מה מדאיג את הלקוחות במחשוב ענן - Global Security | מגזין אבטחת מידע

‫‪M a g a z i n e‬‬
‫‪S e c u r i t y‬‬
‫מגזין אבטחת מידע וניהול סיכונים | גיליון מס' ‪ | 2‬יוני ‪2012‬‬
‫בשער‬
‫מה מדאיג את הלקוחות במחשוב ענן‬
‫היום שאחרי מחר‬
‫אני יודע מה עשית בקיץ האחרון‬
‫סוגרים את הברז‪....‬מניעת דליפת מידע‬
‫כיצד מנהלים פרויקט ‪DLP‬‬
‫‪n f o r m a t i o n‬‬
‫‪I‬‬
‫דבר העורך‬
‫דבר יו"ר‬
‫האיגוד העולמי‬
‫לאבטחת מידע‬
‫האם ניתן וכיצד ניתן‬
‫למנוע את פרשת ענת קם‪....‬הבאה?‬
‫טוב‪ ,‬תקראו לי ‪ ,Old Fashion‬אבל כולם מדברים על הפתרונות‬
‫הטכנולוגיים שיכלו למנוע את פרשת ענת קם‪ ,‬ולמנוע את הדלפת‬
‫המידע‪ ,‬אבל אני חייב לציין לצערנו‪ ,‬שום פתרון טכנולוגי ולא משנה‬
‫עד כמה הוא טוב‪ ,‬היה מונע או יצליח למנוע את הפרשה הבאה‬
‫של דליפת מידע‪ .‬ישנם דברים בסיסיים יותר בעולם אבטחת‬
‫המידע‪ ,‬שניתן לאמץ‪ ,‬אשר יכולים לסייע בנושא זה‪ .‬אני טוען‬
‫שקצת מיותר לרוץ ולרכוש פתרונות ‪ DLP‬לפני שמגדירים היטב‬
‫את מערכת ההרשאות בארגון‪ .‬צריך לבדוק קודם מה יש בארגון‬
‫ועל מה כדאי להגן‪ .‬אולי המידע לא בורח באימייל? אולי מרמים‬
‫אנשים ומשכנעים אותם מבחוץ להעביר מידע? רוב כלי התוכנה‬
‫לניטור תוכן מחפש רק דברים שמגדירים עבורם וככה מפספסים‬
‫פרצות רבות בארגון‪.‬‬
‫במקרה של ענת קם‪ ,‬הייתה לה גישה לכמות אדירה של‬
‫מסמכים מסווגים שחלקם ייצרה אף בעצמה‪ .‬במסגרת תפקידה‪,‬‬
‫היא הייתה להדפיס כמויות גדולות של מסמכים והייתה צריכה‬
‫לראות ולשנות מסמכים שייצרו אחרים‪ .‬כל מסמך שעבר על צג‬
‫המחשב שלה היה חשוף לצילום על ידי מצלמה‪ ,‬העתקה בכתב‬
‫יד‪ ,‬הקראה של התוכן בטלפון או טייפ מנהלים וכו'‪.‬‬
‫עכשיו‪ ,‬תשאלו את עצמכם‪...‬בכמה ארגונים שאתם מכירים‬
‫(ואפילו ברוב הארגונים בהם אתם עובדים כיום) המצב דומה?‬
‫ולכן‪ ,‬מלבד הפתרונות הטכנולוגיים‪ ,‬שהם כמובן מאוד נחוצים‪,‬‬
‫אבל לא מספיקים‪ ,‬חייבים להטמיע ולקחת בחשבון גם בקרות‬
‫נוספות‪ ,‬בקרות שמפצות על מגוון החורים השונים אשר נמצאים‬
‫מוטמעים בחלק מתהליכי העבודה של הארגון‪ ,‬ולא ניתן למנוע‬
‫אותם‪.‬‬
‫אחת הסוגיות שאני רוצה לתקוף‪ ,‬אומנם מוכרת להרבה מנהלי‬
‫אבטחת מידע‪ ,‬אך לדאבוננו‪ ,‬מיושמת מעט מאוד בארגונים‪ .‬ישנם‬
‫‪ 2‬כללי ברזל שחובה לאכוף בכל ארגון‪ ,‬בכל הקשור למדיניות‬
‫בקרת גישה והקצאת הרשאות גישה‪.‬‬
‫העיקרון הראשון הינו "‪ "Least Privilege‬ומה שעומד מאחוריו‬
‫זה העיקרון הפשוט‪ ,‬שלכל עובד בארגון צריך להיות מינימום‬
‫הרשאות גישה לצורך ביצוע עבודתו ולא מעבר לזה‪.‬‬
‫בקרה זו אומנם היא אדמיניסטרטיבית‪ ,‬אבל היא יכולה להיות גם‬
‫בקרה מונעת‪ ,‬היות ומשתמש אשר אין לו הרשאות גישה לבצע‬
‫פעולה מסוימת‪ ,‬הוא לא יבצע אותה‪( .‬ולמתחכמים שבינינו‪ ,‬ברור‬
‫שאפשר לעקוף כל בקרה‪ ,‬אבל זו עבירה פלילית‪ ,‬ומטרתנו היא‬
‫לא למנוע לגמרי‪ ,‬אלא למזער את הסיכון)‪.‬‬
‫העיקרון השני נקרא "‪ ,"Need-to-Know‬והוא מוסיף שכבת‬
‫מידור נוספת לעיקרון הראשון‪ .‬בכל ארגון‪ ,‬מומלץ לבצע מיפוי‬
‫דרישות לבקרת גישה‪ ,‬ולסווג את המשתמשים ואת המידע אליו‬
‫הם צריכים לגשת‪ .‬עיקרון זה אומר‪ ,‬שנניח שלמשתמש שעובד‬
‫במחלקה בעלת סיווג סודי‪ ,‬והוא בעל סיווג מתאים (כלומר‪ ,‬סיווג‬
‫סודי)‪ ,‬עדיין‪ ,‬זה לא אומר שהוא יכול לגשת ולראות את הקבצים‬
‫שנמצאים במחלקה שלו‪ ,‬אלא הוא יכול לגשת אך ורק לאותם‬
‫קבצים אשר מותר לו לגשת‪.‬‬
‫ואלו ‪ 2‬עקרונות‪ ,‬אשר לא מחייבים שום רכישת מוצר צד ג' של‬
‫מניעת לדליפת מידע‪ ,‬ובכל זאת למזער את הסיכון לדליפת מידע‪,‬‬
‫ע"י מניעת גישה חופשית של משתמשים למידע רגיש‪.‬‬
‫‪2‬‬
‫גיליון ‪ | 2‬יוני ‪| 2012‬‬
‫מי ומה בגיליון?‬
‫(‪)ISSA‬‬
‫חבר\ה יקר\ה‬
‫ראשית כל‪ ,‬אני רוצה להודות באופן אישי למר אריאל פלד‬
‫(הנשיא לשעבר) עובר תרומתו הרבה לאיגוד‪ .‬לאחר ‪ 8‬שנים של‬
‫עשייה רבה‪ ,‬ובכלל הקמת הציאפטר הישראלי של ‪ ,ISSA‬הוא‬
‫עושה את דרכו לפרויקט אחר בחייו‪ ,‬ואנו מאחלים לו בהצלחה‬
‫מכל הלב‪ ,‬ומקווים ומבקשים את תרומתו ושימשיך לסייע לנו‬
‫בהמשך הדרך‪.‬‬
‫החודש‪ ,‬יתקיים הכנס השנתי הבינלאומי של האיגוד‪ ,‬כמיטב‬
‫המסורת שהתחלנו מזה כמה שנים‪ ,‬וגם השנה יהיו לנו מספר‬
‫מרצים בכירים מחו"ל‪ ,‬וכמובן גם אורחים לא פחות מכובדים‬
‫מהארץ‪.‬‬
‫‬
‫‬
‫‬
‫‬
‫‬
‫‬
‫הכנס השנה יעסוק בעיקר בתחום הסייבר טרור‪ ,‬נושא שהוא חם‪,‬‬
‫ועולה לכותרות כמעט בכל הזדמנות‪ ,‬בעקות גל של התקפות‬
‫סייבר ברחבי העולם‪ ,‬שאנו עדים להם לאחרונה‪.‬‬
‫כמו כן‪ ,‬אני מברך את הכותבים שלנו‪ ,‬שנרתמו למשימה ובכך יצא‬
‫הגיליון השני של האיגוד‪ ,‬עשיר יותר בתכנים‪ ,‬וניסינו לכסות כמה‬
‫שיותר נושאים‪ ,‬שאר הגיעו כבקשות למערכת של האיגוד‪.‬‬
‫כמו כן‪ ,‬במסגרת פעילות האיגוד‪ ,‬הרצנו סדנא של יומיים‪ ,‬בנושא‬
‫התקפות והגנות ברשתות ‪ ,IPV6‬עם הגורו העולמי מספר אחד‬
‫בתחום זה‪ ,‬מארק היוז ( הידוע בכינויו המקצועי ‪.)Van Hauser‬‬
‫לקרת סוף השנה‪ ,‬במהלך חודש נובמבר‪ ,‬אנו מתכנים שבוע נוסף‬
‫של סדנאות מקצועיות‪ ,‬עם מרצים בכירים מהארץ ומהעולם‪.‬‬
‫‬
‫‬
‫‬
‫‬
‫‬
‫‬
‫‬
‫‬
‫‬
‫‬
‫‬
‫‬
‫‬
‫‬
‫מעונן חלקית‬
‫כיצד מנהלים פרויקט ‪IT‬‬
‫כיצד מנהלים פרויקט ‪NAC‬‬
‫כיצד מנהלים פרויקט ‪DLP‬‬
‫היבטי אבטחת מידע בתהליכי הפיתוח‬
‫סוגרים את הברז – כיצד למנוע דליפת מידע‬
‫אני יודע מה עשית בקיץ האחרון‬
‫‪ 10‬סיבות לשימוש בכרטיס חכם‬
‫היום שאחרי מחר‬
‫האם מדובר בלהבה או בניצוץ רגעי‬
‫האם אתה מנהל את המידע בארגון‬
‫או שהמידע מנהל אותך?‬
‫תוכנות ריגול – מה המשמעות החוקית של העניין‬
‫סיקור מפגש אפריל‬
‫מיינפריים ירוק והגנת הסביבה‬
‫לקראת הכנס השנתי בחודש יוני ‪2012‬‬
‫‪ 10‬טיפים לבניית תוכנית מבדקי חוסן עבור הארגון‬
‫ארגז כלים ‪VARONIS‬‬
‫תקן אבטחת מידע ‪ISO27001‬‬
‫הפתרון של היום לבעיות של מחר‬
‫במהלך סוף החודש‪ ,‬אנו מקווים שיעלה לאוויר גם האתר החדש‬
‫של האיגוד‪ ,‬עשיר יותר ומגוון יותר בתכנים‪ ,‬ויחד עימו‪ ,‬נחשוף את‬
‫הפעילות החדשה‪ ,‬והתוכניות של האיגוד‪.‬‬
‫עורך ראשי‪ :‬דני אברמוביץ‬
‫סגן עורך‪ :‬שלומי מרדכי‬
‫המערכת‪ :‬האיגוד הישראלי לאבטחת מידע‬
‫צלם המערכת‪ :‬יוסי טובליס‬
‫עיצוב ודפוס‪ :‬דפוס דיגיטל‬
‫דוא"ל‪info@issa.org.il:‬‬
‫בברכה‪,‬‬
‫האיגוד אינו אחראי לתוכן המודעות‪ .‬כל הזכויות שמורות‪.‬‬
‫אין להעתיק רשימות וחלקים בלא היתר‪.‬‬
‫אז בנימה אופטימית זו‪ ,‬אני מאחל לכם קריאה נעימה‪ ,‬ונתראה‬
‫במפגש הבא של האיגוד‪.‬‬
‫דני אברמוביץ‬
‫נשיא האיגוד‬
‫בכל גיליון תקבלו חשיפה טכנולוגית על פתרונות אבטחת‬
‫מידע שונים‪ .‬אין אנו משמשים כגורם ממליץ‪ ,‬או ממליצים‬
‫על מוצר כזה או אחר‪ .‬מטרת הכתבות היא חשיפה‬
‫טכנולוגית בלבד‪ .‬כמו כן‪ ,‬כל הכתבות בגיליון מביאות את‬
‫חוות דעתם של הכותבים‪ ,‬ואין זה מביע את כוונת האיגוד‪.‬‬
‫| גיליון ‪ | 2‬יוני ‪2012‬‬
‫‪3‬‬
‫מעונן חלקית‬
‫אבטחת מידע‪ ,‬עמידה בתקנות‪ ,‬מחויבות ארוכת טווח‬
‫של הספקיות‪ ,‬זמינות גבוהה ושרידות‪ ,‬אלו רק כמה‬
‫מהחששות שמעלים הלקוחות ביחס למחשוב הענן‪.‬‬
‫ספקיות נוטות להתמקד בחששות העיקריים‬
‫של הלקוחות ביחס למוצרים‪ ,‬לטכנולוגיות או‬
‫למודלים‪ ,‬ולמצוא את התשובות הנכונות כדי‬
‫להרגיע אותם‪.‬‬
‫שמאוחסנים היכנשהו ברחבי העולם (המיקום‬
‫המדויק אינו ידוע ללקוחות) ומועברים ברשת‬
‫האינטרנט בטוחים כמו נתונים שמאוחסנים‬
‫בשרתים פנימיים ומועברים ברשתות ארגוניות?‬
‫במקרה של מחשוב ענן‪ ,‬שרבים רואים בו את‬
‫המגמה הבאה בעולם המחשוב‪ ,‬מתייחסות‬
‫הספקיות המובילות בעיקר לחששות הבאים‪:‬‬
‫האם הטכנולוגיה הבטחה? האם היא אמינה?‬
‫והאם היא כדאית מבחינה כלכלית?‬
‫התשובות של הספקיות מתמקדות בדרך‬
‫כלל בהיקף ובפיקוח מרכזי‪ .‬רק מעט ארגונים‬
‫גדולים יכולים להקצות תקציבים וכוח אדם‬
‫בהיקף שמקצות חברות כגון ‪Amazon, Google,‬‬
‫‪ ,IBM‬ו‪ Salesforce-‬כדי להגן על מרכזי הנתונים‬
‫שלהם‪.‬‬
‫הלקוחות הפוטנציאליים אכן מביעים את‬
‫החששות האלה‪ ,‬אך הם מתחבטים גם בשאלות‬
‫רבות נוספות‪ .‬האם לא ימצאו את עצמם כבולים‬
‫לספקית בודדת‪ ,‬כאשר הנתונים או היישומים‬
‫משמשים כבני ערובה? האם חברות שפונות‬
‫בעיקר לצרכנים פרטיים‪ ,‬דוגמת ‪Google‬‬
‫ו‪ ,Amazon-‬יוסיפו לפעול בתחום של המחשוב‬
‫הארגוני גם בטווח הארוך? בהתחשב בחוקים‬
‫ובכללים‪ ,‬שנועדו להסדיר תעשיות ולקבוע את‬
‫השיטות הטובות ביותר‪ ,‬אילו נתונים מותר לאחסן‬
‫בשרתים מרוחקים ואילו חייבים להותיר בתחומי‬
‫הארגון? האם יש בנמצא יישומים מתאימים‪ ,‬ואילו‬
‫משאבי מחשוב נוספים ניתן למצוא ברשת?‬
‫אז מה באמת מדאיג‬
‫את הלקוחות במחשוב ענן?‬
‫להלן הסוגיות העיקריות בעת מעבר למחשוב ענן‪:‬‬
‫אבטחת מידע ‪ -‬נושא אבטחת המידע ניצב‬
‫עדיין בראש רשימת החששות‪ .‬האם נתונים‬
‫‪4‬‬
‫גיליון ‪ | 2‬יוני ‪| 2012‬‬
‫לטענת הספקיות‪ ,‬נתונים שמאוחסנים באינטרנט‪,‬‬
‫מעצם טבעם‪ ,‬בטוחים יותר מנתונים שבאופן בלתי‬
‫נמנע מתפזרים בסופו של דבר בין מחשבים‬
‫נישאים‪ ,‬טלפונים חכמים ומחשבי ‪ PC‬ביתיים‪.‬‬
‫אולם הספקיות מסכימות כי בכל הקשור לאבטחת‬
‫מידע‪ ,‬לקוחות ארגוניים אינם מוכנים לקנות כל‬
‫הבטחה בעיניים עצומות‪ .‬הספקיות מחשוב ענן‪,‬‬
‫יצטרכו לעבוד קשה‪ ,‬ולהוכיח ללקוחות שהמידע‬
‫שלהם מוגן ובטוח‪.‬‬
‫כבילה לספקיות ותקנים ‪ -‬בתחום זה נשאלות‬
‫שאלות רבות‪ ,‬שטרם נמצאו תשובות הולמות‪ .‬בין‬
‫השאלות הכי חשובות‪ ,‬ניתן למצוא את "האם‬
‫מפרטי האינטרנט בשלים די הצורך על מנת‬
‫לאפשר העברה של נתונים בין הספקיות השונות?‬
‫האם ניתן לבחור יישום של ספקית מסוימת ולעבור‬
‫לאחר מכן בקלות ובמהירות לספקית אחרת?‬
‫הספקיות מדגישות את הפתיחות ואת יכולות‬
‫ההרחבה שמעניקים פרוטוקולים של שירותי‬
‫אינטרנט דוגמת ‪ SOAP‬או ‪ .XMPP‬מאחר‬
‫שהספקיות מעניקות שירותים של תשתיות‬
‫מחשוב‪ ,‬נחסך מהלקוחות הצורך להשקיע הון או‬
‫לשלם מראש תשלומים כלשהם‪ ,‬וכי הלקוחות‬
‫יכולים ליישם את השירותים של ספקית מחשוב‬
‫ענן בצורה מצומצמת‪ ,‬ואז לגדול בהתאם לצורך‬
‫העסקי‪.‬‬
‫הספקיות מציינים בתגובה כי ההשקעות במחשוב‬
‫ענן אינן גבוהות ומשום כך הסיכון נמוך‪ ,‬בעוד‬
‫שמעבר מיישומים מקומיים של ‪ SAP, ORACLE‬או‬
‫‪ EMC‬הוא משימה מורכבת בהרבה יותר‪.‬‬
‫עמידה בחוקים ותקנות ‪ -‬ארגונים שמבקשים‬
‫להעביר חלק מהנתונים לאינטרנט חייבים‬
‫להתמודד עם סבך של חוקים וכללים שחלים על‬
‫תעשיות מסוימות (‪ HIPAA, PCI, FERPA‬ועוד) או‬
‫על כל המשק (‪ SOX, Patriot Act, FISMA‬וכדומה)‪.‬‬
‫החוקים והכללים מגדירים כיצד יש לאחסן את‬
‫המידע ולאפשר את הגישה אליו‪ ,‬אך הם מותירים‬
‫פתח רחב לפרשנויות שונות‪ ,‬והספקיות‪ ,‬שאינן‬
‫יכולות כמובן לשנות את החוקים‪ ,‬מודות שכאשר‬
‫הן פונות לארבעה עורכי דין על מנת לתת מענה‬
‫ללקוחותיהן‪ ,‬הן מקבלות חמש תשובות שונות‪ .‬גם‬
‫באשר לשמירה על הפרטיות החששות רבים‪.‬‬
‫אמינות ‪ -‬ציבור הלקוחות תוהה עד כמה מתאים‬
‫מחשוב הענן לחברות שמרבות לשלוח קבצים‬
‫גדולים‪ .‬המגבלות של רוחב הפס ידועות לכולם‪,‬‬
‫והלקוח לא יכול לחכות‪ ,‬הוא חייב תגובה מהירה‪.‬‬
‫יהיו התשתיות אמינות ככל שיהיו‪ ,‬אפילו הספקיות‬
‫הגדולות של מחשוב ענן סובלות מתקלות‪ .‬בשנה‬
‫האחרונה‪ ,‬היינו עדים למספר תקלות משביתות‬
‫של ענקיות ספקי מחשוב ענן כגון ‪Amazon,‬‬
‫‪ Google, Microsoft‬וזה משאיר אותנו עם השאלה‪...‬‬
‫עד כמה השרות הזה אמין‪...‬ולאורך זמן?‬
‫כל הספקיות הגדולות של מחשוב ענן מפנות‬
‫להסכמים של איכות השירות‪ .‬אולם הלקוחות‬
‫זכאים רק לפיצוי על תקלות בשירות‪ ,‬ולא על‬
‫עסקאות שהפסידו‪ .‬בסופו של דבר‪ ,‬השאלה היא‪:‬‬
‫האם היישומים‪ ,‬מסדי הנתונים‪ ,‬מערכי האחסון‬
‫ותשתיות המחשוב המקומיים של הארגון אמינים‬
‫יותר מאלו של ספקיות מחשוב ענן? ואפילו אם‬
‫נאמר שהאמינות דומה‪ ,‬האם לא עדיף להשקיע‬
‫את המשאבים של מחלקת המחשוב בפעילויות‬
‫שמעניקות יתרונות תחרותיים‪ ,‬במקום שתכלה‬
‫את זמנה בניהול ושדרוג של שרתים‪ ,‬מערכי‬
‫כוננים‪ ,‬יישומים ושאר תוכנות ותשתיות?‬
‫עלות כוללת של הבעלות (או השכירות) ‪-‬‬
‫הטיעונים שמשמיעות הספקיות של ענן המחשוב‬
‫ביחס לעלויות משכנעים למדי‪ :‬זול יותר להשתמש‬
‫בשירותים שהן מציעות מאשר לרכוש ולתחזק‬
‫ציוד חומרה ותוכנות מקומיות‪ .‬אין צורך לשלם‬
‫מראש סכומים גבוהים‪ ,‬משלמים רק לפי היקף‬
‫השימוש וניתן להרחיב או לצמצם את היקף‬
‫השימוש בקלות‪ .‬אפשר גם ליהנות מיתרונות‬
‫הגודל שמציעות הספקיות‪.‬‬
‫מבחר ‪ -‬אילו אפשרויות מוצעות למי ששוקלים‬
‫להעביר משאבים מסוימים למחשוב ענן?‬
‫המבחר גדל מדי יום‪ .‬הספקיות מציעות מגוון‬
‫רחב של שירותים‪ ,‬בהתאם לדרישות העסקיות‬
‫של הארגון‪ .‬למשל‪ ,‬חברת ‪ Salesforce‬מציעה‬
‫פלטפורמת אינטרנט שהיא מעין בורסה‪ ,‬שבה‬
‫מוצעים מאות יישומים מצד שלישי‪ ,‬בצד שירותים‬
‫של מסדי נתונים יחסיים‪ ,‬שירותים עסקיים וסביבת‬
‫פיתוח משולבת‪ .‬חברת ‪ GOOGLE‬מציעה שורה של‬
‫שירותי עיבוד‪ ,‬וכן שירות של מסד נתונים‪ .‬חברות‬
‫כגון ‪ ,EMC, IBM, MICROSOFT, SUN‬וחברות גדולות‬
‫נוספות מציעות שורה הולכת ומתרחבת של‬
‫שירותים‪ ,‬וחברות סטארט‪-‬אפ רבות מאמצות את‬
‫המודל של דמי מנוי‪ .‬השאלה הגדולה היא‪ ,‬באיזו‬
‫מידה ניתן לבצע התאמה אישית של שירותים‬
‫אלה ללקוחות?‬
‫מחויבות ארוכת טווח של הספקיות ‪-‬‬
‫האם חברות ענק שפונות בעיקר לציבור הרחב‪,‬‬
‫דוגמת ‪ AMAZON‬ו‪ ,GOOGLE-‬לא ימאסו יום אחד‬
‫בלקוחות הארגוניים‪ ,‬שמציבים דרישות גבוהות‬
‫ומתנהלים בקצב איטי? הספקיות מרבות להשוות‬
‫את השלב הנוכחי שבו מצוי מחשוב הענן לימיה‬
‫הראשונים של רשת החשמל‪ ,‬כאשר חברות‬
‫עסקיות עדיין הפעילו מחוללי חשמל משלהן‪ ,‬עד‬
‫שעברו לחברות חשמל גדולות‪ .‬אולם למשוואה‬
‫זו גם צד שני‪ :‬האם חברות נמרצות וחדשניות‬
‫דוגמת ‪ GOOGLE‬ו‪ ,AMAZON-‬לא יאבדו יום אחד‬
‫עניין במכירה של שירותים אחידים‪ ,‬שמזכירים‬
‫אספקת חשמל‪.‬‬
‫הספקיות מתעקשות‪ ,‬כמובן‪ ,‬שבכוונתן להוסיף‬
‫ולפעול בתחום זה גם בטווח הארוך‪ ,‬ושהלקוחות‬
‫מקבלים בהתלהבות שירותים אלה‪.‬‬
‫מומחים טוענים כי אין צל של ספק שהפרדיגמה‬
‫של מחשוב ענן היא הדבר הבא‪ .‬השאלה היחידה‬
‫שנשאלת‪ ,‬היא באיזה קצב יתבצע המעבר‪ .‬כיד‬
‫שהמעבר יהיה מהיר‪ ,‬על הספקיות לתת מענה‬
‫הולם לכל החששות של הלקוחות‪.‬‬
‫| גיליון ‪ | 2‬יוני ‪2012‬‬
‫‪5‬‬
‫כיצד מנהלים פרויקט ‪?IT‬‬
‫ניהול פרויקטים‬
‫ניהול פרויקט אפקטיבי‪ ,‬הפועל בסביבה משתנה‬
‫זו נדרש לענות על השאלות הבאות‪:‬‬
‫כל מנהל כיום יודע לצטט את האימרה‬
‫המפורסמת כי "‪ 50%‬מפרוייקטי יישום פתרונות‬
‫אבטחת מידע נכשלים"‪ .‬כישלון או הצלחת‬
‫פרויקטים נמדד באמצעות אחד משלושה‬
‫ממדים‪ :‬עמידה בתקציב‪ ,‬עמידה בלו"ז ועמידה‬
‫בתכולה‪.‬‬
‫ •מי יזם את הדרישה ומה חשיבותה בראיית‬
‫ניתוח עלות תועלת? – לעתים‪ ,‬יהיה קל יותר‬
‫לקדם פרויקטים חוצי ארגון‪ ,‬או פרויקטים‬
‫שהיוזמים שלהם הם מספר חטיבות בארגון‪,‬‬
‫וזה לא מגיע רק מה‪.IT-‬‬
‫כפי שניתן לראות‪ ,‬ניהול פרויקט ‪ ,IT‬אינו מסתיים‬
‫ברכישת קופסה\מערכת והטמעתה בארגון‪ ,‬אלא‬
‫יש צורך במערך שלם לצורך אפיון וניהול דרישות‬
‫על בסיס הצורך העסקי‪ ,‬ביצוע פיילוט ובחירת‬
‫מערכת שעונה לדרישות שקבענו‪ ,‬הטמעת‬
‫המערכת ותפעול שוטף של המערכת‪ ,‬הדרכות‬
‫ולבסוף בקרה וניהול שינויים במערכת‪.‬‬
‫ •כיצד מחולקים משאבי ה‪ – ?IT-‬האם ישנו‬
‫תקציב עבור הפרויקט שאנו מנסים לקדם?‬
‫מאיפה מגיע התקציב? האם התקציב מגיע‬
‫מכמה חטיבות או מחלקות?‬
‫להלן היבטים נוספים‪ ,‬שצריכים לקחת בחשבון‬
‫ברמה הפרויקטאלית‪.‬‬
‫אבל‪ ,‬זה לא חייב להיות כך‪ .‬בשנים האחרונות‪,‬‬
‫גדלה ההכרה כי למנהל הפרוייקט יש חשיבות‬
‫עצומה להצלחת הפרוייקט‪ .‬גיוס מנהל פרויקט‬
‫בעל ניסיון‪ ,‬ידע ואישיות מתאימה‪ ,‬הינו משימה‬
‫לא פשוטה ואף יקרה‪ .‬פרויקט ‪ ,IT‬במיוחד פרויקט‬
‫אבטחת מידע רוחבי‪ ,‬בארגון‪ ,‬מחייב לנקוט באותן‬
‫אמצעים‪ ,‬לצורך ניהול פרויקט תקין‪ ,‬על מנת‬
‫להטמיע את הפתרון בארגון בצורה קלה‪ ,‬יעילה‬
‫ומוצלחת‪.‬‬
‫גופי ה ‪ IT‬כיום פועלים בסביבה תובענית מתמיד‪,‬‬
‫הם נדרשים להציג תועלות לעסק‪ ,‬לוודא כי‬
‫פעולותיהם מוכוונות בהתאם לאסטרטגיה‬
‫הארגונית ולהתנהל בתפיסת ניהול כלכלי‬
‫מונחה עלות‪/‬תועלת‪ .‬תפקידו של מנהל אבטחת‬
‫המידע במערכה זו‪ ,‬הוא לסייע לארגון בבחירת‬
‫המוצר\הטכנולוגיה המתאימה והעונה לדרישות‬
‫העסקיות של הארגון‪ .‬כמו כן‪ ,‬הוא יכול להוות‬
‫כגורם מייעץ למנהל הפרויקט‪.‬‬
‫גוף ה ‪ IT‬עומד בפני זרם בלתי פוסק של דרישות‬
‫מהיחידות העסקיות ‪ -‬שינויים למערכות קיימות‪,‬‬
‫דרישות לפיתוחים חדשים‪ ,‬פיתוח מערכות חדשות‬
‫ועוד‪ .‬בנוסף‪ ,‬רגולציות שונות הדורשות חיזוק‬
‫המעקב והבקרה על פעילות ה‪( IT-‬דוגמת( ‪SOX‬‬
‫נכנסו לתוקף‪ ,‬ויחד עימם נוספו דרישות נוספות‪.‬‬
‫ •ניהול פינאנסי‪ ,‬תכנון‬
‫לעומת בפועל‪ ,‬חריגות‬
‫תקציב‪ ,‬השקעה בפיתוח‬
‫לעומת השקעה בתחזוקה‪,‬‬
‫ניהול עלויות ספקים ועוד‪.‬‬
‫ •ניהול דרישות הנותן מענה מלא לכל מחזור‬
‫חיי הדרישה בתהליך ניהול הפרוייקטים‪ ,‬החל‬
‫ביוזמה עסקית ועד הפיכתה לפרוייקט‪ ,‬תוך‬
‫יצירת שקיפות ושפה משותפת (מתודולוגיה)‪,‬‬
‫וזרימת מידע באמצעות יכולות ה ‪Workflow‬‬
‫המובנות המערבת את הרפרנט העסקי ואת‬
‫גוף ה‪.IT-‬‬
‫ •איסוף וניתוח נתונים בזמן‬
‫אמת‪ ,‬הכולל שעות עבודה‪ ,‬קבלני משנה רכש‬
‫וכיו"ב‪.‬‬
‫ •כיצד לקבוע סדרי עדיפויות לדרישות‬
‫ולפרוייקטים השונים ועל סמך אילו קריטריונים?‬
‫– חשוב לקבוע קריטריונים לקביעת סדרי‬
‫עדיפויות‪ ,‬מבחינת החשיבות‪ ,‬רמת הקריטיות‪,‬‬
‫דרישות עסקיות ורגולטרויות ועוד‪.‬‬
‫ •סימולציה של משמעות יישום הדרישה‬
‫כפרוייקט וניהול פורטפוליו הפרוייקטים‬
‫השונים בארגון‪ .‬אילו דרישות להוציא לפועל‬
‫ומה השפעתם על מערכות אחרות שקיימות‬
‫בארגון‪.‬‬
‫להלן השלבים הסטנדרטיים בניהול פרוייקט‬
‫יישום והטמעת פתרון‪ .‬כמובן‪ ,‬כל ארגון יכול‬
‫לאמץ שלבים נוספים או להוריד חלק מהשלבים‬
‫בהתאם לדרישות העסקיות של הארגון‪ ,‬ובהתאם‬
‫לסוג המערכת\פרויקט‪.‬‬
‫ •כיצד לנהל בצורה אינטגרטיבית את משאבי‬
‫ה‪ IT -‬והסיכונים הקשורים? – חלק אינטגרלי‬
‫מכל פרויקט ‪ IT‬הינו ניהול נכון של משאבי‬
‫ה‪ IT-‬בארגון‪ ,‬במיוחד אם מתנהלים מספר‬
‫פרויקטים במקביל‪.‬‬
‫ •יצירת תוכנית פרוייקט ארוכת טווח תוך שימוש‬
‫בתסריטי "‪ "What If‬ותכנון משאבים רך לפי‬
‫מיומנות או הגדרת תפקיד‪ ,‬ויכולת לבצע תכנון‬
‫מפורט לטווח הקרוב‪.‬‬
‫אפיון דרישות‬
‫ •אילו פרוייקטים ואילו משימות נמצאים‬
‫בעבודה ואילו צפויים להיכנס? – זה יכול‬
‫להשפיע על סדרי עדיפויות‪ ,‬והסדר שבו‬
‫יתבצעו הפרויקטים‪.‬‬
‫ •כיצד ניתן לתאם וליצור ואינטגרציה בין‬
‫פעילויות ותשתיות? – לעתים ישנם פרויקטים‬
‫שונים‪ ,‬אך תלויים אחד בשני‪ ,‬או שמחייבים‬
‫אינטגרציה ביניהם‪ .‬חשוב לקחת בחשבון‬
‫היבט זה‪ ,‬מבחינת ניהול משאבים בארגון‪.‬‬
‫ •עבודה רב פרוייקטאלית מטריציונית מלאה‪,‬‬
‫עבודה של מספר בעלי עניין באותו פרוייקט בו‬
‫זמנית‪ ,‬לכל בעל עניין תמונת מצב מלאה של‬
‫תכולות העבודה שלו בפרוייקטים השונים‪.‬‬
‫ •ניהול סיכונים ברמת הפורטפוליו‪ ,‬הפרוייקט‬
‫ועד רמת חבילות העבודה‪.‬‬
‫כתיבת מסמך‬
‫)‪RFP (Request For Proposal‬‬
‫שלב זה כולל בתוכו מיפוי תהליכי העבודה‬
‫הרלוונטיים (בהתאם לדרישות העסקיות של‬
‫הארגון)‪ ,‬על בסיס ראיונות עם אנשי מפתח‬
‫השותפים לתהליכי העבודה‪ .‬הכנת מסמך‬
‫דרישות ‪ ,RFP‬לצורך פניה לספקים לקבלת‬
‫הצעות מחיר מפורטות‪ ,‬הכוללות את כל עלות‬
‫הפרוייקט‪ .‬מסמך זה מהווה‪ ,‬פעמים רבות את‬
‫הבסיס לאפיון המפורט של הפרוייקט ועל כן‬
‫חשיבותו הרבה‪ .‬מרבית הפרויקטים אשר כשלו‪,‬‬
‫או לא נפלו בחלקן הצלחה גדולה במיוחד‪ ,‬היו‬
‫כתוצאה מניהול כושל של הפרויקט‪ ,‬כבר משלב‬
‫ייזום הפרויקט‪.‬‬
‫השוואה ובחירת מערכת\פתרון‬
‫בדרך כלל קיימות בשוק מספר מערכות העונות‬
‫לצרכי הארגון‪ .‬מסיבה זו יש להפקיד את המטלה‬
‫בידי גורם מקצועי וניטרלי בעל היכרות עם כלל‬
