M a g a z i n e S e c u r i t y מגזין אבטחת מידע וניהול סיכונים | גיליון מס' | 2יוני 2012 בשער מה מדאיג את הלקוחות במחשוב ענן היום שאחרי מחר אני יודע מה עשית בקיץ האחרון סוגרים את הברז....מניעת דליפת מידע כיצד מנהלים פרויקט DLP n f o r m a t i o n I דבר העורך דבר יו"ר האיגוד העולמי לאבטחת מידע האם ניתן וכיצד ניתן למנוע את פרשת ענת קם....הבאה? טוב ,תקראו לי ,Old Fashionאבל כולם מדברים על הפתרונות הטכנולוגיים שיכלו למנוע את פרשת ענת קם ,ולמנוע את הדלפת המידע ,אבל אני חייב לציין לצערנו ,שום פתרון טכנולוגי ולא משנה עד כמה הוא טוב ,היה מונע או יצליח למנוע את הפרשה הבאה של דליפת מידע .ישנם דברים בסיסיים יותר בעולם אבטחת המידע ,שניתן לאמץ ,אשר יכולים לסייע בנושא זה .אני טוען שקצת מיותר לרוץ ולרכוש פתרונות DLPלפני שמגדירים היטב את מערכת ההרשאות בארגון .צריך לבדוק קודם מה יש בארגון ועל מה כדאי להגן .אולי המידע לא בורח באימייל? אולי מרמים אנשים ומשכנעים אותם מבחוץ להעביר מידע? רוב כלי התוכנה לניטור תוכן מחפש רק דברים שמגדירים עבורם וככה מפספסים פרצות רבות בארגון. במקרה של ענת קם ,הייתה לה גישה לכמות אדירה של מסמכים מסווגים שחלקם ייצרה אף בעצמה .במסגרת תפקידה, היא הייתה להדפיס כמויות גדולות של מסמכים והייתה צריכה לראות ולשנות מסמכים שייצרו אחרים .כל מסמך שעבר על צג המחשב שלה היה חשוף לצילום על ידי מצלמה ,העתקה בכתב יד ,הקראה של התוכן בטלפון או טייפ מנהלים וכו'. עכשיו ,תשאלו את עצמכם...בכמה ארגונים שאתם מכירים (ואפילו ברוב הארגונים בהם אתם עובדים כיום) המצב דומה? ולכן ,מלבד הפתרונות הטכנולוגיים ,שהם כמובן מאוד נחוצים, אבל לא מספיקים ,חייבים להטמיע ולקחת בחשבון גם בקרות נוספות ,בקרות שמפצות על מגוון החורים השונים אשר נמצאים מוטמעים בחלק מתהליכי העבודה של הארגון ,ולא ניתן למנוע אותם. אחת הסוגיות שאני רוצה לתקוף ,אומנם מוכרת להרבה מנהלי אבטחת מידע ,אך לדאבוננו ,מיושמת מעט מאוד בארגונים .ישנם 2כללי ברזל שחובה לאכוף בכל ארגון ,בכל הקשור למדיניות בקרת גישה והקצאת הרשאות גישה. העיקרון הראשון הינו " "Least Privilegeומה שעומד מאחוריו זה העיקרון הפשוט ,שלכל עובד בארגון צריך להיות מינימום הרשאות גישה לצורך ביצוע עבודתו ולא מעבר לזה. בקרה זו אומנם היא אדמיניסטרטיבית ,אבל היא יכולה להיות גם בקרה מונעת ,היות ומשתמש אשר אין לו הרשאות גישה לבצע פעולה מסוימת ,הוא לא יבצע אותה( .ולמתחכמים שבינינו ,ברור שאפשר לעקוף כל בקרה ,אבל זו עבירה פלילית ,ומטרתנו היא לא למנוע לגמרי ,אלא למזער את הסיכון). העיקרון השני נקרא " ,"Need-to-Knowוהוא מוסיף שכבת מידור נוספת לעיקרון הראשון .בכל ארגון ,מומלץ לבצע מיפוי דרישות לבקרת גישה ,ולסווג את המשתמשים ואת המידע אליו הם צריכים לגשת .עיקרון זה אומר ,שנניח שלמשתמש שעובד במחלקה בעלת סיווג סודי ,והוא בעל סיווג מתאים (כלומר ,סיווג סודי) ,עדיין ,זה לא אומר שהוא יכול לגשת ולראות את הקבצים שנמצאים במחלקה שלו ,אלא הוא יכול לגשת אך ורק לאותם קבצים אשר מותר לו לגשת. ואלו 2עקרונות ,אשר לא מחייבים שום רכישת מוצר צד ג' של מניעת לדליפת מידע ,ובכל זאת למזער את הסיכון לדליפת מידע, ע"י מניעת גישה חופשית של משתמשים למידע רגיש. 2 גיליון | 2יוני | 2012 מי ומה בגיליון? ()ISSA חבר\ה יקר\ה ראשית כל ,אני רוצה להודות באופן אישי למר אריאל פלד (הנשיא לשעבר) עובר תרומתו הרבה לאיגוד .