרבות כלי פיתוח) ,גם במובייל .כלומר ,אין צורך בפיתוח יישומים במיוחד עבור המובייל ,אלא רק בהתאמת ממשק משתמש של היישום ל.Mobile Aware - מדובר בתפיסה חדשה ,MAM ,של ניהול היישומים בעולם הנייד לאורך ולרוחב הארגון ,עד יחידות הקצה .הרעיון הוא לייצר פתרון כולל ,שמנהל את הווירטואליזציה של תחנות הקצה ,מהמחשב הנייד ועד הטלפון החכם ,כולל מנגנוני אכיפה וניהול הרשאות ,מבלי לעסוק בשאלת זהות הציוד. כל זה נעשה תחת מדיניות אבטחת מידע ופריסת היישומים בלי לגעת במכשיר .הגישה ליישומים נעשית דרך חנות וירטואלית או דרך הפורטל הארגוני .כך ,כל יישום נעטף בשכבת אבטחת מידע. בתפיסת ,MAMהמיקוד הוא ביישום ,בניגוד לתפיסת ניהול הרכיבים הניידים ( ,)MDMשם המיקוד הוא במכשירים .התפיסה החדשה מספקת ניהול מרכזי ,עטוף באבטחה. המענה לצורך הכפול בניהול המכשירים הניידים ובאבטחתם מצוי בבידוד היישומים כאשר שמים אותם ב'-אריזה' באזור מאובטח ,ובכך מפרידים בינם לבין הקבצים הפרטיים של העובדים. מחצית מהעובדים לא נמצאים פיזית בארגון כיום .לצד זאת 82% ,מכלל 500ארגוני פורצ'ן ( )Fortuneכבר משתמשים בענן .בסביבה הניידת היא מספקת חיבור בין אנשים ,יישומים ונתונים, ובסביבת הענן -בין הדטה סנטרים השונים ובינם לעננים .לאחר מכן היא מספקת רישות ,המחבר בין שני העולמות. צריך לקחת את תחנת העבודה ולחלק אותה לארבע שכבות :מערכת ההפעלה ,היישומים, הנתונים והרשאות המשתמש .הפרדה זו מגמישה את הניהול בעולם הנייד ומספקת לו אבטחת מידע. מרבית הספקים כיום מספקים חבילת פתרונות לעולם הנייד ,הכוללת MDMארגוני ,מייל מאובטח, שיתוף מידע' ,מיכל' לטובת יישומים ניידים וניהול זהויות עם SSOובקרה מבוססת תרחישים. מחשוב נייד כמו מצלמה דיגיטלית תחום המחשוב הנייד נדמה להופעתה של המצלמה הדיגיטלית :הנושא היה קיים בסתר, לפתע הופיע ,תפס תאוצה וכבש את השוק ,בקצב שאיש לא צפה. מחקרים מראים כי ל 73%-מהארגונים יש תחנות קצה וירטואליות ,ל 75%-מהם יש אסטרטגיית מובייל ואילו 68%מהם מציינים את אבטחת המידע כדאגה העיקרית שלהם בעולם הנייד. האתגרים העיקריים בעולם הנייד הם :אבטחת מידע ,ניהול לכשעצמו ,ניהול משופר וייעול והפחתת עלויות. | גיליון | 11ינואר 2014 27 עידן הניידות סכנה ממשית בעולם הניידות - זליגת מידע עולם המובייל משתנה במהרה וכולל מגוון דילמות ואתגרים שיש לתת להם פתרון .זהו התחום החם ביותר שעומד לפתחו של המנמ"ר ומי שאומר שקיים פתרון אחד לבעיות שיש בו -משלה. ארגונים חייבים להקדיש כבר היום זמן לתכנון המדיניות בכל הנוגע למובייל ,אופי העבודה של המשתמשים ,מגמת ה BYOD-ואפליקציות .ארגון שלא יעשה זאת ימצא את עצמו בעוד שנה עם מעט מאוד חמצן לנשימה .על ארגונים להבין שאין פתרון אחד אלא יש הרבה מאוד פתרונות. מי שאומרים לו שיש פתרון אחד כולל -משלים אותו ,כי מאחורי כל חומה שנפרצת יש עוד חומה. בנוסף ,כל ארגון נראה אחרת וכל פתרון מתאים לארגון בצורה אחרת ,ולכן יש להתחיל ללמוד את הדברים ,וכמה שיותר מהר. אנליסטים העלו דילמות שונות על השימוש במובייל ,בהן נושא הפרטיות .זה אתגר לא פשוט וכדי לפתור אותו ,אנחנו ממליצים לבחור פתרונות שעברו אישורים של הגורמים המוסמכים .מגמת ה BYOD -היא הדוגמה הבולטת ביותר לנושא הפרטיות. בין האתגרים האסטרטגיים של המנמ"רים ל 2014-על פי גרטנר ( )Gartnerנמצאים אפליקציות מובייל ,כתיבה פנים ארגונית ,מחשוב ענן בכלל וענן היברידי בפרט ,והיכולת לשלב בין מידע שנמצא בתוך הארגון למידע בענן .ככלל, עולם המובייל משנה תפיסות .זהו התחום החם ביותר שנמצא לפתחו של המנמ"ר .יש מעבר ממערכות הפעלה הומוגניות להטרוגניות, מקביעה מוחלטת של הארגון באילו מכשירים ישתמשו העובדים בעבודתם לקבלה הרבה יותר גמישה של מכשירים .אי אפשר להגביל את המשתמשים. - EMMהמושג שצריך להשתמש בו מעכשיו יש כיום מגמת מעבר מניהול מכשירים ניידים ( - MDMר"ת של (Mobile Device Management לניהול מובייל בארגוני אנטרפרייז ( EMM -ר"ת של ( Enterprise Mobility Managementוזה המושג שצריך להשתמש בו .הMDM, c-היבט הטכנולוגי, הוא רק רכיב אחדu ,אנחנו לא רוצים להתייחס רק אליו .המשחק כבר לא רק שם ,הגבינה זזה למקום אחר .במקום זאת ,אנחנו מדברים על הבנה רב שכבתית של ערוץ המובייל ועל בחירה טכנולוגית מאוד מורכבת .צריכים לטפל בדברים רבים ,כגון הפצת אפליקציות ,הפצת תוכן,BYOD , 28 גיליון | 11ינואר | 2014 ריבוי מכשירים וגרסאות שונות ,שכל אחת מהן מאפשרת תמיכה מסוג אחר. עולם המובייל דוהר קדימה .ה MDM-משנה שבה כמעט שלא הכרנו את השינויים הארגוניים שמביא עימו עולם המובייל ,בשנה שעברה כבר עברנו לדבר על אפליקציות והשנה ,הנושא החם הוא שיתוף מידע .כמו כן ,פתרונות שחשבנו לנכונים אינם תמיד כאלה .כשארגונים ואנשי טכנולוגיה בוחרים באיזה כלי להשתמש ,הם בוחנים כל פיצ'ר אפשרי בו -מה נתמך ומה לא .אחר כך הם עלולים להביא מכשיר מסין ולגלות שחלק מהפונקציות לא נתמכות ,למרות התיאוריות שבנו .התחום רץ כל כך מהר כך שגם כשארגונים עושים את כל ההחלטות הנכונות בקשר אליו, ייתכן שהם טועים. אנליסטים מעריכים שהטאבלט עומד להיות "המכשיר היחיד שאיתו נעבוד וצריך לבנות שיטה נכונה איך לעבוד אתו .אנשי השטח עובדים כל אחד בשיטה שלו ומסובך לפתח יישומים לפלטפורמות השונות .בנוסף ,לעתים מגיעים למקומות בהם אין קליטה או שאסור להשתמש בהם בתקשורת חיצונית ,וגם לזה צריך למצוא פתרון .בעיה נוספת היא למצוא פתרון לדומיין, שבעבר היה בתוך הארגון בלבד וכיום יוצא מחוצה לו .כמו כן ,כשמדברים על פתרון דומיין, לא לוקחים בחשבון את המשתמשים .זה לא נכון, מפני שכשהמוצר לא נוח ,אנשים לא ישתמשו בו ,למשל ,מחוץ לשעות העבודה הרגילות. השימושיות היא המלכה ולכן צריך להסתכל על הדברים בצורה הרבה יותר נרחבת. הניידות היא רק קצה הקרחון עולם הניידות מקבל תנופה מכמה כיוונים :מגמת ההצטרכות של ה ,IT-החדירה המסיבית של מגמת ה ,BYOD-הכנסת המכשירים הפרטיים ל IT-הארגוני וכניסת דורות חדשים של משתמשים. לצד אלה ,למגמת הניידות יש גם היבטים עסקיים: העובדים רוצים לקבל את היישומים הארגוניים והמידע מכל מקום .האתגר הקיים בעולם הIT- החדש הוא לחבר את המשתמשים מצד אחד ואת היישומים והמידע הארגוני מצד שני ,תוך כדי ניהול של רכיבי המחשוב הנייד -ובצורה מאובטחת. המענה לצורך הכפול בניהול המכשירים הניידים ובאבטחתם מצוי בבידוד היישומים ,כששמים אותם ב'-אריזה' באזור מאובטח ,ובכך מפרידים בינם לבין הקבצים הפרטיים של העובדים. מחצית מהעובדים לא נמצאים פיזית בארגון כיום. לצד זאת 82% ,מכלל 500ארגוני פורצ'ן ()Fortune כבר משתמשים בענן .בסביבה הניידת היא מספקת חיבור בין אנשים ,יישומים ונתונים ,ובסביבת הענן - בין הדטה סנטרים השונים ובינם לעננים .לאחר מכן היא מספקת רישות ,שמחבר בין שני העולמות. המגמה בשטח נוטה יותר ויותר לכיוון מדיניות ה( MAM -ר"ת של (Managementשמאפשרת ניהול יישומים ותוכן. באמצעות מדיניות זו ניתן להגן על נתונים ארגוניים בהתקני BYODעל ידי יישום אבטחה אפליקטיבית של כל היישומים הארגוניים .פתרונות ה-MAM- מקנים אפשרות לניהול מלא ,אבטחה ושליטה על יישומים ניידים מקומיים ונתונים הקשורים בהם. Mobile Application המגמה כיום היא לטפל ולנהל כל רכיב מחשוב ובכל מקום ,וזו מגמה הולכת וגדלה .נדרש לספק לעובדים פתרונות מאובטחים ,עם דגש על חוויית המשתמש. מחקרים שבוצעו נושא הניידות ,בקרב אלפי ארגונים גילו ש 80%-מהארגונים הגדולים מפעילים ברשת שלהם תוכנת שיתוף קבצים ,מה שהוביל לדליפה חמורה של מידע .המידע שדלף בחלק מהארגונים כלל נתונים פיננסיים ורפואיים -שהיו גלויים לכל האקר הגבולות הארגוניים נפרצים .אם בעבר המידע היה בתוך הארגון בלבד ,כיום חלק נרחב ממנו עולה לרשת וארגונים לא תמיד יודעים מי ניגש אליו. מחקר שנערך ע"י אנליסטים בקרב אלפי לקוחות ברחבי העולם ,בכלל זה ארגונים שנמצאים ברשימת 100החברות הגדולות של המגזין פורצ'ן (.)Fortune מהמחקר נתגלו ממצאים שהדהימו אותנו80% : מהארגונים הגדולים מפעילים ברשת שלהם תוכנת שיתוף קבצים ,ל 70%-מהם יש דרופבוקס ()Dropbox ובחלק מהארגונים ,המנהלים לא יודעים מה עובר בתוכנות הללו. ב 29%-מהארגונים עלה לרשת מידע פיננסי של הארגון ,ובארגונים נוספים עברו מידע רפואי ומסמכים מסווגים .הנתונים האלה מראים שגם אם מדיניות אבטחת המידע של הארגון טובה ,אם הוא לא מעביר אותה לעובדים שלו היטב ,הוא מסתכן מאוד. קיימים סיכונים רבים בכך שהמידע עוזב את הארגון ,כי כל מה שעולה לרשת חשוף לכל גנב והאקר .שירותי הענן הנפוצים כמו דרופבוקס כבר נפרצו .אחת הבעיות הגדולות היא שאנשים נוטים להשתמש באותם שם משתמש וסיסמה ,וההאקרים יודעים לעלות על זה. מגמת ה BYOD-רווחת ב 90%-מהארגונים ממצא נוסף שגילינו הוא ש 9-מכל 10ארגונים מאפשרים לעובדים להביא את המכשירים שלהם לעבודה ,מה שיוצר בעיות אבטחה נוספות ,מאחר שאין לארגון שליטה מלאה על מכשירים כאלה .נוצר מצב בעייתי עד כדי כך שארגונים מפחדים לשלוח סיכומי ישיבות במייל ומדפיסים אותם על דפים. גבולות הגזרה נפרצו מזמן .משתמשים מתחברים לא רק ממכשיר של הארגון אלא מכל מיני מכשירים .אנחנו רוצים לוודא שהמידע לא זולג -ושזה יהיה בצורה פשוטה. הניידות היא עולם ומלואו ,והיא רק קצה הקרחון. מתחתיה יש שלל נושאים לטיפול ,בהם ניהול, אבטחת מידע וחוויית משתמש. | גיליון | 11ינואר 2014 29 את עמדת העבודה כבר עזבת? אך מה עם הכרטיס החכם? לקחת? ? פרצות אבטחת מידע מי אשם "במרבית מערכות ההפעלה הקיימות כיום ,בייחוד בתחנות העבודה והשרתים ,יש יותר חורים מאשר בגבינה שוויצרית" .ההתמודדות מול ניסיונות סגירת הפרצות במערכות ההפעלה הינה משימה כואבת ,ככל שהארגון מבוזר וגדול יותר". מדי כחודש אנו שומעים על פרצות אבטחת מידע חדשות שמתגלות בעולם .אפילו מיקרוסופט הכריזה על תהליך טלאי קבוע הידוע בכינוי " "Patch Tuesdayשבו היא משחררת טלאים לכל הגרסאות תוכנה שלהם. הבעיה העיקרית עם הפרצות זה בעצם ניצול הפרצות ע"י שימוש ב ,0-day exploits-אשר משתחררים בשוק השחור כמעט מיידי לאחר פרסום הפרצות ,ולפעמים עוד לפני .לחברות עצמן ,לוקח זמן להוציא טלאי שמתקן את הפרצות ,וגם לאחר הוצאת הטלאי ,לארגונים לוקח זמן נוסף כדי לבדוק ולהטמיע אותו בארגון. ככל שהארגון מבוזר וגדול יותר ,משימה זו הולכת והופכת להיות קשה יותר. השאלה שנשאלת היא מי בעצם אשר בפרצות אבטחת המידע? הספקים ,אותו הקר שגילה את הפרצה ופרסם אותה באינטרנט ,אותו האקר שפיתח תוכנה זדונית שמנצלת את הפרצה, או הארגון שמתעכב להתקין טלאים לסגירת הפרצות ,או כל בקרה מפצה אחרת. אין תשובה אחת לשאלה הזאת ,היות וזה מאוד תלוי את מי שואלים ,ויותר נכון כיצד הארגון מגיב או נערך מבוא מועד לסגירת הפרצות. ישנם ארגונים שקיים אצלם תהליך מוסדר של ניהול טלאים ועדכון גרסאות מערכת ההפעלה, אך עדיין זה מחייב התעסקות ,ולא מעטה. מי אשם על איכות המוצר? תארו לעצמכם את המקרה הבא :רכשתם שולחן אוכל מחברה ידועה לריהוט ביתי .לאחר כשנה 32 גיליון | 11ינואר | 2014 אתם רואים מודעה בעיתון בו מודיעה החברה כי כל רהיטיה העשויים מעך עלון עשויים להישבר לאחר שנה או יניחו עליהם משקל של חמישה קילו-גרם ומעלה. החברה מציעה פתרון :הוראות כיצד בעזרת מסמרים ופטיש ניתן לחזק את השולחן כדי שיחזיק מעמד מעט יותר זמן .