‫המערכות המוצעות ועם יכולת השוואה ומתן‬
‫ביקורת‪ .‬לאחר הגדרת רשימת כל הספקים‬
‫בשוק‪ ,‬ניתן להשתמש במודל בסיסי לבחינת‬
‫ספק‪ ,‬שהא בעל יתרונות מוכחים‪ ,‬אשר מביא‬
‫את כלל המערכות והחברות המטמיעות לבסיס‬
‫השוואה זהה‪ ,‬המותאם לדרישות והקריטריונים‬
‫הספציפיים של הארגון הבוחן‪ .‬אין טעם לרוץ‬
‫‪6‬‬
‫גיליון ‪ | 2‬יוני ‪| 2012‬‬
‫ניהול ניתוח סיכונים מתגלגל והרמת דגלים‬
‫במועד‪ ,‬ניהול בקרה תקציבית וכד'‪.‬‬
‫תכנון וביצוע בדיקות קבלה‬
‫ולרכוש את המערכת "הכי טובה" או את המערכת‬
‫שחבר או ארגון אחר הטמיעה אותה‪ ,‬אלא חשוב‬
‫לבחור מערכת אשר נבחנה בהתאם לדרישות‬
‫העסקיות של הארגון‪.‬‬
‫חתימת חוזה‬
‫הנושאים הנידונים במהלך חתימת חוזה עם ספק‬
‫מערכת‪ /‬חברת יישום הנם משפטיים מסחריים‬
‫ומקצועיים‪ .‬שילוב ייעוץ מקצועי בשלב חתימת‬
‫החוזה מעגן נושאים כגון‪ :‬בדיקות המסירה‬
‫שהספק מתחייב לעשות‪ ,‬הגדרת איכות המוצר‬
‫הנמסר לבדיקות קבלה‪ ,‬בקרות תקופתיות מצד‬
‫הספק‪ ,‬נהלי פיתוח ותחזוקה‪ ,‬ניהול תצורה‪,‬‬
‫קביעת (‪ Service Level Agreement) SLA‬וכד'‪.‬‬
‫שלב זה הינו אחד השלבים החשובים בפרויקט‪,‬‬
‫היות וכאן בעצם מציינים את תכולת העבודה‪,‬‬
‫ואת התוצרים שאמורים לקבל מהספק‪ ,‬כולל‬
‫הגדרת יעדים למתן שרות‪ ,‬ועמידה בהם‪.‬‬
‫כתיבת האפיון המפורט‬
‫שלב כתיבת האפיון המפורט הוא שלב קריטי‬
‫להצלחת הפרוייקט‪ ,‬במיוחד בפרוייקטים‬
‫הכוללים בתוכם דרישות עסקיות של הארגון‬
‫שצריכות לבוא לידי ביטוי במערכת\פתרון‪ .‬לכן‬
‫שלב זה נכתב בדרך כלל בשילוב "המוחות" של‬
‫הגוף המיישם ונציגי המשתמשים המובילים‪ .‬צוות‬
‫ניהול הפרוייקט צריך לשאוף לקבלת מסמך‬
‫ממוקד‪ ,‬מקיף ומתואם לצרכי הלקוח‪.‬‬
‫לווי הפרוייקט ובקרה – עמידה בלו"ז בתכולה‬
‫ובמשאבים המתוכננים‬
‫על מנת לעמוד במדדי ההצלחה של הפרויקט‪,‬‬
‫יש לבצע באופן שוטף בקרה על השלמה מלאה‬
‫של אבני הדרך שהוגדרו בגאנט הפרוייקט על‬
‫פי סטנדרטים מוסכמים של איכות‪ ,‬מעקב אחר‬
‫התקדמות ‪ Action Items‬על פי לוחות זמנים‪,‬‬
‫לפני העלייה לאוויר יש לתכנן ולבצע בדיקות‬
‫קבלה עבור המערכת‪ .‬הבדיקות מתמקדות‬
‫בבחינת תהליכי העבודה המשרתים את הארגון‬
‫(‪ )Business Process‬ובשינויים שפותחו עבור‬
‫הארגון (ולא את אופן פעולת המערכת כמערכת‬
‫‪ .)Vanilla‬גישה זו מציבה את מטרות הארגון וצרכיו‬
‫במרכזה‪.‬‬
‫ניהול עליה לאוויר‬
‫ניהול עליה לאוויר של מערכת הוא כמו מבצע‬
‫צבאי ‪ -‬יש צורך לתזמן את כל החזיתות במדויק‬
‫ובתזמון נכון על מנת שהמערכת תעלה בצורה‬
‫טובה ואיכותית‪ .‬ניהול העלייה לאוויר כולל‪ :‬כתיבת‬
‫נוהל עלייה לאוויר‪ ,‬תוכנית מפורטת לעלייה‬
‫לאוויר‪ ,‬מעקב מדוקדק של עמידה בתוכנית‬
‫(לפעמים ברמה של שעות בודדות)‪ ,‬אינטגרציה‬
‫בין שותפים לפרוייקט‪ ,‬הסבות נתונים‪ ,‬בדיקת‬
‫הסבות ועוד‪.‬‬
‫הדרכה והטמעה‬
‫הכול מתחיל ונגמר ביחסי הציבור‪ .‬מערכת‬
‫לא תוטמע בצורה טובה בארגון אם ההדרכה‬
‫וההטמעה לא ינוהלו כפרוייקט לכל דבר‪ .‬יש צורך‬
‫בתכנון תוך מתן תשומת לב לקהל היעד‪ ,‬העברת‬
‫החומר בצורה מקורית וברורה‪.‬‬
‫לאחר העלייה לאוויר יש לדאוג לכח אדם שיתמוך‬
‫במשתמשים בצורה שוטפת‪.‬‬
‫ניהול תצורה‪ ,‬ניהול דרישות‬
‫חדשות וניהול גרסאות‬
‫הקמת מערך מסודר של ניהול התצורה‬
‫והגרסאות של המערכת‪ .‬יצירת נוהל עבודה‬
‫עבור יצירת סדרי עדיפויות לשינויים ושיפורים‪.‬‬
‫הקמת מערך בדיקות רגרסיה עבור כל גרסא‬
‫לפני המעבר לייצור‪.‬‬
‫| גיליון ‪ | 2‬יוני ‪2012‬‬
‫‪7‬‬
‫כיצד מנהלים פרויקט ‪?NAC‬‬
‫ניהול פרויקט ‪NAC‬‬
‫הגדרת חולת עבודה‪ ,‬איסוף נתונים אודות הרשת‬
‫ודרישות עסקיות‪ ,‬תכנון הרשת‪ ,‬ביצוע פיילוט ‪ -‬אלו‬
‫הם רק קצה המזלג‪ ,‬מתוך רשימת מטלות של‬
‫על כל ארגון לבצע לפני כניסתו להטמעת פתרון‬
‫‪ NAC‬בארגון‪ .‬אפיון נכון של המצב הקיים בארגון‬
‫מבחינת ציוד תקשורת ומערכות‪ ,‬בתיאום מול‬
‫הדרישות העסקיות יכול להשפיע על ההצלחה‬
‫ורמת האפקטיביות של הפרויקט‪.‬‬
‫אתגרים ובעיות‬
‫כיום הולך ומטשטשת ההבחנה בין סוגי העובדים‬
‫ודרכי עבודתם בארגון‪ :‬עובד קבלן‪ ,‬עובד מן‬
‫המניין‪ ,‬אורח‪ ,‬עובד מהמשרד ועובד מהבית‪ ,‬עובד‬
‫המחובר בצורה אלחוטית ועובד המחובר לרשת‬
‫במחשב המקומי במשרד; חל שיבוש מערכות גם‬
‫כתוצאה משימוש ברשתות אלחוטיות‪ ,‬ללא הגנה‬
‫מספקת וללא ישום מדיניות אבטחת מידע זהה‬
‫גם לרשת האלחוטית‪.‬‬
‫רוב מערכות אבטחת המידע מאתרות את‬
‫האיומים לאחר שהמשתמש כבר מחובר‬
‫אל הרשת ורק אז מנסות לצמצם את הנזק‪.‬‬
‫לעיתים קורה‪ ,‬שמשתמשים לגיטימיים מצליחים‬
‫להדביק את הרשת בוירוסים‪ ,‬סוסים טרויאנים‬
‫או להשתמש בשרותי רשת אסורים‪ .‬זאת‪ ,‬ללא‬
‫כוונת מזיד‪ .‬משתמשים לא מורשים נכנסים פיזית‬
‫לארגון‪ ,‬בין אם מדובר באורח‪ ,‬ספק‪ ,‬עובד קבלן‪,‬‬
‫עובד מיקור חוץ‪ ,‬או כל אדם אחר המגיע לארגון‬
‫ומתחבר לרשת ה ‪- LAN‬או ה‪ WLAN-‬עם המחשב‬
‫הנייד שלו ועלול להזיק‪ .‬אנו רוצים‪ ,‬בהזדמנות זו‬
‫לבקר גם את פעולתם של אורחים שמגיעים‬
‫לארגון או עובדי קבלן הנחוצים לתפקוד השוטף‬
‫של הארגון‪.‬‬
‫נוצר אתגר חדש – מיהו המשתמש ברשת? מהם‬
‫המשאבים הנחוצים לו לצורך ביצוע עבודתו? בעיה‬
‫נוספת נגרמת מכך שמשתמשים ברשת הארגונית‬
‫מקבלים הרשאות גישה זהות או הרשאות גבוהות‬
‫(‪ ,)Administrator‬בעוד שתפקידם שונה במהותו‪.‬‬
‫כך‪ ,‬יכול איש הכספים להגיע לשרתי אגף המכירות‬
‫ואיש אגף המכירות יכול להגיע לשרתי המשכורות‪,‬‬
‫בלא שתהיינה הפרדה ומידור ברשת‪ .‬זאת‪ ,‬כמובן‪,‬‬
‫בלי קשר להגבלות הגישה על גבי השרתים‬
‫עצמם‪ ,‬שממומשים על ידי הרשאות מפורטות‬
‫ברמת המשתמש או ברמת קבוצת משתמשים"‪.‬‬
‫"קונסולידציה" של טכנולוגיות אשר "רוכבות" על‬
‫רשת התקשורת הפכה לתופעה מקובלת‪ .‬אנו‬
‫עדים בעשור האחרון לכך שממשקי ‪Ethernet‬‬
‫ורשתות ‪ IP‬הפכו להיות סטנדרט‪ ,‬שאפליקציות‬
‫כגון וידאו וקול "רוכבות" על הרשת הדרישות של‬
‫ארגונים ואימוץ טכנולוגיות חדשות כגון טלפונית‬
‫‪ IP‬ו‪Unified Communication, ,Wireless LAN -‬‬
‫‪8‬‬
‫גיליון ‪ | 2‬יוני ‪| 2012‬‬
‫‪ ,Video Over IP‬וירטואליזציה‪– Thin Clients ,‬‬
‫יצרו בעיות אבטחה חדשות שגורמות להגדלת‬
‫הפגיעות של הרשתות ולחשיבות של הגנה על‬
‫יישומים קריטייים אלו‪.‬‬
‫אודות פתרון ‪NAC‬‬
‫מדובר בשכבת הגנה עיקרית ומשופרת‪ ,‬שכבה‬
‫שיכולה לתת פתרון אבטחת מידע מקצה לקצה‪.‬‬
‫מדובר בפתרון שיכול וצריך לבדוק את כל‬
‫ההתקנים המתחברים לרשת ופעילותם בכל‬
‫שכבות הרשת‪ .‬זהו בעצם עמוד השדרה של‬
‫מערך אבטחת המידע‪.‬‬
‫ארגונים רבים כבר הבינו שבקרת גישה לרשת‬
‫(‪ )NAC‬היא תנאי חיוני לאבטחת שלמות הנתונים‬
‫בכל רשת ארגונית גדולה‪ .‬מערכת ‪ NAC‬חייבת‬
‫להוות חלק ממדיניות האבטחה הכללית של‬
‫הארגון‪ .‬למרות שמדיניות אבטחה קיימת בכל‬
‫הארגונים‪ ,‬רק לעיתים נדירות העובדים יודעים מה‬
‫היא‪ ,‬ובכל מקרה אינם מיישמים אותה‪ .‬מסיבה זו‪,‬‬
‫חשוב להפקיד שלא להפיל את האחריות בנושא‬
‫על משתמשי הקצה‪ ,‬אלא להעבירה לטיפולן של‬
‫תוכנות האבטחה‪ .‬מערכות ‪ NAC‬מספקות לחברות‬
‫דרך שיטתית ואוטומטית לניהול האבטחה‪ ,‬במטרה‬
‫למנוע חשיפת מידע ולאפשר הגנה מתמשכת‪.‬‬
‫מערכות אלו מאפשרות לארגונים לוודא שרק‬
‫התקנים אמינים‪ ,‬המצייתים למדיניות האבטחה‬
‫התאגידית‪ ,‬יוכלו לגשת לרשת‪.‬‬
‫מערכות ‪ NAC‬מבררות את מידת אמינותו של‬
‫כל מחשב המנסה להתחבר לרשת‪ ,‬ובודקות‬
‫האם הוא מציית למדיניות האבטחה של הארגון‪.‬‬
‫ההתרבות המהירה של חיבורי פס רחב הפכו את‬
‫העבודה מהבית לכדאית מהבחינה הכלכלית‪,‬‬
‫ובמקביל‪ ,‬בעקבות הירידה החדה במחירי‬
‫המחשבים הניידים והתפשטותה המהירה של‬
‫טכנולוגית ה‪ ,Wi-Fi -‬הפכה העבודה הניידת‬
‫למקובלת מאד בחברות מסחריות רבות‪ .‬עם זאת‪,‬‬
‫ברגע שמחשב פועל מחוץ למשרד‪ ,‬יכולתה של‬
‫החברה לאכוף את מדיניות האבטחה התאגידית‬
‫פוחתת באופן משמעותי‪ .‬למשל‪ ,‬אם עובד לוקח‬
‫מחשב נייד לשבוע‪ ,‬מי יוודא שהמחשב יופעל‬
‫בהתאם למדיניות האבטחה של החברה?‬
‫כאשר משתמשים במערכות ‪ NAC‬בצורה יעילה‪,‬‬
‫הן אמורות להוות אמצעי רב‪-‬שכבתי לאכיפת‬
‫מדיניות האבטחה ולהגנה מפני חדירות לרשת‪.‬‬
‫מערכות אלו מוודאות שכל הפינות של הרשת‬
‫הארגונית יהיו מכוסות‪ ,‬גם כאשר מתחברים אליה‬
‫התקנים ניידים‪ .‬עם זאת‪ ,‬למרות שחברות מכירות‬
‫בדרך‪-‬כלל את יתרונות ה‪ ,NAC -‬רק מעטות‬
‫יודעות כיצד ליישמן בצורה יעילה‪.‬‬
‫להשיב את הסדר על כנו‬
‫פתרון ‪ NAC‬אפקטיבי צריך להבטיח שמחשבים‬
‫המנסים להתחבר לרשת יצייתו באופן מלא‬
‫למדיניות האבטחה כתנאי למתן הרשאת גישה‪.‬‬
‫המערכת צריכה להחזיר מחשבים לא‪-‬צייתניים‬
‫למצב עבודה אמין‪ ,‬ולעשות זאת במהירות ובצורה‬
‫אוטומטית‪ .‬חיוני שתהייה למערכת יכולת לתיקון‬
‫אוטומטי של התקנים לא‪-‬צייתניים כדי לצמצם‬
‫למינימום פגיעה בתפוקת המשתמשים ולהקטין‬
‫עלויות הנובעות מטיפול בפניות למרכז התמיכה‬
‫או מהתערבות ידנית של אנשי מערכות המידע‪.‬‬
‫מערכת ‪ NAC‬היא מרכיב חיוני בכל רשת תאגידית‪.‬‬
‫כאשר היא מיושמת בצורה אפקטיבית‪ ,‬היא‬
‫מאפשרת לארגונים עסקיים ליישם את מדיניות‬
‫החברה‪ ,‬לשלוט על האופן בו אנשים‪ ,‬יישומים‬
‫והתקנים פועלים ברשת‪ ,‬לתקן במהירות כל התקן‬
‫לא‪-‬צייתני ולהבטיח את שלמותה המתמשכת‬
‫של הרשת‪ .‬ניתן להשיג זאת אך ורק בעזרת‬
‫אכיפה מתמשכת של מדיניות האבטחה‪ ,‬וכדי‬
‫להצליח בכך האכיפה צריכה להיות אוטומטית‪.‬‬
‫אסור להסתמך על הרגלי עבודה נכונים של‬
‫המשתמשים‪ .‬בנוסף‪ ,‬ארגונים עסקיים צריכים‬
‫לחפש פתרונות שיבטיחו אכיפה של מדיניות‬
‫האבטחה התאגידית מבלי לפגוע בתפוקה‪.‬‬
‫פרויקט מצליח הוא זה אשר נמסר בזמן‪ ,‬במסגרת‬
‫התקציב ועם שביעות רצון גבוהה של הלקוח‪.‬‬
‫יישום פרויקט מצליח מחייב תשומת לב לניהול‬
‫התכולה‪ ,‬האנשים והתהליך הכרוכים בכל‬
‫פרויקט‪ .‬להלן מתודולוגיה ליישום פרויקט ‪NAC‬‬
‫בארגון אשר משתמשת בהליכים הטובים מסוגם‬
‫לניהול פרויקטים בשילוב עם לקחים שנלמדו‬
‫בעולם האמיתי‪.‬‬
‫להלן סקירה כללית של אבני דרך בדרך ליישום‬
‫פתרון ‪ NAC‬בארגון‪:‬‬
‫שלב ‪ 1‬הגדרת תכולת העבודה‬
‫לפני תחילת הפרויקט‪ ,‬יש להשלים את תהליך‬
‫איסוף הנתונים והגדרת תכולת העבודה‪ .‬בשלב זה‬
‫מנהל הפרויקט מטעם הספק\אינטגרטור ומנהל‬
‫הפרויקט מטעם הלקוח (הארגון) ואנשי הקשר‬
‫באתר של הלקוח יזהו ביחד את הטופולוגיה‬
‫של הרשת או השינויים באתר הנדרשים כתנאי‬
‫מוקדם ויסכימו על תכולת העבודה (להלן ה‪SOW-‬‬
‫‪.)- Statement of Work‬בשלב זה יש להגדיר צוות‬
‫עבודה כללי וכן צוות לכל אתר (באם הארגון‬
‫גדול)‪.‬‬
‫כמו כן‪ ,‬בשלב זה‪ ,‬על הספק ועל הלקוח להסכים‬
‫על הצוות משני הצדדים ועל תהליך התקשורת‪.‬‬
‫שלב זה עשוי להתרחש לפני החתימה על החוזה‬
‫והוא נועד להגדיר בבירור את תכולת העבודה‬
‫באמצעות מסמך ‪ SOW‬אשר יהיה חלק מהחוזה‪.‬‬
‫על מנת להפיק את תכולת העבודה‪ ,‬על הספק‬
‫ועל הלקוח להסכים על העבודה אשר יש לבצע‪,‬‬
‫כפי שמפורט במסמך ה‪.SOW-‬‬
‫שלב ‪ 2‬הערכת רשת (איסוף נתונים)‬
‫בשלב זה יש לאסוף את כל המידע הרלוונטי מכל‬
‫אחד מן האתרים הקיימים בארגון‪ .‬על פי ההסכם‪,‬‬
‫שלב זה יכול להתבצע על ידי הלקוח או על ידי‬
‫הספק‪ .‬העבודה עשויה להיות מחולקת בהתאם‬
‫למיקום‪.‬‬
‫שלב זה אמור לכלול נתונים כגון‪:‬‬
‫ •רשימת כל המתגים שיהיו חלק משדרוג זה‪,‬‬
‫כולל מיקום (סוג המתג)‬
‫ •תצורת כל המבואות של המתגים דלעיל‬
‫ •תצורת כל ההתקנים ‪ -‬נתבים‪ ,‬פירוולים‪ ,‬וכו'‪.‬‬
‫ •רשימת כל השרתים להגירה‪ ,‬הכוללת שם‬
‫השרת‪ ,‬כתובת ‪ IP‬והיישומים\ המבואות‬
‫הרלוונטיים ביותר אשר מחוברים כיום‬
‫ •ארכיטקטורה נוכחית ופרטי הפריסה בכל‬
‫אתר‬
‫שלב ‪ 3‬תכנון הרשת‬
‫בשלב זה קיים תכנון בסיסי (רעיון) אשר יש‬
‫להשלימו תוך מענה לצרכים הספציפיים של כל‬
‫אתר על מנת שיכלול כמה שיותר מידע שימושי‬
‫על רשת הארגון‪ ,‬כגון‪:‬‬
‫ •חיבורי ‪( L1‬כולל שרתים‪ ,‬קישורי ‪ ,WAN‬חיבורי‬
‫אינטרנט‪ ,‬יתירות‪ ,‬וכו')‬
‫ •‪ - L2‬כולל ‪-VLAN‬ים‪ ,‬אפיקי ‪ ,802.3ad‬תצורות ‪STP‬‬
‫וכדומה‬
‫ •‪ - L2‬כולל מנגנוני ניתוב ותתי‪-‬רשתות לשימוש\‬
‫תצורות איזון עומסים‬
‫ •התכונות אשר יש ליישם לפי מיקום (למשל‪Span :‬‬
‫‪ , Guard‬מדיניות אכיפה וכדומה)‬
‫ •מטרת שלב זה היא לקבוע את הדרישות הספציפיות‬
‫לכל אתר וכן לסקור את המסמכים הקודמים‪.‬‬
‫הפריטים הבאים עשויים להיות קריטיים במקרה‬
‫שתידרש עזרה מהספק ביישום הפתרון ‪:NAC‬‬
‫ •מסמך דרישות מדיניות אבטחת המידע מאת‬
‫הלקוח‬
‫ •רשימת תתי‪-‬רשתות לשימוש‬
‫ •פרטים אודות תקני הנתב הארגוני של הלקוח‬
‫(‪ ,OSPF, RIP‬ניתובים סטאטיים וכו')‬
‫ •פרטים אודות הארונות שבהם תתי‪-‬הרשתות יהיו‬
‫זמינות‬
‫ •מספר המבואות בכל ארון לשיוך לכל תת‪-‬רשת‬
‫בכל ארון‬
‫שלב ‪ 4‬תכנון הגירה‬
‫בשלב זה יש לתכנן את כל הפעילויות הנובעות‬
‫מהשלב הקודם ויש ליצור תוכנית אב מקיפה‬
‫ליישום וכן לוח זמנים‪ ,‬הכוללים‪:‬‬
‫ •פיתוח תוכנית שדרוג הרשת (באם יש צורך בכך)‬
‫ •גיליון הערכת זמנים עבור כל שלב (אבני דרך)‬
‫על שלב זה לכלול את הפעילויות של כל הצדדים‬
‫(למשל‪ :‬יישום אימות עשוי להיות תלוי ביישום‬
‫פתרון צד שלישי כגון שרת ‪ ,RADIUS‬רשויות אישור‬
‫או יישומי לקוח‪ .‬מאחר ופעילויות אלה קשורות זו‬
‫בזו‪ ,‬עליהן להיות חלק מהתוכנית הכוללת על מנת‬
‫לוודא הגירה חלקה)‪.‬‬
‫כמו כן‪ ,‬על תוכנית ההגירה לכלול את כל הפרטים‬
‫(חלונות תחזוקה‪ ,‬תחומי אחריות וכדומה)‪ .‬מידע‬
‫זה ניתן לייבא תוך שני מסמכים שונים‪:‬‬
‫ •קובץ ‪ .MPP‬קובץ זה אמור לכלול את המשימות‪,‬‬
‫תאריכי היעד ותחומי האחריות‬
‫ •מסמך ‪ WORD‬המתאר את כל השלבים‬
‫לביצוע‬
‫שלב ‪ 5‬ניסוי פיילוט‬
‫(בדיקות חומרה‪ ,‬וטרום‪-‬הגירה)‪:‬‬
‫בשלב זה יש להתקין את המערכת ולבצע פיילוט‪.‬‬
‫הפיילוט מיועד לייצג את הרשת ועליו לכלול‪:‬‬
‫ •שרתים \ יישומים מייצגים אך לא קריטיים‬
‫ומנגנוני יתירות אם קיימים (מאחר שיידרשו‬
‫בדיקות)‬
‫ •משתמשים טיפוסיים (שימוש במנגנוני אימות‪,‬‬
‫מדפסות‪ ,‬טלפונים וכו')‬
‫שלב זה כולל בדיקה שלמה של כל ההתקנים‬
‫אשר יותקנו במהלך הפרויקט‪ .‬מאחר שההתקנים‬
‫אשר יותקנו עשויים לכלול לא רק חומרה שנרכשה‬
‫(במעבדה) אלא גם חומרה שסוכמה בשלב כוונון‬
‫התכנון‪ ,‬הרי שעל חומרה זו להיות מוכנה באתר‬
‫בנקודת זמן זו‪ .‬כמו כן‪ ,‬יש להפעיל חומרה קיימת‬
‫מייד לאחר תחילת פרויקט זה (החל משלב ‪ )2‬על‬
‫מנת לזהות בעיות אפשריות‪ .‬הבדיקות עשויות‬
‫לכלול אימות של כל מבוא ומבוא (כולל ממשקים‬
‫פיזיים ו‪ )Backplane-‬על מנת לוודא כי כל החומרה‬
‫במצב תקין לשם ההתקנה‪.‬‬
‫שלב ‪ 6‬הגירה (יישום התוכנית)‬
‫אפשרות של ניטור הסביבה לאחר ההתקנה בימים‬
‫שלאחר ההגירה על מנת לוודא פונקציונאליות‬
‫ויציבות של המערכת‪ .‬חשוב לסגור על חבילת‬
‫שרות מורחבת (הכוללת שעות תמיכה באתר‬
‫ומרחוק) במיוחד בתקופה הראשונית לאחר‬
‫הטמעת המערכת‪ ,‬ובעת העברת משתמשי קצה‬
‫ו\או שירותים‪ .‬באם תינתן אפשרות לתמיכה‬
‫מרחוק‪ ,‬יש לאפשר גישה מאובטחת באמצעות‬
‫‪.VPN‬‬
‫שלב זה מהווה בעצם פרק זמן קצר לאחר‬
‫ההגירה על מנת לוודא פעולה תקינה \ לענות על‬
‫כל הבעיות האפשריות שנותרו‪.‬‬
‫ניתן להשתמש בשלב זה גם לצורך הפקת לקחים‬
‫וסקירה של תיעוד הפרויקט‪.‬‬
‫ •יומן התקנות ‪ -‬יומן התקנות כולל ציון המשימות‬
‫שהושלמו‪ ,‬תוכניות בדיקה שבוצעו‪ ,‬בעיות‬
‫שהתרחשו והפתרונות שיושמו‬
‫ •תרשימים ‪ -‬שינויי תכנון פיזיים ולוגיים שבוצעו‬
‫במהלך יישום הרשת‪ ,‬באמצעות תרשימי‬
‫‪.VISIO‬‬
‫ •תצורת נתבים \ מתגים ‪ -‬עותק קשיח ועותק‬
‫במדיה אלקטרונית של כל תצורת נתב \ מתג‬
‫שיושמה‪.‬‬
‫לסיכום‬
‫על מנת לסיים את הפרויקט בצורה נכונה ויעילה‪,‬‬
‫חשוב לסכם על כל שירות מראש מבחינת‬
‫התוצרים שלו‪ .‬ניתן להיעזר באחת השיטות‬
‫הללו‪:‬‬
‫זמן וחומרים ‪ -‬במקרה זה ההסכם בין הספק לבין‬
‫הלקוח מוגבל לאוסף כישורים ולפרק זמן‪ .‬במקרה‬
‫זה‪ ,‬האנשים אשר יסופקו על ידי הספק יהיו תחת‬
‫הנחיית הלקוח אשר יהיה אחראי לקביעת סדר‬
‫העדיפויות וניצול הזמן שלהם‪.‬‬
‫בשלב זה יש ליישם את כל ההתקנים החדשים‪.‬‬
‫כמו כן‪ ,‬את חומרת הרשת אשר יש להעבירה‬
‫מקום (אם יש כזו) יש להתקין במקומה החדש‪.‬‬
‫על פי הסיכום ניתן לבצע שלב זה של השירות‬
‫במהלך לילה או בסופי שבוע עם הגדרת החלונות‬
‫להשבתת הרשת ובהתאם לתוכנית שסוכמה‬
‫בשלב התכנון‪.‬‬
‫על בסיס פרויקט ‪ -‬במקרה זה על הספק ועל‬
‫הלקוח להסכים מראש מהן אבני הדרך והתוצאות‬
‫אשר יש להשיג בתום הפרויקט‪ .‬הנחות מסוימות‬
‫יהיו גם הן חלק מהסכם זה‪ .‬סוג שירות זה מפורט‬
‫בחוזה אשר ייחתם בין הספק לבין הלקוח לפני‬
‫תחילת השירות‪ ,‬והוא יכלול את כל תכולת‬
‫העבודה (‪ .)SOW‬מסמך ‪ SOW‬אמור גם‪:‬‬
‫יש לסכם תוכנית חזרה‪-‬לאחור (‪ )Rollback‬לפני‬
‫כל חלון זמן‪ .‬על תוכנית החזרה לאחור לכלול את‬
‫כל אבני הדרך הנחוצות על מנת להבטיח הגירה‬
‫מוצלחת‪ .‬במהלך חלונות הזמן‪ ,‬על הלקוח לספק‬
‫איש קשר מתאים ולקבוע פגישות שוטפות על‬
‫מנת להחליט על "התקדמות\חזרה לאחור" על‬
‫פי השגת כל אבן דרך‪.‬‬
‫ •לפרט את השירות הניתן‪ ,‬ובכלל זה התוצאות‬
‫אשר יש להשיג וכל תחומי האחריות של‬
‫הספק‬
‫שלב זה אמור לכלול את האתרים השונים (אשר‬
‫יהיו חלק מהתוכנית ההגירה)‪ .‬כמו כן‪ ,‬שלב זה‬
‫אמור לכלול בדיקות מההיבט הרשת וכן מההיבט‬
‫קצה‪-‬לקצה‪.‬‬
‫ •לפרט את תחומי האחריות של הלקוח (לצורך‬
‫הצלחת הפרויקט)‬
‫למוסף המיוחד של סקירה מלאה אודות פתרון‬
‫‪ ,NAC‬ניהול דרישות בפרויקט‪ ,‬סקירה טכנולוגית‬
‫מלאה ועוד‪ ,‬ניתן לפנות לאיגוד בכתובת‪:‬‬
‫‪info@issa.org.il‬‬
‫שלב ‪ 7‬תפעול (לאחר הגירה)‬
‫חשוב להכניס לתוך חוזה השרות אל מול הספק‪,‬‬
‫| גיליון ‪ | 2‬יוני ‪2012‬‬
‫‪9‬‬
‫כיצד מנהלים פרויקט ‪?DLP‬‬
‫קורס ‪CISO‬‬
‫בטכניון‬
‫ניהול פרויקט ‪DLP‬‬
‫מניעת דלף מידע הינו תהליך ארגוני ולא רק טכנולוגי‪ .‬לפני הטמעת‬
‫פתרון ‪ DLP‬בארגון‪ ,‬צריכים לשאול את עצמנו את השאלות הנכונות‪:‬‬
‫מהו המידע הרגיש והמסווג בארגון? האם אנחנו יודעים מי עושה בו‬
‫שימוש? היכן המידע הזה ממוקם? האם עובדי הארגון יודעים כיצד לנהוג‬
‫במידע זה?‬
‫הדרך למניעת דליפת מידע ארוכה ‪ -‬והיא הרבה יותר מאשר הטמעת מוצר‪.‬‬
‫לא מדובר רק בהטמעת פתרון תוכנה לתחום‪ ,‬אלא בהגנה רוחבית על‬
‫התשתיות תוך מימוש מתודולוגיה סדורה‪.‬‬
‫לתחום‪ ,‬אלא בהגנה רוחבית על התשתיות תוך מימוש מתודולוגיה סדורה‪.‬‬
‫דליפת מידע ארגוני היא אחת הסכנות הגדולות ביותר עבור חברות‪ .‬העברת‬
‫נתונים פנימיים מתוך החברה לגורמים חיוניים‪ ,‬לתקשורת או לארגוני פשע‬
‫יכולה לגרום לנזקים עצמים עבור החברה‪ .‬חברות רבות מנסות לטפל בבעיה‬
‫על ידי התקנת מערכות נגד דליפת מידע ארגוני (‪.)DLP‬‬
‫האיום לדלף מידע‪ ,‬היה קיים וימשיך להיות אחד הגורמים המרכזיים שמהווים‬
‫אתגר בהתמודדות מנהל אבטחת המידע עם האיומים השונים‪ .‬לצערנו‪ ,‬כיום‪,‬‬
‫בעידן מערכות המידע‪ ,‬כאשר גבולות הגזרה של הארגון כבר נפרצו מזמן‪,‬‬
‫האיומים לדלף מידע הינם גדולים מהרגיל‪.‬‬
‫בכל ארגון כמעט קיים מידע רגיש‪ ,‬מסוגים שונים‪ ,‬כגון‪ :‬קניין רוחני‪ ,‬מידע רפואי‪,‬‬
‫מידע פיננסי\עסקי‪ ,‬פרטים אישיים חסויים‪ ,‬מידע סודי מסחרי אודות לקוחות‪,‬‬
‫מידע מסווג בטחוני וכו'‪.‬‬
‫ולכן‪ ,‬ישנה חשיבות רבה‪ ,‬לנהל פרויקט זה תחת זכוכית מגדלת‪ ,‬ובצורה‬
‫מסודרת‪ ,‬על מנת להפיק את מרב התועלת מהפתרון שנבחר ע"י הארגון‪.‬‬
‫מניעת דליפת מידע היא תהליך ארוך ומורכב‪ ,‬שכולל יצירת ומימוש מדיניות אבטחת‬
‫מידע‪ ,‬טיפול בעובדים ובמידע הארגוני‪ .‬לא מדובר רק בהטמעת פתרון תוכנה‬
‫בכתבה זו ניתן להתעדכן אודות השלבים המומלצים כאבני דרך‪ ,‬בעת הטמעת‬
‫פתרון ‪ DLP‬בארגון‪.‬‬
‫אז מהן שלבי הפרויקט להטמעת פתרון ‪ DLP‬לארגון?‬
‫שלב ‪ - 1‬ניתוח סביבה עסקית‬
‫חשוב עוד טרם בחירת הפתרון‪ ,‬לנתח את הסביבה‬
‫העסקית ולבחון את הדרישות העסקיות בארגון‪.‬‬
‫חלק מתהליך זה‪ ,‬הינו ניתוח האיומים הרלוונטיים‬
‫לארגון וסיווג תרחישים שונים כגון‪:‬‬
‫ •איומים חיצוניים‬