לאחר 8שנים של עשייה רבה ,ובכלל הקמת הציאפטר הישראלי של ,ISSAהוא עושה את דרכו לפרויקט אחר בחייו ,ואנו מאחלים לו בהצלחה מכל הלב ,ומקווים ומבקשים את תרומתו ושימשיך לסייע לנו בהמשך הדרך. החודש ,יתקיים הכנס השנתי הבינלאומי של האיגוד ,כמיטב המסורת שהתחלנו מזה כמה שנים ,וגם השנה יהיו לנו מספר מרצים בכירים מחו"ל ,וכמובן גם אורחים לא פחות מכובדים מהארץ. הכנס השנה יעסוק בעיקר בתחום הסייבר טרור ,נושא שהוא חם, ועולה לכותרות כמעט בכל הזדמנות ,בעקות גל של התקפות סייבר ברחבי העולם ,שאנו עדים להם לאחרונה. כמו כן ,אני מברך את הכותבים שלנו ,שנרתמו למשימה ובכך יצא הגיליון השני של האיגוד ,עשיר יותר בתכנים ,וניסינו לכסות כמה שיותר נושאים ,שאר הגיעו כבקשות למערכת של האיגוד. כמו כן ,במסגרת פעילות האיגוד ,הרצנו סדנא של יומיים ,בנושא התקפות והגנות ברשתות ,IPV6עם הגורו העולמי מספר אחד בתחום זה ,מארק היוז ( הידוע בכינויו המקצועי .)Van Hauser לקרת סוף השנה ,במהלך חודש נובמבר ,אנו מתכנים שבוע נוסף של סדנאות מקצועיות ,עם מרצים בכירים מהארץ ומהעולם. מעונן חלקית כיצד מנהלים פרויקט IT כיצד מנהלים פרויקט NAC כיצד מנהלים פרויקט DLP היבטי אבטחת מידע בתהליכי הפיתוח סוגרים את הברז – כיצד למנוע דליפת מידע אני יודע מה עשית בקיץ האחרון 10סיבות לשימוש בכרטיס חכם היום שאחרי מחר האם מדובר בלהבה או בניצוץ רגעי האם אתה מנהל את המידע בארגון או שהמידע מנהל אותך? תוכנות ריגול – מה המשמעות החוקית של העניין סיקור מפגש אפריל מיינפריים ירוק והגנת הסביבה לקראת הכנס השנתי בחודש יוני 2012 10טיפים לבניית תוכנית מבדקי חוסן עבור הארגון ארגז כלים VARONIS תקן אבטחת מידע ISO27001 הפתרון של היום לבעיות של מחר במהלך סוף החודש ,אנו מקווים שיעלה לאוויר גם האתר החדש של האיגוד ,עשיר יותר ומגוון יותר בתכנים ,ויחד עימו ,נחשוף את הפעילות החדשה ,והתוכניות של האיגוד. עורך ראשי :דני אברמוביץ סגן עורך :שלומי מרדכי המערכת :האיגוד הישראלי לאבטחת מידע צלם המערכת :יוסי טובליס עיצוב ודפוס :דפוס דיגיטל דוא"לinfo@issa.org.il: בברכה, האיגוד אינו אחראי לתוכן המודעות .כל הזכויות שמורות. אין להעתיק רשימות וחלקים בלא היתר. אז בנימה אופטימית זו ,אני מאחל לכם קריאה נעימה ,ונתראה במפגש הבא של האיגוד. דני אברמוביץ נשיא האיגוד בכל גיליון תקבלו חשיפה טכנולוגית על פתרונות אבטחת מידע שונים .אין אנו משמשים כגורם ממליץ ,או ממליצים על מוצר כזה או אחר .מטרת הכתבות היא חשיפה טכנולוגית בלבד .כמו כן ,כל הכתבות בגיליון מביאות את חוות דעתם של הכותבים ,ואין זה מביע את כוונת האיגוד. | גיליון | 2יוני 2012 3 מעונן חלקית אבטחת מידע ,עמידה בתקנות ,מחויבות ארוכת טווח של הספקיות ,זמינות גבוהה ושרידות ,אלו רק כמה מהחששות שמעלים הלקוחות ביחס למחשוב הענן. ספקיות נוטות להתמקד בחששות העיקריים של הלקוחות ביחס למוצרים ,לטכנולוגיות או למודלים ,ולמצוא את התשובות הנכונות כדי להרגיע אותם. שמאוחסנים היכנשהו ברחבי העולם (המיקום המדויק אינו ידוע ללקוחות) ומועברים ברשת האינטרנט בטוחים כמו נתונים שמאוחסנים בשרתים פנימיים ומועברים ברשתות ארגוניות? במקרה של מחשוב ענן ,שרבים רואים בו את המגמה הבאה בעולם המחשוב ,מתייחסות הספקיות המובילות בעיקר לחששות הבאים: האם הטכנולוגיה הבטחה? האם היא אמינה? והאם היא כדאית מבחינה כלכלית? התשובות של הספקיות מתמקדות בדרך כלל בהיקף ובפיקוח מרכזי .רק מעט ארגונים גדולים יכולים להקצות תקציבים וכוח אדם בהיקף שמקצות חברות כגון Amazon, Google, ,IBMו Salesforce-כדי להגן על מרכזי הנתונים שלהם. הלקוחות הפוטנציאליים אכן מביעים את החששות האלה ,אך הם מתחבטים גם בשאלות רבות נוספות .האם לא ימצאו את עצמם כבולים לספקית בודדת ,כאשר הנתונים או היישומים משמשים כבני ערובה? האם חברות שפונות בעיקר לצרכנים פרטיים ,דוגמת Google ו ,Amazon-יוסיפו לפעול בתחום של המחשוב הארגוני גם בטווח הארוך? בהתחשב בחוקים ובכללים ,שנועדו להסדיר תעשיות ולקבוע את השיטות הטובות ביותר ,אילו נתונים מותר לאחסן בשרתים מרוחקים ואילו חייבים להותיר בתחומי הארגון? האם יש בנמצא יישומים מתאימים ,ואילו משאבי מחשוב נוספים ניתן למצוא ברשת? אז מה באמת מדאיג את הלקוחות במחשוב ענן? להלן הסוגיות העיקריות בעת מעבר למחשוב ענן: אבטחת מידע -נושא אבטחת המידע ניצב עדיין בראש רשימת החששות .