לאחר מספר חודשים אתם רואים מודעה נוספת .שוב החברה מתריעה על סכנת שבירה של השולחן ,ושוב יש פתרון פשוט :הפעם יש לחזק חלק אחר בשולחן, ולהשתמש במסמרים מעט שונים מקודם .וכך זה נמשך כל הזמן... אתם שומעים על אנשים רבים מבין חבריכם שלא קראו את המודעה ,או לא חיזקו את השולחן לפי ההוראות והשולחן שלהם נשבר ואיתו כלי החרסינה השבירים שעליו .מה יקרה לחברה כזאת? ניתן להניח שתוגש נגדה תביעה ייצוגית כבר אחרי פרסום ההודעה הראשונה. ניתן להניח שהלקוחות ששולחנם נשבר יבקשו את כספם בחזרה ואולי אף יבקשו פיצויים .די בוודאות אפשר לצפות שאותה חברה תסבול מירידה משמעותית במכירות וקרוב לוודאי שאתם לא תרצו לקנות יותר רהיטים מהחברה. ומה קורה בענף התוכנה? נראה כי אותו הסיפור ,בשינויים קטנים ,מסופר אחרת לגמרי על ענף התוכנה :אנחנו שומעים שוב ושוב על פרצות אבטחת מידע בתוכנות, ואיש אינו אחראי .יתרה מזאת -במקרים רבים הפתרון שבו בוחרים חברות רבות הוא לרכוש מוצר אבטחת מידע נוסף (כגון פירוול) על מנת להגן על הרשת מהתקפות .התקפות ,כזכור, הנגרמות ברובם המוחלט של המקרים מפרצות במוצרים מסחריים המותקנים ברשת. מה הסיבה? התשובה המתבקשת ,כביכול ,היא שבענף המחשבים ,כיאה ל"כלכלה חדשה" ,החוקים שונים מענפי ה .Low Tech-מומחים יטענו כי באגים ושגיאות בתוכנה הם סבירים בהחלט היות וקצב פיתוח תוכנה גדול מקצב "פיתוח" שולחן. אבל כאשר בוחנים תשובה זו לעומק ,רואים כי היא אנה מדויקת .הנה ,כאשר לחברת אינטל היה באג במעבד הפנטיום (להזכירכם ,שם היה מדובר על באג שמשמעותו היתה זניחה לרובם המוחלט של המשתמשים) ,לקוחות החברה השמיעו את קולם ופרצו במחאה עזה .אינטל נאלצה לאסוף מהמדפים את המעבד הבעייתי, לתקן את הבעיה ולצאת במסע יחסי ציבור גדול כדי להתנצל ולהסביר את התיקון .כדאי לזכור כי מעבדי אינטל מפותחים בקצב ששווה ואולי אף גדול מקצב שחרור מהדורות Windowsלמשל. ובוודאי שחברת אינטל פועלת לפי חוקי הHi-- .Techאפשר אפילו להגיד כי אינטל כתבה כמה מהחוקים...כלומר ,התשובה אינה נעוצה בסוף הענף. יצרני התוכנה יאמרו לכם אולי שלמצוא פרצות אבטחת מידע זה קשה ,ולכן לשחרר מוצר מאובטח הוא משימה בלתי אפשרית .אחרי הכל, ההאקרים הם חכמים ,ותחבולותיהם גדלות מדי יום .אי אפשר לחפש את כל סוגי הפרצות ,ואנחנו לעולם נרדוף אחריהם בבואנו להגן על המערכות. האומנם? סטנדרטים בינלאומיים הנתונים בענף התוכנה ,מוכיחים לנו אחרת. במרבית המקרים ,באג במערכת או רכיב תוכנה, נסתם ללא בדיקה מקיפה על שאר המרכיבים או בדיקת הרכיב לעומק ,למציאת באג אבטחה נוסף באותו רכיב .ומייד לאחר "סתימת" חורי האבטחה, מומחי אבטחה וחוקרים מצאו פרצות נוספות, באותו רכיב תוכנה .הייתם מצפים מהחברה שמספקת את התוכנה להשקיע קצת יותר מאמצים ,ולבחון היטב את הרכיב\תוכנה ,במטרה לאתר ולסגור את כל הפרצות האפשריות ,ולא לאפשר מצב שבו חוסמים חור אחד ,אך נפתחים חמישה נוספים .נתון נוסף שלא לטובתם של החברות ,היא העובדה שלחברה יש את הקוד מקור ,מה שיכול להקל עליה לחפש ,לאתר ולתקן את בעיות האבטחה אשר יתגלו במהלך הבדיקה. קיימים מספר סטנדרטים בינלאומיים ,אשר זכו להכרה בקרב מקצועני אבטחת המידע ,ביניהם ה( CC-ר"ת של )Common Criteriaשקובע ובודק את רמת האבטחה של המוצר כפי שנדרש או מוכרז ע"י הספק .החיסרון היחידי...שזה עולה לא מעט כסף ,וחברות מעדיפות לא להשקיע את כספם בתהליכים אלו. אז מה יש בעצם לאותם חברות אבטחה או להאקרים שמחפשים אחר פרצות חדשות כל הזמן? מוטיבציה .ולעתים ,זו מתורגמת כמובן לכסף. כל עוד לא תהיה סיבה אמיתית לחברות התוכנה לוודא שמוצריהן מאובטחים כראוי ,לא תהיה מוטיבציה אמיתית לחברות אלו לבדוק את המוצרים שלהם לפרצות .ולכן ימשיכו המתקיפים למצוא את הפרצות .במקום היצרנים. אז מה הפתרון? כיצד נוכל לשבור את המעגל הזה? פשוט :צריך להפיל את האחריות על כפתי מי שאמור לתקן את הבעיה :חברות התוכנה ,שבאחריות לתיקון פרצות אבטחת המידע בצוצריהן! כל מה שחברות התוכנה צריכות לעשות הוא להשכיר את שירותיהן של חברות אבטחה שמתמחות בנושא הזה ,כדי לבדוק את רמת האבטחה של המוצרים לפני שמשחררים את הגרסאות הסופיות למדפים וללקוח הקצה. תהליך זה אף יכול לחסוך המון כסף ולמנוע פגיעה במוניטין של בתי התוכנה. בדיקות תוכנה!... זה לא מומלץ ,זה חובה! דבר זה נכון לכל חברת תוכנה .ונשאלת השאלה: האם הייתם קונים מכשיר חשמלי שלא נבדק במכון התקנים? כמובן שלא! אז מדוע אתם רוכשים תוכנות שלא נבדקו כראוי לפרצות אבטחה? בדיקת אבטחת מידע כזאת היא אינטרס שלכם הצרכנים -ואתם צריכים לדרוש אותה מהיצרן.כבר עתה ,יותר יותר חברות בוחרות בפתרון של ביצוע בדיקות אבטחה מקיפות למוצריהם לפני שחרורם לשוק .בדיוק כפי שבדיקת מוצר לבעיות איכות ( )QAהוא היום סטנדרטי ,חברות מתחילות להבין כי כך גם ביצוע בדיקת אבטחת מידע .אך ללא עידוד חיובי של הצרכנים למוצרים שעברו בדיקה כזאת ,ולעומת זאת עידוד שלישי למוצרים שלא עברו בדיקה כזאת ,התהליך יהיה איטי ובנתיים תקבלו מוצרים באיכות נמוכה ועם הרבה מאוד פרצות. חשוב לזכור שבדיקת אבטחת מידע היא אפשרית, והיא סבירה בהחלט -גם בעולם המחשוב .אל תשלימו עם באגים שמשאירים את המחשב שלכם חשוף ,ואל תסכימו לפתרונות שכופים עליכם קניית מוצרים נוספים .אבטחת מידע היא חלק מהמוצר שאותו אתם אמורים לקבל .ועליכם לדרוש אותו מהיצרן! | גיליון | 11ינואר 2014 33 ראיון אבטחה עם מר עידו גולדברג IT DIRECTORואבטחת מידע בחברת NEOGAMES כיצד אתה רואה את המוכנות והמודעות של ארגונים בישראל מבחינת עמידה מפני איומי סייבר? מוכנות הארגונים בישראל היא תוצאה ישירה של מוכנות מנהלי אבטחת המידע שבהם ,היות וארגונים וחברות ישראליות הם מטרה ברורה לכל מיני התקפות עצם היותם ישראלים .אני חושב שחברות ישראליות שלא משקיעות בהדרכת עובדיה או באבטחת שירותיה ומוצריה ,ובכך מתרשלות באחריותם. האם לדעתך מדינת ישראל ערוכה בעצמה למלחמת סייבר כוללת? האם היא מוכנה להגן על הארגונים ואזרחיה? מדינת ישראל ,כמדינה ,צריכה להחליט על מה היא מגנה במלחמת סייבר כוללת ,זה עניין של תיעדוף ,אני מניח שמערכות חיוניות (צבאיות כאזרחיות) נערכות לזה כבר היום ,צריך גם לשים את העניינים על השולחן ,כיוון שמלחמת סייבר היא דבר חדש יחסית ,לא ידוע לי שיש לזה יחס במשפט הבין לאומי ,כלומר ,התקפה על שירותי משרד הפנים של מדינת ישראל אינה נחשבת להכרזת מלחמה ..ולכן כשאומרים "מלחמת סייבר כוללת" או ערוכה ל ....זה פשוט עניין של היקף ההתקפה ,אני חושב שהיום כל גוף רשמי במדינה שמציע שירותי און-ליין מותקף בצורה קוסטינסטנטית והעובדה שעניין זה לא בכותרות היא שלמעט לחברות אזרחיות כמו אתרי מסחר וכוי"ב שמתפרסמות באספקט הזה ,בצורה רבה קשור לחוסר ההצלחה של הגורמים המבצעים להוות איום משמעותי למערכות. מה דעתך על האכיפה של חוק הגנת הפרטיות בישראל? אני לא בטוח בכלל שהחוק הנ"ל מוכר בארץ, למרות שבעידן און-ליין אנשים חייבים (בעייני) להכיר את רוח החוק כדי להחליט האם סיטואציות מסוימות של גופים שונים פוגעים בפרטיותם .אני לא סבור שיש באמת הטמעה ציבורית של חוק זה. כיו"ב גם איני מודע לאכיפה משמעותית בנושא, ואשמח להיחשף לכזאת. כיצד אתה רואה את תפקידו של מנהל אבטחת המידע בעידן הסייבר? מנהל אבטחת מידע ,משמעותו מעצם תפקידו. כלומר ,צריך להבין מהו ה"מידע" ,מה נחוץ לעשות על מנת ל"אבטחו" תוך "ניהול" מתמיד של סיכונים. רא י ו ן ב לעדי על כל מנהל אבטחת מידע להבין על מה הארגון שלו צריך ורוצה להגן ,לפעמים זה רשימת לקוחות ,אצל אחרים זה מידע פרטי ,פיננסי וכיו"ב ולהתאים את ההגנות סביב אותו מידע. שבעולם שבו כל דבר מחובר לכל דבר ,אין באמת דרך טובה להימנע ,זה כמו לומר שהדרך הטובה והיעילה להמנע מהריון היא פשוט לא לעשות ..זה נכון אבל לא מציאותי. תפקידו של מנהל אבטחת המידע הוא להבין את הסיכון והסבירות ולהציע פתרונות שעלותם לא עולה על תועלתם. עירנות וחשדנות הם מושגי המפתח. מה לדעתך הידע הנדרש היום ממנהל אבטחת המידע? הידע הנדרש הוא הכרה עמוקה של החברה בה הוא עובד עם עולם הסייבר אותו הוא מבקש לשמור בחוץ .אותו מנהל צריך לחוש מה קורה ,מי נתפס ,איך הוא עשה את זה ולמה ,כדי להבין האם הסיכונים או החורים בהגנה של המידע שברשותו יכולים להוות מטרה. מהם איומי הסייבר המשמעותיים ביותר שארגונים נאלצו להתמודד איתם במהלך ?2013 אני חושב שהמפורסם בהם היה מקרה ההאקרים הסעודים וחשיפת כרטיסי האשראי ,אני באמת חושב שמחוץ ללוחמת סייבר פוליטית או אודיאולוגית ,רוב ההאקרים מונעים ממניעים פיננסים ולכן גם אם הפעולה הנ"ל נחשבת לפוליטית היא הרי פיננסית בעיקרה. מהם איומי הסייבר שמצפים לנו ב?2014- קשה לומר .מדינת ישראל תמשיך להיות הגורם הכי מותקף בעולם ,זה בטוח .ולכן גם החברות והאזרחים צריכים להתאים את ההרגלים שלהם בהתאם .אבל צריך להבין שפעולות לוחמה סייבר הם נגזרת מסויימת של לוחמת גרילה, כמעט תמיד אין סימנים לבאות אם בכלל וארגון שמותקף בד"כ יודע זאת במהלך ההתקפה .אז פשוט צריך להיות ערני ,ולמזער חשיפה ,לשמור על הפרטיות שלנו ולא לסמוך על אתר או מוצר כזה או אחר כי חבר מאוד טוב שלנו ממליץ. מהי הדרך הטובה ביותר להימנע ממתקפות סייבר? ראיון עם מר איציק כוכב, הממונה על אבטחת המידע בשירותי בריאות כללית במידה והותקפת – כיצד ניתן להתאושש ביעילות? התשובה לשאלה זאת היא מאוד סובייקטיבית ,היא תלויה בגודל וסוג ההתקפה וכמובן מה בדיוק הותקף .אני חושב שניהול מערכות אבטחה סטאנדרטיות מספיקות להתאוששות מרוב ההתקפות. מהן המגמות החמות של ?2014 אני חושב שנראה גידול משמעותי בתחומי הסלולאר ,הרשתות החברתיות האתרי המסחר האלקטרוני. אילו טכנולוגיות לדעתך יעניינו את ה ,CISO-במהלך ?2014 בגלל השאלה הקודמת אני חושב שתחומים כמו אבטחת מכשירים ניידים ושמירה על פרטיות הם הנושאים שיעסיקו אותנו השנה. מה דעתך על האיגוד ועל תרומתו לפיתוח תחום אבטחת המידע בישראל? כל ארגון שמעלה את "נס הדגל" הוא ברכה שאפשר רק להתרצות ממנה ,תחום אבטחת המידע בעולם ובארץ בפרט הוא לא רק חלקת החברות או הממשלות אלא האזרחים כאחד. כמנהל אבטחת מידע פעילות הארגון עוזרת לי להעביר את המסר לעובדי החברה ,אך השכר האמיתי הוא שבסופו של יום אותם אנשים מודרכים ומודעים יותר ולוקחים את המידע להתנהלות האישית שלהם וזה עוזר לקדם את כלל האוכלוסיה בנושאי אבטחת מידע. ראיון בלעדי אבטחת המידע צריך להיות כמקומו של המנמ"ר בהיררכיה הארגונית .ובכפיפות לסמנכ"ל לפחות כיצד אתה רואה את המוכנות והמודעות של ארגונים בישראל מבחינת עמידה מפני איומי סייבר? מה לדעתך הידע הנדרש היום ממנהל אבטחת המידע? אני סבור שאנחנו בתחילת הדרך והמודעות לא מספיק טובה .מטה הסייבר מתחיל לצקת מודעות ,אך אנחנו עוד רחוקים ממצב סביר בעיקר כישורי מנהל עם יידע טכני מעמיק בתחום רשתות תקשורת .יידע משפטי יעזור כמו גם יידע בתחום תעשיה וניהול האם לדעתך מדינת ישראל ערוכה בעצמה למלחמת סייבר כוללת? האם היא מוכנה להגן על הארגונים ואזרחיה? מהם איומי הסייבר המשמעותיים ביותר שארגונים נאלצו להתמודד איתם במהלך ?2013 השנה התקדמנו משמעותית בתובנה של הצורך להגן .אך פיזית אנחנו עוד לא לגמרי מוגנים מה דעתך על האכיפה של חוק הגנת הפרטיות בישראל? בעיקר .DDOSאך גם סוגיית סוסים טרויאנים מתוחכמים מהם איומי הסייבר שמצפים לנו ב ?2014-מהי הדרך הטובה ביותר להימנע ממתקפות סייבר? אני סבור שאין אכיפה ראויה .