‫ •איומים פנימיים‬
‫ •טעויות אנוש ותקלות טכניות‬
‫ •צדדים שלישיים‬
‫שלב ‪ - 2‬סיווג מידע‬
‫בשלב השני‪ ,‬לאחר שבחנו וניתחנו את הסביבה‬
‫העסקית‪ ,‬והבנו את כל הדרישות העסקיות בארגון‪,‬‬
‫חשוב לבצע סיווג מידע‪ .‬תהליך סיווג המידע‬
‫בארגון הינו חלק אינטגראלי ובלתי נפרד מפרויקט‬
‫‪ ,DLP‬וחלק מהותי בהצלחתו של הטמעת מוצר‬
‫ויעילותו בארגון‪.‬‬
‫שלב ‪ - 4‬ניתוח מחזור החיים‬
‫של מידע‬
‫בשלב רביעי‪ ,‬חשוב לנתח את מחזור החיים של‬
‫המידע וניהול הידע בארגון‪ ,‬כדי ללמוד יותר על‬
‫תהליכי העבודה בארגון‪ ,‬מבחינת יצירת המידע[‬
‫השימוש בו וכמובן השמדת המידע‪ ,‬בסיום‬
‫השימוש‪.‬‬
‫להלן הפרמטרים שצריכים לקחת בחשבון‪,‬‬
‫מבחינת מחזור החיים של המידע‪:‬‬
‫ •יצירת מידע‬
‫ •הפצה‬
‫ •שימוש‬
‫ •תחזוקה \ עדכון \ עיבוד‬
‫ •העברה לארכיון \ גיבוי‬
‫ •השמדה‬
‫ניתן לבצע את הסיווג מידע בצורה ידנית‪ ,‬או‬
‫אוטומטית‪ ,‬ע"י שימוש בתוכנות צד ג'‪.‬‬
‫שלב ‪ - 5‬הערכת ערוצי דלף‬
‫פוטנציאליים‬
‫שלב ‪ - 3‬מיפוי מאגרי מידע‬
‫ואמצעי אחסון‬
‫כחלק מהערכת הסיכונים‪ ,‬והבנת מיתר האיומים‬
‫שחלים על הארגון מבחינת דלף מידע‪ ,‬חשוב‬
‫למפות את הערוצים הפוטנציאלים לדלף מידע‬
‫מהארגון‪ ,‬כגון‪:‬‬
‫שלב שלישי יהיה נכון להתחיל למפות את כל‬
‫המקומות בהן מאוחסן מידע‪ ,‬כגון‪:‬‬
‫ •זיכרונות ניידים \ מדיה‬
‫ •בסיסי נתונים‬
‫ •שרתי קצבים‬
‫ •שרתי אחסון \ גיבוי \ קלטות‬
‫ •אמצעים ניידים ‪ -‬סלולרים‪ ,‬טאבלטים‬
‫ •תחנות קצה‬
‫‪10‬‬
‫גיליון ‪ | 2‬יוני ‪| 2012‬‬
‫ •קישורי רשת חיצוניים‬
‫ •מדיה וזיכרונות ניידים‬
‫ •מבקרי רשת מזדמנים‬
‫ •פקסים ומדפסות‬
‫ •גורמים אנושיים‬
‫תלמד • תוביל • תצליח!‬
‫שלב ‪ - 6‬אפיון ויישום פתרונות‬
‫רק לאחר שהבנו את כל תהליכי העבודה‪ ,‬וזיהינו‬
‫את מיתר האיומים שחלים על הארגון שלנו‬
‫מבחינת האפשרות לדלף מידע‪ ,‬אנו יכולים‬
‫להתחיל לאפיין את הדרישות לפתרון הרצוי‬
‫העונה על הדרישות שלנו‪ ,‬הן מבחינת אבטחת‬
‫מידע‪ ,‬והן מבחינת דרישות עסקיות‪.‬‬
‫לאחר אפיון הפתרון‪ ,‬ניתן לבחון מוצרים ולבחור‬
‫את הפתרון שהכי תואם לצרכים של הארגון‪.‬‬
‫וגם כאן‪ ,‬ניתן לחלק את שלבי העבודה‪ ,‬לאבני‬
‫דרך‪ ,‬לצורך מימוש הפרויקט‪.‬‬
‫ •יצירה \ עדכון של מדיניות אבטחה‬
‫ •הדרכת משתמשים‬
‫‬
‫•הטמעת פתרון ‪DLP‬‬
‫ •טכנולוגיה משלימה‬
‫ •עדכון תהליכים משלימים ‪ -‬ניהול אירועים‪,‬‬
‫ביקורת‪ ,‬ניטור‬
‫לקבלת הסיקור המלא‬
‫של פתרונות ‪,DLP‬‬
‫ניתן לפנות אלינו לכתובת‪:‬‬
‫‪info@issa.org.il‬‬
‫הסיקור יועבר לחברי האיגוד בלבד‪.‬‬
‫הטכנולוגיה רצה קדימה‪ ,‬ההנהלות דורשות החזר‬
‫השקעה‪ ,‬הספקים מציעים לנו פתרונות ללא סוף‪,‬‬
‫והלקוחות מצפים לשירות עם אפס תקלות ושמירה‬
‫על המידע שלהם‪ .‬זוהי הסביבה שאיתה נאלץ‬
‫כל מנהל אבטחת מידע להתמודד יום‪ ,‬יום כחלק‬
‫מהעשייה והחיפוש אחר ההצלחה בתפקיד‪ .‬הקורס‬
‫שם דגש על החידושים והאתגרים השונים בתחום‬
‫אבטחת מידע וניהול‪.‬‬
‫במסגרת הקורס נציג‬
‫את הנושאים החדשים‬
‫וההתפתחויות בתחום תוך מתן‬
‫כלים מעשיים למנהל אבטחת‬
‫המידע לניהול תקין של מערך‬
‫האבטחה בארגון‪.‬‬
‫נציג בצורה אובייקטיבית את הנושאים השונים‬
‫תוך מתן המלצה לגבי דרכי היישום וקביעת סדרי‬
‫העדיפות של הנושא (בהתאם לחומרת העניין ותהליך‬
‫ניהול סיכונים מובנה)‪ ,‬וכמובן נצייד את התלמידים‬
‫בכל הכלים‪ ,‬הן בפן הטכנולוגי והן בפן העסקי‪-‬ניהולי‪,‬‬
‫שכל מנהל אבטחת מידע צריך כדי לשרוד בתפקידו‪.‬‬
‫הקורס חושף את התלמיד למגוון רחב של נושאים‪ ,‬הן‬
‫בפן הטכנולוגי‪ ,‬והן בפן העסקי‪-‬ניהולי‪ .‬הקורס חובה‬
‫לכל מנהל אבטחת מידע הרוצה להתעדכן בצורה‬
‫שיטתית וחסרת אינטרס במגמות ובכיוונים של עולם‬
‫אבטחת המידע וניהול סיכונים‪.‬‬
‫מנחה ומרצה ראשי‬
‫דני אברמוביץ‪,‬‬
‫שיטת הלימוד‬
‫ •הקורס יציג תפיסות טכנולוגיות‪ ,‬עסקיות‬
‫וניהוליות ודרך יישומם בארגון‬
‫ •הקורס יכלול הרצאות פרונטאליות‬
‫משולבות בהצגת וניתוח מקרים (‪Case‬‬
‫‪)Studies‬‬
‫ •הקורס כולל הגשת והצגת פרויקט גמר‬
‫קהל יעד‬
‫מנהלי אבטחת מידע‪ ,‬מנהלי תחום ניהול‬
‫סיכונים‪ ,‬מנהלי ‪ ,IT‬יועצים‬
‫היקף הקורס‬
‫‪ 200‬שעות פרונטאליות‬
‫כ‪ 500-‬שעות תרגול עצמי‬
‫‪ 50‬מפגשים של ‪ 4‬שעות כל מפגש‬
‫לייעוץ‪ ,‬מידע מנהלי והרשמה‬
‫ניתן לפנות למרכז התכנית‪ ,‬מר דני אברמוביץ‪ ,‬בטל'‪,050-8266014 :‬‬
‫דוא"ל‪danny@titans2.com :‬‬
‫מנכ"ל טיטנס סקיוריטי‬
‫| גיליון ‪ | 2‬יוני ‪2012‬‬
‫‪11‬‬
‫היבטי אבטחת מידע‬
‫חשוב להתאים את התהליך בצורה כזו‬
‫אשר תתאים לצרכים העסקיים של הארגון‪,‬‬
‫יכולות‪ ,‬מבנה ואפילו לפוליטיקה הארגונית ‪-‬‬
‫אחרת היא נדונה לכישלון מראש‪.‬‬
‫בתהליכי פיתוח‬
‫שילוב אבטחת המידע כחלק אינטגראלי‬
‫ממחזור החיים של פרויקט תוכנה‪ ,‬כבר‬
‫החל משלב הייזום של הפרויקט‪ ,‬יאפשר‬
‫לארגון לתפקד באופן יעיל ומהיר ואינו פוגע‬
‫ב‪.TTM-‬‬
‫בשנים האחרונות נושא אבטחת המידע בשכבת היישום (מה שמוכר לרוב במונח המקצועי כ‪ )Application Security-‬הלך וצבר תאוצה‬
‫הן בקרב אנשי אבטחת המידע והן בקהילת המפתחים‪ .‬העובדות בשטח מצביעות על כך שמירב אירועי האבטחה המדווחים מגיעים‬
‫מכשלים הנובעים מיישום בלתי מאובטח הן של מוצרים סטנדרטיים והן של מערכות תוכנה שפותחו ב'מיוחד עבור ארגונים‪.‬‬
‫עד כמה הבעיה מורכבת?‬
‫אבטחת מידע ברמת היישום נחשבת "לבעיה‬
‫קשה" בעיקר בגלל השוני העיקרי בינה לבין סוגיית‬
‫אבטחת המידע "המסורתית" (שעוסקת לרוב רק‬
‫בעולם התשתיות)‪ .‬שוני זה נובע בעיקר ממקור‬
‫הבעיה ומדרכי הטיפול בה‪ .‬בעולם המסורתי‪,‬‬
‫ארגונים רכשו לפני זמן רב את היכולת ואת‬
‫המיומנות לתכנן הטמעה של פתרונות תקשורת‪,‬‬
‫"להקשיח" שרתים ותחנות עבודה‪ ,‬להתקין טלאי‬
‫ועדכוני אבטחה למוצרים\תוכנות שבקשותם‬
‫וכדומה‪ .‬עם זאת‪ ,‬כאשר מדובר באבטחת מידע‬
‫ברמת היישום כל התמונה משתנה ‪ -‬בעיית‬
‫אבטחה במוצר תוכנה הנה למעשה "באג" (‪)bug‬‬
‫ברמת הקוד מקור של המערכת של על מנת‬
‫לאתר‪ ,‬לתקן או למנוע אותו מלכתחילה נדרשים‬
‫כלים ורמת מיומנות שונה לגמרי מזו הקיימת‬
‫בעולם אבטחת המידע המסורתי‪.‬‬
‫מה שלא ממש תורם לבעיה אלא אף מחריף‬
‫אותה הנה העלייה המשמעותית שאנו רואים‬
‫בשנים האחרונות במורכבות המערכות\המוצרים‬
‫המפותחים דבר אשר מגדיל את ההסתברות‬
‫להתרחשות של "באג" אבטחתי (בין השאר‬
‫מהסיבה של פיתוח קוד מורכב\גדול יותר אשר‬
‫נופל קורבן ליחס הישר בין מספר שורות הקוד‬
‫לכמות "הבאגים" הקיימות בו)‪.‬‬
‫אז מה בעצם מקובל כיום בתעשייה?‬
‫מסקרים שונים שבוצעו בנושא‪ ,‬עולה כי ישנן ‪3‬‬
‫גישות מרכזיות הנפוצות לטיפול בבעיה‪:‬‬
‫שיטת "בת היענה" ‪ -‬מדובר בגישה נאיבית‪,‬‬
‫שלצערנו‪ ,‬אומצה ע"י ארגונים רבים ברחבי העולם‪.‬‬
‫בגישה זו אופן הטיפול בנושא אינו מסודר\רשמי‪.‬‬
‫‪12‬‬
‫גיליון ‪ | 2‬יוני ‪| 2012‬‬
‫גישה זו בד"כ מתאפיינת בארגונים אשר נוקטים‬
‫בגישת "בת היענה" הגורסת שהבעיה לא ממש‬
‫קיימת כל עוד לא התרחש אירוע אבטחה ולכן‬
‫ההשקעה בנושא הינה מיותרת‪.‬‬
‫שיטת ה‪ - P&P-‬בגישה זו אופן הטיפול בנושא הינו‬
‫נקודתי בלבד ומבוסס על שיטת ה‪Penetrate &-‬‬
‫‪ Patch‬אשר מבוססת על ביצוע מבדקי חדירות‬
‫ממוקדים כחלק מתהליך העלייה לאוויר של‬
‫מערכות\מוצרים וכחלק מבדיקות בקרת איכות‬
‫(‪ )QA‬שהמוצר עובר והטיפול הנקודתי בכל אחת‬
‫מהבעיות שהתגלו‪.‬‬
‫שיטת הטיפול לרוחב ‪ -‬גישה זו לוקחת את הטיפול‬
‫בבעיה למרחב שונה לגמרי בו הבעיה מתחילה‬
‫להיות מטופלת משלבים מוקדמים ולאורך כל‬
‫מחזור חיי פיתוח המוצר\מערכת‪ .‬באופן זה‬
‫חלק גדול מהבעיות נעצרות עוד לפני שהם‬
‫הופכים "לבאגים" או מתגלות בשלבים מוקדמים‬
‫של הפיתוח כשהעלות לתקנן זולה יותר באופן‬
‫משמעותי‪.‬‬
‫מכיוון ששיטת "בת היענה" אינה חדשה לתחום‬
‫אבטחת היישומים וידועה בבעיות הרבות שהיא‬
‫עלולה לגרום לנוקטים בה (נזק תדמיתי‪ ,‬חוסר‬
‫תאימות לרגולציות וחוקים ועוד)‪ ,‬אנו נבחן ונתבונן‬
‫במספר ההבדלים המהותיים שבין שתי השיטות‬
‫האחרות‪.‬‬
‫להלן שני הבדלים מהותיים בין ‪ 2‬השיטות‪:‬‬
‫ההבדל הראשון והבולט הינו "פריסת" הפתרון‬
‫על פני מרחב זמן ולאורך כל מחזור חיי פיתוח‬
‫התוכנה (שלבי הייזום‪ ,‬אפיון‪ ,‬עיצוב‪ ,‬קידוד‪ ,‬בדיקות‪,‬‬
‫תחזוקה) במקום מתן התייחסות נקודתית בשלב‬
‫בדיקות המערכות‪ .‬הבדל זה אולי נראה במבט‬
‫הראשון ככזה אשר מייקר את עלות ההשקעה‬
‫בנושא אבטחת מידע (מה שבד"כ מהווה את גורם‬
‫ההרתעה הראשוני מהשימוש במתודולוגיה זו) אולם‬
‫מכיוון שהמתודולוגיה מונעת לחלוטין חלק מהבעיות‬
‫מלהגיע לשלב הבא במחזור החיים של המערכת‪,‬‬
‫בטווח הבינוני היא נחשבת ליעילה יותר‪.‬‬
‫עניין נוסף וחשוב לא פחות הינו הפגיעה ב‪TTM-‬‬
‫‪ .)(Time -to-Market‬אנו נתקלים בלא מעט מקרים‬
‫בהם נעשה שימוש בשיטה השנייה אשר ממקדת‬
‫את מאמצי אבטחת המידע רק בשלב מתקדם‬
‫במחזור החיים של המערכת\מוצר ואשר לא‬
‫מעט פעמים מגלה רמת אבטחה אשר אינה עולה‬
‫בקנה מידה אחד עם הדרישות הרגולטוריות‪ ,‬רמת‬
‫האבטחה המקובלת בתעשייה ממערכות\מוצרים‬
‫דומים או עם ציפיות הלקוח‪.‬‬
‫במקרה כזה ההשלכות העסקיות על ה‪TTM-‬‬
‫הינן בד"כ הרסניות‪ .‬ארגונים נאלצים לעקב זמני‬
‫שחרור של שירותים\מוצרים חדשים‪ ,‬להפר חוזים‬
‫או במקרים גרועים לא פחות לקבל החלטה‬
‫לשחרר את המוצר ברמת אבטחה נמוכה מבלי‬
‫לפגוע ב‪ ,TTM-‬ומנסים לטפל בבעיות במקביל‬
‫(לאחר שחרור המערכת לסביבת הייצור) וכמובן‪,‬‬
‫לקוות לטוב‪.‬‬
‫ההבדל השני המהותי הינו מרחב הפתרונות‪.‬‬
‫בעוד שהפתרון השני מתמקד בעיקר במתן מענה‬
‫טכנולוגי לבעיה‪ ,‬הפתרון האחרון מטפל בנושא‬
‫בשלושה מישורים שונים‪ :‬טכנולוגיה‪ ,‬תהליך‬
‫(שיפור תהליך ייצור התוכנה) והשלישי‪ ,‬חשוב‬
‫לא פחות ‪ -‬המישור האנושי‪ .‬במישור זה נעשה‬
‫טיפול רוחבי על מנת לדאוג הן להגדלת מודעות‬
‫האנשים העוסקים בייצור התוכנה (ארכיטקטים‪,‬‬
‫מפתחים‪ ,‬מתכנתים‪ ,‬וכו') לבעיה והן הכשרתם‬
‫לרמה הטכנית הנדרשת מתוקף תפקידם‪.‬‬
‫פתרון רוחבי במחזור חיי פיתוח תוכנה\‬
‫מוצר‪:‬‬
‫ברמה העקרונית קיימות לא מעט מתודולוגיות‬
‫איומים מפורט כולל בחינת אפקטיביות‬
‫אמצעי ההגנה הקיימים במערכת\מוצר‬
‫(למשל בשיטת ‪ )Threat Modeling‬ולדאוג‬
‫שתהליך העיצוב כולו יבוצע בהתאם למתאר‬
‫האיומים‪.‬‬
‫‬
‫•שלב הקידוד ‪ -‬בשלב זה מבצעים את‬
‫הפיתוח בהתאם למסמכים\הנחיות לפיתוח‬
‫מאובטח אשר תואמות את הטכנולוגיה‬
‫הנמצאת בשימוש ולדאוג שבדיקות ה‪Unit-‬‬
‫‪ Test‬יכללו גם בדיקות אבטחת מידע‬
‫ראשוניות ברמת קוד המקור (הן באופן‬
‫ממוכן והם בצורה ידנית)‪.‬‬
‫‬
‫•שלב הבדיקות ‪ -‬בשלב זה‪ ,‬אנו מבצעים‬
‫בדיקות אבטחת מידע רוחביות על המערכת\‬
‫מוצר בהתאם למתאר האיומים שהוגדר‪,‬‬
‫אשר יבדקו למעשה את האיכות והחוזק‬
‫(‪ )Robustness‬הן של הקוד והן של ההטמעה‬
‫שלו‪ .‬הבדיקות יכולות להיות מבוצעות ע"י‬
‫שילוב של סקרי קוד (‪ )Code Review‬ומבדקי‬
‫חוסן (‪.)Penetration Testing‬‬
‫‬
‫•שלב התחזוקה השוטפת ‪ -‬בשלב זה‬
‫אנו פועלים למעשה לביצוע מיני‪-‬מחזור‪-‬‬
‫חיים עבור כל אחד מהשינויים לפני אישורו‬
‫והכנסתו כחלק בלתי נפרד מהמערכת\‬
‫מוצר‪.‬‬
‫לפיתוח מערכות\מוצרים כגון‪Waterfall-based, :‬‬
‫‪ .Iterative, Agile‬עם זאת‪ ,‬מרביתם מתאפיינים‬
‫בשלבים משותפים כגון אלו המפורטים מטה‪.‬‬
‫שילוב נכון של נושא אבטחת המידע כחלק‬
‫אינטגראלי מתוך מחזור החיים של מערכת\מוצר‪,‬‬
‫אמור לכלול לפחות את ביצוע הפעילויות הבאות‬
‫בכל אחד מהשלבים‪:‬‬
‫‬
‫•שלב הייזום ‪ -‬בשלב זה בעצם מסווגים את‬
‫המערכת (בהתאם לרמת רגישות המידע‬
‫בה היא מטפלת) וכמו כן‪ ,‬כאן גם מגדירים‬
‫בעצם את תוכנית אבטחת המידע ברמה‬
‫הפרויקטאלית (לוחות זמנים‪ ,‬משאבים‬
‫דרושים‪ ,‬מגבלות וכו')‪.‬‬
‫‬
‫•שלב אפיון הדרישות ‪ -‬בשלב זה‪ ,‬מגדירים‬
‫את דרישות אבטחת המידע ברמת על‬
‫עבור המערכת\מוצר בהתבסס על מתאר‬
‫איומים ראשוני אשר מבוצע ע"י הגורמים‬
‫הרלוונטיים‪.‬‬
‫‬
‫•שלב העיצוב ‪ -‬בשלב זה אנו מבצעים מתאר‬
‫( ‪SDL-Secure Development‬‬
‫קוד מאובטח‬
‫‪ .)Lifecycle‬מדידה ככלי ניהולי לשיפור תהליכי‬
‫הפיתוח‬
‫לא מעט ארגונים אשר הטמיעו מתודולוגיה‬
‫לכתיבת קוד מאובטח לקחו אף צעד אחד‬
‫קדימה‪ ,‬הן מההיבט "המדידתי (כלומר מדידת‬
‫כמות ה"באגים" האבטחתיים בכל שלב בפרויקט‪,‬‬
‫מדידת ההשתפרות לאורך הגרסאות‪ ,‬וכו')‪,‬‬
‫מההיבט התיעודי\הכשרתי (מסמכי פיתוח \ תכנון‬
‫מאובטח‪ ,‬סדנאות וכו') ואף מההיבט התהליכי‬
‫אשר דואג לשיור תמידי של התהליך כתוצאה‬
‫ממשובים שוטפים שנאספים במהלך התהליך‬
‫כולו‪.‬‬
‫פיתוח נכון = פיתוח מאובטח‬
‫שילוב אבטחת המידע כחלק אינטגראלי ממחזור‬
‫החיים של פרויקט תוכנה‪ ,‬כבר החל משלב הייזום‬
‫של הפרויקט‪ ,‬יאפשר לארגון לתפקד באופן יעיל‬
‫ומהיר ואינו פוגע ב‪.TTM-‬‬
‫החיסרון הוא‪ ,‬שזה אינו תהליך פשוט לביצוע‪ ,‬והוא‬
‫דורש ניסיון נרחב בנושא כמו גם היכרות מעמיקה‬
‫עם הארגון‪ .‬חשוב להתאים את התהליך בצורה‬
‫כזו אשר תתאים לצרכים העסקיים של הארגון‪,‬‬
‫יכולות‪ ,‬מבנה ואפילו לפוליטיקה הארגונית ‪-‬‬
‫אחרת היא נדונה לכישלון מראש‪.‬‬
‫למיקרוסופט יש כלים מתודולוגיים אשר יכולים‬
‫לסייע לארגון מבחינת שילוב מתודולוגיה לכתיבת‬
‫| גיליון ‪ | 2‬יוני ‪2012‬‬
‫‪13‬‬
‫סוגרים את הברז‬
‫כיצד למנוע דליפת מידע‬
‫דמיינו לעצמכם את מספר החשבון בנק שלכם‪ ,‬סודות מסחריים‪ ,‬או‬
‫אפילו אוסף של מידע רגיש‪ ,‬כגון בדיקות רפואיות של קופת החולים בה‬
‫אתם חברים דולף ומוצג לעיני כל שלא לדבר על משמעותיות מסמכים‬
‫ביטחוניים או שיווקיים אסטרטגיים אשר יועילו למתחרים שלכם‪ .‬כדי‬
‫להתמודד עם הסכנה לדליפת מידע פותחו שיטות רבות להגנה על מסמכים‬
‫מסווגים ורגישים‪ .‬אולם‪ ,‬בסופו של יום‪ ,‬ההאקרים הצליחו לפתח שיטות‬
‫עקיפה לשתי הטכנולוגיות ההגנה הללו ואין סגירה הרמטית של מערכות‪.‬‬
‫המקרה של וויקיליקס‪ ,‬שכולנו כבר למדנו להכיר‬
‫מהחדשות‪ ,‬מזכיר את מקרה ענת קם בישראל‪.‬‬
‫בשני המקרים ההתחלה דומה‪ :‬גניבת כמות‬
‫אדירה של מסמכים דיגיטליים והעברתם לגורם‬
‫אחר ללא רשות‪ .‬למזלה של ישראל‪ ,‬ענת קם‬
‫בחרה להעביר את החומר לעיתונאי ולא להעלות‬
‫אותו לאתר אינטרנט ציבורי‪ .‬דליפת חומרים‬
‫מסווגים‪ ,‬כפי שקרתה בפרשות וויקיליקס וענת‬
‫קם‪ ,‬יכולה להתרחש בכל ארגון (אם זה עדיין לא‬
‫קרה)‪ ,‬ולגרום לנזקים מגוונים לארגונים בהיקפים‬
‫של מיליוני דולרים‪ .‬גופים עסקיים צריכים ללמוד‬
‫מפרשות אלו כיצד להגן על המידע הרגיש שלהם‪.‬‬
‫מדובר על איומים המוכרים למנהלי אבטחת‬
‫המידע בעולם זה יותר מעשור‪.‬‬
‫אז כיצד סוגרים את הברז?‬
‫בפן האדמיניסטרטיבי‪ ,‬יש צורך בפעילות מתמדת‬
‫של הדרכות להגברת המודעות בנושא בקרב כלל‬
‫העובדים‪ ,‬בפיתוח מדיניות ונהלים‪ ,‬וגם במדיניות‬
‫לבקרת גישה‪ .‬אבל‪ ,‬למרות כל זה‪ ,‬לצורך אכיפה‪,‬‬
‫נדרש שימוש באמצעי טכנולוגי‪ ,‬אשר יוכל לפעול‬
‫עפ"י מדיניות אבטחת המידע של הארגון‪ ,‬לאתר‬
‫ולמנוע אפשרות של דליפת מידע מחוץ לארגון‪.‬‬
‫רכיבי בדיקת תוכן הפך לצורך ממשי בארגונים‬
‫רבים ומגוונים כאשר זהו איום גדול אשר עלול‬
‫לסכן את אמינות הארגון בשמירה על חיסיון‬
‫הנתונים ופגיעה בתדמית הארגון‪ .‬כיום מנהלים‬
‫רבים מבצעים שימוש במחשבים נישאים מעדיפים‬
‫לשמור על המידע העסקי הרגיש קרוב לליבם‬
‫כדי למנוע ככל הניתן דליפה של המידע החשוב‬
‫כלפי חוץ‪ .‬דמיינו לעצמכם את מספר החשבון‬
‫‪14‬‬
‫גיליון ‪ | 2‬יוני ‪| 2012‬‬
‫בנק שלכם‪ ,‬סודות מסחריים של הארגון‪ ,‬או‬
‫אפילו אוסף של מידע רגיש‪ ,‬כגון בדיקות רפואיות‬
‫של קופת החולים בה אתם חברים דולף ומוצג‬
‫לעיני כל שלא לדבר על משמעותיות מסמכים‬
‫ביטחוניים או שיווקיים אסטרטגיים אשר יועילו‬
‫למתחרים שלכם‪.‬‬
‫אופן דליפת המידע העסקי או הביטחוני רגיש‬
‫ביותר לארגון יכול להתבצע במגוון רחב של‬
‫דרכים שונות ומגוונות (תלוי במוח הקרימינלי של‬
‫התוקף)‪ ,‬במיוחד בעידן הדיגיטלי‪ ,‬שהמידע צריך‬
‫להיות נגיש‪ ,‬והינו נגיש‪ ,‬בכל מקום‪ ,‬ומכל מקום‪,‬‬
‫וכמעט לכל אחד‪.‬‬
‫מהי המערכת‬
‫למניעת דליפת מידע?‬
‫מערכת למניעת דליפת מידע הינה מערכת‬
‫המבצעת בדיקת תכני מידע בסוגי קבצים‪ ,‬ספריות‬
‫ועוד‪ .‬הרעיון המרכזי מאחורי שימשו במערכת‬
‫מסוג זה הוא האפשרות למנוע זליגת מידע מסווג‬
‫או מידע המוגדר כמסווג אל עבר משתמשים לא‬
‫מורשים ורשת חיצונית לא מאובטחת‪ ,‬כאשר בכל‬
‫מערכת כזו קובע מנהל המערכת את סוגי השדות‬
‫הנבדקים ואת סוגי הקבצים הנבדקים וזאת על‬
‫מנת לבצע בדיקת תוכן עמוקה ככל שניתן וכן‬
‫זיהוי מידע ומניעת הפצתו כלפי חוץ‪.‬‬
‫היכולת לבצע בדיקת תוכן למסמכים בעייתיים‬
‫או היכולת לזהות את כל מי שמנסה להוציא‬
‫מידע מסוים או כזה המוגדר כחריג כגון דוחות או‬
‫מסמכים המכילים מידע המסומן בתור מידע רגיש‪,‬‬
‫הינה יכולת המהווה ערך מוסף גבוה לאבטחת‬
‫המידע ברשת‪ .‬כמו כן‪ ,‬האפשרות‬
‫על הפתרון המוצע שיכלול אפשרות לגילוי מיקום‬
‫הנתונים ברשת‪ ,‬לנטר מי משתמש בנתונים וכיצד‬
‫‪ ,‬ולסייע כמובן להגן על המידע‪ ,‬לאבטח תהליכים‬
‫עסקיים‪ ,‬לנהל סיכונים ולאפשר לארגון לעמוד‬
‫בהגדרות המחוקק ורגולציות שונות‪ .‬לביצוע‬
‫התראות בזמן אמת ומניעת שליחת המסמכים‬
‫גם כן בזמן אמת יכולה לאתר ולהגן על חומר‬
‫מסווג – מדליפתו לידיים זרות בין אם בשוגג ובין‬
‫אם במזיד‪.‬‬
‫חשוב לבחור פתרון שמתאים לדרישות העסקיות‬
‫של הארגון בראש ובראשונה‪ ,‬ושיפעל בצורה‬
‫שהפתרון יהיה מודע לתוכן (‪ ,)Content Aware‬וגם‬
‫למידע ולהקשרו מבחינת היעד אליו הוא נשלח‬
‫(‪ .)Context Aware‬כך בעצם המערכת תאפשר‬
‫לארגון לדעת מי מוציא מידע‪ ,‬כיצד ולאן‪.‬‬
‫מאפיין נוסף שחשוב לחפש במערכת‪ ,‬היא היכולת‬
‫לאתר את המידע הנמצא ברחבי הארגון‪ ,‬במיוחד‬
‫בנקודות מחשוב – לרבות שרתים ותחנות קצה‪,‬‬
‫ולאפשר למנהלי המערכת ליצור ולאכוף מדיניות‬
‫בנוגע לתוכן‪.‬‬
‫רוב המערכות משתמשות במילות מפתח‬
‫ובדפוסים התנהגותיים לצורך גילוי‪ ,‬ניטור והגנה‬
‫על המידע הרגיש‪ ,‬לרבות מידע המאפשר זיהוי‬
‫אישי‪ ,‬נתוני תקינה וקניין רוחני (‪ ,)IP‬ללא תלות‬
‫בסוג הקובץ או בתבניות‪.‬‬
‫חשוב שלמערכת תהיה יכולת ליצור מדיניות‬
‫עבור משתמשים‪ ,‬נתונים‪ ,‬יעדים וערוצים‪ ,‬ולהבטיח‬
‫שליטה מאלה על מי ומה מגיע‪ ,‬לאן ואיך‪.‬‬
‫אז מהן השיטות ההגנה המקובלות להגנה על מסמכים רגישים?‬
‫לצד טכנולוגיות ההגנה של מוצרי למניעת דליפת מידע (‪ ,)DLP‬ומוצרי הגנה ברמת תחנות הקצה (‪ ,)EPS‬יש עוד הרבה מה לעשות‪ .‬ההאקרים לסוגיהם הצליחו‬
‫לפתח שיטות עקיפה שונות לשתי הטכנולוגיות העיקריות הללו‪ ,‬ולכן‪ ,‬הן כבר לא מספיקות‪ .‬ולכן‪ ,‬מערכות ההגנה למסמכים בפורמט ‪PDF, PPT, WORD,‬‬
‫‪ EXCELL‬שמצויות בסביבות ביטחוניות או מסחריות רגישות חייבות במנגנוני הגנה נוספים‪ .‬לדוגמה‪ ,‬בהיבט של זיהוי ואימות‪ ,‬נדרשת שורת נהלים והנחיות; כל‬
‫גישה פיזית או לוגית לסביבת עבודה המכילה מידע ונתונים רגישים ומסווגים מחייבת ברישום לוגים; יש ליצור דוחות מעקב וניטור מפורטים; יש לאפשר מתן‬
‫הרשאות גישה רק לאחר שבוצע זיהוי וודאי של המשתמש‪ ,‬וגם תהליך מתן ההרשאות למידע רגיש‪ ,‬צריך להיות מבוקר ע"י כמה בקרות‪.‬‬
‫בנוסף‪ ,‬חלה חובה על זיהוי משתמש באופן חד ערכי באחת משלוש השיטות הבאות‪ :‬כרטיס חכם משולב עם הקשת קוד אישי מזהה (‪ ;)PIN‬מפתח זיהוי המכיל‬
‫בתוכו תעודה מזהה‪ ,‬משולב עם הקשת קוד אישי מזהה (‪ ;)PIN‬זיהוי ביומטרי עם הקשת קוד אישי מזהה‪.‬‬
‫בכל המקרים‪ ,‬האימות יבוצע מול מחשב מרכזי ולא ברמת תחנת המשתמש‪ .‬עוד יש להנחות‪,‬‬
‫כי במחשב שאינו פעיל יותר מחמש דקות רצופות‪ ,‬יופעלו אוטומטית שומר ונעילת מסך‪.‬‬
‫הפתיחה תחייב הקשת סיסמת גישה אישית בשילוב אמצעי הזיהוי האישי‪ .‬בנוסף‪ ,‬יש לוודא‬
‫שקיים מנגנון ניתוקים משני לנעילת מסך המחשב‪.‬‬
‫כמו כן‪ ,‬הפצת מסמכים צריכה להיות אך ורק בפורמט ‪ PDF‬מוגן‪ ,‬קרי‪:‬‬
‫ללא הרשאות כלל‪ ,‬למעט הרשאות הדפסה (וגם‪ ,‬רק אם‬
‫צורך עסקי בכך)‪ .‬אין להפיץ מסמכים בפורמטים‬
‫אחרים‪ .‬בנוסף‪ ,‬יש לוודא רישום של ההדפסות‬