האם נתונים 4 גיליון | 2יוני | 2012 לטענת הספקיות ,נתונים שמאוחסנים באינטרנט, מעצם טבעם ,בטוחים יותר מנתונים שבאופן בלתי נמנע מתפזרים בסופו של דבר בין מחשבים נישאים ,טלפונים חכמים ומחשבי PCביתיים. אולם הספקיות מסכימות כי בכל הקשור לאבטחת מידע ,לקוחות ארגוניים אינם מוכנים לקנות כל הבטחה בעיניים עצומות .הספקיות מחשוב ענן, יצטרכו לעבוד קשה ,ולהוכיח ללקוחות שהמידע שלהם מוגן ובטוח. כבילה לספקיות ותקנים -בתחום זה נשאלות שאלות רבות ,שטרם נמצאו תשובות הולמות .בין השאלות הכי חשובות ,ניתן למצוא את "האם מפרטי האינטרנט בשלים די הצורך על מנת לאפשר העברה של נתונים בין הספקיות השונות? האם ניתן לבחור יישום של ספקית מסוימת ולעבור לאחר מכן בקלות ובמהירות לספקית אחרת? הספקיות מדגישות את הפתיחות ואת יכולות ההרחבה שמעניקים פרוטוקולים של שירותי אינטרנט דוגמת SOAPאו .XMPPמאחר שהספקיות מעניקות שירותים של תשתיות מחשוב ,נחסך מהלקוחות הצורך להשקיע הון או לשלם מראש תשלומים כלשהם ,וכי הלקוחות יכולים ליישם את השירותים של ספקית מחשוב ענן בצורה מצומצמת ,ואז לגדול בהתאם לצורך העסקי. הספקיות מציינים בתגובה כי ההשקעות במחשוב ענן אינן גבוהות ומשום כך הסיכון נמוך ,בעוד שמעבר מיישומים מקומיים של SAP, ORACLEאו EMCהוא משימה מורכבת בהרבה יותר. עמידה בחוקים ותקנות -ארגונים שמבקשים להעביר חלק מהנתונים לאינטרנט חייבים להתמודד עם סבך של חוקים וכללים שחלים על תעשיות מסוימות ( HIPAA, PCI, FERPAועוד) או על כל המשק ( SOX, Patriot Act, FISMAוכדומה). החוקים והכללים מגדירים כיצד יש לאחסן את המידע ולאפשר את הגישה אליו ,אך הם מותירים פתח רחב לפרשנויות שונות ,והספקיות ,שאינן יכולות כמובן לשנות את החוקים ,מודות שכאשר הן פונות לארבעה עורכי דין על מנת לתת מענה ללקוחותיהן ,הן מקבלות חמש תשובות שונות .גם באשר לשמירה על הפרטיות החששות רבים. אמינות -ציבור הלקוחות תוהה עד כמה מתאים מחשוב הענן לחברות שמרבות לשלוח קבצים גדולים .המגבלות של רוחב הפס ידועות לכולם, והלקוח לא יכול לחכות ,הוא חייב תגובה מהירה. יהיו התשתיות אמינות ככל שיהיו ,אפילו הספקיות הגדולות של מחשוב ענן סובלות מתקלות .בשנה האחרונה ,היינו עדים למספר תקלות משביתות של ענקיות ספקי מחשוב ענן כגון Amazon, Google, Microsoftוזה משאיר אותנו עם השאלה... עד כמה השרות הזה אמין...ולאורך זמן? כל הספקיות הגדולות של מחשוב ענן מפנות להסכמים של איכות השירות .אולם הלקוחות זכאים רק לפיצוי על תקלות בשירות ,ולא על עסקאות שהפסידו .בסופו של דבר ,השאלה היא: האם היישומים ,מסדי הנתונים ,מערכי האחסון ותשתיות המחשוב המקומיים של הארגון אמינים יותר מאלו של ספקיות מחשוב ענן? ואפילו אם נאמר שהאמינות דומה ,האם לא עדיף להשקיע את המשאבים של מחלקת המחשוב בפעילויות שמעניקות יתרונות תחרותיים ,במקום שתכלה את זמנה בניהול ושדרוג של שרתים ,מערכי כוננים ,יישומים ושאר תוכנות ותשתיות? עלות כוללת של הבעלות (או השכירות) - הטיעונים שמשמיעות הספקיות של ענן המחשוב ביחס לעלויות משכנעים למדי :זול יותר להשתמש בשירותים שהן מציעות מאשר לרכוש ולתחזק ציוד חומרה ותוכנות מקומיות .אין צורך לשלם מראש סכומים גבוהים ,משלמים רק לפי היקף השימוש וניתן להרחיב או לצמצם את היקף השימוש בקלות .אפשר גם ליהנות מיתרונות הגודל שמציעות הספקיות. מבחר -אילו אפשרויות מוצעות למי ששוקלים להעביר משאבים מסוימים למחשוב ענן? המבחר גדל מדי יום .הספקיות מציעות מגוון רחב של שירותים ,בהתאם לדרישות העסקיות של הארגון .למשל ,חברת Salesforceמציעה פלטפורמת אינטרנט שהיא מעין בורסה ,שבה מוצעים מאות יישומים מצד שלישי ,בצד שירותים של מסדי נתונים יחסיים ,שירותים עסקיים וסביבת פיתוח משולבת .חברת GOOGLEמציעה שורה של שירותי עיבוד ,וכן שירות של מסד נתונים .חברות כגון ,EMC, IBM, MICROSOFT, SUNוחברות גדולות נוספות מציעות שורה הולכת ומתרחבת של שירותים ,וחברות סטארט-אפ רבות מאמצות את המודל של דמי מנוי .