רמו"ט כרגע לפחות אינם מוכנים לטפל בבעיה בהיקפה האמיתי לנתק את המערכות תומכות חיים או מערכות קריטיות מרשת האינטרנט והסייבר כיצד אתה רואה את תפקידו של מנהל אבטחת המידע בעידן הסייבר? במידה והותקפת – כיצד ניתן להתאושש ביעילות? 90%ממנהלי אבטחת המידע בישראל כפופים למנמ"ר .זו כפיפות בעייתית מבחינת הפרדת רשויות .אני סבור שבעידן הסייבר מקומו של מנהל בעיקר להפעיל DRPלמערכות המרכזיות , מערכות חוצות ארגון .והפעלת טבעות תקשורת כפולות מהן המגמות החמות של ?2014 אני מוביל מהלך כלל עולמי של שינוי תפקיד אבטחת המידע ( .מ :סודיות,זמינות ,אמינות ל: סודיות,אמינות,בקרה )הסיבה לכך נעוצה בעובדה שהיום פרוצי מחשבים ועובדים מצליחים להגיע למידע גלוי ,לקחת אותו ,וכמעט שאין טביעת אצבע למעשיהם ( .סנודן ,ענת קם ,אנונימוס, וויקליקס מדינות) ... ולכן אני סבור שאבטחת המידע צריכה לשנות כיוון ולעסוק באבטחת Dataכנושא מרכזי ובעדיפות א .הצפנה כבר בשלב הקשת הנתונים ב .מדיניות קשוחה על הקובץ ג .אוטנטיקציה חד משמעית של המשתמש ד .בקרה על המידע ה .פיתוח מאובטח אילו טכנולוגיות לדעתך יעניינו את ה ,CISOבמהלך ?2014 טכנולוגיות ,DLPטכנולוגיות בקרה והתראה מתקדמות , XMLFW .כלי הצפנה ,יכולות הזדהות ביומטרית ע"ג כרטיס המשתמש .MOCשימוש בטכנולוגיות של תחנת טרמינל למשתמש להתנתק מהאינטרנט .ואחרי שצחקנו ,צריך להבין 34 גיליון | 11ינואר | 2014 | גיליון | 11ינואר 2014 35 ראיון בלעדי עם מר תמיר רביבו מצוות אבטחת מידע בבנק מזרחי כיצד אתה רואה את המוכנות והמודעות של ארגונים בישראל מבחינת עמידה מפני איומי סייבר? מדינת ישראל טרם הגדירה את דרכי פעולתה בנושא ונכון להיום די משאירה את מנהלי אבטחת המידע בארגונים השונים להתמודד עם הבעיה לבד. לדעתי ,כלל הארגונים בעולם ובארץ בפרט, נמצאים בשלב של למידה בתחום איומי הסייבר, ההגדרה של "איומי הסייבר" מתחילה לחלחל בצורה משמעותית מרמות ההנהלה ועד אחרון העובדים. מדינת ישראל אינה לבד במערכה זו ,כלל הממשלות בעולם יודעות להתמודד עם איום טרור ,פלישה לשטח ריבוני ו /או סיכון נכסיה בעולם אך שזה מגיע לתחום לוחמת הסייבר כל הממשלות מתקשות לתרגם את הגדרות הריבונות ודרכי התגובה שלהן ,ל"פלישה" זו. השינוי נובע לאור השילוב בין "פגיעות פרטניות" כגון גניבה /פריצה אל חשבונות mailוFacebook- לבין מתקפות ממוקדות על תחומים שונים ממניעים פוליטיים ואידיאולוגים ,כדוגמת ,OPisraelאו "סתם" מטעמים פלילים ,כדוגמת מקרה הסחיטה של הבנקים על ידי גורם עלום הטוען שמחזיק מידע פנימי של לקוחות. לאור האמור לעיל ,ההבנה והמודעות הקיימים בהנהלה ובקרב ציבור עובדים בחברה ,מסייעת למנהל אבטחת המידע בארגון בהגברת המודעות וקבלת התמיכה הנדרשת להרחבה ויישום של מדיניות אבטחת המידע. האם לדעתך מדינת ישראל ערוכה בעצמה למלחמת סייבר כוללת? האם היא מוכנה להגן על הארגונים ואזרחיה? לצערי ,התשובה כאן הינה לא ברור ,וזאת למרות הקמת גופים שונים שעליהם הכריז רה"מ לא מכבר. 36 גיליון | 11ינואר | 2014 מדינת ישראל נדרשת להציג מענה למתקפות המגיעות מהעולם בדיוק כמו ביקורת הגבולות הקיימת כיום ,כלומר כפי שהמדינה פועלת לעצירת מסתננים (ראה גדר הגבול עם מצרים) או גורמים לא רצויים מלהגיע לארץ (ראה עצירת גורמים פרו-פלסטינאים מלהגיע לארץ לצורכי פרובוקציה) כך נדרשת המדינה לייצר ביקורת גבולות אלקטרונית ולחסום מתקפות או פעילות המוגדרת כעוינת למגזר מסוים ולא רק למדינה עצמה. למרות הדברים כן ניתן לראות ניצני אופטימיות, האיחוד האירופאי פרסם ,לפני שנה לערך, טיוטא לספר החוקים הבינלאומי להתמודדות עם מתקפות סייבר תוך הגדרת תבנית לחוק בין לאומי ,שיתופי פעולה ,הסכמי הסגרה והחבות המשפטית של כל אחת מהמדינות שנפגעה או שממנה בוצעה המתקפה. מה דעתך על האכיפה של חוק הגנת הפרטיות בישראל? החוק מכיל הגדרה די פרטנית למה צריך ונדרש לעשות בתחום זה ,האכיפה אומנם עדין בתחילת דרכה אך מקרה ה"אגרון" די הבהירה למקבלי ההחלטות שיש לטפל בנושא תחת זכוכית מגדלת. חשוב לציין כי הרצון של הממשלה לקדם את נושא תעודות הזהות הדיגיטאליות "די עשה טוב" לכל נושא החוק והאכיפה בתחום. כיצד אתה רואה את תפקידו של מנהל אבטחת המידע בעידן הסייבר? אומנם תפקידו של מנהל אבטחת המידע והסייבר (כן זה נשמע יותר מלהיב) בארגון מקבל בתקופה האחרונה דחיפה די רצינית בתחום האחריות וההבנה של הנושא מול גורמי ההנהלה והתקציב, אך מנהל אבטחת המידע נדרש ,היום כמו בעבר, למענה ושיתוף פעולה מול כלל הגורמים בארגון בכדי לייצר תמונת שליטה רחבה כלל האפשר שתסייע לו בזיהוי החריגות והשינויים הנדרשים לחקר ואיתור. מה לדעתך הידע הנדרש היום ממנהל אבטחת המידע? מנהל אבטחת המידע נדרש לידע רחב ומגוון בתחומי התקשורת ,מערכות ההפעלה ,בסיסי נתונים מערכי ניהול כ"א והרשאות ,מבנה ארגוני ,מבנה מערך האבטחה הפיזי והתנהלות העסקית של הארגון. לא ,מנהל אבטחת המידע לא נדרש להיות "גיבור על" בתחומים אלו אלא נדרש להבנה בסיסית פלוס בכדי לנווט נכונה את מערך ההגנה האלקטרוני בארגון תוך מזעור זמני התגובה לאירועי אבטחת מידע וסייבר המתרחשים בתוך ארגונו. מהם איומי הסייבר המשמעותיים ביותר שארגונים נאלצו להתמודד איתם במהלך ?2013 נכון לשנת 2013מרבית האיומים המשמעותיים התקיימו בתחום מתקפות ה DDOS-וסריקות כתובות ופורטים נרחבות שבוצעו על ידי גורמים בעולם באמצעות אלפי בוטים שהותקנו במחשבים פרטיים . ניתן גם לסמן מגמה סבירה של בניית אתרי פישינג לצורך גניבת מידע או איסוף מודיעין. מהם איומי הסייבר שמצפים לנו ב?2014- וגורמי חוץ) הרי שהיום כיוון המתקפה השתנה ופועל מפנים כלפי חוץ .התוקפים כיום שואפים להשיג גישות וקשרים לוגים מתוך המערכות עצמן ללא כל צורך "בנגיעה במקלדת" .השגה של יכולות זו ניתנת ליישום באמצעות שימוש בעובדים וספקים חיצוניים ,ללא ידעתם ,תוך פיצול הפעילות כך שכל גורם מבצע פעילות פשוטה ולא מזיקה שבסופו של תהליך מאוגדים לכלי אחד בידי התוקף. מהי הדרך הטובה ביותר להימנע ממתקפות סייבר? היא להכיר את העובדה שאין דרך טוב להימנע ממתקפות סייבר. מנהל אבטחת המידע נדרש להכיר את המגמות והפעילות המרחשת בעולם ולבצע ניהול סיכונים רציף אל מוכנות המערכות המצויות תחת אחריותו. במידה והותקפת -כיצד ניתן להתאושש ביעילות? "מתקפות תפורות לפי מידה" -פעילות המבוצעת לאחר איסוף מודיעין אורך ולרוב מבוצעות על ידי ארגונים מסודרים ולא האקרים מתלמדים. כמו בתחילת ספר בישול מרוקאי " -קודם כל תירגעי !!!" תקיפות מבפנים -אנו ערים לשינוי מגמה משמעותי בתצורות התקיפה המסורתי כלומר אם "פעם" נדרשנו להגנת הגישות מבחוץ (אינטרנט בנייה מקדימה של דרכי פעולה ונהלי עבודה בעת מתקפה הינה הגורם החשוב ביותר לניהול והתאוששות מהירה ממתקפת סייבר. בעת מתקפה קיימת מעין התרחשות שכזו שכולם רוצים לדעת ולעזור ,דבר שיכול לגרום לרעש והפרעה מיותרים. הגדרה מוקדמת של מנהל אירוע מרכזי ,כולל סמכות ואחריות על כלל הגורמים הנדרשים לטיפול במתקפה תאפשר ניהול יעיל ומהיר של האירוע. מהן המגמות החמות של ?2014 ,DLPנושא דלף המידע הגיע לשלב הבשלות הן ברמת הפתרונות הטכנולוגיים המוצעים בשוק והן ברמת ההבנה של גורמים שונים בארגון כי מידע שווה כסף ,כוח ,הגנה פיזית והגנה טכנולוגית. אילו טכנולוגיות לדעתך יעניינו את ה ,CISOבמהלך ?2014 הגנה היקפית ודלף מידע. מה דעתך על האיגוד ועל תרומתו לפיתוח תחום אבטחת המידע בישראל? קיימת חשיבות באיגוד כלל הגורמים תחת מטריה מרכזית אחת .יצירה סביבה של שיתוף מידע , העלאת נושאים למודעות וחקר נושאים מגוונים בתחום הינו דבר נדרש וחשוב במיוחד בתחום אבטחת המידע והסייבר. | גיליון | 11ינואר 2014 37 התקפת BotNet מאת :רועי זימון ,מומחה אבטחת מידע אפליקטיבי בתחום הסייבר התקפות סייבר הינו המונח הנפוץ ביותר לתיאור בימים הנוכחיים של כל ניסיון לתקוף את הארגונים או משתמשים אישיים דרך רשת האינטרנט. בשנים האחרונות אנו עדים לגידול בהתקפות על חברות מסחריות ,בנקים ,תעשיות ומדינות. ההתקפות הופכות למורכבות ומתוחכמות יותר, והזיהוי שלהן הולך ונעשה קשה יותר. ניתן למנות עשרות דוגמאות ידועות של ההתקפות אשר התגלו כגון :פרשת סוס הטרויאני,Stuxnet , פלמר .התקפה מוכרת לאחרונה הייתה של תכנה זדונית העונה לשם .Black hole תוכנה זדונית זו מתפשטת בעיקר באמצעות סקייפ ושולחת למשתמשים הודעה נחמדה כמו: "יש לך הודעה קולית חדשה" וקישור מצורף כדי להאזין להודעה. ברגע שהקורבן פותח את הקישור ,המחשב שלו נדבק בתוכנה זדונית בשם זאוס ,סוג אחר של תוכנה זדונית. אחד המונחים הידועים בסייבר נקרא התקפת .botnet במאמר זה ,אנסה להסביר מה הוא ,Botnetכיצד מתפשט ,האם ניתן למנוע אותו ,וכמובן מה הם הסיכונים לאיום מסוג זה. 38 גיליון | 11ינואר | 2014 מהו ?Botnet תארו לעצמכם תוקף אשר מקים שרתי פיקוד ושליטה ( , )C & Cאשר מופעלים כגנרלים. הגנרלים האלה צריכים למצוא חיילים שיקבלו את הפקודות לביצוע המשימות. ברגע שהתוקף מפתח או קונה תוכנות זדוניות אשר ידביקו את מחשבי היעד ,הם יקבלו הוראות מהשרתים של .C & C למעשה התוכנה הזדונית אשר יושבת על המחשב של הקורבן ומחכה לקבל פקודות משרת הC&C- נקראת בוט. Botnetהינו ההפצה של מחשבים שנדבקו בBot ומקבלים פקודות משרת ה .C & C איך מחשבים נגועים ב?Bot- מחשבים יכולים להיות נגועים בכמה דרכים ,אבל בדרך כלל זה נעשה על ידי: פישינג וספאם אשר שנשלח למשתמשים (קורבנות) באמצעות ערוצי הפצה כגון דואר אלקטרוני ,הודעות מיידיות ,ועוד. ההודעה עשויה להיראות תמימה לחלוטין כגון בקשה לתרום לצדקה ,או הודעת מערכת שהמחשב נדבק על ידי וירוס ,ומכילה קישור להורדת כלי להסרה. כיצד ניתן לזהות קיום ,Botnetוהאם ניתן להסירו? ברגע שהמשתמש לוחץ על הקישור ,זה מתחבר לאתר אינטרנט זדוני אשר מדביק את המחשב באותה תכנה זדונית. קשה מאוד עד בלתי אפשרי לפעמים לזהות את קיומה של רשת ה .botnet דרך נוספת להדבקה יכולה להיות על ידי שליחת הודעה עם תכנית זדונית כקובץ מצורף למשתמש ,והתכנה תותקן באופן אוטומטי ,או על ידי המשתמש אשר יתבקש לפתוח את הקובץ הזדוני. אם מתמודדים עם Botידוע ומוכר ,אזי ניתן להשתמש בכלי אבטחה לזיהוי והסרתו. זיהוי מתחיל בעיקר ,כאשר יש חשד להתנהגות לא סדירה ברשת ,למשל עומס יתר אשר מוביל לאיטיות גלישה ,או זיהוי של מידע חסר או פגום. כיצד ה Bots-מסכנים את הארגון? תפקיד צוות מומחי אבטחת המידע הינו למצוא דפוס אשר לזיהוי ה . Botnet Botsאלה יכולים לשמש לכל מטרה ,כגון איסוף מידע רגיש מהמחשב הנגוע ושליחה לאתר חיצוני המשמש את התוקף לצורכי ריגול ,או להיות חלק מהתקפת מניעת שירות (.)DDoS הצעד הבא לאחר שלב הזיהוי ,הינו ניתוח התעבורה,וההוראות בין ה Botsלשרתי ה .C&C התקפת DDOSכזאת תתרחש כאשר כל ה Bots יקבלו פקודה בו זמנית משרתי ה C & Cלשלוח בקשות רבות לשרת/אתר מסוים ,עד להפלתו. כל Botsחייבים לתקשר עם שרת ,C & Cולכן מחפשים פניות ל URLאו IPאשר הם מנסים לגשם אליהם. לאחר שחוקרי אבטחה הצליחו לזהות את השרתים ,הם פועלים כדי לסגור אותם. כיצד להגן מפני ?Botnet האתגר להוריד את שרתי C&Cמורכב מאוד מהסיבות הבאות: מכיוון שאין דפוס פעולה ברור של ,Botsמוצרי אבטחת המידע כגון אנטי ווירוס לא יכולים לתת הגנה מלאה. •ספקי האינטרנט עשויים להגן על הלקוחות שלהם ,כך שזה לא כל כך קל לשכנע את ספקיות אינטרנט שהם צריכים לסגור את השרת של הלקוח. •גם לאחר שה ISPהשתכנע והשרתים נסגרו, לא בהכרח כל שרתי C & Cנסגרו ולאחר מכן Botnetיכול לשקם את עצמו. •התקפות botnetחכמות אינן מתקשרות באופן ישיר עם שרתי ,C & Cאלא דרך שרתי פרוקסי .