‫וכן שמסמך שיוגדר מראש ברמת סיווג גבוהה‬
‫במיוחד יחייב הקשת סיסמת פתיחה או שימוש‬
‫באחד מאמצעי הזיהוי‪.‬‬
‫יש‬
‫הפצה של מסמכים תתבצע על בסיס‬
‫מנגנון מוגבל ומוגדר מראש‪ ,‬דוגמת‬
‫רשימת נמענים קבועה‪ ,‬אימות כתובת‬
‫דוא"ל (גם ברשת הפנימית) טרם‬
‫שליחת החומר‪ ,‬וכן שימוש בשרתי‬
‫הפצה על בסיס תקשורת מאובטחת‬
‫ומוצפנת‪ .‬יש להקפיד שמשלוח של חומר‬
‫מסחרי רגיש‪ ,‬במיוחד באינטרנט‪ ,‬יבוצע תמיד‬
‫באופן מוצפן‪ ,‬באמצעות תוכנה מסחרית העושה‬
‫שימוש באלגוריתם הצפנה בחוזק מינימאלי‪.‬‬
‫לסיכום‬
‫ארגונים יכולים לעשות מגוון פעולות כדי‬
‫להתמודד עם תופעת דליפת המידע‪ ,‬ולנסות‬
‫למזער את הסיכון לכך‪:‬‬
‫‬
‫•קביעת מדיניות בקרת גישה נוקשה‬
‫‬
‫• שליטה ובקרה וניטור אחר מתן הרשאות‬
‫גישה (במיוחד לחומרים רגישים)‬
‫‬
‫• בדיקה וסינון עובדים (‪ - )Screening‬זה‬
‫יכול למנוע מקרים של זליגת מידע‬
‫באם תפסנו את העובד בזמן‪...‬עוד לפני‬
‫שהוא ביצע את העבירה‪.‬‬
‫‬
‫•סקרי סיכונים‪...‬לגילוי סיכונים‬
‫‬
‫• הצפנה של מיילים ותקשורת בתוך‬
‫הארגון ומחוצה לו‬
‫‬
‫• וכמובן‪ ,‬בהינתן תקציב‪ ,‬להטמיע‬
‫מערכת הולמת למניעת דליפת‬
‫מידע (‪)DLP‬‬
‫מומלץ לקרוא את הכתבה של ניהול‬
‫פרויקט ‪ DLP‬הנמצאת בגיליון זה‪.‬‬
‫לצורך קבלת המוסף המלא של‬
‫ניהול פרויקט ‪ DLP‬וסקירה מלאה‬
‫אודות הטכנולוגיה‪ ,‬ניתן לפנות‬
‫לאיגוד בכתובת‪info@issa.org.il :‬‬
‫| גיליון ‪ | 2‬יוני ‪2012‬‬
‫‪15‬‬
‫יודע‬
‫אני‬
‫†”›‹œƒ™‹—†‚‰š‡‘‬
‫טלפונים חכמים משמשים כיום כמחשב נייד‬
‫לכל דבר‪ ,‬דרכם ניתן לגלוש באינטרנט‪ ,‬להתחבר‬
‫למערכות בעבודה‪ ,‬לצלם‪ ,‬להאזין‪ ,‬להקליט ועוד‪,‬‬
‫ולכן‪ ,‬הם היעד הבא לתקיפה במסגרת לוחמת‬
‫הסייבר והמודיעין‪.‬‬
‫הטלפונים החכמים שנמצאים כיום בכל משפחה‬
‫ממוצעת‪ ,‬אוגרים בתוכם ים של מידע‪ ,‬אודות‬
‫מגוון נושאים‪ ,‬כגון‪ :‬מיקומים בהם אתם נוהגים‬
‫להסתובב‪ ,‬לטוס‪ ,‬ללכת‪ ,‬מקום העבודה‪ ,‬מקום‬
‫מגורים‪ ,‬תמונות של משפחה‪ ,‬הודעות דוא"ל‪,‬‬
‫הודעות ‪ ,SMS‬גלישה באינטרנט וכדומה‪.‬‬
‫השימוש בטלפונים חכמים רק הולך וגובר‪,‬‬
‫במדינות רבות כ‪ 50-‬אחוז מהטלפונים הניידים‬
‫הם סמארטפונים‪ .‬את הטלפונים האלה ניתן‬
‫לנצל גם לאיסוף מידע וגם לתקיפה מרחוק" אומר‬
‫וייסברג‪" ,‬פעם זה היה רק טלפון‪ ,‬היום יש בו חיבור‬
‫ישיר למייל ולאינטרנט‪ ,‬אנשי קשר‪ ,‬סיסמאות‬
‫ואסמסים‪ ,‬מצלמה‪ ,‬מיקרופון ומכשיר הקלטה‪,‬‬
‫‪ ,Bluetooth‬אופציה לאיתור אדם באמצעות ג'י‪.‬‬
‫פי‪ .‬אס‪ ,‬ועוד‪ .‬כבר קרו מקרים שחוקרים פרטיים‬
‫הפעילו מיקרופון והקלטה מרחוק ובעצם עשו‬
‫האזנת סתר‪ ,‬כך שהדבר בהחלט מהווה סיכון‬
‫ממשי כיום‪.‬‬
‫‪16‬‬
‫גיליון ‪ | 2‬יוני ‪| 2012‬‬
‫בעידן הדיגיטלי החדש‪ ,‬אין ספק שהטכנולוגיה‬
‫משחקת תפקיד מרכזי מצד אחד‪ ,‬אבל יחד עם‬
‫כל היתרונות של קדמת הטכנולוגיה‪ ,‬חשוב לזכור‪,‬‬
‫שלעתים אנו מאבדים קצת מהפרטיות שלנו‪.‬‬
‫‪ ,GEOTAG‬ורוב המשתמשים‪ ,‬לא רש‬
‫שעושים בזה שימוש (ברוב המקרים‬
‫מבלי לדעת על כך)‪ ,‬אלא גם מפיצים‬
‫את המידע הזה לכל העולם‪ ,‬ע"י‬
‫העלאת תמונות ברשתות החברתיות‬
‫(לדוגמה פייסבוק)‪..‬‬
‫שחזור‪ :‬מיילים ‪ ,E-Mail -‬תמונות‪ ,‬סרטונים ‪,‬יומן‬
‫כתובות ‪,‬הודעות‪ SMS,‬היסטורית שיחות‪ ,‬הקלטות‬
‫ועוד‪.‬‬
‫אבל כאלה אנחנו‪ :‬מצד אחד משאירים‬
‫אורות דלוקים בבית כשאנו יוצאים‬
‫לחופשה‪ ,‬ומצד שני מספרים לכל‬
‫האינטרנט וגיסתו שאנחנו לא בבית"‪.‬‬
‫אנחנו לא רוצים שאדם יוכל לצלם‪ ,‬להקליט או‬
‫להוציא מיילים החוצה בזמן שהוא נמצא במתחם‬
‫מסווג‪ ,‬בסיס צבאי‪ ,‬מפעל ביטחוני וכולי‪ ,‬ואנחנו‬
‫גם לא רוצים שמישהו ישתלט לו על הטלפון‬
‫מרחוק ויצליח לאסוף מידע על המקומות האלה‪.‬‬
‫המערכת מתוכנתת 'לדעת' מתי אותו אדם נמצא‬
‫בשטח הרגיש מבלי לעשות שימוש ברשת או בג'י‪.‬‬
‫פי‪.‬אס‪ .‬גורמי הביטחון קובעים בדיוק איזה יישומים‬
‫הם לא רוצים שיפעלו והמערכת דואגת לנטרל‬
‫אותם‪ ,‬כשהבנאדם יוצא משם הטלפון חוזר‬
‫לפעילות מלאה‪.‬‬
‫כיום‪ ,‬ניתן בצורה קלה יחסית‪ ,‬לשחזר כמעט הכל‬
‫מהטלפונים החכמים וכרטיסי זיכרון (זיכרונות‬
‫פלש)‪ ,‬ממרבית הסוגים הקיימים שוק החופשי‪.‬‬
‫ניתן לשחזר עד ‪ 100%‬מהמידע שאבד‪ ,‬נמחק או‬
‫נפגע מוירוס‪ ,‬חיבור למחשב‪ ,‬עדכון גרסה‪.‬‬
‫תחשבו‪ ,‬את כמות המידע שניתן לשחזר מטלפון‬
‫חכם‪ ,‬שאגר בתוכו אין סוף מידע‪ .‬מה שהכי מסוכן‬
‫זה שבעזרת יכולות השחזור של היום ‪ ,‬יכולים‬
‫לשחזר כמעט הכל מתוך הטלפון החכם‪ ,‬ולאסוף‬
‫המון מידע רגיש אודות הקורבן‪.‬‬
‫כמובן‪ ,‬שלכל צד שלילי יש צד חיובי‪ ,‬ולהיפך‪.‬‬
‫כלומר‪ ,‬ניתן לנצל יכולות אלו לצורך חקירות‬
‫פליליות‪ ,‬לצורך איתור נעדרים‪ ,‬לאיתור ניסיונות‬
‫לדליפת מידע מהארגון ועוד‪ .‬אבל יחד עם זאת‪,‬‬
‫יתכן שהפרטיות שלנו תפגע גם כן מאותן יכולות‬
‫טכנולוגיות מרשימות‪.‬‬
‫כיום‪ ,‬השימוש בטלפונים חכמים כדוגמת ‪iPhone‬‬
‫או ‪ BackBerry‬תופס תאוצה והתלות במכשיר‬
‫הולכת וגדלה‪ ,‬למכשירים אלו היכולת לצלם‬
‫תמונות וסרטונים באיכות גבוה ביותר‪ ,‬לאחסן‬
‫אלפי תמונות‪ ,‬לשלוח ולקבל מיילים‪ ,‬לקבוע‬
‫פגישות‪ ,‬לגלוש באינטרנט ועוד‪ .‬במקרה של אובדן‬
‫מידע נדרש לבצע שחזור ל ‪.iPhone‬‬
‫ברוב הטלפונים החכמים‪ ,‬ישנה אפשרות של גילוי‬
‫מיקום ע"י אפשרויות מיקום תמונה על המפה‬
‫(בעזרת ‪ )GOOGLEMAPS‬ע"י פונקציה שנקראת‬
‫תכונה חדשה שצצה לאחרונה‬
‫בטור הימני בפייסבוק החלה לחטט‬
‫בהיסטוריה האישית שלי‪ ,‬להציג לי‬
‫תמונות ולשאול שאלות אודותיהן כמו‬
‫דודה פולניה‪ .‬האם נכון שהתמונה‬
‫הזו צולמה בבאר שבע? וזו‪ ,‬במושב‬
‫במרכז? נשאלתי עם אפשרות להשיב‬
‫ב‪ yes-‬או ‪ .No‬כל “הניחושים” של‬
‫פייסבוק לגבי מיקום הצילום התגלו‬
‫כמדויקים‪ .‬תשובה חיובית הוסיפה את‬
‫המיקום לתמונה באלבומי הפייסבוק‬
‫שלי‪ ,‬היכן שכולם יכולים להיחשף‬
‫אליה‪.‬‬
‫אחד מחברי לפייסבוק התייחס השבוע‬
‫לעניין בסטטוס הבא‪“ :‬משהו מפחיד‬
‫קורה פה‪ .‬פייסבוק מעלה באוב תמונות‬
‫ישנות ומציע לציין היכן הן צולמו‪.‬‬
‫ההצעות שלו לגבי המיקום נכונות‪.‬‬
‫נראה שהוא מעיין בטקסט ולפיכך‬
‫מסיק את מסקנותיו‪ ,‬בכל מקרה‬
‫תחושת האח הגדול חזקה מתמיד”‪.‬‬
‫אז מה קורה כאן? בתחילה חשבתי‬
‫שפייסבוק מתבסס אך ורק על‬
‫מילות מפתח שהוסיף הגולש לכיתוב‬
‫התמונה אשר עשויות לרמז על מיקום‬
‫הצילום‪ ,‬אך כאשר פייסבוק “ניחש”‬
‫היכן צולמו תמונות ללא כיתוב כבר‬
‫היה לי די ברור שמדובר במקרה‬
‫פשוט של ‪ .Geotagging‬כן‪ ,‬רוב‬
‫הסמרטפונים כוללים היום תכונת‬
‫גיאו‪-‬מיקום אוטומטית שמוסיפה‬
‫מידע על מיקום הצילום למטא דאטה‬
‫של התמונה על בסיס ‪ ,GPS‬רשתות‬
‫אלחוטיות ותאים סלולריים‪ ,‬כאשר כל‬
‫ספק שירות יכול לעשות בה שימוש‪.‬‬
‫פייסבוק אפילו מתחשב יחסית‬
‫לשירותים חברתיים ואתרי תמונות‬
‫אחרים בעניין זה ועד כה “הפשיט” כל‬
‫מידע אודות המיקום מהתמונות וגם‬
‫כעת מוסיף את המיקום רק באישור‬
‫המשתמש ברמת הישוב בלבד ללא‬
‫נקודות ציון מדויקות של התמונה‪.‬‬
‫בעידן של רשתות חברתיות שחושפות‬
‫אט אט ובהדרגה את מיקומנו בזמן‬
‫אמת באמצעות פייסבוק‪ ,‬טוויטר‬
‫ואחרים‪ ,‬קל יותר ויותר לתרגם את‬
‫הסטטוסים המתייגים מיקום למפה‬
‫המציגה את המסלול שאנחנו עושים‬
‫על גבי מפה‪ .‬ברור לגמרי שמי שחושף‬
‫את המיקום שלו ברשתות חברתיות‬
‫חייב להיות מודע להשלכות ולסיכונים‪,‬‬
‫אם כי זה לא בהכרח מזמין או מצדיק‬
‫סטוקרים‪.‬‬
‫אם בכל זאת התכונה הזו מטרידה אתכם‪ ,‬דעו‬
‫שזה בידיים שלכם‪ .‬ליתר דיוק‪ ,‬במצלמה שלכם‪.‬‬
‫באייפון ‪4‬‬
‫לכו ל”הגדרות” ואז ל”שירותי מיקום” ותכבו כל‬
‫אפליקציה שלא תרצו שתיגש לנתוני המיקום‪,‬‬
‫כולל המצלמה‪.‬‬
‫באייפון ‪3‬‬
‫בחרו ב‪Settings, -‬‬
‫‪General, Location‬‬
‫‪ Services‬כדי לכבות את כל שירותי המיקום‪.‬‬
‫אם לא תרצו לכבות את כל שירותי המיקום‪,‬‬
‫בחרו ב‪ Settings, General, Reset-‬ואז ‪Reset‬‬
‫‪ .Location Warnings‬בפעם הבאה שהאייפון‬
‫ישאל אם להשתמש במיקום שלכם בחרו ב‪.Don’t Allow-‬‬
‫באנדרויד‬
‫מקש תפריט‪ Settings ,‬ואז ‪Location and‬‬
‫‪ .security‬להסיר את הסימון מאפשרות‬
‫ה‪.GPS-‬‬
‫בבלקברי‬
‫בחרו ב‪Options, Advanced Options,-‬‬
‫‪ ,GPS‬אז לחצו על מקש תפריט‪ ,‬בחרו ‪Disable-‬‬
‫‪ GPS‬ולחצו ‪.Yes‬‬
‫| גיליון ‪ | 2‬יוני ‪2012‬‬
‫‪17‬‬
‫‪ 10‬סיבות‬
‫לשימוש בכרטיס חכם‬
‫כאמצעי זיהוי חזק‬
‫‪1‬‬
‫הגברת רמת האבטחה‬
‫ושילוב גישה לכל המקורות‬
‫כרטיסים חכמים מאפשרים גישה מאובטחת ‪ 24‬שעות ביממה‬
‫למקורות פיזיים ולוגיים‪.‬‬
‫‪2‬‬
‫‪3‬‬
‫‪4‬‬
‫‪5‬‬
‫‪6‬‬
‫‪7‬‬
‫‪8‬‬
‫‪9‬‬
‫‪10‬‬
‫‪18‬‬
‫גיליון ‪ | 2‬יוני ‪| 2012‬‬
‫אבטחה והפשטת הגישה למערכות פנימיות‬
‫למעשה צריך רק כרטיס ומספר קוד סודי אישי (‪ )PIN‬לכניסה‬
‫למערכת‪ ,‬על ידי כך נעשה ויתור על תהליכים ארוכים ומסורבלים‬
‫של הקלדת שמות משתמש וסיסמאות מרובים‪ ,‬התוצאה מביאה‬
‫לשיפור ביעילות העובד‪.‬‬
‫הוכחה דיגיטלית מיוחדת של הזיהוי‬
‫הכרטיס החכם יכול ליצור ולאכסן תעודות דיגיטליות ייחודיות‬
‫שאינן אפשריות להעתקה ויצירה מחדש ( דוגמה‪ :‬תעודות ‪PKI‬‬
‫לדואר אלקטרוני חתום)‪.‬‬
‫עמידות וחסינות‬
‫שלא בדומה לכרטיסי העברה מגנטיים‪ ,‬כרטיסים חכמים מוגנים‬
‫במספר קוד אישי סודי‪ )PIN( .‬אם מספר זה מוקלד בצורה שגויה‬
‫מספר פעמים הנקבעים מראש בכרטיס הכרטיס ננעל בעצמו‬
‫ותוכנו נעשה לא נגיש‪.‬‬
‫כרטיס אחד‪ ,‬שימושים רבים‬
‫כרטיס אחד יכול לשמש לדברים מרובים‪ :‬זיהוי‪ ,‬הזדהות‪ ,‬אימות‪,‬‬
‫רכישה ועוד‪...‬‬
‫נוחות‬
‫מתאים בגודלו לארנק‪ ,‬מימדיו בהתאמה למימדי כרטיסי‬
‫האשראי‪.‬‬
‫תאימות לפריסת מערכות כרטיסים קיימות‬
‫כרטיסים חכמים תואמים לכרטיסי פס מגנטיים קיימים‪ .‬דבר זה‬
‫מאפשר לתכנן בשלבים את מערך הכרטיסים החכמים כנדרש‪.‬‬
‫מבנה מוכר‬
‫משתמשים יאמצו במהירות שימוש בכרטיס חכם שכן הם דומים‬
‫לכרטיסי האשראי הקיימים‪.‬‬
‫גורם מרתיע גלוי‬
‫הכרה וזיהוי מיידים של מערכת המאובטחת של הכרטיס מפחיתה‬
‫נסיונות גניבה ופריצה של האקרים‪.‬‬
‫התאמה אישית‬
‫תמונת המשתמש ושמו יכולים להיות מודפסים על פני הכרטיס‪.‬‬
‫יש אפשרות להנפקת כרטיס עובד מלא‪.‬‬
‫היום שאחרי מחר‪....‬‬
‫אחת הבעיות המרכזיות בבניית תוכנית להמשכיות עסקית היא הקושי להציג את החזר ההשקעה עליה‪ .‬נושא ההיערכות לחירום‬
‫וההמשכיות העסקית חייב להיבחן ברמה האינטגרטיבית‪ .‬המימד האנושי הינו אחד הגורמים החשובים בהיערכות לשעת חירום‪ .‬היעדר‬
‫העדכניות של תוכנית המשכיות עסקית הוא זה שעלול להיות נקודת הכשל בארגונים‪.‬‬
‫מערכות המידע הקריטיות במשק‪ ,‬הן במגזר‬
‫הפרטי והן במגזר העסקי‪ ,‬חייבות להיות ערוכות‬
‫– לא רק להגנה על הנתונים‪ ,‬אלא גם להמשכיות‬
‫עסקית שתאפשר את המשכת השירות בצורה‬
‫שוטפת עבור לקוחות הארגון‪.‬‬
‫ברור לכולנו‪ ,‬כי מרבית הארגונים אינם ערוכים‬
‫כהלכה למקרה אסון או לשעת חירום‪ ,‬והתחושה‬
‫היא שהכל פרוץ ופתוח בפני ההאקרים‪.‬‬
‫מסקרים שנערכו (הן במגזר הממשלתי והן‬
‫במגזר הפרטי) עולה כי רוב הארגונים כ‪68%-‬‬
‫אינם ערוכים כלל למקרה של אסון‪ ,‬ומבין אלו‬
‫שכן ערוכים‪ ,‬כ‪ 30%-‬לא תרגלו את התוכניות‬
‫להתאוששות מאסון כלל‪ ,‬אפילו לא פעם אחת‪,‬‬
‫ורק בכ‪ 5%-‬קיימת תוכנית להמשכיות עסקית‪.‬‬
‫כולנו יודעים לטפל בכשל מערכתי נקודתי‬
‫בחדרי המחשב שלנו – הרי כולנו טיפלנו בתקלות‬
‫שונות‪ ,‬אבל מה קורה כשחדר המחשב נשרף?‬
‫במרבית הארגונים לא קיימת תפיסה מערכתית‬
‫להתמודדות עם תקלות רוחביות קיצוניות‪.‬‬
‫המדובר‪ ,‬קבע‪ ,‬בתהליכים שמחייבים הערכות‬
‫זמן רב מראש‪.‬‬
‫תוכנית להמשכיות עסקית (‪)BCP‬‬
‫תוכנית להמשכיות עסקית (‪ )BCP‬הינה תוכנית‬
‫אשר נותנת מענה לתרחישי חירום שונים‬
‫ומאפשרת לארגון להמשיך את פעילותו הקריטית‬
‫גם בזמן חירום‪ .‬תוכנית זו נכתבת מראש ומכילה‬
‫את התרחישים האפשריים העלולים לפגוע בארגון‬
‫עקב מצב חירום ואת הדרכים כיצד להתמודד עם‬
‫תרחישים אלו בזמן אמת‪.‬‬
‫המשכיות אם כך היא מילת המפתח‪ ,‬כיצד‬
‫יוכל הארגון להמשיך את פעילותו במשאבים‬
‫המינימאליים האפשריים ותוך כדי כך להביא‬
‫להתאוששות מאסון במינימום הוצאות‪ .‬כדי להגיע‬
‫למצב זה אסור שהארגון ייתפס לא מוכן‪.‬‬
‫חשוב להדגיש כי התוכנית אינה מכוונת לתת‬
‫מענה לרשימה סגורה של מקרי אסון אלא נותנת‬
‫מענה למגוון תרחישי חירום רלוונטיים לארגון כגון‬
‫נתק במערכות המחשוב בארגון‪ ,‬מחסור חמור‬
‫בכוח אדם‪ ,‬חוסר יכולת לתקשר עם גורמי חוץ‪ ,‬אי‬
‫תפקוד של נותני שירות לארגון וכן הלאה‪ .‬דוגמה‬
‫רלוונטית למצב כזה היא נפילת מערכת המחשוב‬
‫המרכזית באחד הבנקים הגדולים במדינה אשר‬
‫הותירה את לקוחותיו ללא מענה למשך יותר‬
‫מ‪ 48-‬שעות‪.‬‬
‫טיבה של תוכנית להמשכיות עסקית מתבטא‬
‫באופן בו נותנת התוכנית מענה לכל התרחישים‬
‫האפשריים במצב חירום‪ ,‬המשמעות היא שהשלב‬
‫הראשון לביצוע תוכנית המשכיות עסקית הוא‬
‫ביצוע מיפוי מפורט של התהליכים הקריטיים‬
‫בארגון אשר צריכים להמשיך לפעול בכל מצב‪.‬‬
‫לאחר מכן ניתן התוכנית מענה וחלופות שונות‬
‫לכל תהליך אשר הוגדר כתהליך קריטי בארגון‬
‫וכל עובד יידע מה תפקידו תוך כדי מצב החירום‬
‫ותשאיר כמה שפחות סימני שאלה לרגע האמת‪.‬‬
‫תוכנית התאוששות מאסון (‪)DRP‬‬
‫מדבור בתוכנית המכילה פירוט של פעולות‬
‫ותהליכים אשר יש לבצע על מנת להחזיר במהרה‬
‫פעילויות ותהליכים קריטיים לארגון‪.‬‬
‫לצד החשיבות ההולכת והגדלה בצורך בשרידות‬
‫של מערכות ה‪ IT-‬בארגון‪ ,‬גם המימד האנושי‬
‫מהווה אחד הגורמים החשובים בהיערכות לשעת‬
‫חירום‪ .‬מה קורה אם במקרה של אסון‪ ,‬עובדים‬
‫הבוחרים לא יהיו מוכנים להגיע לעבודה או יעזבו‬
‫לעיר אחרת? זה שמערכות ה‪ IT-‬יהיו מוגנות‪ ,‬זה‬
‫בסדר‪ ,‬אבל אין לזה ערך אם צוות טכני לא יתחזקו‬
‫אותן‪.‬‬
‫עלינו למצוא איזון מתאים בין הפעילויות השונות‪,‬‬
‫בין הגורמים השונים‪ ,‬ולא להתמקד רק בדבר‬
‫אחד‪ .‬לדוגמה‪ :‬על מנת שבית חולים יתפקד‪,‬‬
‫צריך גח אדם‪ ,‬שרידות מערכות ה‪ ,IT-‬אוכל‪,‬‬
‫כביסה‪ ,‬סטריליות‪ ,‬אספקת תרופות‪ ,‬כסף ואמצעי‬
‫זיהוי חלופיים‪ ,‬ואלו רק חלק מהדברים‪ .‬רציפות‬
‫תפקודית מורכבת ממגוון פרטים‪ ,‬גז‪ ,‬חשמל‪ ,‬מים‪,‬‬
‫ועוד‪ .‬נדרשת סינרגיה בין כלל הפעילויות‪ ,‬ולרוב‬
‫הארגונים‪ ,‬זה חסר‪.‬‬
‫החזר השקעה‪...‬‬
‫אחת הבעיות המרכזיות בתוכנית להמשכיות‬
‫עסקית היא הקושי להציג את החזר ההשקעה‬
‫עליה לעומת ההשקעה הנדרשת‪ .‬העובדה שמדינת‬
‫ישראל מתמודדת עם בעיות גיאו‪-‬פוליטיות‪ ,‬עם‬
‫בעיות טרור‪ ,‬חשש מרעידות אדמה‪ ,‬טרור קיברנטי‬
‫– לא בהכרח מביאה לכך שהיא תהיה ערוכה טוב‬
‫יותר בהיבט המשכיות עסקית‪ .‬העלויות הגבוהות‬
‫של בניית תוכנית להמשכיות עסקית מהוות את‬
‫הקושי העיקרי בלהוכיח את החזר ההשקעה‪.‬‬
‫נדרשים סדרי עדיפויות‪ ,‬ולעתים משלמים על‬
‫כך מחיר כבד‪ .‬ארגון אומר לעצמו‪ ,‬כי בתקציבים‬
‫מוגבלים‪ ,‬לא תמיד כדאי להשקיע את הכסף דווקא‬
‫ב‪ IT-‬לטובת בניית תוכנית להמשכיות עסקית‪.‬‬
‫למרות הכל‪ ,‬הולכת וגוברת המודעות לצורך‬
‫בתוכנית להמשכיות עסקית ו\או התאוששות‬
‫מאסון‪ .‬ההמשכיות העסקית כבר אינה נחלתם‬
‫הבלעדית של ארגונים גדולים‪ ,‬היא מחלחלת‬
‫לארגונים בינוניים‪ .‬הדבר דורש תחזוקה שוטפת‪ ,‬וזו‬
‫לא פחות חשובה מעצם הטמעת התוכנית עצמה‪.‬‬
‫כמו כן‪ ,‬נושא ההיערכות לשעת חירום וההמשכיות‬
‫העסקית חייב להיבחן ברמה האינטגרטיבית‪ .‬יש‬
‫חשיבות להיבט של תרגול של ארגונים את עצמם‬
‫להיערכות בתחום‪.‬‬
‫ביצוע תרגילים לתוכניות להמשכיות עסקית ו\‬
‫או התאוששות מאסון‪ ,‬יכולים להניב תובנות‬
‫רבות לארגון‪ ,‬כחלק מתהליך של הפקת לקחים‪,‬‬
‫ושיפור התוכניות‪ .‬ככל שמתרגלים יותר‪ ,‬ובכל דרגי‬
‫הארגון – ככה ניתן להפיק יותר תועלת לקדם את‬
‫פני העתיד‪.‬‬
‫היבט נוסף‪ ,‬הוא הצורך לבדוק מה יכול לקרות‬
‫לארגון בשל השבתה של מערכות ה‪ ,IT-‬וכמה זמן‬
‫ניתן לעבוד בצורה ידנית ושונה? ואת זה‪ ,‬נוכל גם‬
‫לדמות במציאות‪ ,‬ע"י ביצוע תרגול‪ .‬התרגיל חייב‬
‫לדמות את המציאות‪ .‬חשוב לזכור‪ ,‬שהתרגול הוא‬
‫של הארגון ולא של המנמ"ר‪ ,.‬ודורש היערכות‬
‫מוקדמת נרחבת‪.‬‬
‫אחת הבעיות הנפוצות‪ ,‬בהטמעת תוכנית‬
‫להמשכיות עסקית‪ ,‬היא שלעתים קרובות‪,‬‬
‫התכנית מתעדכנת‪ ,‬ובזמן החירום מגלים שחלק‬
‫מהנתונים אינם נכונים‪ ,‬וכאן בדיוק נכנס התרגול‪,‬‬
‫כדי לתת פתרון הולם לבעיה‪ .‬היעדר העדכניות‬
‫של תוכנית המשכיות עסקית הוא זה שעלול‬
‫להיות נקודת הכשל בארגונים‪ ,‬כיוון שתהליכים‬
‫עסקיים השתנו‪ ,‬אנשים התחלפו ועוד‪.‬‬
‫העיסוק בתחום ניהול המשכיות עסקית‪ ,‬הוא‬
‫משהו שצריך לעסוק בו כל השנה ולא פעם בשנה‪.‬‬
‫העיסוק בחירום צריך להיות חלק מהתרבות‬
‫הארגונית ולהפוך להיות חלק משגרת פעילות‬
‫הארגון‪.‬‬
‫לסיכום‬
‫האתגר הגדול ביישום תוכנית להמשכיות עסקית‬
‫בארגון‪ ,‬טמון בעובדה שלא מדובר במוצר מובהק‬
‫אלא בשילוב של מספר מרכיבים‪ :‬מדיניות‪ ,‬כלים‬
‫שונים‪ ,‬טכנולוגיות שונות ואינטגרציה ביניהן‪,‬‬
‫מתודולוגיות וניסיון מצטבר‪ .‬כדי להצליח בפרויקט‬
‫מסוג זה‪ ,‬יש צורך בחברה מתמחה שיכולה לספק‬
‫מענה הולם ללקוחות השונים‪ ,‬שנדרשים ליישום‬
‫‪ BCP‬מלא או חלקי בארגון‪.‬‬
‫מבט לעתיד‬
‫המעבר לענן מהווה הזדמנות לבחינת תהליכי‬
‫המשכיות עסקית בארגון‪ .‬ארגונים כבר לא‬
‫חייבים להשקיע הון תועפות במערכי אחסון‪,‬‬
‫רפליקציה בין מערכות‪ ,‬וכדומה‪ .‬עפ"י חברות‬
‫מחקר (כגון ‪ )Gartner‬ארגונים מבינים שלא ניתן‬
‫יותר לברוח מהמציאות‪ ,‬והמשכיות עסקית הינו‬
‫דבר שמחייב‪.‬‬
‫תרגול‪...‬תרגול‪...‬תרגול‪...‬‬
‫| גיליון ‪ | 2‬יוני ‪2012‬‬
‫‪19‬‬
‫האם אתה מנהל את המידע בארגון או שהמידע‬
‫מנהל אותך?‬
‫כל ארגון מתחזק ‪ ,Unstructured Data‬אשר‬
‫גדל באופן מתמיד ועל פי רוב‪ ,‬בלתי ניתן לניהול‪.‬‬
‫כמות המסמכים‪ ,‬גיליונות אלקטרוניים‪ ,‬מצגות‪,‬‬
‫קבצי מדיה ונתונים עסקיים אחרים‪ ,‬השמורים‬
‫בשרתי קבצים‪ ,‬שרתי ‪ ,NAS‬ומאגרי מידע ‪Semi-‬‬
‫האם מדובר בלהבה או בניצוץ רגעי?‬
‫מאת‪ :‬ניר ולטמן‪ ,‬ארכיטקט אבטחת המידע של חברת ‪.Citadel Consulting‬‬
‫בימים האחרונים יש "הד תקשורתי נרחב" סביב הנוזקה (‪ )Malware‬הנקראת ‪ Flame/Flamer/Skywiper‬שפגעה‬
‫במספר רב של מדינות במזרח התיכון ובעיקר באיראן‪ .‬ישנן הצדקות אך גם אשליות אשר נגזרות מהפרסום‬
‫התקשורתי שזכתה לה הנוזקה‪ ,‬המטרה של מאמר זה הינה להציג את שתי פרספקטיבות על האירוע‪.‬‬
‫בהיבט שבו אני מסכים עם ההד תקשורתי שנוצר‬
‫סביב הנוזקה‪ ,‬ניתן לומר כי אכן מדובר בתוכנה‬
‫זדונית אשר מתנהגת באופן חריג מהרגיל‬
‫בקטגוריה זו של תוכנות זדוניות‪ ,‬לדוגמה‪ :‬התוכנה‬
‫תוקפת מספר וקטורים במערכת ההפעלה‬
‫במקביל‪ ,‬ישנו שימוש בטכניקות פיתוח מתקדמות‬
‫לטיפול בקטעי קוד קריטיים התלויים אחד בשני‬
‫(במדעי המחשב קוראים למינוח ‪ ,)Mutex‬הגדרת‬
‫תזמון שונה לכל הפעלה של משימה כך שיהיה‬
‫קשה לעקוב אחר הפעלת תהליכים במערכת‬
‫ההפעלה‪ ,‬שימוש בתקשורת מוצפנת לשרתים‬
‫חיצוניים ועוד‪ .‬למעשה ניתן להבין מחקר הנוזקה‬
‫כי מדובר בפיתוח מתקדם שבוצע על ידי מומחי‬
‫אבטחה עם רקע חזק בפיתוח ואיתור פרצות‪ ,‬סביר‬
‫להיצמד לטענה כי אכן לא מדובר על קבוצה של‬
‫האקרים אלא על סדרי גודל משמעותיים כגון‬
‫ארגון או מדינה העומדות מאחורי הפיתוח‪ .‬ישנן‬
‫שתי עובדות נוספות אשר גורמות להסכים עם‬
‫ההצדקה לפרסום כה גדול; כלל חברות האנטי‬
‫וירוס הגדולות בעולם לא גילו‪/‬התייחסו לנוזקה‬
‫הזו במשך השנתיים האחרונות ובעיקר לעובדה כי‬
‫מדובר בנזק ממשי שהלוחמה הקיברנטית (‪Cyber‬‬
‫‪ )Warfare‬גרמה בשנית לאיראן‪.‬‬
‫אולם הסבירות להפעלתה נמוכה יחסית מאחר‬
‫והדרך (שאותרה בפועל עד כה) להפצת הנוזקה‬
‫בארגון היא באמצעות ‪ Disk on Key‬או באמצעות‬
‫מחשב אחר "מודבק"‪ .‬בניגוד ל‪ Stuxnet-‬אשר גרם‬
‫נזק ממשי (על פי פרסומים זרים) לצנטריפוגות‬
‫המעשירות אורניום במקרה זה‪ ,‬הרשת הארגונית‬
‫המותקפת חייבת להיות מחוברת לאינטרנט‪ ,‬אחרת‬
‫הנוזקה עובדת באופן חלקי‪ ,‬קרי לא מוציאה מידע‬
‫ארגוני לאינטרנט‪ .‬אם נחשב באופן יבש את הסיכון‪,‬‬
‫הרי שהוא אינו קריטי עקב הסבירות הלא גבוהה‬