השאלה הגדולה היא ,באיזו מידה ניתן לבצע התאמה אישית של שירותים אלה ללקוחות? מחויבות ארוכת טווח של הספקיות - האם חברות ענק שפונות בעיקר לציבור הרחב, דוגמת AMAZONו ,GOOGLE-לא ימאסו יום אחד בלקוחות הארגוניים ,שמציבים דרישות גבוהות ומתנהלים בקצב איטי? הספקיות מרבות להשוות את השלב הנוכחי שבו מצוי מחשוב הענן לימיה הראשונים של רשת החשמל ,כאשר חברות עסקיות עדיין הפעילו מחוללי חשמל משלהן ,עד שעברו לחברות חשמל גדולות .אולם למשוואה זו גם צד שני :האם חברות נמרצות וחדשניות דוגמת GOOGLEו ,AMAZON-לא יאבדו יום אחד עניין במכירה של שירותים אחידים ,שמזכירים אספקת חשמל. הספקיות מתעקשות ,כמובן ,שבכוונתן להוסיף ולפעול בתחום זה גם בטווח הארוך ,ושהלקוחות מקבלים בהתלהבות שירותים אלה. מומחים טוענים כי אין צל של ספק שהפרדיגמה של מחשוב ענן היא הדבר הבא .השאלה היחידה שנשאלת ,היא באיזה קצב יתבצע המעבר .כיד שהמעבר יהיה מהיר ,על הספקיות לתת מענה הולם לכל החששות של הלקוחות. | גיליון | 2יוני 2012 5 כיצד מנהלים פרויקט ?IT ניהול פרויקטים ניהול פרויקט אפקטיבי ,הפועל בסביבה משתנה זו נדרש לענות על השאלות הבאות: כל מנהל כיום יודע לצטט את האימרה המפורסמת כי " 50%מפרוייקטי יישום פתרונות אבטחת מידע נכשלים" .כישלון או הצלחת פרויקטים נמדד באמצעות אחד משלושה ממדים :עמידה בתקציב ,עמידה בלו"ז ועמידה בתכולה. •מי יזם את הדרישה ומה חשיבותה בראיית ניתוח עלות תועלת? – לעתים ,יהיה קל יותר לקדם פרויקטים חוצי ארגון ,או פרויקטים שהיוזמים שלהם הם מספר חטיבות בארגון, וזה לא מגיע רק מה.IT- כפי שניתן לראות ,ניהול פרויקט ,ITאינו מסתיים ברכישת קופסה\מערכת והטמעתה בארגון ,אלא יש צורך במערך שלם לצורך אפיון וניהול דרישות על בסיס הצורך העסקי ,ביצוע פיילוט ובחירת מערכת שעונה לדרישות שקבענו ,הטמעת המערכת ותפעול שוטף של המערכת ,הדרכות ולבסוף בקרה וניהול שינויים במערכת. •כיצד מחולקים משאבי ה – ?IT-האם ישנו תקציב עבור הפרויקט שאנו מנסים לקדם? מאיפה מגיע התקציב? האם התקציב מגיע מכמה חטיבות או מחלקות? להלן היבטים נוספים ,שצריכים לקחת בחשבון ברמה הפרויקטאלית. אבל ,זה לא חייב להיות כך .בשנים האחרונות, גדלה ההכרה כי למנהל הפרוייקט יש חשיבות עצומה להצלחת הפרוייקט .גיוס מנהל פרויקט בעל ניסיון ,ידע ואישיות מתאימה ,הינו משימה לא פשוטה ואף יקרה .פרויקט ,ITבמיוחד פרויקט אבטחת מידע רוחבי ,בארגון ,מחייב לנקוט באותן אמצעים ,לצורך ניהול פרויקט תקין ,על מנת להטמיע את הפתרון בארגון בצורה קלה ,יעילה ומוצלחת. גופי ה ITכיום פועלים בסביבה תובענית מתמיד, הם נדרשים להציג תועלות לעסק ,לוודא כי פעולותיהם מוכוונות בהתאם לאסטרטגיה הארגונית ולהתנהל בתפיסת ניהול כלכלי מונחה עלות/תועלת .תפקידו של מנהל אבטחת המידע במערכה זו ,הוא לסייע לארגון בבחירת המוצר\הטכנולוגיה המתאימה והעונה לדרישות העסקיות של הארגון .כמו כן ,הוא יכול להוות כגורם מייעץ למנהל הפרויקט. גוף ה ITעומד בפני זרם בלתי פוסק של דרישות מהיחידות העסקיות -שינויים למערכות קיימות, דרישות לפיתוחים חדשים ,פיתוח מערכות חדשות ועוד .בנוסף ,רגולציות שונות הדורשות חיזוק המעקב והבקרה על פעילות ה( IT-דוגמת( SOX נכנסו לתוקף ,ויחד עימם נוספו דרישות נוספות. •ניהול פינאנסי ,תכנון לעומת בפועל ,חריגות תקציב ,השקעה בפיתוח לעומת השקעה בתחזוקה, ניהול עלויות ספקים ועוד. •ניהול דרישות הנותן מענה מלא לכל מחזור חיי הדרישה בתהליך ניהול הפרוייקטים ,החל ביוזמה עסקית ועד הפיכתה לפרוייקט ,תוך יצירת שקיפות ושפה משותפת (מתודולוגיה), וזרימת מידע באמצעות יכולות ה Workflow המובנות המערבת את הרפרנט העסקי ואת גוף ה.IT- •איסוף וניתוח נתונים בזמן אמת ,הכולל שעות עבודה ,קבלני משנה רכש וכיו"ב. •כיצד לקבוע סדרי עדיפויות לדרישות ולפרוייקטים השונים ועל סמך אילו קריטריונים? – חשוב לקבוע קריטריונים לקביעת סדרי עדיפויות ,מבחינת החשיבות ,רמת הקריטיות, דרישות עסקיות ורגולטרויות ועוד. •סימולציה של משמעות יישום הדרישה כפרוייקט וניהול פורטפוליו הפרוייקטים השונים בארגון .