לכן קשה עד כמעט בלתי אפשרי ברוב המקרים לאתר את שרתי .C & C מוצרי האנטי וירוס יוצרים חתימה של Botרק לאחר שהמחשב כבר נדבק ואפילו נפגע. לכן ,מעבר לשימוש בכלי אבטחה אשר מנסות להתמודד עם ,Botnet attackהדרך העיקרית להתמודדות עם התופעה הינה עירנות המשתמש. לכן מאוד חשוב לא לפתוח קישורים ,קבצים ודואר אלקטרוני ממקור לא ידוע. כמו כן ,יש לדווח על כל אירוע באופן מיידי לצוות אבטחת מידע להמשך טיפול. •גם אם כל שרתי C & Cיסגרו ,המלחמה של חתול ועכבר נמשכת כאשר התוקף מקים מחדש שרתי C & Cומחפש קורבנות חדשים לתקיפה. | גיליון | 11ינואר 2014 39 קבוצת טייטנס סקיוריטי מציגה ראיון בלעדי עם מר ניר ולטמן, c e r t i f i e d מנהל אבטחת מידע בחברת ,RETALIX ובעלים משותף בחברת CROWDOME כיצד אתה רואה את המוכנות והמודעות של ארגונים בישראל מבחינת עמידה מפני איומי סייבר? מהם איומי הסייבר המשמעותיים ביותר שארגונים נאלצו להתמודד איתם במהלך ?2013 אין ספק שהמודעות עולה משנה לשנה ,אך יחד עם זאת גם הסיכונים אשר הארגונים נדרשים להתמודד עימם. זו שאלה מאוד כללית מאחר ולכל ארגון יש נקודות חולשה עסקיות שהן שונות זו מזו .כמו כן ,כל ארגון בשל באופן שונה ברמת אבטחת המידע ,ולכן ייתכן שארגונים שלא הטמיעו מערכות הגנה מפני 0-dayאפילו לא יודעים שכל הרשת הפנימית שלהם היא חלק מרשת גדולה של זומבים .לפיכך ,תשובתי היא שאין איומי סייבר משמעותיים ביותר – הכל יחסי. אני חושב שאף מדינה לא באמת ערוכה למלחמת סייבר מאחר וגבולות המתקפה אינם ברורים. אנחנו יכולים רק לשער מה הם יעדי התקיפה ואף להריץ סימולציות תקיפה ,אך בפועל במרבית המקרים האוייב חושב אחרת מאיתנו. מהם איומי הסייבר שמצפים לנו ב?2014- האם לדעתך מדינת ישראל ערוכה בעצמה למלחמת סייבר כוללת? האם היא מוכנה להגן על הארגונים ואזרחיה? כיצד אתה רואה את תפקידו של מנהל אבטחת המידע בעידן הסייבר? אני מאמין שתפקידי מנהלי האבטחה הארגוניים צריכים להתפצל לשלושה חלקים בלתי תלויים: הראשון הוא מנהל אבטחת המידע כפי שאנחנו מכירים כיום ,אשר אחראי על אבטחת המידע הארגונית .השני גם הוא תפקיד חשוב אך פחות נפוץ בארץ – מנהל פרטיות (Chief Privacy ,)Officerאשר אחראי על זיהוי מקורות מידע רגישים והגנה עליהם ברמות הרגולטיריות והמשפטיות .התפקיד האחרון והמעניין ביותר צריך להיות דומה לתפקיד ה – CTOבארגונים, קרי מדובר בתפקיד אסטרטגי אשר אמור לחקור ולחזות את המתקפות הפוטנציאליות העתידיות. מה לדעתך הידע הנדרש היום ממנהל אבטחת המידע? מנהל אבטחת המידע כיום צריך להיות יצירתי ואסטרטגי מתמיד .כושר הניהול וההבנה הטכנולוגית שנדרשו עד היום הם חשובים ,אך לדעתי אינם מספקים. מטרות התקיפה מתרחבות משנה לשנה ,אך האיומים נשארים זהים – פגיעה בתשתיות קריטיות ,גניבת Intellectual Propertyומידע פרטי של משתמשי קצה .כמו כן ,מאחר וכמות הפרצות עבור מערכות מדף ומוצרי SaaSגדלה מחודש לחודש ,האיום העיקרי יהיה חדירה באמצעות מערכות שאינן מפותחות בהכרח בתוף הארגון. מהי הדרך הטובה ביותר להימנע ממתקפות סייבר? נקביל את התשובה לנהיגה ברכב :אם אנחנו ננהג בבנטלי ,סביר להניח שנהיה מאוד בטוחים ברכב ,אך אם נתנגש במשאית ,ככל הנראה עדיין הרכב יתרסק .באותה מידע ,אין זה משנה כמה כסף יושקע על הגנה מפני מתקפות סייבר ,עדיין נגיע לכ – 85%הגנה על מה שידוע לנו מהיכרותנו עם הארגון .לכן ,אין דרך חד-משמעית להימנע ממתקפות אלא רק למזער את הדרך לפגוע בארגון באמצעים טכנולוגיים ואדמיניסטרטיביים. במידה והותקפת – כיצד ניתן להתאושש ביעילות? שאלה מעניינת למנהל אבטחת מידע ...כמובן שלא הותקפתי .מה שאני יכול לשתף הוא שאם הייתי מותקף באופן כלשהו ,הדרך הטובה ביותר להתאושש היא לבנות שני תוכניות פעולה -קצרת טווח וארוכת טווח .בתוכנית קצרת הטווח חשוב קודם כל לתקן את הנזק ולבלום את התקפה הנוכחית .יחד עם זאת ,בתוכנית ארוכת הטווח נדרש לבנות תוכנית עבודה מתאימה שתכלול הסקת מסקנות ומקצה שיפורים. מהן המגמות החמות של ?2014 אני חושב שנוכל לעקוב אחר חברות גדולות כדוגמת פייסבוק ,גוגל ופייפל על מנת להבין מה האתגר הבא שעימו החברות מתמודדות .אני צופה שמגמת ה – Bug Bounty Programsתעלה, כך שכל סוגי הארגונים יוכלו לממש תוכנית כזו ולזכות בחכמת ההמונים במטרה להגן על המערכות החשופות לאינטרנט. אילו טכנולוגיות לדעתך יעניינו את ה ,CISOבמהלך ?2014 טכנולוגיות לאיתור ומניעת ,0-daysכדוגמת מערכות Sandboxותוכניות Bug Bountyעל מוצרים ושירותים באינטרנט. מה דעתך על האיגוד ועל תרומתו לפיתוח תחום אבטחת המידע בישראל? פעילות האיגוד התעצמה בשנה האחרונה ,וניתן לראות את תרומתו לקהילת אבטחת המידע בישראל ,בין עם בעזרת הכנסים השנתיים ,ובין עם בימי עיון וסדנאות מקצועיות שאתם עושים .הייתי רוצה לראות יותר סדנאות ,אבל בגדול ,החבר'ה באיגוד עושים עבודת קודש ,המשיכו כך! ניר ולטמן מנהל אבטחת מידע בחברת משותף בחברת .Crowdome Retalix ובעלים CISO כולל הכנה להסמכת CISMהבינלאומית מטעם ארגון ISACA משך הקורס 200( :שעות אקדמיות) תיאור הקורס קבוצת TitansSecurityחיברה את הקורס המוביל בישראל להקניית כלי הניהול המתקדמים ביותר עבור מנהלי אבטחת המידע, על בסיס הניסיון המצטבר של סגל המרצים הבכיר של החברה ,הן בצד האקדמי והן בצד הפרקטי. בכדי שנוכל להקנות למשתתפי הקורס את הכישורים להבין את התמונה הכוללת והרחבה של תפקיד מנהל אבטחת המידע ואת היכולות לחזות את הסיכונים והכשלים העומדים בדרך להצלחה .ניתן דגש מיוחד לניתוח אירועים ודיונים בין משתתפי הקורס ומנחיו על בסיסCase Studies של אירועים אמיתיים בארגונים שונים בישראל ובחו"ל. אין מנהל אבטחת מידע לא מוצלח ,יש מנהל אבטחת מידע לא מודרך! למה כדאי ללמוד אצלנו? • לכל תלמיד בונים פרופיל לימוד אישי בהתאם לתוצאות הבחינות דמי שלו. • מיטב המרצים בתעשייה הישראלית והבינלאומית. • תרגול מעשי רב ומגוון בנושאים העכשוויים. • הצלחה בטוחה -למעלה הגמר. מ 98%-הצלחה בבחינות • Networkingעם מיטב הבכירים במשק הישראלי. • חברות שנתית באיגוד העולמי לאבטחת מידע ISSAובאיגוד • ערכות לימוד ייחודיות הישראלי. ובלעדיות. והדבר הכי חשוב!!! היות ואנו בטוחים בהצלחה שלנו ,אנו מציעים לכלל התלמידים הטבות נוספות: לא עברת את הבחינה? קבל קורס חוזר ב50%- (ללא אותיות קטנות) עברת את הבחינה? קבל זיכוי של עלות הבחינה ,לניצול בקורס הבא במכללת .Titans Security מלגות והטבות ייחודיות לחיילים משוחררים וסטודנטים. למידע נוסף וקביעת פגישת ייעוץ: ייעוץ אקדמי [email protected] | 077-5150340 : 40 גיליון | 11ינואר | 2014 ה ק ז ו נ ה מכה שנית המופיעה סוגים השונים ספת היא מות הנוזקות מה חודש .בעיה נו וחכמות. יותר מת י כברשת גדלה מדת יותר ו קות נהיו שהנוז אחד ההסברים לשינוי לרעה בכמות הפצת הנוזקות הוא האופי של יוצרי הנוזקות :אם בעבר רוב הווירוסים נוצרו לצורכי גאווה ,הרי שכל האינדיקציות מצביעות כיום על כך ש 80%-מהן נכתבות כיום למטרה של הונאות פיננסיות או "גניבת" סודות מסחריים. כמות הנזק הנמדדת בשל תקיפות שונות ברשת עולה באופן קבוע .מחקרים שונים של גורמים בלתי תלויים מעריכים ,כי הנזקים בעולם נובעים מהתקפות באינטרנט עומדים על מיליארדי דולרים ,והם צפויים לצמוח גם בשנה הבאה. חלפו להם ימי ההתקפה לשם ההתקפה .בעבר פרצו דלתות לשם הפריצה ,כיום המטרה היא לגנוב את המוצרים ,ה"יהלומים" הנמצאים בכל ארגון .זה שינוי משמעותי בזהות התקופים ,כמו גם באופן התקיפה וברצינותה .המאפיין המרכזי של טרור קיברנטי כיום הוא זה המניע אותו - כסף .בין שאר הגורמים שנפגעו ,הובחן בגידול ובהתקפות רבות היקף על הבנקאות המקוונת, ומומחים מעריכים כי זו מגמה שתגדל בעתיד. זו אחת הסיבות שהנוזקות המופיעות ברשת הן מתוחכמות יותר. פשע מקוון ארגוני הפשע המאורגן הגדולים בעולם יעברו לפעול באינטרנט והרשת תהפוך לזירת הפשע העתידית ליצירת רווחים בלתי חוקיים -אנו מבחינים בהתממשות של המגמה הזאת .זה בא לידי ביטוי בכמה דרכים ,בין השאר של סחיטה מצד גורמי פשע ,אשר מאיימים על בעלי אתרי 42 גיליון | 11ינואר | 2014 אינטרנט כי יפילו את האתר והאינטרנט או שימחקו את המידע שלהם ,אם לא ייענו דרישותיהם. המאפיין את פשעי המחשב ברשת כיום הוא היותם עבודה של פשע מאורגן לכל דבר :רוב הפעילות העבריינית ברשת היא כזו ,ורק מיעוטה הם "סתם חוליגנים" .צריך לפעול נגדם. אם נצטט את הסופרת הבריטית אגאתה כריסטי, שאמרה" :אם יש מניע ,יש כלים ויש הזדמנות -אזי יהיה אחד שיבצע את הפשע". המניע לביצוע פשעי מחשב הוא הכסף ,המושג בשרשרת של פעולות בלתי חוקיות ,כגון הונאות, מכירת כתובות דואר אלקטרוני לשם משלוח דואר זבל ,וכן גניבות ממוסדות פיננסיים .אם לא נשמור על הרשת ,הרשת תהפוך למקוד שבו כמות הנזקים רבה מכמות התועלת ,והיא תדעך, תהיה בלתי כלכלית. עפ"י מחקרים שבוצעו ע"י חברות מחקר שונות ובלתי תלויות ,הוצגו המגמות אליהן מכוונים הפושעים הקיברנטיים ,ובראשם :משתמשי הקצה ,ולאחריהם בנקים ,אתרי סחר מקוונים, ומשחקים מקוונים .כל המגמות הללו ,מביאות לכך שכיום יותר מתמיד ,נדרשת הגנה מקיפה וכוללת על תחנות הקצה. מה שמעניין הוא זה שגם גורמי הפשע מושפעים מהמצב הכלכלי ,הן של הבנקים והן של האזרחים, מה שמביא את העבריינים לשינוי אסטרטגיה .בעבר נהנו עברייני מחשב מהכנסות גבוהות כתוצאה מהפצת סוסים טרויאניים שמרוקנים חשבונות בנקים ,אולם המשבר בבנקים ברחבי העולם פוגע גם בהכנסות של פושעי המחשב .המיתון בשנתיים האחרונות הביא את פורעי החוק הקיברנטיים לחפש מקור הכנסה אלטרנטיבי ,ובשנה האחרונה נרשמו שיגורי שיא של תוכנות פרסום ()Adware ודואר זבל קטלני. ארגוני הפשיעה הקיברנטיים צופים מקרוב בביצועי השוק ומתאימים את עצמם על מנת להבטיח מקסימום רווח .גורמי הפשיעה מתרכזים בשיגור חסר תקדים של נוזקות שאמורות להערים על משתמשים תמימים ולמכור להם און ליין תוכנות מתחזות על מנת להשלים את הכנסותיהם .אנו מעריכים ,כי שוק התוכנות המתחזות מגלגל כ10- מיליון אירו בשנה לכיסם של הפושעים. מגמה נוספת שהיינו עדים לה בשנה האחרונה ,ואני חושש שעוד נחווה ממנה גם השנה ,היא תופעת הסחטנות המקוונות ע"י שימוש בנוזקה הידועה בשמה המקצועית = .Ransomware Malwareבשנה האחרונה העולה חווה אלפי מקרים של "תקיפות מקוונות" ,ע"י מספר סוגים של נוזקות אשר הצפינו את המידע של הלקוח ,ובתמורה למפתח ההצפנה נדרש תשלום גבוה. תופעה זו לא הולכת להיעלם במהירות ועוד נראה מקרים רבים גם במהלך שנת .2014 ישראל -כיעד מרכזי אנליסטים מעריכים כי ישראל בהחלט מהווה מטרה פוטנציאלית למתקפת סייבר לאומית בקנה מידה גדול .מדיה שיש לה אויבים רבים כל כך ותשתיות מחשוב מתקדמות כל כך מהווה מטרה בולטת למתקפות שכאלה. לדברי מומחים ,שני סוגי מתקפות מהווים כיום את האיומים הבולטים ביותר נגד ישראל ,ואת חלקם הגדול ראינו במהלך השנתיים האחרונות .