‫שלו למימוש‪ .‬שנית‪ ,‬כמות המחשבים שבשלב זה‬
‫אותרו כ"מודבקים" בנוזקה זו היא נמוכה ביחס‬
‫למתקפות אחרות שנתגלו לאחרונה‪ ,‬לדוגמה‪:‬‬
‫כמות מחשבי ה – ‪ Mac‬שנפגעו מה – ‪Flashback‬‬
‫‪ Malware‬הייתה ‪ 600‬אלף‪ .‬יתרה מכך‪ ,‬כמות‬
‫המחשבים שנפגעה מהנוזקת ה – ‪ Flashback‬בעיר‬
‫‪ Cupertino‬בקליפורניה (מקום הימצאותה של‬
‫חברת ‪ )Apple‬היא כ – ‪ 270‬מחשבים‪ ,‬אשר גם הוא‬
‫גדול ממספר המחשבים ש"הודבקו" מה – ‪Flame‬‬
‫בכל איראן‪ .‬שלישית‪ ,‬כל יום מפותחות עשרות אלפי‬
‫תוכנות זדוניות אשר יודעות לבצע את הפעולות‬
‫שה – ‪ Flamer‬עושה‪ ,‬אך באופן פחות חכם‪.‬‬
‫מאידך יכול להיות כי ההילה שנוצרה סביב הנושא‬
‫מוגזמת מדי מהסיבות הבאות‪ :‬ראשית‪ ,‬בעולם האם כל הארגונים חשופים ל – ‪?Flame‬‬
‫אבטחת המידע החישוב של הנזק הפוטנציאלי‬
‫למערכות מידע מורכב מהנזק שייגרם לארגון‬
‫כנגזרת מהפעלת הנוזקה ומהסבירות להפעלתה‪.‬‬
‫במקרה זה‪ ,‬אפשר לומר כי הנוזקה "חיה ונושמת"‪,‬‬
‫‪20‬‬
‫גיליון ‪ | 2‬יוני ‪| 2012‬‬
‫ארגונים אשר משקיעים באבטחת מידע באופן‬
‫שוטף חשופים פחות למתקפה זו עקב העובדה‬
‫שבארגונים כאלו יש הגנות כנגד הכנסת ‪Disk‬‬
‫‪ ,on Key‬התקנת טלאי אבטחת מידע של חברת‬
‫‪ Microsoft‬ובכלל ואף ביצוע הקשחות במערכות‬
‫ההפעלה כדוגמת ביטול האפשרות להפעלה‬
‫אוטומטית של תוכניות ( ‪ )Autorun‬מכוננים‬
‫חיצוניים‪.‬‬
‫מה אנחנו יכולים לעשות כמשתמשים?‬
‫למרות העובדה שהפצת הנוזקה מתבצעת בעיקר‬
‫באמצעות ‪ ,Disk on Keys‬אי אפשר להלחיץ את‬
‫כל המשתמשים בכך שנגיד להם שלא להשתמש‬
‫בהם‪ .‬הדבר היחיד שנדרש לבצע באופן שוטף‪ ,‬ללא‬
‫קשר ל – ‪ ,Flame‬הוא להיות מודע‪ .‬כלומר‪ ,‬שימו לב‬
‫שאינכם מעתיקים קבצים לא מוכרים מ – ‪Disk‬‬
‫‪ on Keys‬או מחשבים אחרים‪ ,‬לא פותחים דברי‬
‫דואר ממקורות שאינכן מכירים ולא מורידים תוכן‬
‫מאתרים שאינכם סומכים עליהם‪ .‬ד"א‪ ,‬האם ציינתי‬
‫שמערכות ההפעלה ‪ Linux‬ו – ‪ Mac OS X‬לא פגיעות‬
‫בפני ה – ‪?Flame‬‬
‫לסיכום‬
‫הנוזקה ‪ Flame‬עוררה "הד תקשורתי" תקשורתי‬
‫רב עקב סדרת אירועים שקרתה לאיראן‪ ,‬אולם‬
‫הסיכון האמיתי נמצא סביבנו בכל יום שאנחנו‬
‫נמצאים בסביבת מחשבים‪ ,‬טלפונים חכמים‬
‫וטאבלטים‪ ,‬היכולת האמיתית של ארגון להתמודד‬
‫עם איומים במימד הקיברנטי תהיה באותם איומים‬
‫חדשים ובלתי צפויים שיצוצו ובעיקר בגמישותם‬
‫של ארגונים ומערכות מידע להתמודד עימם בזמן‬
‫אמת‪.‬‬
‫‪ ,Structured‬כגון‪ ,SharePoint :‬הינה עצומה וגדלה‬
‫במהירות‪.‬‬
‫על פי גרטנר‪:‬‬
‫ •‪ 80%‬מהמידע הארגוני הינו ‪Unstructured‬‬
‫‪.Data‬‬
‫ •‪ Unstructured Data‬יגדל בחמש השנים‬
‫הבאות ב‪.650% -‬‬
‫בימינו‪ ,‬ידוע כי ארגונים משתפים מידע באופן‬
‫דיגיטלי‪ ,‬דבר אשר בא לידי ביטוי בתהליכים‬
‫עיסקיים בסיסיים ביותר ועד לתהליכים מורכבים‪,‬‬
‫וכל זאת‪ ,‬כדי להיות יעילים ותחרותיים ביותר‪.‬‬
‫ארגונים פועלים בצוותים מקצועיים ממחלקות‬
‫שונות‪ ,‬אשר ניגשים לסטים של משאבים‬
‫דיגיטליים‪ ,‬שאינם שייכים בהכרח למחלקה‬
‫האורגנית של כל אחד מן העובדים‪ .‬כמות‬
‫הקבוצות‪ ,‬בשילוב עם דרישות הניהול והאבטחה‬
‫ההולכות וגדלות‪ ,‬גורמת‪ ,‬באופן פרופורציונאלי‪,‬‬
‫לגידול מתמיד בכמות הסיפריות בשרתי הקבצים‬
‫והאתרים ב‪.Sharepoint -‬‬
‫כל מידע שכזה חייב להיות מוגן ומנוהל‪.‬‬
‫כדי להסביר את רמת הקושי בניהול מידע‪ ,‬להלן‬
‫מספר נתונים‪:‬‬
‫על כל ‪ 1TB‬של מידע‪ ,‬יש בממוצע‪ ,‬כ‪250,000 -‬‬
‫תיקיות‪ .‬אם נגיד שרק ל‪ 1% -‬מהן ישנן הרשאות‬
‫יחודיות (‪ ,)Unique permissions‬למרות שהממוצע‬
‫אף גבוה יותר‪ ,‬הרי של‪ 2,500 -‬תיקיות יש הרשאות‬
‫יחודיות‪ .‬עכשיו תכפילו את הנתון הזה במספר ה‪-‬‬
‫‪ TB‬של מידע שקיים בארגונכם‪.‬‬
‫ברור כי ברמת כאוס שכזה‪ ,‬אף אחד לא מנהל את‬
‫ההרשאות‪ ,‬לא מסיר הרשאות עודפות ולא מממש‬
‫את מדיניות אבטחת המידע בארגון‪.‬‬
‫הגנה על הנתונים נדרשת‪ ,‬על מנת לשמור על‬
‫הלקוחות של הארגון‪ ,‬עובדים‪,‬‬
‫שותפים עסקיים‪ ,‬ומשקיעים‪.‬‬
‫כמו כן‪ ,‬הגנה על הנתונים‬
‫הינה פעולה בסיסית וקריטית‬
‫לאבטחת הקניין הרוחני של‬
‫הארגון‪ ,‬להקניית יתרון תחרותי‬
‫ולשמירה על האמון בארגון‪,‬‬
‫הנדרשים לפעולה תקינה שלו‪.‬‬
‫הגנה וניהול המידע‪ ,‬בכל נפח‪,‬‬
‫דורשים טכנולוגיה‪ ,‬שנועדה‬
‫להתמודד עם היקף מידע‬
‫ההולך וגדל וכך גם סיבוכיות‬
‫מפת הקשרים וההרשאות‬
‫אליו‪.‬‬
‫לטובת ניהול מידע נכון‪ ,‬נדרשים הנתונים הבאים‪:‬‬
‫ •מידע על המשתמש והקבוצה – מה‪Active -‬‬
‫‪ Directory, LDAP, NIS, Sharepoint‬וכו'‬
‫‬
‫‬
‫•מידע לגבי ההרשאות – הבנה מלאה של מי‬
‫יכול לגשת‪ ,‬לאיזה מידע ובאיזה ספריות‪.‬‬
‫•תמונה ברורה של משתמשים‪ ,‬ספריות‬
‫וקשר ההרשאות ביניהם‪.‬‬
‫‬
‫‬
‫•פעילות גישה (‪)Auditing – Access Activity‬‬
‫– תמונת מלאה של גישה למידע ע"י כל‬
‫משתמש‪ ,‬מתי ומה נעשה במידע‪.‬‬
‫•המלצות לשיפור הרשאות במערכת‬
‫הקבצים‪.‬‬
‫‬
‫•בקרה ואמצעי תחקור על פעולות‬
‫המשתמשים במידע (‪.)Audit‬‬
‫‬
‫•איתור תוכן רגיש – תמונה מלאה של מיקום‬
‫המידע הרגיש והחשוב של הארגון‪ ,‬באילו‬
‫קבצים ולמי יש גישה למידע זה‪.‬‬
‫‬
‫•סימולציה של שינוי הרשאות ובחינתם מול‬
‫גישה בפועל‪.‬‬
‫‬
‫‬
‫•מנגנוני התראה על שימוש חריג‪.‬‬
‫ורוניס פיתחה פלטפורמה ויישומים לשליטה‬
‫ובקרה על המידע‪ .‬פתרון ורוניס מאחד את פרטי‬
‫המשתמשים עם מבנה מערכת הקבצים ומבצע‬
‫רישום מפורט של כלל אירועי הגישה‪ .‬פלטפורמה‬
‫זו מנתחת את הנתונים ומציגה את המידע‬
‫למנהלי ה‪ IT -‬ואבטחת המידע של הארגון‪ ,‬באופן‬
‫אינטרקטיבי ודינאמי‪.‬‬
‫בהתבסס המידע שנאסף‪ ,‬אלגוריתם חכם משכלל‬
‫את כלל הנתונים ומציג המלצות להרשאות נכונות‪,‬‬
‫על פי צרכי הארגון‪.‬‬
‫פתרונות ורוניס מסייעים באיתור בעלי המידע‬
‫בארגון‪ ,‬ומרגע שבעלי המידע מזוהים ומוגדרים‪,‬‬
‫הם מסוגלים לנהל את ההרשאות למידע‬
‫שבאחריותם‪ ,‬באמצעות ממשק אינטרנטי נוח‬
‫(‪ .)Web Interface‬ניהול זה מבוצע ע"י בעלי המידע‪,‬‬
‫ללא תקורות ‪ IT‬וללא צורך בפעולות ידניות ברקע‪,‬‬
‫כפי שמבוצע כיום או בפתרונות אחרים בתחום‪.‬‬
‫תוכנת ‪ DatAdvantage Varonis‬מספקת את‬
‫היכולות הבאות‪:‬‬
‫•זיהוי והשמת אחראים למידע (‪.)Data Owners‬‬
‫ורוניס מספקת אמצעים לצמצום הרשאות‬
‫עודפות ומניעת חשיפה מיותרת למידע‪ .‬בהתבסס‬
‫על ניתוח מודל השימוש‪ ,‬האפליקציה מספקת‬
‫המלצות לאילו משתמשים יש גישה לגיטימית‬
‫למידע ולמי יש הרשאות עודפות‪ ,‬שכדאי‬
‫לצמצם‪.‬‬
‫חבילת ה‪ Data Governance -‬של ורוניס מציגה‬
‫נתונים‪ ,‬ללא תלות בגודל הארגון ובהתאם לצרכיו‬
‫ודרישותיו‪ .‬כל זאת באמצעות תשתית מחשוב‬
‫סטנדרטית‪ ,‬גם כאשר המורכבות בין היישויות‬
‫גדלה ומסתעפת בכל יום‪.‬‬
‫פלטפורמות מידע חדשות‪ ,‬שעתידות לקום‬
‫בארגון‪ ,‬יוטמעו גם הן לתוך מערכת ורוניס‪,‬‬
‫בלחיצת כפתור‪ ,‬כאשר טובת הניהול וההגנה על‬
‫המידע הארגוני יובאו לידי ביטוי בתועלות וביעילות‬
‫שהיא מאפשרת‪.‬‬
‫| גיליון ‪ | 2‬יוני ‪2012‬‬
‫‪21‬‬
‫תוכנות ריגול‬
‫מה המשמעות החוקית של העניין?‬
‫כיום‪ ,‬החוק בארץ עדיין לא מטפל בצורה מפורשת ברוגלות‪ ,‬אך ישנם‬
‫מגוון חוקים שמתייחסים בעקיפין להתקנת תוכנות מזיקות ללא ידיעת‬
‫בעל המחשב‪ ,‬כאשר העונשין על עבירה זו היא עד ‪ 5‬שנות מאסר‪.‬‬
‫כולנו זוכרים את המקרה המפורסם שסוף סוף‬
‫הגיע לכותרות בארצנו הקטנה‪ :‬פרשת הסוס‬
‫הטרויאני‪ .‬מדובר במקרה הראשון (הגלוי) של‬
‫ריגול תעשייתי ממוחשב‪ ,‬מתוצרת כחול לבן‪.‬‬
‫וזה היה עניין של זמן עד שפרשה כזו תתפוצץ‪,‬‬
‫אך אף אחד לא ציפה לסדר גודל שכזה‪ .‬אבל‬
‫העצוב בסיפור‪ ,‬הוא שבארצנו הקטנה‪ ,‬ישנה‬
‫נטייה של לעבור על סדר היום מהר מדי‪ ,‬ולשכוח‬
‫מהאירועים של אתמול‪ ,‬במטרה לפנות זמן‬
‫לאירועים החדשים‪ .‬וזה מתבטא לעתים גם‬
‫בהפקת הלקחים‪ ,‬מהאירועים שאירעו‪.‬‬
‫אז מהי בעצם תוכנת ריגול?‬
‫מדובר בתוכנה זדונית הידועה בשמה המקצועית‬
‫כ‪ ,Spyware-‬ובעברית כרוגלה‪ .‬מדובר בתוכנה‬
‫שמטרתה לנטר וליירט אחר פעילות מסוימת‬
‫במחשב בו התוכנה הותקנה‪ ,‬להעביר מידע‬
‫לשולחה ולבצע פעולות שונות‪ ,‬באופן עצמאי או‬
‫מונחה‪ .‬בדרך כלל פעילות זו מתבצעת בחשאי‪,‬‬
‫ללא ידיעת המשתמש (הקורבן)‪.‬‬
‫לרוב‪ ,‬הרוגלה מותקנת\מושתלת במחשבי‬
‫הקורבנות תוך שימוש בתחבולה עתיקת יומין‬
‫הידועה כשימוש בסוס טרויאני‪.‬‬
‫ישנו מגוון רחב של תוכנות זדוניות מסוג זה‪ ,‬אשר כל‬
‫תוכנה מגיעה עם תכונות מסוימות‪ ,‬בהתאם למטרתו‬
‫של היוצר‪ .‬לאחר התקנתה החשאית במחשב‪,‬‬
‫פועלת הרוגלה באופן עצמאי ואוטומטית‪ ,‬בצורה‬
‫חשאית ועצמאית לניטור פעילות המחשב ויירוט‬
‫כל מידע העובר במחשב‪ .‬כמו כן‪ ,‬יתכן גם שהרוגלה‬
‫תאפשר ליוצר שלה לשלוט על המחשב בוא היא‬
‫מותקנת וזאת‪ ,‬כאמור‪ ,‬באופן חשאי ומבלי שבעלי‬
‫המחשב או המשתמש במחשב‪ ,‬ידעו על כך‪.‬‬
‫פנים רבות לריגול‬
‫כיום‪ ,‬תהליכי הריגול נהיו מתוחכמים יותר‪ ,‬ובעידן‬
‫הדיגיטלי‪ ,‬כמעט ואין מערכת דיגיטלית כלשהי‪,‬‬
‫‪22‬‬
‫גיליון ‪ | 2‬יוני ‪| 2012‬‬
‫שאינה חשופה לסיכון של ריגול‪ .‬אנו עדים‬
‫לתוכנות ריגול בפלאפונים החכמים‪ ,‬במחשבים‬
‫(בעזרת תוכנות מחשב)‪ ,‬ואף בהתקני חומרה‬
‫(‪.)Keylogger‬‬
‫הדרך הנפוצה ביותר היא ע"י שימוש בתוכנות‬
‫מחשב‪ ,‬אם כי‪ ,‬לאחרונה‪ ,‬אנו עדים לעלייה בכמות‬
‫מקרי האזנה דרך טלפונים חכמים‪.‬‬
‫‪ .‬גשהרוגלה מסוגלת לגרום נזק למחשב או לשבש‬
‫את פעולתו‪.‬‬
‫‪.‬אייצרה מידע שעלול להטעות את המשתמשים בו‪.‬‬
‫במקרה ובו מתברר לנו כי מערך המחשוב שלנו‬
‫נחשף לפעילות ריגול כלשהי‪ ,‬ראשית יש להכין‬
‫רשימה של כל אלה המעורבים באופן ישיר‬
‫ועקיף בפעילות הריגול‪ ,‬כגון יצרן התוכנה (שבה‬
‫השתמשו)‪ ,‬משווקי התוכנה‪ ,‬אלה שעשו שימוש‬
‫בתוכנה‪ ,‬אלה שהזמינו את השימוש בתוכנה ואלה‬
‫שעשו שימוש במידע שנוטר וייורט באמצעות‬
‫התוכנה‪.‬‬
‫באמצעות חוק הגנת הפרטיות התשמ"א‪1981-‬‬
‫וחוק האזנת סתר התשל"ט‪ ,1979-‬עלולים‬
‫המעורבים בפעילות הריגול להשתכן חמש שנים‬
‫בכלא‪ ,‬באם יתברר כי מי מהם הטריד‪ ,‬העתיק‬
‫מידע חסוי‪ ,‬השתמש במידע ללא רשות‪ ,‬הפר‬
‫חובת סודיות‪ ,‬האזין‪ ,‬הקליט והעתיק ללא הסכמה‬
‫מידע שמקורו בתקשורת בין מחשבים‪ ,‬או התקין‬
‫את הרוגלה או עשה שימוש בה ו\או שימוש במידע‬
‫שיורט‪ ,‬או גילה את תוכנו לאחר‪ .‬סביר גם להניח כי‬
‫חלק מן המידע שנוטר ויורט על ידי הרוגלה מהווה‬
‫שימוש שלא כדין ביצירה המוגנת בזכויות יוצרים‪,‬‬
‫עבירה שדינה בין שלוש לחמש שנות מאסר על‬
‫פי פקוד זכות יוצרים‪.‬‬
‫במישור הפלילי‪ ,‬חוק העונשין‪ ,‬התשל"ז – ‪1977‬‬
‫מאפשר להרשיע בביצוע העבירה ולהעניש לא רק‬
‫את מבצע העבירה אלא גם על ניסיון‪ ,‬שידול‪ ,‬ניסיון‬
‫לשידול או סיוע לאותה עבירה‪ ,‬אלא אם כן נקבע‬
‫אחרת בחוק‪ .‬במישור האזרחי ניתן לקבל פיצוי גם‬
‫מאלה אשר בעקיפין אחראים לגרימת הנזק‪.‬‬
‫במסגרת ההליך האזרחי לפיצוי כספי ניתן לעשות‬
‫שימוש בעילות הנמצאות בחוקים הבאים‪:‬‬
‫במסגרת ההליך הפלילי‪ ,‬חוק המחשבים‬
‫התשנ"ה‪ ,1995-‬מקים סנקציה של ‪ 3‬שנות מאסר‬
‫באם יתברר כי‬
‫‪.‬אמי מן המעורבים בריגול שיבשו את פעולתו התקינה‬
‫של המחשב או הפריעו את השימוש בו‪.‬‬
‫שלנו‬
‫תקופת המאסר תגדל לחמש שנים במידה ויתברר כי‬
‫פעולת הרוגלה‪.‬‬
‫מה לעשות במקרה שיש חשד‬
‫לביצוע האזנה\פעילות ריגול?‬
‫העונשין – האם הפשע משתלם?‬
‫שלך‬
‫העבודה‬
‫‪.‬בחדרו‪ ,‬מחקו‪ ,‬שינו‪ ,‬שיבשו או הפריעו לתוכנה ו\או‬
‫מידע ממוחשב‪.‬‬
‫‪.‬במטרת הרוגלה לגרום לנזק למחשב או לשבש את‬
‫פעולתו‪.‬‬
‫לאחר שהרשימה הוכנה ניתן לנקוט נגד כל אחד‬
‫מהם‪ ,‬בהליכים פליליים ואזרחיים אשר בחלקם‬
‫תומצתו לרשימה המקוצרת הבאה‪.‬‬
‫הביטחון‬
‫חברת ייעוץ אובייקטיבית‬
‫מומחים לייעוץ וליווי פרויקטים בתחום אבטחת מידע‬
‫הגדרת אסטרטגיה‬
‫הכנת הארגון‬
‫ותפיסת ממשל לעמידה בדרישות‬
‫אבטחת מידע‬
‫רגולציה שונות‬
‫בארגון‬
‫אפיון דרישות‬
‫מערכת‪ ,‬כתיבה‬
‫וליווי במכרזים‬
‫בחירת טכנולוגיה‬
‫המתאימה ביותר‬
‫לארגון בתהליך‬
‫‪ RFP‬מסודר ושיטתי‬
‫ניהולי פרויקטים‬
‫אבטחת מידע‬
‫מורכבים‬
‫‪.‬אחוג המחשבים – המגדיר כעוולה נזיקית כל‬
‫הפרעה‪ ,‬שימוש‪ ,‬גזילה‪ ,‬מחיקה‪ ,‬שינוי ושיבוש‬
‫שלא כדין למחשב‪.‬‬
‫‪.‬בחוק עוולות מסחריות התשנ"ט‪ – 1999-‬במסגרת‬
‫גזל סוד מסחרי‪.‬‬
‫‪.‬גפקודת זכות יוצרים וחוק זכות יוצרים‪.‬‬
‫‪.‬גחוק הגנת הפרטיות ‪ -‬בגין מספר רב של עילות‪.‬‬
‫לתיאום פגישות וקבלת פרטים נוספים‪:‬‬
‫חייגו‪ :‬דני – ‪050-8266014‬‬
‫או בדוא"ל‪:‬‬
‫‪danny @ titans 2. com‬‬
‫| גיליון ‪ | 2‬יוני ‪2012‬‬
‫‪23‬‬
‫סיקור המפגש החודשי של האיגוד‬
‫במפגש החודשי של האיגוד‪ ,‬אשר התקיים‬
‫בתאריך ‪ ,22.04.2012‬הגיעו כ‪ 50-‬מקצועני‬
‫אבטחת מידע‪ ,‬אשר באו לשמוע את סגל המרצים‬
‫האיכותי שגייסנו לטובת המפגש‪ .‬המפגש עסק‬
‫בעיקר בתחום הסייבר‪ ,‬והדוברים הצליחו להלהיב‬
‫את קהל המשתתפים‪.‬‬
‫"אם אני יכול לחדור למערכי המחשוב של גופים‬
‫שונים במדינה‪ ,‬אז גם היריב יכול"‪ ,‬אמר תא"ל ניצן‬
‫נוריאל‪ .‬לדבריו‪" ,‬התשובה לשאלה למה זה עדיין‬
‫אל קרה‪ ,‬היא בשל החלטה של הצד השני‪ .‬היריב‬
‫אוסף יכולות בתחום הקיברנטי אט אט‪ ,‬והוא זה‬
‫שיחליט מתי לממשן"‪" .‬על המדינה להכריע בין‬
‫פגיעה בזכויות הפרט ובין יצירת מערכות הגנה‬
‫ל‪ .IT-‬אם תרצו להגן על מערכות ה‪ ,IT-‬אין לי‬
‫ברירה אלא להיכנס לקרביים שלהן ולפגוע‬
‫בפרטיות האזרחים והחברות העסקיות" ‪ ,‬אמר‬
‫נוריאל‪.‬‬
‫"הנחת העבודה שלנו היא שכל מה שאנו יודעים‬
‫לעשות‪ ,‬גם היריב יודע לעשות ‪ -‬לחדור למערכות‬
‫ה‪ IT-‬שלנו ולגרום נזק‪ .‬לצערי הרב‪ ,‬ב‪100%-‬‬
‫מהמקרים שבהם ניסינו לחדור למערכות מחשוב‬
‫של גורמים שונים במדינה‪ ,‬הצלחנו"‪ ,‬כך אמר תת‪-‬‬
‫אלוף (מיל") ניצן נוריאל‪ ,‬ראש המטה ללוחמה‬
‫בטרור במשרד ראש הממשלה‪.‬‬
‫לדבריו "אם אנו יכולים לחדור למערכי המחשוב‬
‫של גופים שונים במדינה‪ ,‬אז גם היריב יכול‪.‬‬
‫התשובה לשאלה למה זה עדיין לא קרה‪ ,‬היא‬
‫בשל החלטה של הצד השני‪ .‬היריב אוסף יכולות‬
‫בתחום הקיברנטי אט אט‪ ,‬והוא זה שיחליט מתי‬
‫לממשן"‪.‬‬
‫‪24‬‬
‫גיליון ‪ | 2‬יוני ‪| 2012‬‬
‫אפריל ‪2012‬‬
‫"האיום הקיברנטי הוא חשאי‪ ,‬ובמובן מסויים הוא‬
‫חמקמק" אמר נוריאל‪" .‬הוא יכול להתממש ולפעול‬
‫גם בשגרה‪ ,‬כשאין עימות"‪ .‬נוריאל ציין "מערכות‬
‫המחשוב במדינה ספגו מתקפות רבות במהלך‬
‫מבצע עופרת יצוקה והפשיטה על ספינת מרמרה‬
‫הטורקית‪" .‬בניגוד לעבר"‪ ,‬אמר‪" ,‬אדם בודד‬
‫יכול להביע את דעתו באופן חריף יותר מאשר‬
‫טוקבקים‪ ,‬והכל בעזרת מקלדת המחשב‪ ,‬והוא‬
‫יכול לבצע תקיפה ישירה על מערכות ה‪."IT-‬‬
‫לדבריו "הנחת העבודה שלנו‪ ,‬שאינה שלמה ולא‬
‫לגמרי נכונה ‪ -‬היא שהתשתיות הקריטיות שלנו‬
‫מטופלות‪ .‬יש גוף המטפל בעניין‪ ,‬יש הליכים‬
‫סדורים‪ ,‬אשר בוחנים את האיומים ואת הייחוסים‪.‬‬
‫האם אנו יודעים לשמור על כל מערכות ה‪ ?IT-‬לא‪,‬‬
‫אולם אנו יודעים על מה צריך לשמור"‪.‬‬
‫נוריאל "המחיש את החשיבות המצרפית של‬
‫מתקפות קיברנטיות באמצעות דוגמאות‪" :‬אם‬
‫מערך המחשוב של תעשיית החלב ייפרץ‪ ,‬לא‬
‫נשכב על הרצפה‪ ,‬מקסימום נקבל קלקול קיבה‪.‬‬
‫אם הנתונים הרפואיים שלנו בבתי החולים יימחקו‪,‬‬
‫הרופא לא יידע לאילו תרופות אנו אלרגיים ומה‬
‫סוג הדם שלנו‪ .‬אם תיהרס מערכת ה‪ IT-‬המטפלת‬
‫בגביה בעיריית תל אביב‪-‬יפו‪ ,‬נחוייב לשווא‪ .‬כל‬
‫התהליכים הללו לא ימוטטו את המדינה‪ ,‬אבל‬
‫המצרפיות שלהם עלול ליצור מסה קריטית‬
‫בעייתית‪ .‬טרור קיברנטי יודע לקעקע את שגרת‬
‫היומיום שלנו"‪.‬‬
‫הוא ציין כי בפני הגוף שבראשותו ובפני המדינה‬
‫ניצבות כמה דילמות‪ :‬מהי מידת האחריות של‬
‫המדינה על המחשב הנייד האישי של הפרט? מי‬
‫מממן את התקלות הנובעות מטרור קיברנטי?‬
‫כיצד המדינה מפצה על נזקים בעקבות הנחית‬
‫המטה לגוף עסקי להשבית את פעולתו כדי‬
‫להימנע מפגיעה של טרור מקוון? "והשאלה הכי‬
‫כבדה שאנו מתחבטים בה הכי הרבה‪ ,‬היא מהי‬
‫המסה הקריטית שתקבע שאנו כמדינה מצויים‬
‫תחת מתקפה ושתחייב תגובה"‪.‬‬
‫הוא ציין כי "לטעמי‪ ,‬ישראל צריכה להיות מובילה‬
‫עולמית בתחום עמדות הלבנה‪ ,‬כאלו שלא ניתו‬
‫יהיה לחדור דרכן ‪ -‬ואולם זה לא המצב"‪ .‬תחומים‬
‫נוספים הטעונים שיפור‪ ,‬ציין‪ ,‬הם יצירת תקינה‬
‫בתחום‪ ,‬וקיום מסודר של העברת ידע והפקת‬
‫לקחים בין גופים וארגונים שונים‪.‬‬
‫בהתייחסו להרתעה בעולם הטרור הקיברנטי‪,‬‬
‫אמר נוריאל כי "הרתעה גרעינית לא הייתה‬
‫קיימת בעולם בטרם ‪ .1945‬הרתעת הסייבר‬
‫טרם נולדה‪ ,‬אולם היא קרובה מאוד‪ .‬מה שקרה‬
‫בעשור האחרון בתחום באסטוניה ובגיאורגיה אלה‬
‫סתם משחקי בריונות שכונתית יחסית לפוטנציאל‬
‫הגלום במלחמת סייבר אמיתית‪ .‬הרתעה צריכה‬
‫להיות כזו שנדע לזהות במדויק מי התוקף ונוכל‬
‫להענישו‪ .‬אני מוכן להשקיע כסף רב כדי לשרוף‬
‫את המחשב של תוקפי‪ .‬בסופו של דבר‪ ,‬אם מישהו‬
‫ירצה לתקוף‪ ,‬ייתכן שהוא יכול לעשות זאת"‪.‬‬
‫"אנו קרובים לנקודה בציר הזמן בה יהיה על‬
‫המדינה להכריע"‪ ,‬אמר נוריאל‪" ,‬בין פגיעה בזכויות‬
‫הפרט ובין יצירת מערכות הגנה‪ .‬המדובר בשני‬
‫וקטורים סותרים‪ .‬אם אני רוצה להגן על מערכות‬
‫ה‪ ,IT-‬אין לי ברירה אלא להיכנס לקרביים שלהן‬
‫ולפגוע בפרטיות האזרחים והחברות העסקיות"‪.‬‬
‫אסטרטגיה‬
‫לאבטחת מידע‬
‫‪ IRA WINKLER‬הבעיות העיקריות‬
‫באבטחת המידע נובעות‬
‫הן במימד האנושי והן מהממד הטכנולוגי‪.‬‬
‫"המימד האנושי לא פחות חשוב מהמימד‬
‫הטכנולוגי"‪ ,‬אמר אירה‪ .‬תפקידו של מנהל‬
‫אבטחת המידע בארגון (‪ )CISO‬הינו בעיקר‬
‫שיווק ומכירות‪ ,‬ולא להסתגר בתוך חדר‬
‫שרתים רחוק מעיני הנהלת הארגון‪ .‬על‬
‫מנהל אבטחת המידע בארגון לאמץ מסגרת‬
‫לניהול סיכונים‪ ,‬ולשאוף שכל התהליכים‬
‫העסקיים בארגון‪ ,‬עוברים תהליך של הערכת‬
‫סיכונים‪ ,‬ושדרישות אבטחת המידע תואמות‬
‫לדרישות העסקיות‪ .‬אירה שיתף אותנו בידע‬
‫והניסיון הרב שצבר במשך השנים‪ ,‬בהיותו‬
‫יועץ עבור ארגונים גדולים ברחבי העולם‪,‬‬
‫ומסר את המסר הכי חשוב עבור ה‪CISO-‬‬
‫בארגון "‪...‬עליכם לנהל נכון את הסיכונים‬
‫בהיבטים של אבטחת מידע בארגון‪ ,‬וזה‬
‫חלק מתפקידו העיקרי של ה‪ ."CISO-‬עולם‬
‫הפשע עבר תהפוכות‪ ,‬והאיומים השתנו‪,‬‬
‫ונהיו מתוחכמים יותר‪ ,‬ולא ניתן יהיה לסגור‬
‫הרמטית את הארגון‪ ,‬ולכן חשוב‪ ,‬לנהל נכון‬
‫את הסיכונים ‪ ,‬ולהיות מודע לאילו סיכונים‬
‫הצלחנו למזער‪ ,‬ואילו סיכונים עדיין קיימים‪,‬‬
‫ולשים בקרות מפצות באותן מקומות‪.‬‬
‫דוד ממן‬
‫מאפייני התוקף בעידן‬
‫הסייבר והזן החדש‬
‫של ההתקפות‬
‫מייסד ו‪ CTO-‬של‬
‫חברת ‪.GreenSQL‬‬
‫מדובר במתקפות שכל הזמן הולכות‬
‫ונעשות מתוחכמות יותר‪ ,‬אמר דוד‪,‬‬
‫והוסיף כי "שרשרת האספקה בעולם הסייבר בנויה כבר על‬
‫אנשים מקצועיים ולא על ילדים בני ‪ .16‬האנשים שמפתחים הם‬
‫טכנולוגיים‪ .‬אנחנו מפתחים תוכנה וגם הם מפתחים תוכנה‪ .‬הוא‬
‫הוסיף‪ ,‬כי "יש קבוצה אחרת של פושעים שרוכשת את הכלים‬
‫האלה ומשתמשת בהם כדי לבצע גניבות‪ .‬כמובן שעבור זה צריך‬
‫שוק ויש הרבה מאוד מקומות באינטרנט בהם מציעים למכירה‪,‬‬
‫רוכשים‪ ,‬מייעצים ומוכרים שירותים‪ .‬זה מוכיח שיש צור בהגנה‬
‫רב שכבתית ובמעקב קבוע"‪.‬‬
‫כנגד מיתר המתקפות כיום בתחום הסייבר‪ ,‬צריכים לקבוע‬
‫אסטרטגיה נכונה לאבטחת מידע‪ .‬כיום ההתקפות סייבר נהיו‬
‫ממוקדות ומתוחכמות יותר‪ .‬האסטרטגיה צריכה להיות מורכבת‬
‫מכמה צעדיםץ‪" .‬קודם כל‪ ,‬צריך להגדיר מדיניות אבטחת מידע‬
‫ברורה ומקיפה ולא משנה אם מדובר במדינה‪ ,‬חברה או אדם‬
‫בודד‪ .‬צריך להגדיר מי יכול ומורשה להגיע ‪ ,‬לאן ולמה‪ ,‬ולהיצמד‬
‫לכך ולעשות זאת באופן פשוט וברור‪ .‬אמר‪" ,‬בנוסף‪ ,‬יש להסביר‬
‫את המדיניות‪ ,‬לוודא שמשתמשים בטכנולוגיה ועושים זאת‬
‫בתהליך העבודה השוטף‪ .‬גם בצבא וגם בבית הפרטי‪ ,‬למשל‪,‬‬
‫צריך לייצר רצף של הגנות שיעבדו ביחד‪ .‬זה מאוד חשוב‪ ,‬כי‬
‫ההתקפות כיום מאוד מורכבות‪ ".‬הוא הביא כדוגמה לכך את‬
‫‪" .STUXNET‬זו הפעם הראשונה שהיינו עדים לכך‪ ,‬שבמקום‬