אילו דרישות להוציא לפועל ומה השפעתם על מערכות אחרות שקיימות בארגון. להלן השלבים הסטנדרטיים בניהול פרוייקט יישום והטמעת פתרון .כמובן ,כל ארגון יכול לאמץ שלבים נוספים או להוריד חלק מהשלבים בהתאם לדרישות העסקיות של הארגון ,ובהתאם לסוג המערכת\פרויקט. •כיצד לנהל בצורה אינטגרטיבית את משאבי ה IT -והסיכונים הקשורים? – חלק אינטגרלי מכל פרויקט ITהינו ניהול נכון של משאבי ה IT-בארגון ,במיוחד אם מתנהלים מספר פרויקטים במקביל. •יצירת תוכנית פרוייקט ארוכת טווח תוך שימוש בתסריטי " "What Ifותכנון משאבים רך לפי מיומנות או הגדרת תפקיד ,ויכולת לבצע תכנון מפורט לטווח הקרוב. אפיון דרישות •אילו פרוייקטים ואילו משימות נמצאים בעבודה ואילו צפויים להיכנס? – זה יכול להשפיע על סדרי עדיפויות ,והסדר שבו יתבצעו הפרויקטים. •כיצד ניתן לתאם וליצור ואינטגרציה בין פעילויות ותשתיות? – לעתים ישנם פרויקטים שונים ,אך תלויים אחד בשני ,או שמחייבים אינטגרציה ביניהם .חשוב לקחת בחשבון היבט זה ,מבחינת ניהול משאבים בארגון. •עבודה רב פרוייקטאלית מטריציונית מלאה, עבודה של מספר בעלי עניין באותו פרוייקט בו זמנית ,לכל בעל עניין תמונת מצב מלאה של תכולות העבודה שלו בפרוייקטים השונים. •ניהול סיכונים ברמת הפורטפוליו ,הפרוייקט ועד רמת חבילות העבודה. כתיבת מסמך )RFP (Request For Proposal שלב זה כולל בתוכו מיפוי תהליכי העבודה הרלוונטיים (בהתאם לדרישות העסקיות של הארגון) ,על בסיס ראיונות עם אנשי מפתח השותפים לתהליכי העבודה .הכנת מסמך דרישות ,RFPלצורך פניה לספקים לקבלת הצעות מחיר מפורטות ,הכוללות את כל עלות הפרוייקט .מסמך זה מהווה ,פעמים רבות את הבסיס לאפיון המפורט של הפרוייקט ועל כן חשיבותו הרבה .מרבית הפרויקטים אשר כשלו, או לא נפלו בחלקן הצלחה גדולה במיוחד ,היו כתוצאה מניהול כושל של הפרויקט ,כבר משלב ייזום הפרויקט. השוואה ובחירת מערכת\פתרון בדרך כלל קיימות בשוק מספר מערכות העונות לצרכי הארגון .מסיבה זו יש להפקיד את המטלה בידי גורם מקצועי וניטרלי בעל היכרות עם כלל המערכות המוצעות ועם יכולת השוואה ומתן ביקורת .לאחר הגדרת רשימת כל הספקים בשוק ,ניתן להשתמש במודל בסיסי לבחינת ספק ,שהא בעל יתרונות מוכחים ,אשר מביא את כלל המערכות והחברות המטמיעות לבסיס השוואה זהה ,המותאם לדרישות והקריטריונים הספציפיים של הארגון הבוחן .אין טעם לרוץ 6 גיליון | 2יוני | 2012 ניהול ניתוח סיכונים מתגלגל והרמת דגלים במועד ,ניהול בקרה תקציבית וכד'. תכנון וביצוע בדיקות קבלה ולרכוש את המערכת "הכי טובה" או את המערכת שחבר או ארגון אחר הטמיעה אותה ,אלא חשוב לבחור מערכת אשר נבחנה בהתאם לדרישות העסקיות של הארגון. חתימת חוזה הנושאים הנידונים במהלך חתימת חוזה עם ספק מערכת /חברת יישום הנם משפטיים מסחריים ומקצועיים .שילוב ייעוץ מקצועי בשלב חתימת החוזה מעגן נושאים כגון :בדיקות המסירה שהספק מתחייב לעשות ,הגדרת איכות המוצר הנמסר לבדיקות קבלה ,בקרות תקופתיות מצד הספק ,נהלי פיתוח ותחזוקה ,ניהול תצורה, קביעת ( Service Level Agreement) SLAוכד'. שלב זה הינו אחד השלבים החשובים בפרויקט, היות וכאן בעצם מציינים את תכולת העבודה, ואת התוצרים שאמורים לקבל מהספק ,כולל הגדרת יעדים למתן שרות ,ועמידה בהם. כתיבת האפיון המפורט שלב כתיבת האפיון המפורט הוא שלב קריטי להצלחת הפרוייקט ,במיוחד בפרוייקטים הכוללים בתוכם דרישות עסקיות של הארגון שצריכות לבוא לידי ביטוי במערכת\פתרון .לכן שלב זה נכתב בדרך כלל בשילוב "המוחות" של הגוף המיישם ונציגי המשתמשים המובילים .צוות ניהול הפרוייקט צריך לשאוף לקבלת מסמך ממוקד ,מקיף ומתואם לצרכי הלקוח. לווי הפרוייקט ובקרה – עמידה בלו"ז בתכולה ובמשאבים המתוכננים על מנת לעמוד במדדי ההצלחה של הפרויקט, יש לבצע באופן שוטף בקרה על השלמה מלאה של אבני הדרך שהוגדרו בגאנט הפרוייקט על פי סטנדרטים מוסכמים של איכות ,מעקב אחר התקדמות Action Itemsעל פי לוחות זמנים, לפני העלייה לאוויר יש לתכנן ולבצע בדיקות קבלה עבור המערכת .