הסוג הראשון הוא תקיפת מניעת השירות המבוזרת ( .)DDOSראינו בעבר כיצד מדינות קטנות יותר או פחות ,כמו במקרה של אסטוניה ,נתונות לאיום כולל שכזה. הסוג השני הוא חדירות של האקרים לתשתיות מרכזיות ,כפי שהיה גם בארה"ב ומספר מטרות מרכזיות באירופה בשנים האחרונות. שימוש גובר בהתקנים אלחוטיים מגמה נוספת שאנו מבחינים בה היא שאין יותר נקודת גישה אחת למערך ה IT-הארגוני .לכל ארגון יש עובדים מהבית ,יש מחשבים נישאים, יש טאבלטים וטלפונים חכמים .השימוש ברשתות אלחוטיות הולך וגובר ,ועמו ההתפשטות המהירה של הנוזקות. העולם הדיגיטלי כיום מתאפיין בביזור ,אנשים עובדים מהבית ,יש להם טלפונים ניידים חכמים ומכשירים נישאים ,ניתן ךפרוץ אותם ,לשתול בהם סוסים טרויאניים ושאר הנוזקות וכן לגנוב מידע חסוי ,עסקי או אחר. עלינו להעלות את רמת המודעות לאיומים שברשת ,וכך נעלה את רמת אבטחת המידע בה. משלוש יוצא אחד... נוזקות כנגד מערכות הפעלה אם עד כה מרבית המשתמשים אשר סבלו מהתפרצויות מאסיביות של נוזקות היו משתמשי מערכת הפעלה של חלונות ( ,)Windowsמומחים מזהירים כי זמנם של הלינוקס ואף ה Mac-הם הבאים בתור .במחקרים אחרונים עלו הממצאים שחלה עלייה מאסיבית בכמות הנוזקות למערכות לינוקס ,וגם נראו כמות נוזקות עבור מערכות Mac .OS X לטענתם של אנליסטים ,אין זה מפתיע, כלל בהתחשב בכך שלינוקס היא המערכת הפופולארית ביותר מבין מערכות מסוג יוניקס. למרות שכמות המתקפות על מערכות לינוקד אינה עולה על כמות המתקפות על מערכות חלונות ,עדיין כמות זו הוכפלה ,וההאצה במספר ההתקפות על מערכות לינוקס מחייבת מעקב. מספר התקפות על לינוקס בוצעו בצורה המזכירה מאוד התקפות של מערכות חלונות ,תוך ניצול פרצות במערכת המחשוב כדי להחדיר תולעים, לבצע פגיעות באתרי אינטרנט או התקפות מניעת שירות (.)DOS אולם מערכות ההפעלה של אפל ישמשו החלופה המרכזית של חלונות בשנה הקרובה, ולכן אנליסטים מעריכים כי אפל מעניקה מרחב גדול יותר לפיתוח של וירוסים וגורמים עוינים אחרים .משתמשי אפל לא יכולים עוד להשלות את עצמם כי מערכות ההפעלה של מק חסינות מפני התקפות המוכרות כל כך במערכות חלונות. מפתחי מערכת ההפעלה OS Xעשו אף הם שגירות .עד כה נחשפו כמות נדיבה של תולעים בעלי איום פוטנציאלי הפוגעים במערכת ההפעלה של מק בצורה המדגימה בבירור כי נעשו שגיאות בארכיטקטורה של המערכת. גם בדפדפן של ספארי היו פרצות אשר הפכו את היכולת להשתיל סקריפטים לתוך המחשב של המשתמש למשימה קלה ואפשרית .וכך נראה בבירור כי המערכת הפעלה של המק ,יכולה לשמש קרקע פורייה למחקרי אבטחה. ולסיכום איום הנוזקות נשען על שני מרכיבים .ראשית, החשיפות -בתחום זה נסתמו הרבה מאוד פרצות .מיקרוסופט ,למשל ,עשתה עבודה נהדרת כאשר פעלה באינטנסיביות להורדת הפגיעויות במערכותיה .יש כיום הרבה פחות פרצות וחשוב מכך -מודעות לנטרול הסיכונים. מנגד ,העבריינים יודעים כעת הרבה יותר מאשר בעבר ,שאם יפיצו נוזקות ,המשטרות בעולם, ובראשון ה ,FBI-ירדפו אותם .והעונשים כבדים. אם מחברים את כל אלה ,האפשרות של מגיפה עולמית בתחום זה פחתה .אך בואו לא נשכח שגם תוכנות ההתגוננות משתכללות .עם זאת, גם אם הסיכון פחת ,הוא בוודאי לא יירד לאפס. קיים סיכון מצד צעירים שפועלים ללא מודעות יתרה ,שלא לדבר על הסיכון של טרור -שאסור להתעלם ממנו. | גיליון | 11ינואר 2014 43 יומנו של CISO בעידן של היום ,כאשר מצד אחד צריכים להתמודד עם התוקפים והמתקפות סייבר המתוחכמות הללו ,ומצד שני צריכים גם להתמודד עם דרישות ההנהלה. יש לאזן בין דרישות ההגנה לבין אחריות תקציבית ,וניתן להשיג זאת באמצעות ניהול קפדני של סיכונים. יש להתמקד באיחוד של קווי התקשורת ולהגדיר קו בסיס ( )Baselineשל יכולות אבטחה תוך מודעות למצבים שונים וניטור משופר. המחשוב והתקשורת .התייחסות זו כללה פעילות אבטחה מינימאלית כגון התקנת ,FWסריקות אנטי-וירוס ,הקשחת שרתים וכיוצא באלו. חשוב לאמץ וליישם תוכנית דינמית לצמצום סיכונים .זאת, על מנת להבטיח עדכוני סטאטוס בזמן אמת ולהגביר את השקיפות למצב המערכות. הרחבת מעגלי ההגנה -כיום ,בעקבות סיכוני האבטחה ההולכים ומתרחבים ,העולם משנה את תפישתו לגבי יסודות האבטחה האופטימאלית ,ותורות האבטחה מתמקדות בראייה מתודולוגית כלל-ארגונית ,הנותנת את הדעת גם לארבעה מעגלי אבטחה נוספים ,הכוללים את היבטי האבטחה הפיזית (אבטחה היקפית -גדרות ,טלוויזיה במעגל סגור ,מערכות לסינון נכנסים -עובדים ,ספקים ומבקרים ,מערך שומרים ועוד) ,אבטחת מצעים פיזיים נושאי מידע (מסמכים, דיסקים ,קלטות וכיוצ"ב) ,טיפול במהימנות עובדים (ווידוא תאימות רמת מהימנות העובדים לרגישות המידע אליו יחשפו) ואבטחת מידע בקרב ממשקים עסקיים (טיפול בכל חמשת מעגלי האבטחה). מגמה חשובה היא ,ITGRCהצורך בממשל ,ITציות והלימה לרגולציות .מימוש GRCמאפשר ניצול מרבי של התרומה העסקית של ה IT-לארגון ,מפחית את עלויות ה IT-ומצמצם את סיכוני ה .IT-יותר ויותר גופים נדרשים לעולם זה בהיבטי ניהול הארגון שלהם -לאו דווקא בתחום האבטחה ,אלא בהיבט הכולל .אבטחה מהווה חלק מניהול סיכונים ,אבל נדרש ניהול שוטף של המערכות. היכולת לנהל הולכת והופכת להיות מסובכת יותר ויותר, ההלימה הולכת וגדלה בשטח ,אתה לא יודע האם הותקן הטלאי בכל התחנות ,ישנן אין סוף שאלות שהן בעולם ההלימה, חלקן באות מתחום הסיכונים ,כאשר הכל מתקשר לניהול עצמו של מרכז הנתונים. אל זירה זו ,נכנס מנהל אבטחת המידע כמדי יום ,כאשר עליו להתמודד עם מגוון עצום של משימות שחלקן הגדול יכול לפגוע באופן משמעותי בארגון ובנכסיו. להלן מספר המלצות שמבוססות על ניסיון רב ועבודה מאומצת של שנים: עבודה מול צד ג' -יש לתת את הדעת לספקים החשופים למידע באמצעות מערכות המחשוב ,אך יש גם לבקר את פעילותם של אלו הנגישים באופן פיזי למידע ,כגון אנשי תחזוקה ומנקים ,הנכנסים לחברה באופן לגיטימי ומבלי שיעוררו חשד .חברות מתחרות רבות עושות שימוש נרחב בספקים מתחזים או אף תוך מתן שוחד לספקים קיימים ,על- מנת לקבל מידע חסוי .אסטרטגיה זו פופולארית מאוד ,זולה ויעילה .יש לבצע בדיקה מקיפה בעניין גורמים חיצוניים הנכנסים למחלקות בהן קיים מידע רגיש .כנ"ל ,יש לגבש הנחיות אבטחה בגין בדיקה ועבודה מול ספקי צד ג' שלא מעולם המחשוב ,כגון אנשי ניקיון ,אנשי תחזוקה ועוד. מידע -המידע הוא הנכס החשוב ביותר בארגון .בעולם המודרני משקיעות חברות משאבים רבים במגמה להביא לאבטחה אופטימאלית של נכס זה .אבטחה לקויה של המידע עלולה להביא לפגיעה קשה בכושרה העסקי של החברה, ברווחיה ,תפעולה או תדמיתה. ריבוי פתרונות אבטחה -בעבר ,תורות אבטחת המידע נטו להתמקד בהיבטי המחשוב והתקשורת בלבד ,תוך התייחסות כמעט בלעדית למעגל האבטחה הכולל את היבטי 44 גיליון | 11ינואר | 2014 "חשוב לאמץ וליישם תוכנית דינמית לצמצום סיכונים. זאת ,על מנת להבטיח עדכוני סטאטוס בזמן אמת ולהגביר את השקיפות למצב המערכות". מסגרת לניהול אבטחת מידע ( - )ISO 27001על כל ארגון להגן על נכסי המידע שברשותו לאחר ביצוע בסרי סיכונים מקיף ,הגדרת מדיניות אבטחת מידע ארגונית המגובה ע"י הנהלת הארגון ,יישום תהליכים וכלים בכל חמשת מעגלי האבטחה ,לוודא קיום בקרה שוטפת ושיפור מתמיד. הרשאות גישה -יש לבצע בדיקות מקיפות בכל נושאי הגבלות הגישה למידע ,דרך מערכות המחשוב של הארגון (להגדיר פרופיל הרשאות ומשתמשים ,לוודא הפרדת מידע בין המחלות השונות שאין להן נגיעה למידע רגיש ,מדיניו סיסמאות ועוד) ודרך כניסה פיזית לאזורים (סיכון הגורמים הנכנסים למחלקות בהן יש מידע רגיש ,כגון חדרי המחשב) באמצעים כגון תגי כניסה ,מערכת ביומטרית. סקר הרשאות -יש לבצע בקרה אחר המשתמשים במידע ,על מנת שניתן יהיה לעקוב אחר הניגשים למידע ואחר הפעולות שבוצעו (באמצעים כגון ,CCTVהכוללות הקלטות שיפקחו אחר אזורים בהם אגורים ריכוזי מידע).יש לבקר את הפעולות הנוגעות למידע הקיים במסמכים ,המכילים אף הם מידע רגיש .האם מידע מאוחסן באופן מאובטח המונע נגישות מגורמים שאינם אמורים להיות חשופים למידע? האם מסמכים נגרסים או שמא הם מושלכים לפח הזבל ,משם מוצאים את דרכם אל מחוץ לבתי החולים? אחריות הנהלה -כמעט בכל ארגון קיימים אמצעי בטחת מידע רבים מאוד ,ברובד הטכנולוגי והתהליכי ,אשר ניתן ליישם אותם במגמה למזער את האפשרות דליפתו של מידע רגיש ולהגביר את הפיקוח והבקרה .כמובן שבשלב הראשון -הנהלת הארגון צריכה לקבל על עצמה את האחריות המלאה לבדיקה, יישום ובקרה (פיקוח) .תחילת התהליך יהיה בניסוח מדיניות ארגונית מקיפה. | גיליון | 11ינואר 2014 45 יש לפתור בעיות אבטחה של הלקוח, לא למכור מוצרים בכל סיטואציה ושירות חדש שארגונים מכניסים עולה וצפה בעיית אבטחת המידע וכמעט לכל בעיה כזו יש לכאורה פתרון נקודתי קיים .דווקא משום כך ,ארגונים נאלצים לבחור במספר רב של פתרונות אבטחת מידע השונים זה מזה ודורשים משאבים יקרים לצורך תחזוקה, ניהול ואינטגרציה .זהו מצב שמכניס בלבול רב לתוך המערכת וגובה עלויות ניהול כבדות. במקרים רבים המוצרים הללו אינם מתואמים ביניהם בצורה יסודית ומספקת וכשאין תאימות יש פירצה!ריבוי מוצרים יוצר מטבע הדברים ריבוי בעמדות הניהול המקשה על ניהול תשתית האבטחה הקיימת ומונע את היכולת לקבל דו"ח שלם ומלא מקצה לקצה לגבי מצב האבטחה בארגון ,סטאטוס לגבי רמת פגיעות הארגון ומצב האבטחה ברמת השרתים ,עמדות הקצה והיישומים הקריטיים. חוסר ריכוזיות במנגנוני הניהול יוצר גם קושי באכיפת מדיניות אבטחת המידע ומקשה על ביצוע שינויים כוללים במהירות וללא משאבים מיותרים. מכל הנקודות האמורות לעיל נגזרות הדרישות מפתרון אבטחת המידע הארגוני .הפתרון חייב להיות מקיף ,תוך אספקת תאימות מלאה בין המוצרים והתשתיות ותוך שמירה על פשטות הן ברמת הניהול והן ברמת התחזוקה. יש לפתור בעיות אבטחה של הלקוח -ולא למכור מוצרים אנליסטים קוראים בקול רעם ,קריאה כלפי חברות האבטחה ,לשנות את האסטרטגיה שלהם שבגינה מרבית פתרונות האבטחה כיום נותנות מענה לצרכים ספציפיים ,ולא מהוות 46 גיליון | 11ינואר | 2014 פתרון אחד כולל .כך ,נוצר מצב שהלקוח צריך לרכוש מספר רב של מוצרים ,ומוצא את עצמו קבור במגוון רחב של מוצרים ,שבמרביתם אינו יכול כלל לטפל .וכאן נכנסת טוב הפתגם "מרוב עצים ,לא רואים את היער". תפקידנו הוא לפתור את בעיות האבטחה של הלקוח ,עלינו להבין אותן ולספק להן מענה ,ולא למכור יותר מוצרי אבטחת מידע ,אומר אנליסט בכיר .אם נכפיל את כמות מוצרי אבטחת המידע שנמכור ללקוח לא נגדיל פי שתיים את כמות אבטחת המידע שתתקבל .בכל מקרה, הרווח יהיה לטווח קצר .זהו עקרון חשוב ויש להשליכו לכלל העולם העסקי אותו יש לאבטח. לטענתו ,אין בהכרח קשר בין דרישות הלקוחות לתחום אבטחת המידע ,לבין מה שמנהלי אבטחת המידע בארגונים עושים ולמוצרים שספקי מוצרי האבטחה מביאים לשוק .אם נעשה סקירה קצרה על ההיסטוריה של מימוש אבטחת המידע בארגונים ,ניזכר שמאז ההתפוצצות הבועה בשנת ,2000מנהלי אבטחת המידע בארגונים נאלצו להצדיק את קיומם ואת עבודתם ,לראשונה תוך התייחסות להיבט העסקי .כך החלה ההתייחסות להיבטי החזר השקעה ( ,)ROIערך עסקי ויחסי עלות\ תועלת. אירועי הטרור בספטמבר ,2001הביאו את המיקוד בתחום לאבטחת הפיסית ,ושנה לאחר מכן ,בעקבות פרשיות אנרון ווורלדקום את ההתייחסות לרגולציות .בשנתיים האחרונות, היו אלו גל מתקפות הסייבר אשר חיזקו את מעמדה של אבטחת המידע ויחד עימה את תפקידו של ה.CISO- אבטחת מידע היא חלק מעולם ניהול הסיכונים, ולכן צריך לתת לזה את המשקל הראוי לו.