‫לשלוח מטוסים כדי להפציץ השתמשו בתולעת כדי לעשות את‬
‫הנזק‪ ,‬וההצלחה הייתה כה כבירה"‪ ,‬אמר דוד‪.‬‬
‫תפיסה‬
‫חדשנית‪,‬‬
‫גיל קייני בעולם‬
‫מנכ"ל חברת ‪ TRINITY‬אבטחת‬
‫המידע‬
‫גיל קייני נתן סקירה על תפיסה חדשנית‪,‬‬
‫בעולם אבטחת המידע‪ ,‬ותיאר בעצם‬
‫את המענה ההולם כנגד מתקפות‬
‫הסייבר‪ ,‬והיא אבטחת מידע היברידית‬
‫(רב‪-‬שכבתית)‪ .‬גיל‪ ,‬דיבר על הנקודה‬
‫שבה יש צורך בהגנות רב שכבתיות"‪.‬‬
‫כל ההתקפות הפופולאריות האחרונות‬
‫היו מורכבות מכמה וקטורים‪ ,‬מה שהכי‬
‫מעניין הוא שכולן שוגרו באופן סימולטני‪.‬‬
‫כדי לדעת להגן כמו שצריך‪ ,‬צריך ללמוד‬
‫היטב את כל המאפיינים של העבודה‬
‫ברשת‪ ,‬כולל היישומים והשרתים עצמם‪,‬‬
‫אמר גיל‪.‬‬
‫הוא ציין שצריך לשנות את ההתייחסות‬
‫ואת הגישה‪" .‬צריך יותר ויותר לצאת‬
‫להתקפות נגד‪ .‬לא רק להסתכל על חורי‬
‫האבטחה‪ ,‬אלא לחשוף את המגבלות‬
‫של התוקפים‪ .‬יש לכך אפקט מאוד‬
‫משמעותי ויש לא מעט התקפות שניתן‬
‫לנטרל את המתקיף‪ ,‬עד כיבוי המחשב‬
‫שלו או עד שמצליחים לייאש אותו"‪,‬‬
‫סיכם גיל‪.‬‬
‫| גיליון ‪ | 2‬יוני ‪2012‬‬
‫‪25‬‬
‫מיינפריים ירוק והגנת הסביבה‬
‫המיינפריים עם המסך הירוק‬
‫מאז ומתמיד‪ ,‬מסכי השליטה במיינפריים היו‬
‫ונותרו מסכים הירוקים ‪ -‬שהציגו על המסך‬
‫טקסטים ו"גרפיקה" בצבע ירוק על גבי רקע‬
‫שחור (גרסת ה ‪ GUI‬של המיינפריים ‪Green -‬‬
‫‪.)User Interface‬‬
‫השימוש שנעשה ברקע שחור בתצוגת המסך‬
‫במקום שימוש ברקע לבן‪ ,‬הוריד משמעותית את‬
‫הקרינה שספגו עיני המתבונן במסך‪ ,‬והקטין את‬
‫צריכת החשמל של המסכים וקירורם‪.‬‬
‫עם זאת יש לרקע השחור על המסך נזק שולי‬
‫ שהרי הדפסה של תמונת מסך גרפית של‬‫המיינפריים‪ ,‬מכלה משאבי טונר ודיו רבים‪,‬‬
‫באשר הרקע מודפס בצבע שחור‪.‬‬
‫הנאלצות להתעכב ולהמתין‪ ,‬ניתן להעביר אותן‬
‫לביצוע על מחשב אחר‪ ,‬ללא עיכוב‪.‬‬
‫הפעילות הזו של ‪SYSPLEX Clustering‬‬
‫נעשתה תוך הפרדה לוגית משותפת של ‪LPAR‬‬
‫במחשבים‪.‬‬
‫לשימוש הזה ב ‪ ,LPAR‬ובמיוחד תוך‬
‫‪ Clustering‬של כמה מחשבים המחלקים‬
‫ביניהם את כל הסביבות יש כמה חולשות בהגנת‬
‫סביבת היצור‪ ,‬ונתייחס כאן ל ‪ 2‬מהן‪:‬‬
‫‪ .1‬הפרדת המידע‪.‬‬
‫‪ .2‬גישה לסביבת שונות מאותו חשבון משתמש‪.‬‬
‫המיינפריים מגן על הסביבה לאורך השנים‪,‬‬
‫מחשב אחד מרכזי שאינו מוחלף מדי שנה‬
‫חוסר השלכת פסולת תעשייתית ותורם‬
‫לאיכות הסביבה‪.‬‬
‫אבל השאלה שאנו רוצים להתייחס‬
‫אליה היא ‪ -‬כיצד המיינפריים מגן‬
‫על סביבת היצור?‬
‫בשנת ‪ ,1990‬במקביל לפעילותה של ‪IBM‬‬
‫להגנת הסביבה‪ ,‬הציעה ‪ IBM‬ללקוחותיה‬
‫לעשות שימוש משותף במשאבים הנפרדים של‬
‫מחשבי המיינפריים שיש לכל לקוח‪.‬‬
‫היא הכריזה על מוצר ‪ SYSPLEX‬אשר‬
‫מאפשר לכמה מחשבי מיינפריים לפעול כיחידת‬
‫אחת‪ ,‬במסגרת של ‪ CLUSTER‬משותף‪ .‬ה‬
‫‪ SYSPLEX‬הינו פתרון המאפשר לשתף‬
‫משאבים‪ ,‬ולחלק עומסים בין מחשבים שונים‪,‬‬
‫כך שאם לדוגמא אחד המחשבים מגיע למלוא‬
‫התפוקה‪ ,‬והוא נדרש לבצע משימות נוספות‬
‫‪26‬‬
‫גיליון ‪ | 2‬יוני ‪| 2012‬‬
‫נציין כי ניתן בהחלט להפריד פיזית את‬
‫מאגרי מידע ‪ -‬אם ניקח לדוגמא מחשב יצור‬
‫ומחשב פיתוח נפרדים שלא אוחדו באמצעות‬
‫‪ ,SYSPLEX‬כאשר שלכל מחשב יש מאגר‬
‫מידע פיזי ייעודי נפרד משלו‪.‬‬
‫בכל מקרה‪ ,‬ומכל סביבה אליה יבחר המשתמש‬
‫להיכנס באמצעות האפליקציה‪ ,‬המשתמש יכול‬
‫(במגבלות ההרשאות והכלים הקיימים לרשותו)‬
‫לגישת אל כל הדיסקים ולכל מאגרי המידע‬
‫והקבצים שלא נחסמו בפני החשבון‪.‬‬
‫בעיית הפרדת סביבות המידע‪.‬‬
‫המיינפריים כידוע הינו שרת ‪Data Center‬‬
‫מרכזי בתצורת "‪ ."All inclusive‬ככל שמדובר‬
‫במיינפריים‪ ,‬לא קיימות הפרדות של שרת‬
‫‪ ,Data Base‬או שרת ‪ ,Proxy‬ואף לא שרת‬
‫אפליקציות‪.‬‬
‫המידע אליו ניגש שרת המיינפריים נמצא‬
‫במארזי מידע ‪ Clusters‬בפני עצמם‪ ,‬אשר‬
‫מחולקים באופן לוגי‪-‬וירטואלי לכרכים של מידע‬
‫ ‪ .Volumes‬לכל ‪ VOLUME‬יש שם וניתן‬‫לקבוע לו גודל‪ ,‬ולנהל אליו הרשאות גישה‪ ,‬וכן‬
‫לקבוע מאפיינים מגבילים על קבצים שאפשר‬
‫לשמור בתוכו ‪ -‬לדוגמא קבצי ‪SYSTEM‬‬
‫בלבד‪ ,‬או קבצי מידע של ייצור‪ ,‬או קבצי מידע‬
‫של ניסוי‪.‬‬
‫הגישה הפיזית אל המידע מכל סביבות ה‬
‫‪ LPARS‬של המיינפריים הינה זהה‪ ,‬כך שבאופן‬
‫פיזי ומעשי יש גישה מסביבות היצור אל מידע‬
‫לקראת אירוע‬
‫הגנה אפקטיבית‬
‫בעיית יכולת הגישה לסביבת שונות‬
‫מאותו חשבון משתמש‪.‬‬
‫המשתמש בהתאם להגדרות יכול להיכנס בו‬
‫זמנית לכמה אפליקציות בסביבות שונות‪ ,‬או‬
‫להיכנס כל פעם לאפליקציה אחת בודדת‬
‫מחשב מיינפריים בודד מאפשר וירטואליזציה‬
‫של סביבות‪ ,‬הקרויות ‪LPAR (Logical‬‬
‫‪ )Partition‬אשר מאפשרות ניהול סביבות‬
‫מחשוב נפרדות שונות‪ ,‬באותו מעבד ובאותו‬
‫זיכרון ובאותו מחשב‪ .‬ההפרדה הלוגית‪-‬‬
‫וירטואלית הזו נחשבת עד היום למושלמת‬
‫ומאובטחת‪.‬‬
‫באופן טבעי‪ ,‬צרכי המחשוב גדלים מיום ליום‪,‬‬
‫וחברות מוצאות צורך הגדיל את כוח המחשוב‪,‬‬
‫ולשדרג את המחשבים שברשותן‪ ,‬כדי לעמוד‬
‫בדרישות הייצור‪.‬‬
‫הפרדת הסביבות הפיזיות על המידע הינה קשה‬
‫למימוש‪.‬‬
‫כאשר שרתי המיינפריים‪ ,‬אחד או יותר‪,‬‬
‫מחוברים זה אל זה באופן פיזי ו\או באמצעות‬
‫‪ ,SYSPLEX‬ניתן לאפשר לעובד העושה‬
‫שימוש בחשבון משתמש אחד‪ ,‬לגשת ולהזדהות‬
‫מול אפליקציות שונות בסביבת היצור‪ ,‬הפיתוח‬
‫והניסוי‪( .‬כגון אפליקציות ‪ VTAM‬של ‪Net-‬‬
‫‪Pass, CICS PROD, CICS TEST, CICS‬‬
‫‪ ,DEV‬או ‪ ROSCOE‬או ‪.)TSO‬‬
‫ומה ביחס להגנת הסביבה‬
‫של היצור במיינפריים?‬
‫ואם זו איננה הפרדה מספקת של סביבות‪,‬‬
‫הרי שחברות נוהגות להחזיק שרת מיינפריים‬
‫פיזי נוסף לצורכי גיבוי והתאוששות‪ ,‬כדי‬
‫לבצע בו פיתוח וניסויים‪ ,‬וכך גם להוריד עומסים‬
‫ממחשב היצור‪.‬‬
‫הבדיקות והפיתוח‪ ,‬ויש גישה מסביבות הניסוי‬
‫והפיתוח אל מידע הייצור‪ ,‬אשר כולל את המידע‬
‫החסוי‪ ,‬הפרטי והסודי של התאגיד או המוסד‬
‫המשתמש במיינפריים‪.‬‬
‫ככלל ניתן לומר ‪ -‬כי גם אם המשתמש אינו יכול‬
‫לבצע אפילו קריאה של המידע‪ ,‬הרי שעצם קיום‬
‫המידע בשמו המפורש גלוי בפניו‪ .‬את רשימת‬
‫הקבצים הקיימים‪ ,‬המשתמש יכול לראות בכל‬
‫מקרה‪ ,‬וגם אם אין לו גישה לתוכן הקובץ‪ ,‬ייתכן‬
‫שיש לו גישה להעתקים ו\או גזירות של הקובץ‪,‬‬
‫באמצעות יידע וכלים שונים העומדים לרשותו‪.‬‬
‫הבעיה נעשית רגישה יותר כאשר מדובר‬
‫במשתמש חוץ גופי‪ ,‬אשר נהנה מהרשאות גישה‬
‫למיינפריים‪.‬‬
‫בעיות אלו של הפרדת סביבות מהוות מכשול‬
‫ואתגר לא פשוט‪ ,‬כאשר נדרשים לציית לדרישות‬
‫המחוקק להגנה על מאגרי מידע‪ ,‬להגנה על‬
‫פרטיות‪ ,‬ולהגנה על נכסי המידע הרגישים‬
‫והיקרים של הארגון‪.‬‬
‫לסיכום‪:‬‬
‫נושא ההגנה על סביבת היצור בשרתי מיינפריים‬
‫הינו אתגר משמעותי‪ ,‬מורכב ובעייתי‪.‬‬
‫מפני תקיפות סייבר מתוחכמות‬
‫שיחה עם דני אברמוביץ‪ ,‬נשיא האיגוד הישראלי לאבטחת מידע (‪)ISSA‬‬
‫מהן הנקודות העיקריות בהם יעסוק הכנס‬
‫השנתי של האיגוד?‬
‫עיקר ההרצאות יעסקו בהתקפות סייבר‬
‫מתוחכמות המאיימות על ארגונים ברחבי העולם‪,‬‬
‫ונציג כמובן גם את שיטות ההגנה האפקטיביות‬
‫שארגונים יכולים ליישם בכדי להתמודד עם‬
‫התקפות אלה‪ .‬התוקפים הנדונים אינם תוקפים‬
‫אופורטוניסטיים‪ ,‬אלא תוקפים המכוונים לארגון‬
‫ספציפי ופועלים בשיטתיות להשגת מטרותיהם‪.‬‬
‫במהלך הכנס‪ ,‬נציג ניתוח של התקיפות שאירוע‬
‫לאחרונה ונמליץ על דרכי התמודדות‪.‬‬
‫בחזית הבטחונית ובחזית התשתיות הלאומיות‬
‫ישנם גופים הפועלים במרץ ליצור הגנה‬
‫אפקטיבית ובראשם צה"ל והרשות הממלכתית‬
‫לאבטחת מידע‪ .‬עם זאת‪ ,‬במגזר העסקי יש פער‬
‫גדול בנושא אבטחת הסייבר‪ ,‬הן בגלל המורכבות‪,‬‬
‫המגוון והשוני של החברות במשק‪ ,‬הן בגלל היעדר‬
‫הידע‪ ,‬כלים וסטנדרטים אחידים שיכולים להנחות‬
‫חברה בתהליך אבטחת הסייבר ובעיקר עקב‬
‫הפער במודעות לעוצמת האיום‪.‬‬
‫על כן‪ ,‬תהליך ההיערכות מול מתקפות סייבר צריך‬
‫לכלול ניתוח של הסיכונים לחברה‪ ,‬תכנון ויישום‬
‫ארכיטקטורה נכונה‪ ,‬הטמעת מנגנוני הגנה ובקרה‬
‫ומעקב רציף אחר הפעילות‪ .‬מנגנון מרכזי בכל‬
‫היערכות הוא ניהול אפקטיבי של מערך אבטחת‬
‫המידע הקיים בארגון‪.‬‬
‫האם הארגונים מבינים מה עליהם לעשות‪,‬‬
‫וכיצד להיערך לקראת מתקפות סייבר?‬
‫האם לדעתך מדינת ישראל ערוכה לקראת‬
‫מלחמת סייבר?‬
‫השאלה קצת כללית מדי‪ ,‬וצריכים לעשות הפרדה‬
‫בין מוכנות ברמה מדינית (תשתיות קריטיות)‬
‫ומוכנות של המגזר הפרטי‪-‬עסקי‪ .‬מלחמת סייבר‬
‫היא אך מצב אחד מבין מגוון רחב של רמות‬
‫העימות עימם מתמודדת וצפויה להתמודד מדינת‬
‫ישראל‪ ,‬כאשר מלחמה היא עימות בעצימות‬
‫הגבוהה ביותר‪ .‬המצב הצפוי יותר‪ ,‬וזה המתרחש‬
‫כבר כיום‪ ,‬הוא זה של רצף התקפות ברמות‬
‫התחכום השונות‪ ,‬המנסות לפגוע במגוון מוקדים‬
‫ישראליים = ביטחוניים‪ ,‬כלכליים‪ ,‬תדמיתיים ועוד‪.‬‬
‫ההגנה במרחב הסייבר היא אחד האתגרים‬
‫המורכבים העומדים בפני מדינת ישראל‪ ,‬כאשר‬
‫התמודדות זו מתרחשת במספר חזיתות‪ ,‬ביניהן‬
‫החזית הביטחונית‪ ,‬חזית התשתיות הלאומיות‬
‫הקריטיות וחזית המגזר העסקי‪.‬‬
‫הפיזי‪ ,‬כך שכיום ניתן‪ ,‬לדוגמה‪ ,‬לפגוע בפס הייצור‬
‫של מפעל באמצעות תקיפת סייבר מול מערכות‬
‫השליטה ובקרה שלו‪.‬‬
‫כיצד על המגזר העסקי להיערך לקראת‬
‫מתקפת סייבר?‬
‫בכדי להיערך אל מול התקפות סייבר‪ ,‬המנהלים‬
‫במגזר העסקי צריכים ראשית כל להבין את רמת‬
‫האיום הניצב מולם‪ .‬כיום‪ ,‬תשתיות המידע מהוות‬
‫מרכיב קריטי בפעילותה של כל חברה‪ ,‬על כן‬
‫פגיעה בזמינותן‪ ,‬אמינותן או סודיות המידע המצוי‬
‫בהן עלולה לשבש באופן מהותי פעילות זו‪ .‬יתר‬
‫על כן‪ ,‬בשנים האחרונות אנו עדים ליותר ויותר‬
‫מתקפות היוצאות מעולם הסייבר אל העולם‬
‫חברות רבות עושות את הטעות הקלאסית של‬
‫התייחסות להתקפות מתמשכות ומתקדמות‬
‫(‪ )APT‬כאל תקרית חד‪-‬פעמית‪ ,‬הכוללת ניצול‬
‫פרצה והדבקה בסוס טרויאני או תולעת‪,‬‬
‫שלאחריה מבצעת החברה תהליך ניקוי והחזרת‬
‫המצב לקדמותו‪ .‬בעשותן כך‪ ,‬הן מתעלמות‬
‫מהעובדה שהתקפות ‪ APT‬היום הינן סדרה של‬
‫מאמצים משולבים שמטרתם לייצר דריסת רגל‬
‫במערכות הארגוניות למטרות טרור‪ ,‬פשע‪ ,‬ריגול‬
‫תעשייתי ועוד‪.‬‬
‫החברות חייבות להבין כי התקפות ‪ APT‬מתרחשות‬
‫לכל אורך "מחזור החיים" של ההדבקה ולכן יש‬
‫למגר אותם עוד בשלב ה‪ - exploit-‬לפני שהתוקף‬
‫הצליח ליצור "חור" בחומת ההגנה הארגונית‬
‫ולהקים לעצמו ערוץ תקשורת חשאי עם הסודות‬
‫הכי כמוסים שלכם‪...‬‬
‫אנו מזמינים אתכם להגיע לכנס‪ ,‬ולהעשיר את הידע במגוון נושאים מקצועיים הקשורים לעולם הסייבר ודרכי התמודדות‪.‬‬
‫| גיליון ‪ | 2‬יוני ‪2012‬‬
‫‪27‬‬
‫‪10‬‬
‫‪3‬‬
‫עשרת הדיברות‬
‫(‪)Business Owners‬‬
‫להכנת תוכנית לביצוע מבדקי חוסן‬
‫עבור הארגון שלכם‬
‫מטרת ביצוע מבדק חוסן‪ ,‬היא‬
‫לא לסרוק את הרשת‪ ,‬ולמצוא‬
‫חורי אבטחה‪ ,‬אלא לבחון את‬
‫האפקטיביות של הבקרות‬
‫הקיימות (שהוטמעו) וגם לתת‬
‫מענה לדרישות עסקיות שונות‬
‫(כגון רגולציות)‪.‬‬
‫אז למה בעצם אנו צריכים לבצע‬
‫מבדקי חוסן? והאם זה חובה? או‬
‫צורך עסקי? ואם כן‪ ,‬של מי הצורך?‬
‫של מנהל אבטחת המידע בארגון‪,‬‬
‫ו\או של הנהלת הארגון?‬
‫בין אם אנו מבצעים את המבדק‬
‫בעצמנו (ע"י מומחים מתוך הארגון)‬
‫ובין אם אנחנו מבצעים את המבדק‬
‫ע"י מומחים חיצוניים (חברות‬
‫ייעוץ)‪ ,‬האם המטרה העיקרית היא‬
‫לעמוד בדרישות רגולציה שונות‪,‬‬
‫שמחייבות אותנו בביצוע הבדיקות‪,‬‬
‫או האם אנחנו מחפשים לייעל את‬
‫רמת האבטחה שלנו‪ ,‬ע"י בדיקת‬
‫האפקטיביות של הבקרות הקיימות‪,‬‬
‫וכמובן‪ ,‬שיפורן?‬
‫ערכנו מחקר קצר מבין חלק‬
‫מחברות הייעוץ המתמחות בארץ‪,‬‬
‫במטרה לבנות את המדריך‬
‫האולטימטיבי לביצוע מבדקי חוסן‬
‫עבור הארגון‪ ,‬כך שנוכל להפיק‬
‫תועלת מבחינת אורך זמן הבדיקה‪,‬‬
‫עלויות‪ ,‬וכמובן משאבים נוספים‪.‬‬
‫כמובן‪ ,‬שלא היה שום מחנה משוף‬
‫בין התשובות שקיבלנו‪ ,‬אבל החלטנו‬
‫לבנות לכם מדריך אובייקטיבי‪ ,‬אשר‬
‫יענה לדרישות של כל ארגון‪ ,‬באשר‬
‫הוא‪.‬‬
‫‪28‬‬
‫היפים הבאים‪ ,‬מטרתם היא לסייע‬
‫לכם להבין היטב את המטרות‬
‫ואת היעדים של המבדק‪ ,‬לפתח‬
‫אסטרטגיה נכונה ויעילה‪ ,‬לעשות‬
‫שימוש נכון במשאב האנושי בתוך‬
‫הארגון‪ ,‬וכמובן‪ ,‬האחרון‪ ,‬אבל לא‬
‫פחות חשוב‪ :‬להיעזר בממצאים‬
‫של הדוחות על מנת לייעל‪ ,‬ולשפר‬
‫באופן תמידי את רמת אבטחת‬
‫המידע בארגון‪.‬‬
‫גיליון ‪ | 2‬יוני ‪| 2012‬‬
‫‪1‬‬
‫הגדרת מטרות (עסקיות)‬
‫כעקרון‪ ,‬כל פעילות שמתבצעת בארגון בנושא אבטחת‬
‫מידע‪ ,‬מטרתה היא להגן על נכסי הארגון‪ .‬כאשר‪ ,‬אתם‬
‫הולכים לבצע מבדק חוסן‪ ,‬אתם בעצם מנסים להיכנס‬
‫לנעליו של התוקף (האקר)‪ ,‬ומנסים למצוא את כל חורי‬
‫האבטחה (פגיעויות) בארגון‪ ,‬ולנצל אותם (תקיפה)‪,‬‬
‫במטרה להגדיר את רמת הסיכון של אותם נכסים‬
‫העלולים להשפיע על הארגון באם ייפגעו‪ ,‬ולבסוף‪,‬‬
‫למסור דו"ח המלצות לתיקון ושיפור רמת האבטחה‬
‫בהתאם לממצאים‪ .‬חשוב להבין‪ ,‬שמטרתם העיקרית‬
‫של התקוף (האקר) היא לגנוב מידע ‪ -‬השיטות בהן הם‬
‫עושים שימוש‪ ,‬זה רק אמצעים‪.‬‬
‫ולכן‪ ,‬גם המטרה של ביצוע מבדקי חוסן‪ ,‬זה לא לבחור‬
‫את הכלים המגניבים ביותר לביצוע התקיפה‪ ,‬אלא‬
‫למצוא את אותן הנקודות בהן הארגון פגיע‪ ,‬וניתן‬
‫לתקוף אותו‪ ,‬הן מבחוץ‪ ,‬והן מבפנים‪.‬‬
‫ולכן‪ ,‬ישנה חשיבות רבה‪ ,‬בהגדרת מטרות הבדיקה‪,‬‬
‫ואת התחולה‪ .‬לא די בלהגיד שמצאת שרת עם פורט‬
‫‪ 80‬פתוח‪ ,‬ושתקפתם או שאפשר לתקוף את השרת‪...‬‬
‫אך‪ ,‬חשוב להבין‪ ,‬מה זה אומר מבחינת העסק? מה‬
‫ההשלכות על הארגון‪ ,‬כתוצאה מתקיפת השרת הזה?‬
‫מטרת המבדק חוסן היא גדולה ורחבה יותר מאשר‬
‫לסרוק את הרשת אחר פגיעויות (‪Vulnerability‬‬
‫‪,)Assessment‬אלא זהו רק תהליך אחד קטן‪ ,‬מתוך‬
‫תוכנית פעולה רחבה יותר‪.‬‬
‫מבדק חוסן הינו אחד הכלים החשובים ביותר‪,‬‬
‫בממשל אבטחת מידע‪ ,‬והוא בעצם מאפשר לנו‪,‬‬
‫לבחון את מדיניות אבטחת המידע שהארגון קבע‬
‫לעצמו‪ ,‬ואת האפקטיביות של הבקרות והטכנולוגיות‬
‫הקיימות בארגון‪ .‬הארגון שלכם משקיע לא מעט כסף‬
‫במוצרים ופתרונות אבטחת מידע‪ ,‬בתהליכי עבודה‬
‫(התקנת טלאים והקשחות לתחנות ושרתים)‪ ,‬וכדומה‪,‬‬
‫והנהלת הארגון‪ ,‬צריכה לדעת שזה באמת עובד‪ ,‬ולא‬
‫נזרק כסף לשווא‪.‬‬
‫אחת המטרות של המבדק חוסן‪ ,‬היא בעצם לדמות‬
‫את התנהגותו של התקוף‪ ,‬ולנסות לעקוף או "לנטרל"‬
‫את הבקרות הקיימות בארגון‪ .‬זה בעצם מציג לארגון‬
‫תמונת מצב מבחינת עלות‪-‬תועלת של הבקרות‬
‫שנרכשו‪ ,‬האם הן יעילות‪.‬‬
‫ולכן‪ ,‬המטרה העיקרית היא לא רק לעמוד ברגולציות‬
‫שמחייבות זאת‪ ,‬כגון ‪ ,PCI‬אלא גם לבחון את רמת‬
‫האבטחה הקיימת של הארגון‪ ,‬ולנקוט בכל האמצעים‬
‫שנדרשים על מנת לשפר אותה‪.‬‬
‫חשוב לדבר עם בעלי‬
‫המערכת‬
‫‪2‬‬
‫להלן עשרת הדיברות‬
‫תמקד את המטרה‬
‫של הבדיקה‬
‫רוב הארגונים בארץ ובעולם סובלים מבעיות‬
‫תקציב ומשאבים לביצוע מבדקי חוסן‪ ,‬וזה לא‬
‫משנה באם המבדקים נעשים ע"י עובדים מתוך‬
‫הארגון‪ ,‬או חברות ייעוץ חיצוניות‪ .‬אי אפשר‬
‫להתפזר‪ ,‬ולנסות לבצע מבדקי חוסן על כל הארגון‬
‫(מדובר על ארגוני ‪ ,)Enterprise‬אלא חשוב למקד‬
‫את המטרה‪ ,‬בנקודות הקריטיות בארגון‪ .‬כאן‪ ,‬אולי‬
‫יש מקום לבצע על כל הארגון‪ ,‬תהליך של סקירת‬
‫פגיעויות (‪ ,)Vulnerability Assessment‬שגם תהליך‬
‫זה גוזל לא מעט משאבים במונחים של כסף‪ ,‬זמן‬
‫וכח אדם‪.‬‬
‫וגם לא מומלץ לתת להאקר להסתובב לכם חופשי‪,‬‬
‫בכל הרשת‪ .‬תמיד עדיף למדר אותו‪ ,‬לתחולה‬
‫מצומצמת‪ ,‬לאזורים שיותר רגישים‪ ,‬ולכן הבדיקה‬
‫תהיה יותר יעילה מבחינת עלות‪-‬תועלת‪ .‬אז לפני‬
‫שמגדירים את התחולה של הפרויקט‪ ,‬עליכם‬
‫לקחת צעד אחורה‪ ,‬ולשאול את עצמכם‪ :‬על מה אני‬
‫מנסה להגן? איזה נכסי מידע קריטיים יש לנו בתוך‬
‫הארגון? האם זה כרטיסי אשראי‪ ,‬סודות מסחריים‪,‬‬
‫מידע רגיש מבחינת צנעת הפרט וכדומה? איפה‬
‫נמצאים כל נכסי המידע הקריטיים שמיפינו? האם‬
‫בכלל אתם מודעים לכל נכסי המידע הקריטיים‬
‫שיש לכם בארון? אולי אתם לא יודעים‪ ,‬אבל ישנו‬
‫סיכוי‪ ,‬שהתוקף‪ ,‬ברגע שיצליח לחדור לארגון‪ ,‬ימצא‬
‫אותם‪.‬‬
‫ולכן‪ ,‬השלב העיקרי בתכנון מבדק חוסן‪ ,‬הוא‬
‫לצמצם את הטווח של הבדיקה‪ ,‬ולמקד אותו רק‬
‫לאותה תחולה שהיא רגישה מבחינת החברה‪.‬‬
‫המטרה שלנו היא למפות איזה מידע\נכסים‬
‫קריטיים יש לנו בתוך הארגון‪ ,‬והיכן הם נמצאים‪.‬‬
‫לאחר מכן‪ ,‬זהו תפקידו של התוקף (האקר) לנסות‬
‫ולהבין כיצד הוא יכול לתקוף את הארגון ולגנוב את‬
‫המידע‪.‬‬
‫ושוב‪ ,‬חשוב לציין‪ ,‬שהמטרה של לדמות תוקף‬
‫מבחוץ‪ ,‬צריכה להיות גם כן ממוקדת‪ ,‬ותפקידו של‬
‫התוקף היא לא למצוא את כל בעיות האבטחה‬
‫האפשרויות של הארגון (לפחות לא בתוך מבדק‬
‫אחד)‪ ,‬אלא להתמקד באותה תחולה שהוגדרה ע"י‬
‫החברה (הלקוח)‪.‬‬
‫האנשים שמכירים הכי טוב את מהות העסקת‬
‫בארגון‪ ,‬הם יהיו גם אלו שיתנו לך מענה הולם‬
‫לשאלות שקשורות למיפוי נכסי המידע בארגון‪,‬‬
‫מהי רמת הסיווג והקריטיות של נכס‪ ,‬איפה‬
‫הנכסים נמצאים‪ ,‬מי עושה או אמור לעשות‬
‫בהם שימוש‪ ,‬ואיזה ממשקים יש לתוך או מחוץ‬
‫למערכות הללו‪ .‬הם יהיו האנשים הנכונים אשר‬
‫יידעו לומר לך בדיוק אילו מערכות הן קריטיות‬
‫עבור הארגון‪ ,‬ואיפה המידע הרגיש נמצא‪.‬‬
‫חשוב להתייחס למצב האמיתי‪ ,‬שבו למשל‪,‬‬
‫לתוקף חיצוני‪ ,‬אין מידע כלל או מידע מוגבל‬
‫על הארגון‪ ,‬למשל‪ ,‬רק כתובת ‪ IP‬חיצונית‬
‫של הארגון‪ .‬התוקפים יכולים להיות עובדים‬
‫לשעבר של הארגון‪ ,‬או לעבוד עבור שותפים‬
‫או ספקי שירות כך שיהיה להם מידע פנימי‬
‫רב אודות מבנה הארגון בכלל‪ ,‬ומבנה הרשת‬
‫בפרט‪ .‬התוקפים יכולים להיות עובדים מתוך‬
‫הארגון‪ ,‬למשל‪ ,‬מנהל רשת או מנהל בסיסי‬
‫נתונים (‪ )DBA‬עם הרשאות גבוהות למערכות‬
‫הקריטיות של הארגון‪ ,‬ולכן הוא גם יודע בוודאות‬
‫היכן נמצא המידע הקריטי‪.‬‬
‫ע"י תשאול בעל המערכת‪ ,‬אתה יכול ללמוד‬
‫הרבה מאוד על רמת הסיכון שקשורה למערכת‬
‫ספציפית‪ ,‬מה הערך של אותה מערכת‪ ,‬ומה הם‬
‫הנכסים הקריטיים שמושפעים מאותו סיכון‪.‬‬
‫ולכן חשוב‪ ,‬למפות מספר פרופילים של‬
‫תוקפים‪ ,‬ולאחר מכן לנסות לקחת בחשבון‪,‬‬
‫מספר פרמטרים נוספים כגון‪ :‬מניע‪ ,‬יכולות‪,‬‬
‫נגישות‪ ,‬הזדמנויות וכדומה‪.‬‬
‫עליך להגדיר את התחולה שכוללת את כל‬
‫הנכסים הקריטיים והתהליכים העסקיים‬
‫החשובים בארגון‪ .‬ניתן לעשות סיור מוחות עם‬
‫צוותי עבודה שכוללים בין היתר את הנהלת‬
‫הארגון ומומחים לביצוע מבדקי חוסן‪.‬‬
‫מניע ‪ -‬המניע הינו אחד הפרמטרים החשובים‬
‫ביותר שמצריך התייחסות‪ ,‬בעת בניית פרופיל‬
‫תוקף‪.‬‬
‫במהלך הסיור מוחות‪ ,‬חשוב להגדיר כמה‬
‫שיותר תרחישי אסון‪ ,‬ואף ללכת על המקרה הכי‬
‫גרוע‪ .‬תשאלו את הנהלת הארגון מה המקרה‬
‫הכי גרוע שיכול לקרות כתוצאה מתקיפת‬
‫מערכת מסוימת? מטרת הסיור מוחות כאן היא‬
‫לאתר את המערכות הקריטיות ביותר בארגון‪,‬‬
‫ולהתמקד עליהן‪.‬‬
‫‪4‬‬
‫‬
‫•האם התוקף מעוניין לגנוב סודות‬
‫מסחריים‪ ,‬זכויות יוצרים‪ ,‬או פטנטים עבור‬
‫המתחרים?‬
‫‬
‫•האם המניע של התוקף היא דווקא‬
‫פוליטית‪ ,‬או אידיאולוגית‪ ,‬וכל מטרתו היא‬
‫לגרום נזק תדמיתי או לפגיעה בחברה‪,‬‬
‫ולא משנה מה המחיר לכך?‬
‫‬
‫•האם התוקף הינו עובד פנימי ממורמר או‬
‫עובד לשעבר‪ ,‬שפוטר?‬
‫התאימו את סוג הבדיקות‬
‫לפי רמת הסיכון‬
‫בעצם‪ ,‬מה שיקבע את סוג וגודל הבדיקה‪ ,‬זה‬
‫הערך של הנכס ורמת הסיכון שקיימת על אותו‬
‫הכנס‪ .‬לנכסים עליהם יש רמת סיכון נמוכה‬
‫ ניתן לבצע סקרי פגיועיות (‪Vulnerability‬‬‫‪ )Assessment‬שזו יכולה להיות בדיקה מקיפה‬
‫וכדאית מבחינת עלות‪-‬תועלת‪ .‬נכסים עליהם‬
‫יש רמת סיכון בינונית ‪ -‬מחייבים כבר התייחסות‬
‫מעמיקה יותר‪ ,‬ולכן‪ ,‬כאן יתאים שילוב של סקרי‬
‫פגיעויות יחד עם חקר פגיעויות ידנית והתייחסות‬
‫לכל ממצא‪ .‬וכמובן‪ ,‬עבור נכסים עליהם יש‬
‫רמת סיכון גבוהה‪ ,‬תאלצו לבצע מבדקי חוסן‬
‫מלאים‪.‬‬
‫‪5‬‬
‫‬
‫•האם התוקף מעוניין בגניבת כרטיסי‬
‫אשראי ו\או מידע רגיש אחר שיוכל למכור‬