הבדיקות מתמקדות בבחינת תהליכי העבודה המשרתים את הארגון ( )Business Processובשינויים שפותחו עבור הארגון (ולא את אופן פעולת המערכת כמערכת .)Vanillaגישה זו מציבה את מטרות הארגון וצרכיו במרכזה. ניהול עליה לאוויר ניהול עליה לאוויר של מערכת הוא כמו מבצע צבאי -יש צורך לתזמן את כל החזיתות במדויק ובתזמון נכון על מנת שהמערכת תעלה בצורה טובה ואיכותית .ניהול העלייה לאוויר כולל :כתיבת נוהל עלייה לאוויר ,תוכנית מפורטת לעלייה לאוויר ,מעקב מדוקדק של עמידה בתוכנית (לפעמים ברמה של שעות בודדות) ,אינטגרציה בין שותפים לפרוייקט ,הסבות נתונים ,בדיקת הסבות ועוד. הדרכה והטמעה הכול מתחיל ונגמר ביחסי הציבור .מערכת לא תוטמע בצורה טובה בארגון אם ההדרכה וההטמעה לא ינוהלו כפרוייקט לכל דבר .יש צורך בתכנון תוך מתן תשומת לב לקהל היעד ,העברת החומר בצורה מקורית וברורה. לאחר העלייה לאוויר יש לדאוג לכח אדם שיתמוך במשתמשים בצורה שוטפת. ניהול תצורה ,ניהול דרישות חדשות וניהול גרסאות הקמת מערך מסודר של ניהול התצורה והגרסאות של המערכת .יצירת נוהל עבודה עבור יצירת סדרי עדיפויות לשינויים ושיפורים. הקמת מערך בדיקות רגרסיה עבור כל גרסא לפני המעבר לייצור. | גיליון | 2יוני 2012 7 כיצד מנהלים פרויקט ?NAC ניהול פרויקט NAC הגדרת חולת עבודה ,איסוף נתונים אודות הרשת ודרישות עסקיות ,תכנון הרשת ,ביצוע פיילוט -אלו הם רק קצה המזלג ,מתוך רשימת מטלות של על כל ארגון לבצע לפני כניסתו להטמעת פתרון NACבארגון .אפיון נכון של המצב הקיים בארגון מבחינת ציוד תקשורת ומערכות ,בתיאום מול הדרישות העסקיות יכול להשפיע על ההצלחה ורמת האפקטיביות של הפרויקט. אתגרים ובעיות כיום הולך ומטשטשת ההבחנה בין סוגי העובדים ודרכי עבודתם בארגון :עובד קבלן ,עובד מן המניין ,אורח ,עובד מהמשרד ועובד מהבית ,עובד המחובר בצורה אלחוטית ועובד המחובר לרשת במחשב המקומי במשרד; חל שיבוש מערכות גם כתוצאה משימוש ברשתות אלחוטיות ,ללא הגנה מספקת וללא ישום מדיניות אבטחת מידע זהה גם לרשת האלחוטית. רוב מערכות אבטחת המידע מאתרות את האיומים לאחר שהמשתמש כבר מחובר אל הרשת ורק אז מנסות לצמצם את הנזק. לעיתים קורה ,שמשתמשים לגיטימיים מצליחים להדביק את הרשת בוירוסים ,סוסים טרויאנים או להשתמש בשרותי רשת אסורים .זאת ,ללא כוונת מזיד .משתמשים לא מורשים נכנסים פיזית לארגון ,בין אם מדובר באורח ,ספק ,עובד קבלן, עובד מיקור חוץ ,או כל אדם אחר המגיע לארגון ומתחבר לרשת ה - LANאו ה WLAN-עם המחשב הנייד שלו ועלול להזיק .אנו רוצים ,בהזדמנות זו לבקר גם את פעולתם של אורחים שמגיעים לארגון או עובדי קבלן הנחוצים לתפקוד השוטף של הארגון. נוצר אתגר חדש – מיהו המשתמש ברשת? מהם המשאבים הנחוצים לו לצורך ביצוע עבודתו? בעיה נוספת נגרמת מכך שמשתמשים ברשת הארגונית מקבלים הרשאות גישה זהות או הרשאות גבוהות ( ,)Administratorבעוד שתפקידם שונה במהותו. כך ,יכול איש הכספים להגיע לשרתי אגף המכירות ואיש אגף המכירות יכול להגיע לשרתי המשכורות, בלא שתהיינה הפרדה ומידור ברשת .זאת ,כמובן, בלי קשר להגבלות הגישה על גבי השרתים עצמם ,שממומשים על ידי הרשאות מפורטות ברמת המשתמש או ברמת קבוצת משתמשים". "קונסולידציה" של טכנולוגיות אשר "רוכבות" על רשת התקשורת הפכה לתופעה מקובלת .אנו עדים בעשור האחרון לכך שממשקי Ethernet ורשתות IPהפכו להיות סטנדרט ,שאפליקציות כגון וידאו וקול "רוכבות" על הרשת הדרישות של ארגונים ואימוץ טכנולוגיות חדשות כגון טלפונית IPוUnified Communication, ,Wireless LAN - 8 גיליון | 2יוני | 2012 ,Video Over IPוירטואליזציה– Thin Clients , יצרו בעיות אבטחה חדשות שגורמות להגדלת הפגיעות של הרשתות ולחשיבות של הגנה על יישומים קריטייים אלו. אודות פתרון NAC מדובר בשכבת הגנה עיקרית ומשופרת ,שכבה שיכולה לתת פתרון אבטחת מידע מקצה לקצה. מדובר בפתרון שיכול וצריך לבדוק את כל ההתקנים המתחברים לרשת ופעילותם בכל שכבות הרשת .