מנהל אבטחת מידע ראשי ( )CISOבארגון הוא לעיתים לא מנהל ולא ראשי ,ולעיתים גם אין ביכולתו להעלות את רמת האבטחה בארגון ,בשל חוסר תקציבים ,וגיבוי מההנהלה .בעייתם העיקרית של מנהלי אבטחת המידע בארגונים היא שהם חושבים כי אבטחת מידע זה חשוב ,אבל מה שמעניין את מנהלי הארגונים זה שלושה דברים בלבד :כסף ,מידע ואנשים .לכן ,נדרש להעביר את נושאי אבטחת המידע דרך שלושה מסננים אלו .צריך לגרום להנהלה להבין כי אבטחת המידע תורמת רבות לניהול הסיכונים העסקיים בארגון .מטרת אבטחת המידע היא למכור את תפיסת האבטחה לחטיבות העסקיות בארגון, ולא לחטיבות העוסקות באבטחה (כגון חטיבת ה .)IT-רק כך ,נוכל לדבר בשפה משותפת עם הנהלת הארגון ,ולהרוויח את מקומנו בקומת ההנהלה. התפתחויות טכנולוגיות מגמה חשובה שהחלה בחמש השנים האחרונות היא מיזוג בין העולם הפיזי ולעולם הלוגי מבחינת היבטי אבטחת מידע .המיזוג של שני השדות אלו כבר קרה בפועל בעבר ,אבל לא היה מדובר באיחוד מלא ,כי אם בעבודה משותפת ובשיתוף פעולה הדוק יותר בין שתי מחלקות שתמשכנה להישאר נפרדות .הסיבה למגמה החדשה ,היא הרצון של הלקוחות לקבל יותר ערך מוסף עבור המשאבים אותם הם משקיעים בתחום אבטחת המידע .מדובר במגמה חדשנית אשר תניב לשוק פתרונות יצירתיים וטובים למלחמה בעולם הסייבר טרור. בסופו של דבר הכל זה אבטחה ,והאבטחה היא מרכיב חשוב בניהול הסיכונים. מגמה חדשה נוספת ,היא שילוב הביג דאטה לעולם אבטחת המידע .בעידן התפוצצות המידע ,מנהל אבטחת המידע צריך לקבל מידע קצר ,ממוקד ואמין שעבר את כל המסננות בדרך ,ולא להציפו במידע רב ,שיגרום לרובם ללכת לאיבוד .מרבית מנהלי אבטחת המידע כיום טובעים באוקיינוס של מידע עצום, המתקבל מכלל המערכות הקיימות בארגון. אפילו אם קיימת מערכת SIEMבארגון ,הרי היא מוציאה המון אירועים ודוחות ,ולעתים זה לא מה שהיינו צריכים אלא מה שרצינו לראות .אחד התוצרים שנראה כבר בשנתיים הקרובות ,היא הופעתה של מערכת SIEMדור )SIEM 2.0( 2 שבעזרתה נוכל לבצע באופן אוטומטי אנליזה של כל הוקטורים אשר אוספים מידע ,ולקבל תמונת מצב על אזורים בהם קיימות התנהגויות חריגות ,מבלי לבזבז שעות וימי עבורה ארוכים על בניית חוקים .המערכות יתבססו על שימוש וניתוח מידע מעולם הביג דאטה ,תוך זיהוי אנומליות על סמך עקומת למידה לאורך זמן של פעילות תקינה בארגון ,כך שכל סטייה, ואילו קטנה ביותר ,תדווח למוקד האירועים של הארגון ( .)SOCכך ,מנהל אבטחת המידע יוכל לקבל תמונה אחת כוללת ,אמיתית ,בזמן אמת, ומאוד מאוד ממוקדת על ניסיונות תקיפה או כל אירוע חריג אשר יתגלה בארגון. | גיליון | 11ינואר 2014 47 מבטלעתיד מחויבות מנהל אבטחת המידע אל מול מחויבות ההנהלה. מנהל אבטחת המידע בארגון צריך להיות מחויב להתנהלות מסוימת .במקרה של כישלון -הוא יהיה זה שיישא בתוצאות ,בין אם זה איבוד המשרד או רישיונו לעסוק במקצוע .רק באמצעות מודל של תשלום אישי עבור מחדל נראה בשוק הישראלי אבטחה טובה וסדורה יותר .אך זה חייב לבוא יד ביד עם מתן גיבוי תקציבי הולם לניהול אבטחת המידע כראוי בארגון. אומנם מונופול אבטחת המידע נמצא בידי מדינת ישראל ,אך היא מתנהגת באופן לא בוגר ולא לוקחת אחריות בתחום .הגיע הזמן שמדינת ישראל תקבע גורם מאשר בתחום האבטחה ורמת האבטחה הרצויה במגזרים השונים .בדיוק כפי שקיימת לשכה ייעודית בקרב רואי חשבון ועורכי דין ,מומלץ להקים לשכה ייעודית בתחום אבטחת המידע ,אשר תעסוק בהגדרת רמות האבטחה למגזרים השונים ,ופרמטרים למדידה (ביקורת) שאותם גופים אכן עומדים בדרישות. אבטחת מידע נמדדת במונחים כספיים ,כיוון שהיא מתבטאת בעלויות ישירות ובעלויות מצטברות בארגון .מנהלי אבטחת המידע כיום ,אינם צריכים להיות רק טכנולוגיים ,אלא להתמקצע גם בהיבט העסקי-ניהולי על מנת להתמודד בצורה יעילה עם האתגרים שהולכים וגדלים. מן הראוי שכפי שמשפטנים ורופאים לומדים היבטים כלכליים הקשורים במקצוע כך אמור להיות אף בתחום אבטחת המידע .לעומת הצורך במדידה ותרגום אבטחת המידע למונחים כספיים, כיום מומחים כבר לא ממהרים להגיע לארגונים ולהבטיח להם מדידה של החזר השקעה ()ROI 48 גיליון | 11ינואר | 2014 בתחום אבטחת המידע ,כיוון שהלקוחות הבינו שקשה מאוד עד בלתי אפשרי למדוד החזר השקעה בתחום. מדידת האפקטיביות של האבטחה מנהלי אבטחת מידע מתקשים סביב האופן שיש לדווח על פעולות המבוצעות בתחום אבטחת המידע ולהציג את הערך של מה שבוצע .בהיעדר קביעת מדדים וביצוע מדידות בתחום אבטחת המידע ,יהיה קשה ומאוד מאתגר עבור מנהל אבטחת המידע להצדיק את המשרה שלו. כיצד ניתן לומר איזה אירועים קרו? כיצד טיפלנו בהם? האם טיפלנו בהם מספקי מהר או כפי שהיינו רוצים? והאם זיהינו או לא זיהינו את כל אירועי אבטחת המידע שקרו בארגון? האם המוצרים שהטמענו עושים את עבודתם נאמנה?זה שלכאורה לא קרה שום דבר ,זה לא אומר שאל קרו אירועי אבטחת מידע בארגון. יחידת אבטחת המידע נחשבת בארגון כמרכז הוצאה -יחידה שמבקשת כסף מההנהלה אולם לא ממש ברור מה נעשה איתו. נדרשת הכנסת שפה וסטנדרטיזציה לעולם אבטחת המידע בארגון ,כזו שמדברת בשפה של הנהלת הארגון ,ויכולה להציג בצורה פשטנית את החזר ההשקעה ואת מגוון הפעילויות שמתבצעות בתחום אבטחת המידע בארגון במהלך השנים. רק כך ,נוכל להצדיק את קיומנו בתור מנהלי אבטחת מידע ,ולזכות להערכה בקרב הנהלת הארגון. מנהלי אבטחת מידע צריכים לאמץ מתודולוגיה ברורה ,שמסדירה מה יש לדווח להנהלה ובאיזו שפה לעשות זאת .יש צורך להציג בפני הנהלת הארגון ומקבלי ההחלטות נתונים ברורים .לנהל עסקים זה לנהל סיכונים ,וכשהמנהלים הבכירים מבינים את הנתונים זה נותן להם תשתית טובה לקבלת החלטה נכונה יותר .הם אלה שבסופו שלד דבר מנהלי את הסיכון עבור הארגון בכללותו. GRC הפתרון לניהול חכם מחקר של גרטנטר ,העלה כי כ 50%-מהכישלונות של פרויקטי ITמקורם בניהול לקוי .סוגיות רבות בתחום מציאת הכישלונות מתכנסות לבסוף לעולם ההליכים והניהול .במערכות ה IT-גלופ פרדוקס :מחד ,הן מהוות את ההשקעה השנייה בגודל המשאבים המוקצים לה אחרי שכר העובדים; מנגד -מערכות אלו מהוות במקרים רבים את התשתית העיקרית להכנסות החברה. מימוש GRCמאפשר ניצול מירבי של התרומה העסקית של ה IT-לארגון ,מפחית את עלויות ה IT-ומצמצם את סיכוני ה.IT- ממשל אבטחת מידע ()Security Governance ניהול סיכונים -המירוץ בין הסיכונים לניהולם הינו מאבק אינסופי .הסיכון הוא מילת מפתח בכל הקשור להתנהלות ארגונים פיננסיים .הם מאוד משתלמים כלכלית ,אלא שאם אין ניהול סיכונים יעיל ונכון -עלולים להגיע למשבר .למערכות הIT- יש תפקיד מפתח בניהול הסיכונים בצורה יעילה. ציות -יותר ויותר הנהלות ITנדרשות לתיאום עם יעדים עסקיים במסגרת תקציבים מתכווצים, ומנהלים עסקיים דורשים מה IT-להשיג ציות לתקנות פנימיות וחיצוניות ,תוך ניהול האיזון העדין של סיכון מול תשואה .מיכון תהליך הציות -הוא המפתח לעמידה בדרישות אלה באופן חסכוני. לקוחות יחפשו בעתיד אחר פתרונות שיאפשרו לארגון למכן את תהליכי ציות ITמרכזיים, במטרה להפחית את הסיכון לנכסי המידע שלהם ,ולהפחית את העלויות של ניהול הציות. ספקים יצטרכו להציע פתרונות בשילוב של הערכת סיכוני ITויכולות ציות לפתרון משולב, כדי לשפר את התיאום בין ציות ITלתהליכים העסקיים בארגון .וזה מתחיל החל מהגדרת מדיניות מתאימה מבוססת על תקנות חוקיות, דרך הערכת בקרות ITלטיפול בפערים ,ולבסוף -יצירת דו"חות מפורטים. מגמת הBYOD- על פי מחקרים שונים ,יותר משלושת רבעי מהארגונים ברחבי העולם 78% ,מהם ,מאפשרים גישה לסביבת העסקים ממכשירים ניידים שמצויים בבעלות העובדים .זה דורש ניהול חכם, פשוט ומאובטח של רכיבים אלה. יש צורך בניהול מידע ולא בניהול של המכשירים הניידים .מנהלי אבטחת המידע בארגונים צריכים לדאוג לאבטח אותו ברמת היישום .כל המגמות החמות כיום -למשל ,מחשוב ענן ,ביג דאטה, ושיתופיות -מתקשרות למגמת ההצטרכנות, ולא לניהול הרכיבים הניידים (.)MDM הגישה שאם העובד נייד -גם המידע שלו חייב להיות נייד .מגמת ה( BYOD-ר"ת של Bring Your )Own Deviceהיא אמיתית .אם רוצים ליישם את המגמה הזו בארגון -יש לנהוג בכללי זהירות ולבדוק את מהימנות הפתרונות בעזרת בדיקות צד שלישי. כולם רוצים להשתמש בטלפונים חכמים וברכיבים ניידים ,ולכן המנמ,רים הבינו שהם חייבים לאפשר זאת ולספק לעובדים יכולת לעבוד באופן נייד .הגישה לניהול MDMצריכה להיות כזו שעושה הפרדה מוחלטת בין החלק העסקי לחלק האישי במכשיר .לא צריך לנהל את המכשיר ,אלא את המידע ,ובכך ניתן אף לאפשר למשתמש חוויה מלאה במכשירו. האתגר הראשי של המנמ"ר ב 2014-יהיה כיצד לאמץ את ה BYOD-שצוברת תאוצה בכל המגזרים ,ובמיוחד במגזר הקמעוני ,אבל עדיין לשמור על אבטחת המידע. מרבית הארגונים כבר הטמיעו או מתכוונים להטמיע טאבלטים ,מה שמציב בפני מנהלי אבטחת המידע אתגרים חדשים .מבין אותם אתגרים ניתן למנות את הצורך למנוע זליגת ודליפת מידע ,להגן על פרטיות המשתמשים, לאבטח את התוכן הקנייני המצוי ברכיבים הניידים ,לוודא שהגישה לרשת הארגונית נעשית תוך בקרה ורק למי שמורשה לכך ,למנוע אובדן רכיבים ולעשות בקרת נזקים אם זה כבר קרה, ולתמוך בציוד חדש ולא ידוע. | גיליון | 11ינואר 2014 49 ראיון בלעדי עם ע.מ. קבוצת טייטנס סקיוריטי פיתחה את מנהל אבטחת מידע במשרד ממשלתי ספר מעט על עצמך ועל החברה יש הבדל באבטחת חברת היי- טק ,לעומת חברות אחרות? אני בארגון מעל עשר שנים ,הנדסאי מחשוב בהכשרתי ובעל הסמכות שונות בתחום אבטחת המידע כגון ,CISSP, CISMו .CISA-החברה היא בית תוכנה העוסקת בפיתוח ושיווק של תוכנות. יש לנו 30אלף לקוחות ארגוניים בארץ ובעולם, ובמערכת משתמשים מאות אלפים. ישנה בעיה ייחודית לנו ,כחברת היי-טק .יש לנו כחברת תוכנה ,אנו נמצאים כמעט תמיד בחזית הטכנולוגיה ,ואני מוצא את עצמי מתמודד מדי יום עם אתגרים חדשים כגון מעבר חלק מהIT- למחשוב ענן ,התמודדות עם מגמת ה,BYOD- שבה כל עובד כמעט מביא עימו את המכשיר שלו ומצפה להיות מחובר לרשת הארגונית ,ועוד. מה כולל תפקידך כמנהל אבטחת המידע בארגון? אני אחראי לספק מענה אבטחתי ,גם ברמת הטמעת מדיניות אבטחת מידע וגם ברמה הטכנית .כיום ,הרמה הטכנולוגית אינה מספקיה, ובנוסף לה ,על מנת להשיג רמת אבטחה גבוהה, נדרשת מדיניות אבטחת מידע ונהלים אשר ינחו את המשתמשים מה מותר ומה אסור ,וכיצד לנהוג עם נכסי המידע של הארגון .את המדיניות הו יש לאכוף ואני שותף בקבלת ההחלטות ובגיבושן, בטרם המימוש .בארגון יש מעל 500עובדים, מתוכם 4אנשים העוסקים בתחום אבטחת במידע ,שאני אחראי עליהם ישירות. אילו בעיות אבטחה עומדות לפניך? הבעיות העיקריות הן בחינות העובדים להתנהגות נכונה ,חינוך לשימוש נכון בדואר האלקטרוני, עבודה ברשת האינטרנט ,הורדת תוכנות וכו'. בנוסף לצד החינוכי ,יש כמובן את ההגנה בצד הטכנולוגי ,מול כל הנוזקות והקודים הזדוניים. כמו כל ארגון ,אנו מתמודדים מול איומים מבחוץ, וכן בהיבט חינוך העובדים .אני גיבשתי והטמעת את מדיניות אבטחת המידע בארגון הכוללת טיפול במערך ההרשאות .כל עובד מקבל אך ורק גישה והרשאות שהוא צריך בהתאם לצורך העסקי. 50 גיליון | 11ינואר | 2014 מחלקת תכנות ומחלקת תמיכה טכנית (Help- ,)Deskרובם ככולם אנשי מחשבים .אז אי אפשר להתייחס אליהם כאל משתמשי קצה רגילים .