‫אותו ברשת‪ ,‬ולהפוך את זה לתזרים‬
‫מזומנים?‬
‫יש צורך לפתח פרופילים‬
‫לפי סוגי תוקפים שונים‬
‫המומחים אשר יבצעו את מבדקי החוסן‪ ,‬יצטרכו‬
‫לדמות את ההאקרים‪ ,‬ולכן יצטרכו לחשוב כמו‬
‫האקרים‪ ,‬ולפעול כמו האקרים‪ .‬הבעיה היא‬
‫שהאקרים זאת קטגוריה רחבה מדי‪ ,‬וישנם יותר‬
‫מדי סוגים של האקרים‪ ,‬ולכן יש צורך בבניית‬
‫פרופילים לתוקף‪ ,‬מבחינת יכולות‪ ,‬נגישות‪,‬‬
‫כלים‪ ,‬והזדמנויות תקיפה‪.‬‬
‫זה מאוד חשוב להבין מה מניע את התוקף‪ ,‬על‬
‫מנת לדעת כיצד להיערך מפני תקיפות אלו‪.‬‬
‫המניע הינו פרמטר חשוב‪ ,‬והוא משפיע גם על‬
‫שאר הפרמטרים האחרים‪.‬‬
‫ניתן לעבוד בבניית פרופילים עם בעל המערכות‬
‫בארגון‪ ,‬כדי ללמוד מהם‪ ,‬היכן ניתן לתקוף את‬
‫המערכות‪ ,‬ומי הם התוקפים הפוטנציאלים‬
‫שיכולים לתקוף? וכיצד הם עלולים לתקוף את‬
‫המערכות?‬
‫פיתוח פרופילים לתוקפים‪ ,‬יכול לסייע לארגון‪,‬‬
‫בקביעת תחולה למבדק חוסן‪ ,‬ומיקוד באותן‬
‫מערכות ותהליכים עסקיים שהם קריטיים‬
‫לארגון‪ ,‬ושם תוקף יהיה מעוניין לפגוע‪.‬‬
‫ההמלצה היא לבצע תרחיש בהתאם לסוגי‬
‫התוקפים‪ ,‬ואז לבצע את המבדק חוסן‪ ,‬ולא‬
‫לערבב בין הממצאים‪ .‬לכל פרופיל‪ ,‬צריכים‬
‫לבצע מבדק‪ ,‬לעבור על הממצאים‪ ,‬ורק אז‪,‬‬
‫לבצע שוב מבדק נוסף‪.‬‬
‫‪6‬‬
‫איסוף מידע‬
‫הינו שלב קריטי במערכה‬
‫תהליך איסוף נתונים הינו חלק אינטגראלי‬
‫בתוך מבדק חוסן‪ ,‬בדיוק באותה מידה כמו‬
‫הניצול פגיעות‪ ,‬כלומר‪ ,‬התקיפה בפועל‪ .‬בשלב‬
‫של איסוף הנתונים‪ ,‬אנו מזהים את ההתקנים‬
‫שקיימים ברשת הארגון‪ ,‬את סוגי מערכות‬
‫ההפעלה השונות‪ ,‬סוגי בסיסי נתונים ועוד‪ .‬ככל‬
‫שהתוקף יודע יותר נתונים על הרשת שלכם‪,‬‬
‫ככה תהליך התקיפה יהיה קל ומוצלח יותר‪.‬‬
‫בתהליך איסוף הנתונים‪ ,‬כל שלב יכול להוביל‬
‫לתקיפה של ממש‪ ,‬ולספק לתוקף מידע‬
‫חיוני אודות הנכסים הקיימים בארגון‪ ,‬מבנה‬
‫טופולוגי של רשת הארגון‪ ,‬ועוד‪ .‬מידע זה יכול‬
‫לסייע לתוקף במיקוד על המערכות הקיימות‬
‫בארגון בלבד‪ ,‬ולא להתפזר‪ .‬כמו כן‪ ,‬מידע‬
‫זה שימוש לתוקף מבחינת מציאת פגיעויות‬
‫(‪ )vulnerabilities‬למערכות שקיימות בארגון‪.‬‬
‫שלב איסוף הנתונים (‪ )Reconnaisance‬מתבצע‬
‫בדרך כלל על ידי שימוש בכלים אוטומטיים‬
‫אשר סורקים את הרשת של הארגון‪ ,‬אבל‬
‫בהחלט ניתן לעשות שימוש בכלים נוספים‪ ,‬כגון‬
‫"הינדוס אנושי (‪ .)Social Engineering‬שיטה זו‬
‫הוכחה להיות מאוד יעילה באיסוף מידע חיוני‪,‬‬
‫ולעתים זו גם הדרך היחידה להשיג מידע זה‪.‬‬
‫בעת שימוש בהינדוס אנושי‪ ,‬התוקף מנסה‬
‫לאסוף כמה שיותר מידע‪ ,‬שיכול להיות לו לעזר‬
‫בשלב מאוחר יותר‪ ,‬של בניית תסריטי התקיפה‪.‬‬
‫מבדק חוסן יסודי‪ ,‬הינו מורכב משלב האיסוף‬
‫נתונים‪ ,‬סריקת פגיעויות‪ ,‬ולבסוף‪ ,‬ניצול פגיעויות‬
‫ותקיפה בפועל‪ ,‬כאשר כל שלב בעצם‪ ,‬מקדם‬
‫אותנו לקראת המטרה הסופית‪ ,‬והיא להגיע‬
‫לנכסים הקריטיים של הארגון‪ ,‬ולגנוב אותם‪ .‬הדרך‬
‫לשם (התקיפה) פחות חשובה עבור הארגון‪.‬‬
‫‪7‬‬
‫חשוב לקחת בחשבון‬
‫את כל סוגי ההתקפות‬
‫(וקטורים תקיפה)‬
‫התוקף‪ ,‬יכול וינצל סוגים שונים של פגיעויות‪,‬‬
‫הקיימות בתוך הארגון‪ ,‬הן ברמת התשתית‪,‬‬
‫ברמת האבטחה הפיזית‪ ,‬ברמת האפליקציות‬
‫והבסיסי נתונים וכדומה‪.‬‬
‫המבדק חוסן מונע מהמטרה עצמה‪ ,‬כאשר‬
‫היעד הוא להשיג את המידע‪ ,‬ולכן‪ ,‬מה ואיך‬
‫תוקפים‪ ,‬פחות חשוב‪ .‬מה שכן חשוב‪ ,‬זה לדעת‬
‫מהן הדרכים בהן יכולים לתקוף אותנו‪ ,‬ולנקוט‬
‫באמצעים נאותים למזער את הסיכון בכך‪ .‬אם‬
‫נדע בבוא מועד‪ ,‬מהן הדרכים בהם התוקף‬
‫עלול לתקוף אותנו‪ ,‬נוכל לשים בקרות מונעות‪,‬‬
‫ובקרות מגלות‪ ,‬ולנסות למנוע או לאתר את‬
‫ניסיונות התקיפה‪.‬‬
‫התוקף אינו מכריז על סוג הבדיקה‪ ,‬ומהי הדרך‬
‫הנכונה לבצע את התקיפה‪ ,‬אלא‪ ,‬הוא ינסה‬
‫למצוא כל דרך אפשרית‪ ,‬ולנצל כל פגיעות‬
‫| גיליון ‪ | 2‬יוני ‪2012‬‬
‫‪29‬‬
‫‪10‬‬
‫אפשרית‪ ,‬על מנת להשיג את מבוקשו‪.‬‬
‫ולכן‪ ,‬התוקף יעשה שימוש בוקטורים רבים‬
‫לצורך ביצוע התקיפה‪ ,‬עד שימצא את מה שהוא‬
‫מחפש‪ .‬הוא ינסה ראשית להיכנס לרשת‪ ,‬דרך‬
‫המקומות הכי פחות צפויים‪ ,‬כגון‪ :‬אבטחה פיזית‪,‬‬
‫מדפסות רשת‪ ,‬שעוני נוכחות‪ ,‬חדרי ישיבות‪,‬‬
‫ולאחר שהשיג גישה כלשהי‪ ,‬ינסה לעלות רמה‪,‬‬
‫הן מבחינת הגישה לרשת‪ ,‬והן מבחינת הרשאות‬
‫הגישה למערכות‪.‬‬
‫לעתים‪ ,‬בעת ניסיונות תקיפה לאתרי ‪,WEB‬‬
‫מתקבלות הודעות שגיאה‪ ,‬שמצביעות על‬
‫נכסים אחרים ברשת הארגון שניתן לתקוף‪.‬‬
‫ולכן‪ ,‬התוקף אינו תוקף ישירות את המערכת‬
‫אותה הוא מחפש‪ ,‬אלא מנסה להגיע לאיה בכל‬
‫דרך אפשרית‪ .‬כאשר מדובר על המצב האמיתי‪,‬‬
‫הכל כשר‪.‬‬
‫ולכן‪ ,‬חשוב לא להתמקד רק בווקטור תקיפה‬
‫אחד‪ ,‬אלא לנסות הכל‪ ,‬עד שמצליחים‪.‬‬
‫למשל‪ :‬בעת ביצוע תקיפה לאתר ‪ ,WEB‬במטרה‬
‫להגיע לבסיס הנתונים‪ ,‬שבו היה מידע רגיש‪ ,‬לא‬
‫היה ניתן להשתלט על השרת‪ ,‬ולכן‪ ,‬אם התחולה‬
‫היה רק להתמקד בווקטור תקיפה אחד בלבד‪,‬‬
‫על האתר ‪ ,WEB‬כאן בעצם הבדיקה הסתיימה‪,‬‬
‫בכשלון‪ .‬אבל זה לא אומר שזה מה שהתוקף‬
‫יעשה‪ .‬ולכן‪ ,‬נקטנו באמצעים נוספים‪ ,‬וסרקנו את‬
‫התשתית‪ ,‬ומתוך הודעות השגיאה שהתקבלו‪,‬‬
‫(כתוקפים) קיבלנו מידע חיוני אודות שרת‬
‫אחר ברשת ה‪ ,DMZ-‬שהיו לו מספר פגיעויות‪,‬‬
‫וגם היה מחובר בעזרת מערכת נוספת לאותו‬
‫שרת שרצינו לתקוף בהתחלה‪ ,‬ולכן‪ ,‬הצלחנו‬
‫לחדור לבסיס הנתונים‪ ,‬דרך שרת אחר לגמרי‪.‬‬
‫וזה מה שחשוב לנו לבחון‪ ,‬בתור מנהלי אבטחת‬
‫המידע בארגון‪ :‬האם ישנן מספיק בקרות או‬
‫האם הבקרות הקיימות הן נאותות‪ ,‬ויכולות‬
‫למנוע מהתוקף "לדלג" ממערכת בעלת רמת‬
‫סיכון נמוכה (שהיא פחות מאובטחת) למערכת‬
‫קריטית יותר‪ ,‬בעל רמת סיכון גבוהה יותר?‬
‫‪8‬‬
‫חובה להגדיר‬
‫את "נהלי תקיפה"‬
‫את האפקטיביות של הבקרות הקיימות בארגון‪,‬‬
‫אלא גם המוכנות של צוותי הטיפול ותגובה‬
‫לאירועים‪ ,‬וכיצד הם מנהלים את האירוע‪.‬‬
‫לרוב‪ ,‬הארגונים מבצעים תחילה מבדק בשיטת‬
‫ה‪ White Box-‬שהוא יותר כדאי מבחינת עלות‪-‬‬
‫תועלת‪ ,‬כאשר לוקחים בחשבון משאבים כגון‪,‬‬
‫עלויות‪ ,‬כח אדם‪ ,‬וזמן‪ .‬מבדק זה יכול להציג‬
‫תמונת מצב מהירה יחסית של האזורים בהם‬
‫הארגון פגיע‪ ,‬וניתן לתקוף אותו‪ .‬לאחר שטיפלנו‬
‫בכל הממצאים‪ ,‬רצוי לבצע מבדק מסוג ‪Black‬‬
‫‪ Box‬על מנת לבחון האם הצלחנו לסגור את כל‬
‫הפרצות ולאבטחת את הארגון בצורה נאותה‪.‬‬
‫מבדק זה‪ ,‬כפי שהזכרנו קודם לכן‪ ,‬בוחן לא רק‬
‫את הבקרות אלא גם את הכישורים של צוות‬
‫אבטחת מידע בתגובה וניהול האירוע‪.‬‬
‫בעת הסדרת נהלי התקיפה ע"י חברה חיצונית‪,‬‬
‫אחד הדברים שצריכים לקחת בחשבון‪ ,‬זה האם‬
‫מותר ליועצים החיצוניים להתקין תוכנה בתוך‬
‫רשת הארגון‪ ,‬על מנת לנסות לייעל את המבדק‪,‬‬
‫על אילו מערכות ניתן להתקין כלים‪ ,‬ומה בדיוק‬
‫מותר לבצע כחלק מהמבדק?! האם ניתן לנצל‬
‫פגיעות על שרת בסביבת הייצור? האם ניתן‬
‫להפיל ציוד קצה או תקשורת? האם ניתן לגנוב‬
‫מידע‪ ,‬ולהוציא אותו החוצה מהארגון?‬
‫כמו כן‪ ,‬ניתן גם להחליט אילו כלים ושיטות נרצה‬
‫לאפשר להם להפעיל כחלק מהמבדק‪ ,‬כגון‪:‬‬
‫כלים להתקפות ‪ ,DOS‬הינדוס אנושי‪ ,‬פיצוח‬
‫סיסמאות במערכות קריטיות וכדומה‪.‬‬
‫כמו כן‪ ,‬מומלץ ליידע את הנהלת הארגון‪ ,‬בסופו‬
‫של כל יום‪ ,‬או בפרק זמן מוגדר מראש‪ ,‬אודות‬
‫הממצאים‪ ,‬והתקדמות של המבדק‪ ,‬במיוחד‬
‫באם נמצאו ממצאים קריטיים שחושפים את‬
‫הארגון לתקיפה אמיתית‪ .‬לא צריכים לחכות‬
‫עד לסוף המבדק‪ ,‬בעת הגשת הדו"ח‪ ,‬על מנת‬
‫להתריע על אזורים רגישים בהם הארגון חשוף‬
‫מאוד‪ ,‬מכיוון שיתכן שבפרק הזמן הזה‪ ,‬מישהו‬
‫באמת יתקוף את הארגון‪ .‬אם כבר בתחילת‬
‫המבדקים‪ ,‬עלינו על ממצאים קריטיים‪ ,‬חובה‬
‫לדווח במיידית להנהלת הארגון‪.‬‬
‫‪9‬‬
‫שלב הדו"חות ויישום‬
‫תהליך של מדידה‬
‫‪ .1‬דו"ח הנהלה ‪ -‬עם תקציר קצר אודות‬
‫הבדיקה‪ ,‬והממצאים‪ ,‬בסדר של עדיפות עפ"י‬
‫רמת החומרה‪.‬‬
‫‪ .2‬דוח מפורט מאוד ‪ -‬שיכיל את כל‬
‫הממצאים שעלו מהמבדק‪ ,‬עם פירוט מלא של‬
‫הפגיעויות‪ ,‬כיצד התוקף הצליח לנצל פגיעויות‬
‫אלו‪ ,‬מהי רמת הסיכון כתוצאה מכך‪ ,‬והכי חשוב‪,‬‬
‫מהן ההמלצות לטיפול ברמות הסיכון‪.‬‬
‫חשוב לזכור כי מבדקי חוסן אינם פעולות‬
‫שמבצעים אותם פעם אחת וזהו‪ ,‬אלא זהו‬
‫תהליך מחזורי‪ ,‬שצריך לבצע אותו תקופתית‪,‬‬
‫על מנת לעלות על בעיות חדשות\ישנות שלא‬
‫עלו מהמבדקים הקודמים‪ .‬חשוב להשוות את‬
‫הדוח"ות והממצאים מהדוחות הקודים‪ ,‬ולראות‪,‬‬
‫האם הצלחנו לשפר‪ ,‬הן את הבקרות והן את‬
‫היכולת של הכח אדם במחלקת ה‪ ,IT-‬להגיב‬
‫בצורה מהירה ויעילה לאירועי האבטחה‪.‬‬
‫תהליך הפקת לקחים‪ ,‬ומדידה לצורך שיפור‬
‫מתמיד‪ ,‬הינו חלק אינטגראלי מתפקידו של‬
‫מנהל אבטחת המידע בארגון‪.‬‬
‫‪10‬‬
‫צריכים להגדיר ממי תרצו‬
‫לקבל שירותי מבדק חוסן‬
‫ההחלטה האם להיעזר במבדקים פנימיים או‬
‫בחברות חיצוניות‪ ,‬תלויה במספר גורמים‪ ,‬כגון‪:‬‬
‫דרישות רגולטוריות (הדורשות לרוב מבדק‬
‫אובייקטיבי)‪ ,‬גודל ומבנה החברה‪ ,‬כישורים‬
‫טכנולוגיים‪ ,‬תקציב (לרכישת כלים)‪ ,‬הערך של‬
‫המידע\מערכות\נכסים בארגון (האם תהיה‬
‫מוכן לחשוף אותם לחברות חיצוניות) ועוד‪.‬‬
‫חברות גדולות‪ ,‬לרוב‪ ,‬מחזיקות צוות בדיקות‬
‫חוסן פנימי‪ ,‬שמטרתו לבצע בדרך קבע‪,‬‬
‫מבדקים פנימיים תקופתיים או בכל פעם שיש‬
‫שינוי מהותי בארגון‪ ,‬שעלול להשפיע על הערכת‬
‫הסיכונים‪.‬‬
‫השימוש בחברות חיצוניות‪ ,‬טומן בחלקו יתרונות‬
‫רבים כגון ראייה אובייקטיבית‪ ,‬התמחות במגוון‬
‫כלים ושיטות תקיפה‪ ,‬זמינות ועוד‪.‬‬
‫חשוב להבין‪ ,‬שמבדקי חוסן‪ ,‬אומנם מטרתם‬
‫לדמות את פעולת התוקף‪ ,‬אבל זוהי לא תקיפה‬
‫של ממש על הארגון‪ .‬בין אם אתם עורכים את‬
‫המבדקים עם אנשים מתוך הארגון‪ ,‬ובין אם‬
‫אתם נעזרים בחברות ייעוץ חיצוניות‪ ,‬חשוב‬
‫מאוד להגדיר מהם הגבולות גזרה לכל מבדק‪,‬‬
‫ומה מותר ומה אסור לעשות‪ .‬הרי לא נרצה‪,‬‬
‫שבמהלך מבדק חוסן לרשת הארגון‪ ,‬אנחנו‬
‫נגרום נזקים‪ .‬כמו כן‪ ,‬חשוב לבדוק גם מתי ניתן‬
‫לבצע את המבדקים‪ ,‬איפה (או יותר נכון על אילו‬
‫מערכות)‪ ,‬ולא פחות חשוב‪ ,‬מי צריך להיות מודע‬
‫למבדקים ‪ -‬וזה תלוי בסוג המבדק עצמו (‪Black‬‬
‫‪ Box‬או ‪.)White Box‬‬
‫אחת המטרות העיקריות של ביצוע מבדקי חוסן‪,‬‬
‫היא לשפר משמעותית את רמת האבטחה בארגון‪,‬‬
‫ולכן‪ ,‬בין אם אתם עורכים מבדקים פנימיים או‬
‫חיצוניים‪ ,‬הדוח"ות זהו חלק חשוב מתהליך המבדק‬
‫והפקת הלקחים‪.‬‬
‫מה שחשוב לבדוק לפני שבוחרים חברה לביצוע‬
‫מבדקי חוסן‪ ,‬זה את הכישורים השונים של‬
‫הצוות תקיפה שלה‪ ,‬מבחני אמינות‪ ,‬המלצות‬
‫של לקוחות שלהם‪ ,‬דוח"ות לדוגמה‪.‬‬
‫חשוב להבין שהמטרה היא לשפר את רמת‬
‫האבטחה‪ ,‬אבל לצורך כך‪ ,‬יש צורך בהתערבות‬
‫הנהלת הארגון‪.‬הנהלת הארגון צריכה לקבל‬
‫החלטות כדי לשפר את התהליכים העסקיים‪ ,‬ולסייע‬
‫ולתמוך בצוות התפעול לשפר את רמת האבטחה‪.‬‬
‫מדובר באומנות‪ ,‬ולא כל אחד מסוגל לבצע‬
‫מבדקי חוסן ברמה גבוהה‪ .‬לרוב‪ ,‬התוצאות‬
‫הטובות ביותר‪ ,‬זה כאשר צוות עבודה אשר‬
‫מורכב מכמה מומחים בתחומים שונים‪,‬‬
‫מתאחדים יחדיו‪ ,‬לביצוע מבדק חוסן כללי‪ ,‬על‬
‫הארגון‪.‬‬
‫ביצוע מבדק בשיטת ה‪ Black Box-‬בוחן לא רק‬
‫לאחר כל מבדק‪ ,‬יש להכין ‪ 2‬דוח"ות‪:‬‬
‫‪30‬‬
‫גיליון ‪ | 2‬יוני ‪| 2012‬‬
‫(לצורך שיפור מתמיד)‬
‫סקירהטכנולוגית‬
‫‪Varonis DatAdvantage‬‬
‫פתרון כולל לשליטה ובקרה על המידע‬
‫האתגר‬
‫המידע הארגוני מהווה נדבך חשוב ומרכזי‬
‫בכל עסק‪ .‬משימת ניהול המידע דורשת‬
‫מהארגון להתמודד עם השאלות‪ :‬למי יש‬
‫הרשאות למידע? מי ניגש למידע? ולמי‬
‫צריכה להיות גישה? למרבה ההפתעה‪,‬‬
‫מענה מהיר ויעיל לשאלות פשוטות אלו‬
‫כמעט ובלתי אפשרי כיום‪.‬‬
‫מדוע?‬
‫מכיוון שאנשי ה‪ ,IT-‬מנהלי שרתי האחסון‪,‬‬
‫מנהלי ה‪ ,AD-‬אנשי התמיכה הטכנית וכל‬
‫הגורמים שאחראים על המידע בארגון‪,‬‬
‫מבצעים את עבודתם מבלי לראות תמונה‬
‫ברורה של ההרשאות למידע וללא יכולת‬
‫לקבוע למי צריך להיות גישה בפועל‬
‫למידע‪ .‬תהליך הגדרת ההרשאות למידע‬
‫הינו תהליך ידני והאנשים שאחראים עליו‬
‫לא יכולים להעריך את חשיבות המידע‬
‫ואם אופן השימוש הנכון בו‪ .‬בנוסף‬
‫לכך‪ ,‬תפקידים בארגון ומידע המאוחסן‬
‫בשרתים משתנים במהירות רבה‪ ,‬מה‬
‫שהופך את משימת שמירת ההרשאות‬
‫במצב אופטימאלי לבלתי אפשרית‪.‬‬
‫לפיכך‪ ,‬ניהול ההרשאות בארגונים כיום‬
‫מציב מידע קריטי בסיכון והופך את‬
‫משימת ניהול הגישה למידע ליקרה ולא‬
‫אפקטיבית‪.‬‬
‫הפתרון‪:‬‬
‫‪ DatAdvantage‬מאחד את פרטי‬
‫המשתמשים עם מבנה מערכת הקבצים‬
‫ומבצע רישום מפורט על אירועי גישה של‬
‫כלל הפעולות‪ .‬אנליזה מורכבת ומתקדמת‬
‫משכללת את השימוש במידע שנאסף‬
‫ומציגה המלצות להרשאות נכונות על‬
‫פי צרכי הארגון‪ DatAdvantage .‬מספקת‬
‫את היכולות הבאות‪:‬‬
‫ •תמונה ברורה של משתמשים‪ ,‬ספריות‬
‫וקשר ההרשאות ביניהם‬
‫ •המלצות לשיפור הרשאות במערכת‬
‫הקבצים‬
‫ •בקרה ואמצעי תחקור על פעולות‬
‫המשתמשים במידע (‪)Audit‬‬
‫ •סימולציה של שינוי הרשאות ובחינתם‬
‫מול גישה בפועל‬
‫ •מנגנוני התראה על שימוש חריג‬
‫ •זיהוי והשמת אחראים למידע (‪Data‬‬
‫‪)Owners‬‬
‫ •תצוגה מיידית של הרשאות‪:‬‬
‫באמצעות ‪ DatAdavantage‬ניתן לראות‬
‫את כלל המשתמשים‪ ,‬השייכות שלהם‬
‫לקבוצות מול כלל הספריות בשרתי‬
‫הקבצים‪ .‬מעכשיו‪ ,‬בלחיצת כפתור‪ ,‬ניתן‬
‫לראות בדיוק למי יש הרשאה לספריה‬
‫מסוימת‪ ,‬איזה סוג הרשאה (קריאה‪,‬‬
‫כתיבה וכו') ומקורה (‪.)Inheritance‬‬
‫למי צריכה להיות גישה?‬
‫תוכנת ‪ DatAdvantage‬מספקת אמצעים‬
‫לצמצום הרשאות עודפות ומניעת‬
‫חשיפה מיותרת למידע‪ .‬בהתבסס על‬
‫ניתוח מודל השימוש‪DatAdvantage .‬‬
‫מספקת המלצות לאילו משתמשים יש‬
‫גישה לגיטימית למידע ולמי יש הרשאות‬
‫עודפות שכדאי לצמצם‪.‬‬
‫ה‪ IT-‬בארגון יכול לאמת את ההמלצות‬
‫של ‪ DatAdvantage‬בעזרת בדיקה‬
‫וירטואלית של השלכות שינוי ההרשאות‬
‫מבלי לבצע אותם בפועל‪ .‬את השינויים‬
‫הנדרשים ניתן ליישם בקלות ישירות‬
‫מהמערכת‪.‬‬
‫יתרונות ויכולות‬
‫שקיפות הרשאות‬
‫ארגונית (‪)Visibility‬‬
‫קפיצת מדרגה באבטחת המידע‬
‫‬
‫•תצוגה במסך אחד של קשרי הגומלים‬
‫בין המשתמשים‪ ,‬קבוצות וספריות‬
‫ שכוללות את מבנה ההרשאות‬‫ומקורן‪.‬‬
‫מנגנון קביעת הרשאות‬
‫מותאם לקוח‬
‫מערכת פיקוח אוטומטית על גישה‬
‫‬
‫•המלצות מדויקות לצמצום הרשאות‬
‫עודפות על בסיס מודל השימוש וצרכי‬
‫הארגון‬
‫בקרה ותיעוד מפורט של השימוש‬
‫במידע‪:‬‬
‫‪ DatAdvantage‬מציג במדויק את הגישה‬
‫למידע עד לרמת הקובץ ומאפשר למנהלי‬
‫המערכות לקבל פרטים על תדירות‪ ,‬זמן‬
‫וסוג הגישה (פתיחה‪ ,‬מחיקה‪ ,‬יצירה וכו')‪.‬‬
‫מערכת דוחות מפורטת מכסה את כלל‬
‫ההיבטים של שימוש במידע עבור תאריך‬
‫מסוים או תקופה (פעילות המשתמשים‪,‬‬
‫גישה לספריות קריטיות‪ ,‬שינוי הרשאות‬
‫וכו')‪ .‬בעלי תפקידים‪ ,‬אחראים ומנהלים‬
‫יכולים לקבל דוחות בדואר אלקטרוני על‬
‫פי לוח זמנים המותאם אישית‪.‬‬
‫לפרטים נוספים ניתן‬
‫לפנות ל‪ :‬אריק אסייג‬
‫זיהוי בעלי המידע‬
‫(‪)Data Owners‬‬
‫תפקוד מהיר ויעיל של מחלקת ה‪IT-‬‬
‫‬
‫•זיהוי של בעלי המידע על כל ספריה‬
‫נתונה במערכת הקבצים‬
‫תיעוד השימוש במידע‬
‫אמצעי תחקור ותיעוד מפורט‬
‫‬
‫•פרטי השימוש מוצגים בברור‬
‫ובתמצתיות‬
‫‬
‫•המערכת מאפשרת הפקת דוחות‬
‫עבור כל פרק זמן נתון‬
‫‬
‫•דוחות אלו נשלחים לפי לוחות הזמנים‬
‫שהוגדרו‬
‫‪052-4336793‬‬
‫‪aassayag@ varonis. com‬‬
‫| גיליון ‪ | 2‬יוני ‪2012‬‬
‫‪31‬‬
‫תקן אבטחת מידע ‪ISO27001‬‬
‫הפתרון של היום‬
‫לבעיות של מחר‬
‫תקן זה מתווה שיטה להקמה‪ ,‬ניהול ותחזוקה‬
‫שוטפת של הבקרות הנדרשות לשם קיום‬
‫תהליך אבטחת המידע בארגון‪ .‬התקן מספק‬
‫ראייה כלל ארגונית לשם ניהול מושכל של‬
‫סיכוני אבטחת המידע על מכלל היבטיו‪ :‬היבטים‬
‫טכניים‪ ,‬היבטים ארגוניים והיבטים פיזיים‪ .‬תקן‬
‫אבטחת מידה זה עוסק במגוון נושאים המהווים‬
‫יחד בסיס למערך אבטחת המידע של הארגון‪.‬‬
‫העיקרון המשמש בסיס לתהליך הנלווה ליישום‬
‫התקן הוא אבטחה אופטימאלית של המידע‬
‫בארגון‪ .‬כדי להקל על יישום אבטחת המידע‪,‬‬
‫ולהפוך אותו לתהליך מובנה ומותכן‪ ,‬מתווה התקן‬
‫כללים ברורים‪ ,‬תוך מתן הנחיות מפורטות כיצד‬
‫ליישם כללים אלה‪.‬‬
‫התקן בא לידי ביטוי באמצעות הקמה של תשתית‬
‫אבטחת מידע ארגונית‪ ,‬המוכרת בשם מערכת‬
‫לניהול אבטחת מידע (מנא"מ)‪ ,‬אשר מעניקה‬
‫תמיכה למכלול התהליכים הקשורים באבטחת‬
‫המידע בארגון‪ .‬תשתית זו מתבססת על נהלי‬
‫אבטחת מידע הנובעים מהתקן ומכסים את כל‬
‫היבטי האבטחה הרלוונטיים‪ .‬בכפיפות לנהלי‬
‫התקן יש ליישם אמצעי הגנה לוגיים מתאימים‬
‫במערך המחשוב ואמצעי הגנה פיזיים באתר בו‬
‫שוכן הארגון ובסניפים קיימים‪.‬‬
‫בהמשך‪ ,‬על הארגון לאמץ דפוסים מובנים של‬
‫ניהול אבטחת מידע וניהול סיכוני אבטחת מידע‪,‬‬
‫כאשר המטרה היא הגנה נאותה על כל סוגי‬
‫המידע הנמצאים בתחומיו מפני כל האיומים‬
‫הפוטנציאליים הניתנים לזיהוי‪ .‬התקן אף עוסק‬
‫בשמירה קפדנית על שרידות המידע‪ ,‬תוך דרישה‬
‫ליישום תהליכים הולמים של המשכיות עסקית‬
‫במקרה של כשל מערכות או אסון‪ .‬חוסר הערכות‬
‫לכשל כגון זה‪ ,‬עלול להביא להשבתת פעילות‬
‫החברה לתקופה התלויה בעוצמת הכשל‪ .‬אימוץ‬
‫התקן יכול למנוע זאת‪.‬‬
‫מה כולל התקן?‬
‫התקן בגדול מורכב משני חלקים עיקריים‪ ,‬כאשר‬
‫בחלקו הראשון‪ ,‬פרקים ‪4-8‬‬
‫‪ )Clauses‬כל הדרישות שמופיעות בחלק זה‬
‫חובה ליישום‪ .‬החלק השני של התקן‪ ,‬מבוסס על‬
‫‪ 11‬פרקים (‪ )Annex A‬וכולל בערך ‪ 133‬בקרות‪.‬‬
‫מידת הישימות של הבקרות בחלק הזה‪ ,‬מותנית‬
‫בערכת הסיכונים שביצענו בחלק הראשון‪ .‬כלומר‪,‬‬
‫אם ישנם סיכונים על הנכסים שנמצאים בתוך‬
‫תכולת התקן‪ ,‬אז חובה ליישם בקרות נאותות‬
‫לצורך מזעור הסיכון‪.‬‬
‫(‪Management‬‬
‫‪32‬‬
‫גיליון ‪ | 2‬יוני ‪| 2012‬‬
‫להלן פרקי התקן (מתוך ‪:)Annex A‬‬
‫‪1 .1‬מדיניות אבטחה‬
‫‪2 .2‬התארגנות לצורך אבטחת מידע‬
‫‪3 .3‬ניהול נכסים‬
‫‪4 .4‬אבטחת משאבי אנוש‬
‫‪5 .5‬אבטחה פיזית וסביבתית‬
‫‪6 .6‬ניהול תקשורת ותפעול‬
‫‪7 .7‬בקרת גישה‬
‫‪8 .8‬רכישה‪ ,‬פיתוח ותחזוקה של מערכות מידע‬
‫‪9 .9‬ניהול תקריות אבטחת מידע‬
‫‪1010‬ניהול המשכיות עסקית‬
‫‪1111‬התאמה‬
‫כפי שניתן לראות‪ ,‬התקן כולל התייחסות לכל‬
‫הרבדים של אבטחת המידע‪ ,‬ולכן‪ ,‬הינו מהווה‬
‫מסגרת מומלצת לכל ארגון לניהול אבטחת‬
‫המידע‪ .‬היות והתקן מתייחס לכל שכבות אבטחת‬
‫המידע‪ ,‬מומלץ ליישם אותו בארגון‪ ,‬ובכך למזער‬
‫את הסיכונים אל מול איומים עתידיים שעלולים‬
‫לפקוד על הארגון‪.‬‬
‫כיום ישנם כבר שני תקנים מגזריים‪ 27011 :‬למגזר‬
‫התקשורת‪ ,‬ו‪ 27799-‬למגזר הבריאות‪ .‬תקן מגזרי‬
‫שלישי למגזר הפיננסי (‪ )27015‬נמצא בהכנה‪.‬‬
‫תקינה מגזרית ממקדת דרישות מותאמות למגזר‬
‫ומחייבת את יישומם‪ ,‬דהיינו‪ ,‬מצמצמת את מרחב‬
‫חופש הפעולה של הארגונים במגזר לבחור שלא‬
‫ליישם בקרה ספציפית‪.‬‬
‫למי נדרש התקן?‬
‫כעקרון‪ ,‬כל ארגון צריך תקן אבטחת מידע שכזה‪.‬‬
‫התקן הוא מעין "רשימת בקרה" על מנת שתהיה‬
‫בקרה מקיפה ווידוא של רשימת בדיקות שנדרש‬
‫לעשות בעת מילוי תהליכי אבטחת מידע‪ .‬מאוד‬
‫חשוב שהדבר ייקבע בצורה סטנדרטית‪ ,‬ולא שכל‬
‫יועץ יביא את הידע שלו עימו לבד‪ .‬התקן נותן‬
‫מעטפת שלמה ורחבה הרבה יותר‪ ,‬כך בעצם‬
‫נוצר סרגל מדידה ‪ ,‬מול גופים אחרים‪ ,‬גם בארץ‬
‫וגם בחו"ל‪ .‬חשוב לזכור שהתקן לא עושה את‬
‫האבטחה‪ .‬הוא ממפה את הארגון בצורה טובה‬
‫יותר‪ ,‬על מנת שתיטיב את האבטחה בארגון‪,‬‬
‫ומקנה לארגון מסגרת לניהול אבטחת המידע‬
‫בצורה נאותה‪ .‬התקן מספק כלים למשנה סדורה‪,‬‬
‫לפיה ניתן לממש את נהלי האבטחה – לעתים‬
‫קרובות‪ ,‬אבטחה היא סדר בבלגן השרוי במערכות‬
‫המידע בארגון‪.‬‬
‫התקן נדרש בפרט בארגונים בהם יש מידע רגיש‬
‫ורב ערך שניתן לעשות בו שימוש לרעה אם‬
‫לא ננקטים צעדים להגנתו‪ .‬מידע כזה מאוחסן‬
‫במחשבי הארגון ובתוקף זאת הוא חשוף לאיומים‬
‫פנימיים וחיצוניים‪ ,‬אלא אם כן יוגן כהלכה‪ .‬חשיפתו‬