זהו בעצם עמוד השדרה של מערך אבטחת המידע. ארגונים רבים כבר הבינו שבקרת גישה לרשת ( )NACהיא תנאי חיוני לאבטחת שלמות הנתונים בכל רשת ארגונית גדולה .מערכת NACחייבת להוות חלק ממדיניות האבטחה הכללית של הארגון .למרות שמדיניות אבטחה קיימת בכל הארגונים ,רק לעיתים נדירות העובדים יודעים מה היא ,ובכל מקרה אינם מיישמים אותה .מסיבה זו, חשוב להפקיד שלא להפיל את האחריות בנושא על משתמשי הקצה ,אלא להעבירה לטיפולן של תוכנות האבטחה .מערכות NACמספקות לחברות דרך שיטתית ואוטומטית לניהול האבטחה ,במטרה למנוע חשיפת מידע ולאפשר הגנה מתמשכת. מערכות אלו מאפשרות לארגונים לוודא שרק התקנים אמינים ,המצייתים למדיניות האבטחה התאגידית ,יוכלו לגשת לרשת. מערכות NACמבררות את מידת אמינותו של כל מחשב המנסה להתחבר לרשת ,ובודקות האם הוא מציית למדיניות האבטחה של הארגון. ההתרבות המהירה של חיבורי פס רחב הפכו את העבודה מהבית לכדאית מהבחינה הכלכלית, ובמקביל ,בעקבות הירידה החדה במחירי המחשבים הניידים והתפשטותה המהירה של טכנולוגית ה ,Wi-Fi -הפכה העבודה הניידת למקובלת מאד בחברות מסחריות רבות .עם זאת, ברגע שמחשב פועל מחוץ למשרד ,יכולתה של החברה לאכוף את מדיניות האבטחה התאגידית פוחתת באופן משמעותי .למשל ,אם עובד לוקח מחשב נייד לשבוע ,מי יוודא שהמחשב יופעל בהתאם למדיניות האבטחה של החברה? כאשר משתמשים במערכות NACבצורה יעילה, הן אמורות להוות אמצעי רב-שכבתי לאכיפת מדיניות האבטחה ולהגנה מפני חדירות לרשת. מערכות אלו מוודאות שכל הפינות של הרשת הארגונית יהיו מכוסות ,גם כאשר מתחברים אליה התקנים ניידים .עם זאת ,למרות שחברות מכירות בדרך-כלל את יתרונות ה ,NAC -רק מעטות יודעות כיצד ליישמן בצורה יעילה. להשיב את הסדר על כנו פתרון NACאפקטיבי צריך להבטיח שמחשבים המנסים להתחבר לרשת יצייתו באופן מלא למדיניות האבטחה כתנאי למתן הרשאת גישה. המערכת צריכה להחזיר מחשבים לא-צייתניים למצב עבודה אמין ,ולעשות זאת במהירות ובצורה אוטומטית .חיוני שתהייה למערכת יכולת לתיקון אוטומטי של התקנים לא-צייתניים כדי לצמצם למינימום פגיעה בתפוקת המשתמשים ולהקטין עלויות הנובעות מטיפול בפניות למרכז התמיכה או מהתערבות ידנית של אנשי מערכות המידע. מערכת NACהיא מרכיב חיוני בכל רשת תאגידית. כאשר היא מיושמת בצורה אפקטיבית ,היא מאפשרת לארגונים עסקיים ליישם את מדיניות החברה ,לשלוט על האופן בו אנשים ,יישומים והתקנים פועלים ברשת ,לתקן במהירות כל התקן לא-צייתני ולהבטיח את שלמותה המתמשכת של הרשת .ניתן להשיג זאת אך ורק בעזרת אכיפה מתמשכת של מדיניות האבטחה ,וכדי להצליח בכך האכיפה צריכה להיות אוטומטית. אסור להסתמך על הרגלי עבודה נכונים של המשתמשים .בנוסף ,ארגונים עסקיים צריכים לחפש פתרונות שיבטיחו אכיפה של מדיניות האבטחה התאגידית מבלי לפגוע בתפוקה. פרויקט מצליח הוא זה אשר נמסר בזמן ,במסגרת התקציב ועם שביעות רצון גבוהה של הלקוח. יישום פרויקט מצליח מחייב תשומת לב לניהול התכולה ,האנשים והתהליך הכרוכים בכל פרויקט .להלן מתודולוגיה ליישום פרויקט NAC בארגון אשר משתמשת בהליכים הטובים מסוגם לניהול פרויקטים בשילוב עם לקחים שנלמדו בעולם האמיתי. להלן סקירה כללית של אבני דרך בדרך ליישום פתרון NACבארגון: שלב 1הגדרת תכולת העבודה לפני תחילת הפרויקט ,יש להשלים את תהליך איסוף הנתונים והגדרת תכולת העבודה .בשלב זה מנהל הפרויקט מטעם הספק\אינטגרטור ומנהל הפרויקט מטעם הלקוח (הארגון) ואנשי הקשר באתר של הלקוח יזהו ביחד את הטופולוגיה של הרשת או השינויים באתר הנדרשים כתנאי מוקדם ויסכימו על תכולת העבודה (להלן הSOW- .)- Statement of Workבשלב זה יש להגדיר צוות עבודה כללי וכן צוות לכל אתר (באם הארגון גדול). כמו כן ,בשלב זה ,על הספק ועל הלקוח להסכים על הצוות משני הצדדים ועל תהליך התקשורת. שלב זה עשוי להתרחש לפני החתימה על החוזה והוא נועד להגדיר בבירור את תכולת העבודה באמצעות מסמך SOWאשר יהיה חלק מהחוזה. על מנת להפיק את תכולת העבודה ,על הספק ועל הלקוח להסכים על העבודה אשר יש לבצע, כפי שמפורט במסמך ה.SOW- שלב 2הערכת רשת (איסוף נתונים) בשלב זה יש לאסוף את כל המידע הרלוונטי מכל אחד מן האתרים הקיימים בארגון .