אנו משתדלים למצוא את העמק השווה בין שמירה על מדיניות אבטחת המידע מחד ,ומתן אפשרות גישה ועבודה נוחה ,ללא מגבלות ,מצד שני .הרי אין לנו מטרה להפריע לעובדים לעבוד ולפגוע להם בתפוקה. מה שמאפיין את החברה שלנו כחברת היי-טק, הוא שאנחנו מפתחים תוכנה .מטבע הדברים, התוכנה מכילה מידע רגיש .לקוחות מזינים במערכת שלנו מידע עסקי רגיש שלא היו רוצים לחשוף ,אז אנו מקפידים בכל השלבים ,החל משלב הפיתוח ,כולל התוכנות והיישום ,שתהיה אבטחת מידע ברמת הקוד. מה הנזק העלול להיגרם מזליגת מידע מהארגון? ישנם תרחישים מוכרים לכולנו :משתמש השולח דוא"ל בטעות למשתמש או קבוצת משתמשים אחרת ,מזכירה שמדפיסה מסמך רגיש למדפסת מחלקתית ובכך חושפת את המסמך לעיני כל, או עובדת השולחת מסמכים רגישים הביתה ,על מנת להמשיך ולעבוד מחוץ למשרד. זליגת מידע מהארגון ,גם אם שלא במתכוון, עלולה לגרום לארגון נזק רב -נזק כלכלי כמו גם תדמיתי .עיקר החקיקה הוא בארה"ב ,אך כבר ניתן לראות ניצנים של "ייבוא חקיקה" ,גם פה...הבעיה היא עדיין אכיפה נאותה. מה נדרש לעשות בהיבט הארגוני למנוע מצב זה? קיימות שיטות להגנה מפני זליגת מידע מהארגון ,אלא שמרבית המאמצים עד היום היו בדגש על ניטרול כניסות בלתי רצויות ומניעת פגיעה במידע פנימי ,על-ידי גורמים חיצוניים .מה שנדרש הוא גם התייחסות למרכיבי מידור פנים-ארגוניים ,שם פתרונות הרשאות והצפנה לא מספקים מענה הולם. על מנת לסווג מידע ,וליצור ברירת החלטה לגבי היכולת לחושפו ,נדרש ניתוח מעמיק של המידע הקיים בארגון ,יחד עם יכולת דינמית גבוהה, לעקוב אחר שינויים ותוספות המתבצעים בכל רגע נתון .מידע סודי או רגיש נמצא במקומות רבים בארגון :שרתי קבצים ,מערכות דואר אלקטרוני, מסדי נתונים ועוד .בנוסף ,סיווגו של המידע כרגיש, אינו מספיק בהכרח ,כי יש סיכוי שהמידע יעבור שינויים ,ועדיין נדרש להגן עליו. איך זה משפר את ההגנה על המידע? כך ,ניתן להשיג מהמערכת כמה יעדים -הגנה מפני דליפת מידע רגיש אל מחוץ לארגון ,או הגעתו לידיים הלא נכונות בתוך הארגון; זיהוי ומניעה של דליפת מידע בזמן אמת ,על בסיס מדיניות מוגדרת להפצת התכנים ,על-פי סיווגם; חסימה ,או התראה ,במקרה הפרת מדיניות זו ,יוצרת שקיפות מלאה של תנועות התכנים היוצאים מהארגון ,וזה מאפשר ניתוח טוב יותר של מידת הנזק במקרה של זליגת מידע. על מנת למנוע זליגת מידע ,אין די בהטמעת מדיניות והפצת נהלים ,אלא נדרשת אכיפה ברמה הטכנולוגית ,ולכן הטמענו מערכת למניעת זליגת מידע .המטרה היא להגן על המידע הארגוני, והמערכת מנתחת אותו באמצעות הגדרות ראשוניות ,המצביעות על מאפייניו ומיקומו במערכת הארגונית .מהרגע שהמידע מאובחן מתבצעת סקירה קבועה של תנועת הרשתואיתור פיסות מידע .מיד עם איתור ניסיון להוציא מידע רגיש מתוך הארגון ,מתממשת ע"י המערכת מדיניות אכיפה שהוגדרה מראש .זו כוללת חסימת המידע ,תיעוד הפעילות ,עדכון מיידי של גורמי האבטחה בארגון ,וכן תיעוד כל ניסיון הוצאה במאגרי המערכת לצורך מעקב. למערכת יש יכולת לזהות את המידע על בסיס "טביעת אצבע" ,אותה הוא יוצר לכל המידע הנמצא בשרתי הקבצים ושרתים אחרים בארגון, וכך נחסך זמן רב באיתור העברת מידע בזמן אמת ,כמו גם ביכולת זיהוי חומר רגיש ,אם בשל שינויים שעבר או שרק חלקים ממנו הועברו החוצה. היערכות ויישום מדיניות מתאימה ,תימנע מהארגון את הנזק הבלתי הפיך העלול להיגרם בשל חשיפת מידע רגיש לעיניים בלתי רצויות. המסלול המוביל בעולם אבטחת המידע והסייבר Cyber Security & Incident Management Titans Securityפיתחה את המסלול המוביל בעולם הסייבר וניהול אירועי אבטחת מידע. מדובר במסלול ייחודי ובלעדי המכשיר את הבוגרים בהתמודדות יעילה עם עולם הסייבר. בוגרי הקורס ירכשו את הידע ויקבלו את הכלים בהתמודדות עם אירועי סייבר שונים. במסגרת הקורס הבוגרים ילמדו מתודולוגיות לזיהוי ,טיפול וניהול אירועי אבטחת מידע. אין מנהל אבטחת מידע לא מוצלח ,יש מנהל אבטחת מידע לא מודרך! למה כדאי ללמוד אצלנו? • לכל תלמיד בונים פרופיל לימוד אישי • Networkingעם מיטב הבכירים במשק הישראלי. בהתאם לתוצאות הבחינות דמה. • הצלחה בטוחה -למעלה מ98%- • חברות שנתית באיגוד העולמי הצלחה בבחינות הגמר. לאבטחת מידע ISSAובאיגוד הישראלי. • מיטב המרצים בתעשייה הישראלית והבינלאומית. • ערכות לימוד ייחודיות ובלעדיות. • תרגול מעשי רב ומגוון בנושאים העכשוויים. והדבר הכי חשוב!!! היות ואנו בטוחים בהצלחה שלנו ,אנו מציעים לכלל התלמידים הטבות נוספות: לא עברת את הבחינה? קבל קורס חוזר ב50%- (ללא אותיות קטנות) עברת את הבחינה? קבל זיכוי של עלות הבחינה ,לניצול בקורס הבא במכללת .Titans Security מלגות והטבות ייחודיות לחיילים משוחררים וסטודנטים. למידע נוסף וקביעת פגישת ייעוץ: ייעוץ אקדמי [email protected] | 077-5150340 : הידעתם? | הונאות וסייבר -הדור הבא של זיהוי משתמשים מנוי שנתי לעיתון מודעּות לנושא אבטחת המידע זיהוי משתמשים באינטרנט ובסביבות וירטואליות הופך מורכב עוד יותר מבעבר ,לכן ,נדרש להטמיע את הדור הבא של טכנולוגיות למניעת הונאות .טכנולוגיות שאינן דורשות התקנה של רכיבים בצד הלקוח ,אלא מזהות אותו באופן מתוחכם ,על בסיס פטנטים סביב מידע ממחשבי הגולשים. גיליון מודעות דו חודשי ,שמטרתו להגביר את מודעות העובדים בנושא אבטחת המידע ,ע"י חשיפתם לאירועים שונים בארץ ובעולם ,עדכונים אודות טכנולוגיות ומתקפות חדשות ,המלצות וטיפים של "עשה ואל תעשה" ועוד. חדשות סייבר חברות האינטרנט מזהות את מחשבי המשתמשים בעיקר באמצעות ,Cookieהדפדפנים מאפשרים גלישה 'פרטית' שאינה מאפשרת השארת מידע במחשב והשינוי שבוצע לאחרונה ברכיבי פלאש מאפשר למחוק , Cookiesלצד מגמות אלה, התגברה החקיקה באיחוד האירופי שמטרתה הגדלת פרטיות הגולשים. אחת הטכנולוגיות החדשות שכבר בשימוש כיום בעולם ההונאות ,מביטה על משתמש אינטרנט ומוציאה נתונים של חתימת זמן ברמת המילי- שנייה ממחשבו או ממכשיר נייד .הטכנולוגיה מחשבת את סטיית הזמן במכשיר ,המהווה ,לפי מחקרים רבים ,חתימה בזהות מקסימאלית של המשתמש .נתון זה ,בהצלבה עם נתונים נוספים כגון סוג הדפדפן ,רכיבים שונים בו ,אזור זמן עולמי ועוד -יוצרים זהות דיגיטלית ייחודית .באמצעות זהות זו מוגדרים תסריטים שונים כגון כניסה למערכות מסחר מקוון ,פרסומות ממוקדות ,זיהוי הונאות ,זיהוי באתרי היכרויות ועוד. מה שרלוונטי עבור מנהלי האבטחה בארגונים הוא זיהוי שימוש באינטרנט של המשתמשים ,גישה למערכות רגישות ,גישה בחיבור מרחוק לרשת הנוזקה מכה שנית נוזקות כופר ()Ransomware ידיעון בנושא מודעות ל אבטחת מידע י די עון דצמבר 2012 עון ב י די מרץ 20שנה בכלא... בגין מתקפות סייבר "Security Actאשר אושר בשנת 2005בתגובה למתקפה הגדולה שאירעה בחג הכריסטמס האחרון בארה"ב,ובו כ 40מיליון לקוחות של חנות TARGET נפלו קורבנות לגניבת כרטיסי אשראי .מטרת החוק היא לשפר את רמת ההגנה על פרטיות המידע של האזרחים ,ולהקשות על התוקפים עם מתן עונשים כבדים .העונש על פריצה הועלה מתקופה של 10שנים ,לתקופה של 20שנה .כמו כן ,הוא קורא בקריאת אזהרה לכל החברות אשר מחזיקות בסיסי נתונים רגישים הכוללים מידע אודות צנעת הפרט לרבות כרטיסי אשראי ,לשפר את רמת האבטחה שלהם ,וליישם מדיניות טיפול במתקפות סייבר .תחת ההגדרה של תוקף ,נכנסו פושעי סייבר ,האקרים ,האקטיביסטים, וכל אדם שינצל לרעה את השימוש במחשבים במרחב הסייבר. ואנחנו אומרים...מה לגבי ישראל? 52 גיליון | 11ינואר | 2014 א מו נו ש ד עו ת לאב טחת מי ד ע בנו שא מו דע ות לא בט חת מי דע פברו אר 2013 2013 הארגונית ולסביבת הענן של הארגון .יישמנו את הטכנולוגיות הללו בארגונים רבים בתחום הבנקאות והמסחר האלקטרוני הסנט האמריקאי העלה תקדים לחוק הישן "Personal Data Privacy and עם התפתחויות הטכנולוגיות ושיפור רמת האבטחה בארגונים הפיננסים, התוקפים שינו אסטרטגיה ,וכעת הם מחפשים אחר קורבנות קלים יותר ,ע"י שימוש בנוזקת הכופר המפורסמת ( .)Ransomwareבמהלך השנה האחרונה, התחזקה תופעת הנוזקות אשר "גונבות" את המידע הרגיש בארגונים ו\או אצל משתמשי הקצה ,והתוקף מבקש דמי כופר עבור שחרור המידע .ישנם מגוון נוזקות אשר פעילותן דומה ,בכך שהן מצפינות את המידע הרגיש, ומבקשים מכם תשלום עבור קבלת המפתח לשחרור ההצפנה .החדשות הטובות הם שספקי האנטי-וירוס השונים שחררו מספר כלים שמטרתם לסייע לארגונים להתמודד עם הנוזקות הללו .החדשות הרעות ,הם שישנן נוזקות מתוחכמות אשר אין להם פתרון קסם (הסרה) ,ולכן יש צורך בנקיטת אמצעים מניעתיים בכדי למנוע את "לכידת" המידע הרגיש כי ידע זה כח אודות העיתון העיתון מחולק ל 5-קטגוריות עיקריות: יתרונות השרות •השימוש בעיתון מאפשר למנהל אבטחת המידע בארגון לחשוף את כלל העובדים למגוון נושאים הקשורים לעולם אבטחת המידע ,בצורה פשוטה ,ויעילה. •העיתון מעוצב בצורה ויזואלית ונוחה לשימוש, וכולל התייחסות לכלל סוגי האוכלוסיות בארגון ,החל מהמשתמשים הפשוטים ,עובדי ,ITאנשי פיתוח ,ואף הנהלת הארגון. •ניתן לשלב הנחיות ונהלים של הארגון בתוך הידיעון. •ניתן להפיץ את הגיליונות דרך הפורטל הארגוני ו\או באמצעות העברת מיילים פנימיים לכלל העובדים בארגון או לקבוצות ייעודיות. 1 .1פינת החדשות פינה הסוקרת חדשות בעולם אבטחת המידע ואיומי סיביר 2 .2פינת המשתמשים פינה העוסקת כולה בטיפים והמלצות ומידע בסיסי עבור משתמשים כלליים, אשר אין להם נגיעה לעולם המחשוב. 3 .3פינת הIT- פינה העוסקת במגוון נושאים טכנולוגיים, שיכולים לסייע לאנשי ה IT-בארגון להגביר את המודעות והידע שלהם בעולם אבטחת המידע. 4 .4פינת המפתחים פינה העוסקת במגוון טיפים והמלצות בתחום אבטחת המידע ,הקשור ישירות לחיי היומיום של המפתח .המלצות לפיתוח מאובטח ,טיפים אודות מתקפות ודרכי התמודדות ,ועוד. 5 .5פינת ההנהלה פינה העוסקת במגוון נושאים כלליים, מנקודת מבטם של מנהלי הארגונים, וכוללת סקירה טכנולוגית ,מגמות בעולם אבטחת המידע וניהול סיכונים ,דרישות חוקיות ורגולטוריות ,ועוד. לפרטים והרשמה: טלפון077-5150340 : [email protected] * ניתן להפיץ יחד עם הידיעון דף פתיחה, מעוצב עם הלוגו של החברה עלות השרות השרות עולה ₪ 5000לשנה וכולל 6גיליונות בשנה ובנוסף ניתן לקבל התרעות לגבי איומי סייבר בזמן אמת למייל. (ניתן להגדיר במערכת עד 3כתובות דוא"ל). זמין כל המ מקבל רות זה ש פים חינם יים נוס חודש סטרים ו 10-פו שא בנו למודעות המידע אבטחת א ר ג ו ן . שב לשימו ראיון בלעדי עם מנהל תחום אבטחת מידע, רשות האכיפה והגבייה ,זלקר גיא כיצד אתה רואה את המוכנות והמודעות של ארגונים בישראל מבחינת עמידה מפני איומי סייבר? אנו ערים להתפתחות ושיפור במוכנות והמודעות של ארגונים בישראל ,אך אנחנו עדיין רחוקים מלהיות מוכנים .כמות האיומים הולכת וגדלה והיכולת שלנו להתגונן משתרכת מאחור. במישור של זליגת מידע רגיש – אנחנו לא שם, מכיוון שאין הפרדה של תשתיות ,מרבית הארגונים חושפים את הרשת הפנימית שלהם לאינטרנט כאשר הרשת הפנימית מכילה חומר רגיש רב הכולל בין היתר מידע אישי פרטי ,מידע כלכלי, צנעת הפרט ,לעתים חסוי ע"פ דין ,תכתובות פנימיות של הארגון ומידע אודות מדיניות הארגון וכו. כל עוד לא תבוצע הפרדת רשתות אנחנו מאויימים ,והאיומים יגדלו וכמות המידע שיזלוג יגדל וכל הארגונים ידרשו לרכוש כלים להגנה. הרבה ארגונים יוצאים למכרזים לשירותי ענן לטובת אחסון דוא"ל לדוגמא ,כאשר אין ודאות שהמידע מוגן ,וגם אם הוא מוצפן אין ודאות שהצופן מספיק חזק כפי שלמדנו מסיפור אדוארד סנודן על ה ,NSAומתגליות חדשות על פיתוח הצפנות בקלות (האזנה לצלילים שמופקים מהמחשב). האם לדעתך מדינת ישראל ערוכה בעצמה למלחמת סייבר כוללת? האם היא מוכנה להגן על הארגונים ואזרחיה? מאמין שכן. 54 גיליון | 11ינואר | 2014 מה דעתך על האכיפה של חוק הגנת הפרטיות בישראל? ישנו קושי קב בתחום ,חוק המחשבים עודכן בסוף שנת , 2012הטכנולוגיות מפתחות ומתעדכנות בקצב שהחוק לא מכסה ומדביק את החידושים והיכולות הקיימות בעולם הסייבר .