‫של מידע זה בפני גורמים בלתי מורשים‪ ,‬עלולה‬
‫לגרום לארגון נזק רב וכבד‪.‬‬
‫תעודת ההסמכה לתקן ‪ ISO 27001‬אותה‬
‫יקבל הארגון‪ ,‬תשמש כהוכחה חד משמעית כי‬
‫רמת אבטחת המידע שלו אכן גבוהה ומתאימה‬
‫להתקשרויות עסקיות עם לקוחות המקפידים על‬
‫חיסיון המידע שלהם‪..‬‬
‫תהליך ההכנה האינטנסיבי הקודם להסמכה‬
‫תורם כמובן להעלאת רמת אבטחת המידע של‬
‫הארגון‪ ,‬כך שההגנה על המידע שלה תשפר לאין‬
‫ערוך ותמנע התממשות סיכונים פוטנציאליים‬
‫לזליגת מידע‪ ,‬העלולים להסב לחברה נזקים‬
‫עסקיים ניכרים‪.‬‬
‫דרך טובה לעמידה ביעדי אבטחת המידע הינה‬
‫ביצוע פרויקט מקיף להכנת הארגון לתקן אבטחת‬
‫המידע‪. ISO 27001‬ההכנה כוללת הגדרת תשתית‬
‫אבטחתית ויישום של מגוון התהליכים והבקרות‬
‫הנדרשים ע“פ התקן‪ .‬מומלץ לבצע הכנה זו‬
‫בהנחייתו של גורם חיצוני בעל ניסיון ומיומנות‬
‫בתחום זה‪.‬‬
‫התהליך כולל ביצוע סקרי אבטחת מידע פנימיים‬
‫ברמה הארגונית והטכנית‪ ,‬הקמת תשתית‬
‫ארגונית לאבטחת מידע‪ ,‬הכנת מדיניות ונהלי‬
‫אבטחת מידע ויישומם‪ ,‬יישום בקרות אבטחת‬
‫מידע במערך המחשוב‪ ,‬הגברת מודעות העובדים‬
‫לאבטחת מידע ויישום ניהול מובנה של סיכוני‬
‫אבטחת מידע‪.‬‬
‫כל התהליך מתבצע בכפיפות מלאה לדרישות‬
‫מכון התקנים הישראלי‪ ,‬כפי שהן באות לידי ביטוי‬
‫במבדקי התקן הנערכים ע“י מוסד זה לצורך‬
‫קבלת ההסמכה‪ .‬עם סיום ההליך ההכנה מתבצע‬
‫מבדק מכון התקנים‪ ,‬הכולל בחינת עמידת הארגון‬
‫במכלול דרישות התקן מבחינת ניהול אבטחת‬
‫המידע ‪ ,‬קיום תשתיות מתאימות ויישום בקרות‬
‫אבטחת מידע מתאימות‪.‬‬
‫במידה והארגון עומד בדרישות אלה‪ ,‬מוענקת לו‬
‫תעודת הסמכה ישראלית ובינלאומית המהווה‬
‫הוכחה לקיום סטנדרטים גבוהים של אבטחת‬
‫מידע בארגון‪.‬‬
‫היתרון הגדול הטמעת התקן בארגון‪ ,‬הוא בכך‬
‫שנוח יותר לעבוד‪ ,‬אנשים לא "סוטים" הצידה ויש‬
‫שפה ארגונית אחידה בכל הארגון‪.‬‬
‫להלן מדריך קצר להטמעת תקן ‪ ISO 27001‬בארגון‪.‬‬
‫אם חשבתם ו\או רציתם להטמיע את התקן ‪ ISO-27001‬בארגון‪ ,‬אז הנה לכם מדריך קצר להטמעת התקן ‪ ISO 27001‬בארגון‪ .‬למי‬
‫שאינו מכיר את התקן‪ ,‬וגם לאלו שכן מכירים‪ ,‬הטמעתו בארגון יכול להפוך לתהליך ארוך ומסורבל‪ ,‬אם לא מתכננים אותו כראוי‪.‬‬
‫אז להלן ‪ 20‬שלבים שיוכלו לסייע לכם בהטמעת התקן ‪ ISO-27001‬בארגון‪ ,‬בין אם זה בעזרת יועץ חיצוני‪ ,‬ובין אם החלטתם לקחת את‬
‫המשימה הזאת על עצמכם‪.‬‬
‫‪ .1‬הצטיידו בתקן ‪.ISO 27001‬‬
‫ראשית‪ ,‬עליכם להצטייד בתקן עצמו‪ .‬ניתן לרכוש‬
‫את המסמכים ישירות ממכון התקנים‪ .‬המסמכים‬
‫הינם בעברית‪ .‬אני אישית‪ ,‬מעדיף את הספרות‬
‫המקורית באנגלית‪ ,‬אבל לאלו ששפת האם שלהם‬
‫עברית‪ ,‬ולא אנגלית‪ ,‬אז‪ ,‬עדיף לא לשבור את‬
‫השיניים‪ ,‬או לשרוף זמן יקר על ריצות לבבילון‪.‬‬
‫‪ .2‬תקראו ותלמדו בקצרה‬
‫את מהות התקן‪.‬‬
‫הסיבה לכך מאוד פשוטה‪ .‬אם החלטתם לבצע‬
‫את הפרויקט בעצמכם‪ ,‬אז חשוב מאוד שתדעו‬
‫מול מה אתם עומדים‪ ,‬ומה עליכם לבצע בתהליך‬
‫הטמעת התקן בארגון‪ .‬אם החלטתם בכל זאת‬
‫להקל עליכם‪ ,‬ולהיעזר בחברות ייעוץ חיצונית‪ ,‬אז‬
‫עדיין חשוב שתדעו על מה הם מדברים‪ ,‬על מנת‬
‫לדבר איתם באותה השפה‪ ,‬ולמנוע מצבים בהם‬
‫מחייבים אתכם הון עתק על פעולות שאינן נחוצות‬
‫להטמעת התקן‪ .‬אני תמיד בעד ללמוד ולהעשיר‬
‫את האופקים‪ ,‬ובמקרה הזה‪ ,‬גם תזכו ללמוד‬
‫לא מעט דברים‪ ,‬מכיוון שהתקן הוא מהווה מעין‬
‫מסגרת לניהול אבטחת מידע (מקבץ המלצות‪-‬‬
‫‪ BEST PRACTICES‬ל"עשה ואל תעשה" בתחום‬
‫אבטחת המידע)‪.‬‬
‫‪ .3‬תקבלו את ברכת הדרך‬
‫של הנהלת הארגון‪.‬‬
‫חשוב מאוד להתחיל לשווק את היתרונות של‬
‫התקן בארגון‪ ,‬ולקבל תמיכה מלאה מהנהלת‬
‫הארגון (ורצוי מאוד הנהלה בכירה‪ ,‬ולא מנהל‬
‫ישיר שלכם)‪ .‬לרוב‪ ,‬מתייחסים לנקודה זו כמובנת‬
‫מאליו‪ ,‬אבל לרוב‪ ,‬זוהי נקודת הכשל של רוב‬
‫הפרויקטים הקשורים בהטמעת התקן ‪ISO‬‬
‫‪ 27001‬בארגון‪ ,‬בגלל היעדר תמיכה כזו או אחרת‬
‫מצד הנהלת הארגון (כח אדם וכסף) ישנה בעיה‬
‫גדולה מבחינת תפיסת אבטחת המידע בארץ‪,‬‬
‫כיוון שברוב הארגונים‪ ,‬מנהל אבטחת המידע‬
‫הינו כפוף ישירות למנמ"ר‪ ,‬דבר הפוגע במוצרה‬
‫ישירה בהתנהלותו של מנהל אבטחת המידע מול‬
‫ההנהלה הבכירה בארגון‪.‬‬
‫בעולם המודרני‪ ,‬כבר מזמן הבינו זאת‪ ,‬ומנהל‬
‫אבטחת המידע תופס מקום כבוד בארגון‪ ,‬ולעתים‬
‫רבות‪ ,‬כפוף ישירות למנכ"ל או לסמנכ"ל‪ .‬בכל‬
‫מקרה‪ ,‬החשיבות כאן היא לשווק נכון את מהותו‬
‫של התקן והצורך שלו בארגון‪ ,‬כך שהנהלת הארגון‬
‫תבין את החזר ההשקעה תמורת הטמעת התקן‬
‫בארגון‪ .‬ישנם לא מעט אתרים שמכילים מצגות‬
‫בנושא יתרונות התקן‪ ,‬ותוכלו גם לפנות אלינו‬
‫לקבל סיוע בכך‪.‬‬
‫‪ .4‬התייחסו לזה כאל‬
‫פרויקט לכל דבר‪.‬‬
‫‪ .8‬הגדירו לעצמכם‬
‫מתודולוגיה להערכת וניהול סיכונים‬
‫כמו שציינתי בתחילת המאמר‪ ,‬הטמעת התקן‬
‫‪ ISO 27001‬יכול להיות תהליך ארוך ומסורבל‬
‫(תלוי בגול הארגון ובעיקר בתחולת הפרויקט)‪,‬‬
‫ולכן רצוי מאוד להתייחס אליו כאל פרויקט על‬
‫כל המשתמע מכך‪ .‬תהליך הטמעת התקן יכול‬
‫לצרוך לא מעט משאבים בארגון‪ ,‬ומבלי לנהל‬
‫את זה בצורה מתודולוגית ומסודרת‪ ,‬אנו עלולים‬
‫למצוא את עצמנו בבלגן גדול יותר מאשר מהמצב‬
‫שהיינו בו עוד טרם ניסיון הטמעת התקן‪ .‬כפי‬
‫שציינתי‪ ,‬הטמעת התקן יכול להיות תהליך ארוך‬
‫(תלוי בגודלו ותחולת הפרויקט)‪ ,‬ויכול להימשך‬
‫החל משלושה חודשים עד חצי שנה או שנה‪,‬‬
‫ואם לא מגדירים היטב מה צריך לעשות‪ ,‬מי צריך‬
‫לעשות את זה‪ ,‬ובאיזה מסגרת זמן‪ ,‬יתכן שלעולם‬
‫לא נסיים את הפרויקטים הללו‪.‬‬
‫תהליך הערכת הסיכונים הינה המשימה הכי‬
‫מורכבת בפרויקט ‪ – ISO-27001‬המטרה היא‬
‫להגדיר את העקרונות לזיהוי הנכסים בארגון‪,‬‬
‫פגיעויות (חולשות)‪ ,‬איומים‪ ,‬השפעות האיומים‬
‫על הנכסים‪ ,‬סבירות‪ ,‬רמות סיכון ומהי רמת‬
‫הסיכון שמקובלת על הארגון‪ .‬אם לא מגדירים‬
‫את הדברים הללו‪ ,‬מהר מאוד אתה מוצא את‬
‫עצמך במצב שבו תוצאות הסקר (ממצאים) אינם‬
‫משקפים את המציאות‪.‬‬
‫‪ .5‬תקבעו לכם מנהל פרויקט‬
‫מטעם הארגון שלכם‪.‬‬
‫זהו שלב חשוב מאוד בתהליך הטמעתו של‬
‫התקן בארגון‪ ,‬מכיוון שזה יכול לחסוך המון‬
‫בעיות פוליטיות בארגון‪ ,‬במיוחד בארגונים‪ ,‬בהם‬
‫מתמחים בפוליטיקה ארגונית (ואני נמנע מלציין‬
‫את הארגונים)‪ .‬מנהל הפרויקט חייב להיות דמות‬
‫סמכותית בארגון‪ ,‬על מנת לגרום לכך שהתהליך‬
‫ירוץ כשורה ולא ייעצר בכל פעם שיש קונפליקט‬
‫בין שני צדדים‪.‬‬
‫‪ .6‬הגדירו את התכולה לפרויקט‬
‫אם הארגון שלכם גדול (‪ ,)Enterprise‬אז אני אישית‬
‫ממליץ לכם לבחון היטב את תחולת הפרויקט‪.‬‬
‫המלצתי היא להתחיל עם אגף מערכות מידע‪,‬‬
‫ולאחר מכן לבחון כל מקרה לגופו‪.‬למשל‪ ,‬תוכלו‬
‫לבחור אתר פיזי אחד‪ ,‬תוכלו לבחור אפליקציה‬
‫מסויימת וכדומה‪ .‬מה שהכי חשוב‪ ,‬הוא לבחור‬
‫חלקים בארגון שיש להם חשיבות לעבור את‬
‫ההסמכה לתקן‪ .‬להמלצות‪ ,‬טיפים ושאלות כיצד‬
‫לבחור את התחולה‪ ,‬תוכלו לפנות אלינו לאיגוד‪.‬‬
‫‪ .7‬הגדירו וכתבו את מדיניות אבטחת‬
‫המידע של המנא"מ (‪)ISMS‬‬
‫מסמך מדיניות הינו מסמך המציג את העקרונות‬
‫והצהרות הנהלת הארגון בנוגע לניהול מנא"מ‬
‫(‪ .)ISMS‬זה לא מסמך שתפקידו לפרט בפרטי‬
‫פרוטות מה צריך לעשות‪ ,‬אלא יותר ברמת‬
‫המאקרו‪ .‬אז מה מטרת המסמך אם כך? המטרה‬
‫היא שהנהלת הארגון תוכל להגדיר מה בדיוק היא‬
‫רוצה להשיג (מטרות) וכיצד הוא מתכוון לנהל את‬
‫אבטחת המידע בארגון‪.‬‬
‫‪ .9‬תבצעו תהליך של הערכת סיכונים‬
‫וטיפול בממצאים‬
‫בשלב זה עליכם להטמיע את המתודולוגיה‬
‫להערכת סיכונים אשר בחרתם (הגדרתם) בשלב‬
‫הקודם (‪ .)8‬זה יכול לקחת לארגון גדול כמה‬
‫חודשים‪ ,‬אז כדאי לתכנן את התהליך הנ"ל היטב‪.‬‬
‫המטרה היא לקבל תמונת מצב אמיתית בנוגע‬
‫לאיומים וסיכונים שחלים על הארגון שלך (נכסים)‪.‬‬
‫המטרה של תהליך טיפול בסיכונים הינה למזער‬
‫את הסיכונים אשר אינם מקובלים על הארגון‬
‫(על הנהלת הארגון) – בד"כ זה מתבצע ע"י תכנון‬
‫שימוש בבקרות אשר נמצאות בנספח )‪Annex A‬‬
‫‪ )A‬בתקן‪ .‬בשלב זה‪ ,‬חובה לרשום דוח הערכת‬
‫סיכונים‪ ,‬אשר יתעד את כל השלבים שבוצעו כולל‬
‫את תהליך הטיפול בסיכונים‪ .‬כמו כן‪ ,‬במידה וישנם‬
‫סיכונים שיאוריים (‪ , )Residual Risk‬צריכים לדאוג‬
‫שיהיה לכך אישור בכתב‪ ,‬או כמסמך נפרד‪ ,‬או‬
‫כחלק ממסמך הצהרת הישימות (‪Statement of‬‬
‫‪)Applicability‬‬
‫‪ .10‬כתבו מסמך הצהרת ישימות (‪)SOA‬‬
‫ברגע שהנכם מסיימים את תהליך הטיפול‬
‫בסיכונים‪ ,‬אתם בעצם תוכלו לדעת בדיוק אילו‬
‫בקרות מנספח ‪ )A (Annex A‬תצטרכו ליישם‬
‫ואילו בקרות לא יהיה בהן צורך‪ .‬ישנם ‪355‬‬
‫בקרות‪ ,‬ובד"כ‪ ,‬לא תצטרכו את כולן‪ .‬מטרת‬
‫מסמך הצהרת ישימות (‪, )SOA‬הוא למפות את‬
‫כל הבקרות ולהגדיר אילו בקרות ישימות מבחינת‬
‫הארגון שלכם ואילו בקרות לא‪ ,‬וכמובן תצטרכו‬
‫להוסיף מספר עמודות אשר יצדיקו את ההחלטה‬
‫שלכם‪ ,‬נוספות כגון‪ :‬מהי הסיבה לכך שהבקרה‬
‫אינה ישימה‪ ,‬איזה מטרות אתם רוצים להשיג‬
‫בעזרת הבקרות הללו‪ ,‬והסבר קצר אודות תהליך‬
‫ההטמעה של המנא"מ (‪ )ISMS‬כמו כן‪ ,‬לא פחות‬
‫חשוב‪ ,‬המסמך הזה חייב להיות מאושר וחתום ע"י‬
‫הנהלת הארגון ההנהלה הבכירה)‪ .‬להלן דוגמא‬
‫לטבלה מתוך מסמך הצהרת ישימות (‪:)SOA‬‬
‫| גיליון ‪ | 2‬יוני ‪2012‬‬
‫‪33‬‬
‫בגיליון הבא‬
‫תקן אבטחת מידע ‪ | ISO27001‬הפתרון של היום לבעיות של מחר | המשך‬
‫‪ .11‬כתבו תוכנית לטיפול‬
‫בסיכונים (‪.)RTP‬‬
‫טוב‪ ,‬בדיוק כשחשבתם שכבר ביימתם עם כל‬
‫המסמכים שקשורים לסיכונים‪ ,‬אז הנה‪ ,‬עוד‬
‫מסמך אחד שתצטרכו על מנת לעבור את תהליך‬
‫ההסמכה‪ .‬מסמך "תוכנית טיפול בסיכונים" (‪Risk‬‬
‫‪ – )Treatment Plan‬שמטרתו היא להגדיר בדיוק‬
‫כיצד אתם הולכים להטמיע את הבקרות שציינתם‬
‫במסמך הצהרת הישימות‪ ,‬מי הולך להטמיע אותן‪,‬‬
‫מתי ועם איזה משאבים‪ .‬מסמך זה מהווה בעצם‬
‫תוכנית הטמעה המתמקד בבקרות‪ ,‬שבלעדיו‬
‫תתקשו להתקדם הלאה בפרויקט‪.‬‬
‫‪ .12‬הגדירו כיצד תמדדו את‬
‫האפקטיביות של הבקרות‪.‬‬
‫משימה נוספת שבד"כ ארגונים מפחיתים‬
‫מחשיבותה – זה מדידת האפקטיביות של הבקרות‪.‬‬
‫הנקודה כאן היא שאם אתה לא יכול למדוד מה‬
‫עשית‪ ,‬אז כיצד תוכל להיות בטוח שהשגת את‬
‫המטרה שלך? ולכן‪ ,‬עליך לוודא שאכן הגדרת‬
‫לעצמך כיצד אתה הולך לבדוק ולמדוד שהשגת‬
‫את המטרה שלך‪ ,‬עבור כל בקרה שמצוינת‬
‫במסמך הצהרת הישימות (‪.)SOA‬‬
‫‪ .13‬הטמיעו את הבקרות‬
‫ונהלים מנדטוריים‪.‬‬
‫קל יותר לדבר מאשר לבצע‪ .‬זהו השלב שבו‬
‫עליך להטמיע את ‪ 5‬השלבים הראשוניים של‬
‫התקן (‪ )Management Clauses‬ובנוסף את‬
‫הבקרות הישימות והרלוונטיות עבור הארגון‬
‫שלכם מתוך נספח ‪ A‬מוגדר בתקן כ‪.Annex A-‬‬
‫לרוב‪ ,‬זו יכולה להיות המשימה בעלת הסיכון‬
‫הגבוה ביותר בפרויקט שלכם (הטמעת ‪ISO-‬‬
‫‪ 27001‬בארגון) היות ומדובר כאן בהפעלת‬
‫ויישום טכנולוגיות חדשות) בקרות‪ ,‬אבל מעל הכל‪,‬‬
‫מדובר בהטמעת התנהגות חדשה בתוך הארגון‬
‫שלכם‪ .‬לעתים קרובות‪ ,‬יש צורך במדיניות ונהלים‬
‫חדשים‪ ,‬וכידוע לנו‪ ,‬לרוב‪ ,‬האנשים נוטים להתנגד‬
‫לשינויים במערכת – ומה שהופך את השלב הבא‪,‬‬
‫לחיוני ביותר בכדי כישלון בפרויקט‪.‬‬
‫(‪ )Auditors‬מאוד אוהבים תיעוד – ללא תיעוד‪ ,‬יהיה‬
‫לכם מאוד קשה להוכיח שפעילות מסוימת אכן‬
‫מתבצעת כפי שאתם טוענים שהיא מתבצעת‪.‬‬
‫כמו כן‪ ,‬התיעוד גם עוזר לכם מלכתחילה – ניתן‬
‫להיעזר בתיעוד על מנת לנטר מה קורה בארגון‪,‬‬
‫כך תוכל לדעת בוודאות האם העובדים (וספקים‬
‫חיצוניים) אכן עושים את המוטל עליהם‪.‬‬
‫התקנים)‪ .‬ההמלצה היא שתכינו תוכנית עבודה‬
‫תלת שנתית לתפעול המנא"מ‪ ,‬זה מאוד יקל‬
‫עליכם הן מבחינת הסוקר‪ ,‬והן מבחינת ביצוע‬
‫תפקידכם בניהול ותפעול המנא"מ‪ .‬מקווה‬
‫שהמדריך הזה עזר ויעזור לכם‪ ,‬ואולי גם יחסוך‬
‫לכם קצת תקציב ייעוץ כך שתוכלו לבזבז אותו‬
‫בפעילויות אחרות‪.‬‬
‫‪ .16‬חובה לנטר את פעילות‬
‫המנא"מ ‪)ISMS( .‬‬
‫בכל מקרה‪ ,‬לכל שאלות הבהרה‪ ,‬תוכלו לפנות אלי‬
‫במייל‪danny@titans2.com :‬‬
‫מה קורה אצלכם בארגון? האם המנא"מ (‪)ISMS‬‬
‫אצלכם עובד כראוי? כמה אירועי אבטחת מידע‬
‫יש לכם בארגון? מאיזה סוג? האם כל הנהלים‬
‫ננקטים בצורה נאותה? כאן בעצם אנו בודקים‬
‫לראות האם הבקרות והמטרות שהצבנו לעצמנו‪,‬‬
‫באמת השגנו אותם‪ ,‬ובצורה מלאה‪ .‬אם לא‪ ,‬אז אנו‬
‫לפחות יודעים שמשהו לא תקין‪ ,‬ואז נוכל לבצע‬
‫פעולות מתקנות ו\או מונעות‪.‬‬
‫‪ .17‬יש לבצע ביקורות פנימיות‪.‬‬
‫ברוב המקרים‪ ,‬מרבית האנשים אינם מודעים‬
‫לעובדה שהם עושים משהו בצורה לא שגויה (או‬
‫לפעמים הם מודעים לכך‪ ,‬אבל מעדיפים לשמור‬
‫את זה בשקט‪ ,‬כדי שאחרים לא יידעו על כך)‪ .‬אבל‬
‫לא להיות מודע על בעיות שקיימות או פוטנציאל‬
‫למימוש של סכנות ואיומים בארגון‪ ,‬יכול לגרום‬
‫נזק רב לארגון‪ .‬ולכן עלינו לבצע ביקורת פנימית‬
‫בכדי למצוא ליקויים ולוודא שלכל הממצאים‬
‫שנמצאו‪ ,‬ננקטים פעולות מתקנות\מונעות‪.‬‬
‫המטרה כאן היא לא להעניש מישהו‪ ,‬אלא למצוא‬
‫ליקויים‪ ,‬ולתקן אותם מיידית לפני שייגרם לנו נזק‬
‫כלשהו בארגון‪.‬‬
‫‪ .18‬חובה לבצע סקר הנהלה‪.‬‬
‫הנהלת הארגון אינה צריכה להגדיר את הפיירוולים‬
‫בארגון‪ ,‬או את האנטי וירוס‪ ,‬אבל היא צריכה לדעת‬
‫ולהיות מודעת למה שקורה בארגון מבחינת ניהול‬
‫המנא"מ‪ .‬האם כל עובד מבצע את המוטל עליו‪,‬‬
‫האם המנא"מ מביאה את התוצאות שהצבנו‬
‫לעצמנו מלכתחילה‪ ,‬וכו'‪ .‬בהתבסס על סקר זה‬
‫(סקר הנהלת הארגון)‪ ,‬הנהלת הארגון צריכה‬
‫להסיק מסקנות ולנקוט באמצעים‪.‬‬
‫‪ .14‬הטמיעו ובצעו תוכנית‬
‫להגברת המודעות בנושא‬
‫אבטחת מידע‪.‬‬
‫‪ .19‬יש לנקוט בפעולות‬
‫מתקנות ומונעות‪.‬‬
‫אם הנכם רוצים שהמשתמשים יטמיעו את כל‬
‫מסמכי המדיניות והנהלים החדשים בארגון‪,‬‬
‫ראשית‪ ,‬עליכם להסביר להם למה יש בכלל צורך‬
‫בכל השינויים הללו‪ ,‬וכמו כן גם רצוי גם להדריך‬
‫ולהכשיר את אותם המשתמשים כדי שיוכלו לבצע‬
‫את המוטל עליהם‪ .‬היעדר תהליך זה בפרויקט‪,‬‬
‫מהווה סיבה שנייה לכישלון בפרויקט‪.‬‬
‫מטרת המנא"מ היא לוודא שכל מה שלא נמצא‬
‫תקין (‪ )non-conformities‬יתוקן‪ ,‬או לפחות ינקטו‬
‫פעולות מתקנות‪ ,‬מונעות או מפצות‪ .‬ולכן‪ ,‬התקן‬
‫‪ , ISO-27001‬דורש שפעולות מתקנות ומונעות‬
‫יבוצעו באופן סיסטמטי‪ ,‬מה שאומר שצריכים‬
‫למצוא את שורש הבעיה (‪ ,)Root cause‬לתקן‬
‫ולוודא שאכן זה תוקן‪.‬‬
‫‪ .15‬חובה לתפעל‬
‫את המנא"מ (‪)ISMS‬‬
‫‪ .20‬תכינו תוכנית עבודה תלת שנתית‬
‫להמשך תהליך הביקורת‪.‬‬
‫זהו החלק שבו‪ ,‬התקן ‪ ISO 27001‬הופך להיות חלק‬
‫אינטגראלי בשגרת היום יום שלכם בארגון‪ .‬המילה‬
‫הכי חיונית כאן הינה" רשומות‪-‬תיעוד"‪ .‬הסוקרים‬
‫ההסמכה לתקן ניתנת למשך ‪ 3‬שנים‪ ,‬כאשר‬
‫במהלך תקופה זו‪ ,‬אתם עלולים לזכות מדי פעם‬
‫לביקורות מצד הגוף המבקר\מסמיך (כגון מכון‬
‫‪34‬‬
‫גיליון ‪ | 2‬יוני ‪| 2012‬‬
‫‪ISO‬‬
‫הכותב הינו סוקר מוסמך בינלאומי ל‪27001 LEAD -‬‬
‫‪ AUDITOR‬ו‪ . BS25999 LEAD AUDITOR -‬הוא הסמיך וייעץ‬
‫לארגונים רבים בארץ ובחו"ל‪ ,‬וכותב בעצמו הסמכות‬
‫ומסמיך‪.‬‬
‫מנהלות‪:‬‬
‫חברים ממליצים‬
‫ניהול זהויות‬
‫התמודדות עם‬
‫עולם הסייבר טרור‬
‫הידיעון יכול לשמש במה לחברי האיגוד‪ ,‬שבאמצעותו ניתן יהיה מסרים והודעות לשאר‬
‫החברים‪ ,‬מידע בתחומים שונים‪ .‬זה יכלול מאמרים מקצועיים‪ ,‬ספרים‪,‬כנסים וימי‬
‫עיון‪,‬הצעות עבודה‪ ,‬אתרים באינטרנט‪ ,‬קבוצות דיון‪ ,‬ועוד‪ ,‬כפי שאתם החברים תמצאו‬
‫לנכון‪ .‬אנא‪ ,‬שתפו את עמיתיכם בנושאים המקצועיים המעניינים‪.‬‬
‫חומר שמיועד לידיעון האיגוד‪ ,‬יש להעביר אל מר דני אברמוביץ‬
‫בדוא"ל‪danny@titans2.com :‬‬
‫‪- EPS‬‬
‫מה באמת הארגון צריך?‬
‫תעסוקה‬
‫בקרוב‪ ,‬תעלה לאתר של האיגוד פינה להצעות עבודה ו\או לוח דורשי עבודה‪ .‬אתם‬
‫מוזמנים להעביר הצעות ו\או פניות אל מנהל האתר‪.‬‬
‫מערכות ‪SIEM‬‬
‫אתר האינטרנט של האיגוד הישראלי לאבטחת מידע‬
‫בקרוב יעלה לאוויר האתר של האיגוד הישראלי לאבטחת מידע‪.‬‬
‫נשמח לקבל הצעות לשיפור מהחברים‪ ,‬אפשר באמצעות מזכירות האיגוד אך עדיף‬
‫ישירות למנהל האתר ו\או ליו"ר ועדת פרסומים ושיווק‪ ,‬כמובן דרך האתר עצמו‪ .‬כתובת‬
‫האתר הינו‪www.issa.org.il :‬‬
‫כיצד בונים תוכנית‬
‫להמשכיות עסקית‬
‫קשר עם מזכירות האיגוד‬
‫מערכות ‪IPS‬‬
‫חוק וסדר‬
‫האיגוד הישראלי לאבטחת מידע (‪ )ISSA‬רוצה לברך‬
‫ולהודות לכל המשתתפים שתרמו לעריכת גיליון זה‪.‬‬
‫אנו משתדלים לשמור על פרטים מעודכנים של חברי האיגוד‪ .‬פרטים אלו מתקבלים‬
‫אצלנו מתוך העדכונים שאתם\ן מעבירים\ות בצורה מקוונת ל‪ ISSA-‬באמצעות האתר‬
‫שלהם‪ .‬לפי העניין אנא ידעו אותנו – באמצעות מזכירות האיגוד – על שינויים שחלים‬
‫בפרטים שלכם‪ ,‬בפרט נתונים כמו כתובת דואר אלקטרוני באמצעותה אנו מעבירים‬
‫לכם חומר רלבנטי על פעילותנו וכמובן מספרי טלפון וניידים‪ ,‬באמצעותם ניתן ליצור‬
‫קשר עימכם\ן‪ .‬נשמח לקבל את פניותיכם באמצעות אחת מהדרכים הבאות‪:‬‬
‫מזכירות האיגוד‪ ,077-5150340 :‬לנייד‪ 054-9844855 :‬או פקס‪077-5150341 :‬‬
‫דואר אלקטרוני בכתובת‪ info@issa.org.il :‬ו\או באמצעות אתר האיגוד‪:‬‬
‫‪www.issa.org.il/contact.asp‬‬
‫נקודות ‪CPE‬‬
‫בין הכותבים שלנו‪:‬‬
‫ניר וולטמן ‪ Security Architect -‬בחברת סיטדל‬
‫דני אברמוביץ ‪ -‬מנכ“ל חברת ‪TITANS SECURITY‬‬
‫שלומי מרדכי ‪ -‬מנמ“ר הקריה האקדמית‬
‫הדס שני ‪ -‬ראש צוות ‪ CERT‬בתהיל“ה‬
‫אלי כזום ‪ -‬מנהל אבטחת מידע אגף המכס והגבייה‬
‫מוטי מאירמן – יועץ אבטחת מידע בכיר‬
‫ארז מטולה – מנכ"ל ומייסד חברת ‪Appse-Labs‬‬
‫אורן הדר – מנכ"ל חברת ‪KnowIT‬‬
‫אם גם אתם רוצים לכתוב כתבות‪,‬‬
‫נא לפנות אלינו בכתובת‪:‬‬
‫‪info@issa.org.il‬‬
‫למתן חסות לאיגוד‪ ,‬ניתן לפנות אלינו‬
‫במסגרת מאמצינו לסייע לחברי האיגוד‪ ,‬הנהלת האיגוד לקחה על עצמה משימה‬
‫בניהול ומעקב אחר שעות ה‪ CPE-‬שלכם עבור ביקורות עתידיות‪.‬‬
‫ •לכל בעלי ההסמכות הבינלאומיות כגון‪ CISSP, CISM, CISA, CGEIT :‬נדרש לצבור‬
‫מספר נקודות ‪ CPE‬בשנה (‪ ,)Continuing Education Policy‬כאשר המספר‬
‫מתבצע שנתי ותלת שנתי‪.‬‬
‫‬
‫•על רוב ההסמכות‪ ,‬עליכם להשלים ‪ 120‬נקודות ‪ CPE‬לתקופה של ‪ 3‬שנים‪ .‬קיימות‬
‫דרכים רבות לצבור שעות ‪ CPE‬ואחת מהן היא השתתפות במפגשי האיגוד‪ ,‬אשר‬
‫יזכו אתכם בכל פעם בנקודות ‪.CPE‬‬
‫עד כה הועברו בצורה מוצלחת ‪ 9‬מפגשים במהלך שנת ‪ ,2011‬שכללו בין היתר הרצאות‬
‫שונות ומקצועיות בתחומים שונים מעולם אבטחת המידע‪.‬‬
‫אנו מבטיחים כי שנת ‪ 2012‬תהיה עשירה יותר‪ ,‬הן מבחינת תדירות המפגשים‪ ,‬והן‬
‫מבחינת התכנים המקצועיים‪.‬‬
‫אם יש נושא שתרצו לשמוע עליו או שאתם מכירים אותו היטב ותרצו לשתף את הידע‬
‫והניסיון שלכם עם שאר חברי האיגוד‪ ,‬אנו יותר מנשמח לתת לכם במה‪.‬‬
‫אנו פנו אלינו לתיבות הדואר של האיגוד‪ ,‬ואנו ניצור אתכם קשר ולשבץ אתכם בלו"ז‪.‬‬
‫‪info@issa.org.il‬‬
‫| גיליון ‪ | 2‬יוני ‪2012‬‬
‫‪35‬‬
‫האבטחה שלך‬
‫להצלחה בטוחה!‬
‫מנהלי אבטחת מידע‬
‫בואו ללמוד איך לקשר בהצלחה בין מטרות עסקיות של הארגון לאבטחת מידע‬
‫יום ותארי ך‬
‫מספ ר‬
‫שם הסמינר‬
‫א' – ‪20.06.2012‬‬
‫‪T‬‬
‫‪ S01‬‬
‫קורס ‪ – CISO‬ניהול אבטחת מידע כולל הסמכה בינלאומית של ‪CISM‬‬
‫ב' – ‪20.06.2012‬‬
‫‪TS02‬‬
‫קורס ‪ – CRO‬ניהול סיכוני ‪ IT‬כולל הסמכה בינלאומית של‬
‫ג' – ‪20.06.2012‬‬
‫‪TS03‬‬
‫קורס ‪ – CISA‬מבקר מערכות מידע כולל הסמכה בינלאומית של ‪CISA‬‬
‫א' – ‪27.05.2012‬‬
‫‪TS04‬‬
‫קורס ‪ – CISM‬הכנה לבחינה‬
‫א' – ‪27.05.2012‬‬
‫‪TS05‬‬
‫קורס ‪ – CRISC‬הכנה לבחינה‬
‫א' – ‪27.05.2012‬‬
‫‪TS06‬‬
‫קורס ‪ISO 27001 Lead Auditor‬‬
‫רשימת קורסים מלאה מופיעה באתר החברה‪.‬‬
‫לתיאום פגישה וקבלת פרטים נוספים‬
‫חייגו‪077-5150340 :‬‬
‫יועץ אקדמי (דני) – ‪ 050-8266014‬דוא"ל‪:‬‬
‫מכירות (סיוון) – ‪ ,0549844855‬דוא"ל‪:‬‬
‫‪danny@titans2.com‬‬
‫‪sivan@titans2.com‬‬
‫‪CRISC‬‬