עולם האינטרנט מתנהל ברובו מחוץ לכותלות הארץ. עובדה זו מהווה קושי ממשי בשמירה על פרטיות המשתמשים אשר מידע אישי עליהם מופץ באתרים בחו"ל ,רשתות חברתיות ,בלוגים וכו. כולנו חולקים הרבה תוכן שנצבר ונצבר בשרתים של חברות ,אשר מקנות לנו שירותים חינמיים ,אך מתחת לזאת מסתתרת עלות סמויה והיא מכירת המידע למפרסמים .שוק הפרסום באינטרנט הוא עצום ונשען על המידע שאנחנו חושפים. כמו כן ,במידה ופורסם מידע פוגעני על אחד מהאזרחים ,והמידע פורסם באתר שמאוחסן בחו"ל ,קשה מאוד להשפיע על מנהלי האתר להוריד את התוכן ,ואנו חווים זאת כל פעם מחדש. לעתים אנו מטפלים בנושאים כאלה בצורה של קידום נגדי – כלומר הפצת כתבות ומידע חיובי על אותו האדם ע"מ שידורג גבוה יותר במנועי החיפוש וידחוק את התכתובות הפוגעניות למיקום נמוך בתוצאות החיפוש. כיצד אתה רואה את תפקידו של מנהל אבטחת המידע בעידן הסייבר? מנהל אבטחת המידע צריך למצוא את האיזון בין הגברת הגישה לארגון מאמצעים חכמים, לבין אבטחה נאותה .חשוב להגביר את המודעות בקרב העובדים אשר משתפים המון מידע ברשת האינטרנט ,ובעיקר באמצעות מכשירים חכמים. מודעות העובדים הינה חשובה ,שכן היום כל עובד מחזיק בידו כלי ריגול בפוטנציה ,ועשוי ללחוץ על לינק שמכיל נוזקה ,תוכנה עויינת או כלי ריגול ואם הוא יהיה מודע לכך ,הוא יחשוב פעמים לפני שילחץ ,ואף יעדכן אותנו .אנו מריצים קמפיין אבטחת מידע שמוכיח את עצמו עד כה. מה לדעתך הידע הנדרש היום ממנהל אבטחת המידע? מנהל אבטחת המידע נדרש להיות מעודכן נוכח התפתחות הטכנולוגיה והאיומים החדשים. המתקפות נעשות מתוחכמות יותר ,אנחנו מהווים מטרה נוחה לאור השימוש הגובר בטכנולוגיה חכמה ,ובעתיד גם טכנולוגיה לבישה. לצד זאת ,אין לנטוש את הטיפול באיזורים בהם מעורבת פחות טכנולוגיה ,לפעמים מספיק להתגנב למשרד ולגנוב את פח הגריסה בשביל להגיע למידע רגיש. חשוב להיעזר ביועצים הבקיאים בתחומים וממוקצעים באיומים ובהגנות ,במשרדי מסייע יועץ אבטחת מידע מנוסה בשם עד אטיאס בעל ניסיון רב בתחום ,הסיוע שלו בא לידי ביטוח במוכנות הארגון לאיומים וטיפול באירועים חריגים. אבטחת מידע היא כמו עיצוב פנים ,לכל ארגון מתאים העיצוב שלו ,אני רוצה להקל על המשתמשים מצד אחד ומצד שני לאבטח את האזורים הרגישים .זה אתגר להחליט על עיצוב שישתלב עם אופי העובדים ,אופי הפעילות וינגן בסינרגיה עם כל המערכות. לשם כך נדרש למפות את הסיכונים בארגון ולתעדף אותם .להגן כמה שאפשר במינימום מאמץ .אני לא בעד להטמיע כלים על גבי כלים, בלי שיש צורך אמיתי מאחוריהם ,או כלים שלא מתאימים לאופי התפעול בארגון. מהם איומי הסייבר המשמעותיים ביותר שארגונים נאלצו להתמודד איתם במהלך ?2013 •ארגונים התמודדו עם הבנה ולמידה של עולם המובייל וה ,BYODבהתחלה הכיוון היה כלי MDMלניהול המכשירים ,אבל עכשיו המגמה השתנתה ואני מאמין שהכיוון החדש עדיין לא בשל ויעבור מס' תהפוכות. •גניבה של מידע ,וחשיפה של מידע ברשתות החברתיות DDOS •מתקפות לארגון אנונימוס, ע"י האקרים המשתייכים •חוק המחשבים המיושן וחוק שאינו בינלאומי •אפליקציות זדוניות שהורדו ע"י המשתמשים, כאשר אין למדינה סמכות לחסום את המשתמשים בארץ לגישה לאפילקציות שפוגעות בפרטיות. מהם איומי הסייבר שמצפים לנו ב?2014- ישנם מספר איומים ,אני חושב שאנו צפויים לראות איומים שבהם ההאקרים אנונימיים מתמיד ,כאשר ארגונים עלולים להיות מוקדים לסחיטה ע"י האקרים שהשיגו מידע על הארגון. עד כה התוקפים התגלחו ולמדו ,בשנת 2014אני מאמין שהזירה תשדרג את המעמד שלה מזירת משחקים והם ינסו להשיג תמורה לפעולות שלהם. מגמה נוספת שתתעצם הינה גניבת זהויות, ככל שעוד ועוד שירותים הופכים לממוחשבים, הטכנולוגיה הלבישה הופכת זמינה יותר וחדירת הטכנולוגיה להיבטים שונים בחיי האזרח (Internet )of thingsהזהות הוירטואלית מתחזקת והופכת למטרה גדולה יותר. כל טכנולוגיה שנכנסת לארגון צריכה להיבחן טוב לפני הטמעתה ,לדוגמא טלויזיה חכמה עשוייהלנטר את נתוני השימוש ולהעביר מידע לצד שלישי ,כמו שגילינו לאחרונה בטלויזיה מחברת ,LGואנחנו לא רגילים לזה וצריך להבין את זה .הציוד והמכשירים הופכים להיות חכמים, וזה אומר שצריך לקחת את זה בחשבון ולהגן על עצמנו. מהי הדרך הטובה ביותר להימנע ממתקפות סייבר? לחזור לשנות ה ,60-70-לראות הופעות של הביטלס ,לחזור לשמוע תקליטים שלא מכילים נוזקות כמו קבצי ,MP3להשתמש בטלפון חוגה במקום טלפון חכם ... כיוון שלצערי אנחנו לא כבר לא שם ,אני מאמין שהדרך הינה להקפיד על הפרדת סביבות ורשתות ,ברשת ה ,LANוע"ג מכשירים –לפטופים, מובייל וכו... וכמובן כל הזמן מודעות עובדים – חשוב להדגיש את הנושא בפני העובדים שיסייעו בהגנה על הארגון ,הרצאות ,קמפיינים ,לומדות וכו'. במידה והותקפת – כיצד ניתן להתאושש ביעילות? לבודד את הבעיה ,להפריד את האיום מהרשת. כל ארגון צריך לנטר את האירועים ולשאוף לקיים אבטחת מידע אקטיבית כאשר צריך לשאוף שאמצעי אבטחת המידע ידעו לדבר אחד עם השני ולחסום את התפשטות המפגע. מהן המגמות החמות של ?2014 •גניבת זהויות •IoT •המשך איום על טלפונים חכמים וטכנולוגיות לבישות. אילו טכנולוגיות לדעתך יעניינו את ה ,CISOבמהלך ?2014 –BIG DATAלוגים של מערכות – הצורך במערכות שיודעות להציג ולנתח כמויות גדולות של מידע של לוגים ממערכות המידע רק ילך ויגבר ככל שכמות המכשירים ,כמות המערכות וכמות האיומים יעלו. ריכוז המערכות והשרתים ועבודה באמצעות תחנות מנוונותClient Thin תחום המובייל מביא איתו אתגרים חדשים ותפיסות חדשות כגון BYODשאנו במהלך מימושן. במידה והטכנולוגיות הלבישות יתחילו לתפוס תאוצה נצטרך להתמודד עם איומים נוספים שכנראה ונצטרך לאסור את השימוש בהם עד שנדע להגיב ולאבטח אותן. מה דעתך על האיגוד ועל תרומתו לפיתוח תחום אבטחת המידע בישראל? מעריך את פעילות האיגוד ,מצפה לראות הרחבה של הפעילות בשנת .2014 | גיליון | 11ינואר 2014 55 תום מחליט להתקשר לחברו הטוב ,לקבל עזרה... עולמו של האקר מה קורה גבר? תקשיב ,אני מריץ כאן פקודה ,וזה לא עובד לי ,יש מצב שאתה עוזר לי? בטח אח שלו גיבור ....שלח לי את הפקודה שאתה מקיש.....ואני אבדוק לך איפה טעית.... טוב....רגע ,אני שם אותך על רמקול.... אי שם...בעתיד הקרוב... סבבוש אח שלו ...מצאתי את הטעות שלך, לא השלמת את הפקודה. תקיש את מה שאני מקריא לך... תום....האקר מתחיל...מנסה לפרוץ לאתר WEB טוב....נראה לי שאני אלך כאן על מתקפת ....SQL Injection Login: hi or 1=1-Password: hi or 1=1-- טוב....לא מצליח להבין איפה טעיתי.... הקשתי את הפקודה ,אבל זה לא עובד לי..... סבבה אחי ,נראה לי שזה עובד עכשיו.... בכיף גבר ,תרגיש חופשי להתקשר בכל פעם שאתה צריך.... hi' or 1=1-- or 1=1-- hi' or 1=1-- or 1=1-hi or 1=1-- hi' or 1=1-- or 1=1-- hi or 1=1-- 56 גיליון | 11ינואר | 2014 | גיליון | 11ינואר 2014 57 בגיליון הבא ארגזכלים WireShark Cain and Abel •אבטחה פיזית •מדדי אבטחת מידע •פיתוח מאובטח •מערכות לגילוי ומניעת פרצות ()IPS •תפקידו של ה CISO-בעידן הסייבר •תקנות ורגולציות האיגוד הישראלי לאבטחת מידע ( )ISSAרוצה לברך ולהודות לכל המשתתפים שתרמו לעריכת גיליון זה. כלי ,הידועה בשמו הקודם ( - Etherealשונה מסיבות של סימן מסחרי). הכלי משמש בעצם כרחרחן ( ,)Snifferהמאפשר לראות את כל התנועה ברשת מסוימת .מדובר בתוכנת קוד פתוח (חינמית) .התוכנה פותחה עבור ועל ידי מנהלי רשתות על מנת להקל על משימתם בהתמודדות עם תקלות תקשורת\רשתות. להלן המאפיינים העיקריים של התוכנה: • יכול לקרוא ולנתח חבילות מידע ( )packetsמהרשת עצמה ומקובץ. • יכול לקרוא סוגים שונים של פרוטוקולים לרבות VOIP • ממשק משתמש גרפי ונוח • פתוח למערכות חלונאיות וגם ללינוקס\יוניקס. • יכולות דיווח ואנליזה דרגת סיכון :יחסית גובהה ,היות ובאמצעות הכלי אפשר לראות כל מה שקורה ברשת ובעיקר לחשוף חולשות ופגיעויות. 58 גיליון | 11ינואר | 2014 מדובר בכלי לפיצוח סיסמאות לסביבת חלונות .מדובר בתוכנת ,Proprietaryשהקוד שלה לא נבדק על ידי גורמים מוכרים. בין הכותבים שלנו: ניר ולטמן CISO -בחברת RETALIX מאפיינים עיקריים: דני אברמוביץ -מנכ“ל חברת TITANS SECURITY באמצעות ממשק ידידותי ונוח ניתן לאחזר ולפרוץ סיסמאות בשיטות הבאות: • פיתוח סיסמאות באמצעות אלגוריתם או רשימת מילות מפתח. • פיתוח WEP • מבצע sniffingברשת של הסיסמאות • החדרת packetsברשת אלחוטית • ציטוט לשיחות VOIP • פיצוח קובצי HASHעבור: • CISCO IOS • VNC • MD 2,4,5 • SHA-1, SHA-2 • KERBEROS 5 • RADIUS • MSSQL • MYSQL • ORACLE • כל ההצפנות של MICROSOFT אלדד משולם -משנה לנשיא האיגוד קובי לכנר -מנהל אבטחת מידע בחברת פלייטק רועי זימון -מומחה אבטחה אפליקטיבי בתחום הסייבר צדוק לויא -יועץ אבטחת מידע והמשכיות עסקית שלומי מרדכי -מנמ“ר הקריה האקדמית מוטי מאירמן – יועץ אבטחת מידע בכיר ארז מטולה – מנכ"ל ומייסד חברת Appse-Labs אורן הדר – מנכ"ל חברת KnowIT אם גם אתם רוצים לכתוב כתבות, נא לפנות אלינו בכתובת: [email protected] למתן חסות לאיגוד ,ניתן לפנות אלינו | גיליון | 11ינואר 2014 59 האבטחה שלך להצלחה בטוחה! מנהלי אבטחת מידע בואו ללמוד איך לקשר בהצלחה בין מטרות עסקיות של הארגון לאבטחת מידע שם הקורס תיאור הקורס מסלול משך הקורס תאריך פתיחה תעודה מסלול להכשרת מנהלי אבטחת מידע מוסמכים ()CISO מסלול ייחודי להכשרת מנהלי אבטחת מידע בעל 2הסמכות בינלאומיות. 200שעות ערב 6.3.2014 בינלאומית CISSP מסלול ייחודי להכנה לבחינת ההסמכה 56שעות ערב 24.4.2014 בינלאומית CISM מסלול ייחודי להכנה לבחינת ההסמכה 40שעות בוקר 22.4.2014 בינלאומית CISM מסלול ייחודי להכנה לבחינת ההסמכה 40שעות ערב 2.3.2014 בינלאומית CRISC מסלול ייחודי להכנה לבחינת ההסמכה 40שעות בוקר 2.3.2014 בינלאומית CRISC מסלול ייחודי להכנה לבחינת ההסמכה 40שעות ערב 3.3.2014 בינלאומית מסלול להכשרת מנהלי ניהול סיכונים ( )CROמסלול ייחודי להכנה לבחינת ההסמכה 200שעות ערב 15.5.2014 בינלאומית Mobile Forensics מסלול ייחודי להכשרת מומחי ניתוח ממצאים בפלאפונים חכמים, מכשירי GPS וטאבלטים. 40שעות ערב 22.4.2014 Cyber Security and Incident Handling מסלול טכנולוגי ייחודי ובלעדי 40שעות ערב 2.3.2014 מסלול להכשרת מבקרי מערכות מידע מוסמכים ()CISA מסלול ייחודי להכשרת מבקרי מערכות מידע בעל הסמכה בינלאומית 300שעות ערב בוקר 26.7.2014 בינלאומית לרשימה מלאה של כל הקורסים שלנו ניתן לפנות אלינו לכתובת [email protected] :או לטלפון077-5150340 : לתיאום פגישה וקבלת פרטים נוספים 077-5150340 חייגו: אקדמיה :דוא"ל [email protected] www.titans2.co.il | www.ts2.co.il | www.titans2.com
© Copyright 2024