על פי ההסכם, שלב זה יכול להתבצע על ידי הלקוח או על ידי הספק .העבודה עשויה להיות מחולקת בהתאם למיקום. שלב זה אמור לכלול נתונים כגון: •רשימת כל המתגים שיהיו חלק משדרוג זה, כולל מיקום (סוג המתג) •תצורת כל המבואות של המתגים דלעיל •תצורת כל ההתקנים -נתבים ,פירוולים ,וכו'. •רשימת כל השרתים להגירה ,הכוללת שם השרת ,כתובת IPוהיישומים\ המבואות הרלוונטיים ביותר אשר מחוברים כיום •ארכיטקטורה נוכחית ופרטי הפריסה בכל אתר שלב 3תכנון הרשת בשלב זה קיים תכנון בסיסי (רעיון) אשר יש להשלימו תוך מענה לצרכים הספציפיים של כל אתר על מנת שיכלול כמה שיותר מידע שימושי על רשת הארגון ,כגון: •חיבורי ( L1כולל שרתים ,קישורי ,WANחיבורי אינטרנט ,יתירות ,וכו') • - L2כולל -VLANים ,אפיקי ,802.3adתצורות STP וכדומה • - L2כולל מנגנוני ניתוב ותתי-רשתות לשימוש\ תצורות איזון עומסים •התכונות אשר יש ליישם לפי מיקום (למשלSpan : , Guardמדיניות אכיפה וכדומה) •מטרת שלב זה היא לקבוע את הדרישות הספציפיות לכל אתר וכן לסקור את המסמכים הקודמים. הפריטים הבאים עשויים להיות קריטיים במקרה שתידרש עזרה מהספק ביישום הפתרון :NAC •מסמך דרישות מדיניות אבטחת המידע מאת הלקוח •רשימת תתי-רשתות לשימוש •פרטים אודות תקני הנתב הארגוני של הלקוח ( ,OSPF, RIPניתובים סטאטיים וכו') •פרטים אודות הארונות שבהם תתי-הרשתות יהיו זמינות •מספר המבואות בכל ארון לשיוך לכל תת-רשת בכל ארון שלב 4תכנון הגירה בשלב זה יש לתכנן את כל הפעילויות הנובעות מהשלב הקודם ויש ליצור תוכנית אב מקיפה ליישום וכן לוח זמנים ,הכוללים: •פיתוח תוכנית שדרוג הרשת (באם יש צורך בכך) •גיליון הערכת זמנים עבור כל שלב (אבני דרך) על שלב זה לכלול את הפעילויות של כל הצדדים (למשל :יישום אימות עשוי להיות תלוי ביישום פתרון צד שלישי כגון שרת ,RADIUSרשויות אישור או יישומי לקוח .מאחר ופעילויות אלה קשורות זו בזו ,עליהן להיות חלק מהתוכנית הכוללת על מנת לוודא הגירה חלקה). כמו כן ,על תוכנית ההגירה לכלול את כל הפרטים (חלונות תחזוקה ,תחומי אחריות וכדומה) .מידע זה ניתן לייבא תוך שני מסמכים שונים: •קובץ .MPPקובץ זה אמור לכלול את המשימות, תאריכי היעד ותחומי האחריות •מסמך WORDהמתאר את כל השלבים לביצוע שלב 5ניסוי פיילוט (בדיקות חומרה ,וטרום-הגירה): בשלב זה יש להתקין את המערכת ולבצע פיילוט. הפיילוט מיועד לייצג את הרשת ועליו לכלול: •שרתים \ יישומים מייצגים אך לא קריטיים ומנגנוני יתירות אם קיימים (מאחר שיידרשו בדיקות) •משתמשים טיפוסיים (שימוש במנגנוני אימות, מדפסות ,טלפונים וכו') שלב זה כולל בדיקה שלמה של כל ההתקנים אשר יותקנו במהלך הפרויקט .מאחר שההתקנים אשר יותקנו עשויים לכלול לא רק חומרה שנרכשה (במעבדה) אלא גם חומרה שסוכמה בשלב כוונון התכנון ,הרי שעל חומרה זו להיות מוכנה באתר בנקודת זמן זו .כמו כן ,יש להפעיל חומרה קיימת מייד לאחר תחילת פרויקט זה (החל משלב )2על מנת לזהות בעיות אפשריות .הבדיקות עשויות לכלול אימות של כל מבוא ומבוא (כולל ממשקים פיזיים ו )Backplane-על מנת לוודא כי כל החומרה במצב תקין לשם ההתקנה. שלב 6הגירה (יישום התוכנית) אפשרות של ניטור הסביבה לאחר ההתקנה בימים שלאחר ההגירה על מנת לוודא פונקציונאליות ויציבות של המערכת .חשוב לסגור על חבילת שרות מורחבת (הכוללת שעות תמיכה באתר ומרחוק) במיוחד בתקופה הראשונית לאחר הטמעת המערכת ,ובעת העברת משתמשי קצה ו\או שירותים .באם תינתן אפשרות לתמיכה מרחוק ,יש לאפשר גישה מאובטחת באמצעות .VPN שלב זה מהווה בעצם פרק זמן קצר לאחר ההגירה על מנת לוודא פעולה תקינה \ לענות על כל הבעיות האפשריות שנותרו. ניתן להשתמש בשלב זה גם לצורך הפקת לקחים וסקירה של תיעוד הפרויקט. •יומן התקנות -יומן התקנות כולל ציון המשימות שהושלמו ,תוכניות בדיקה שבוצעו ,בעיות שהתרחשו והפתרונות שיושמו •תרשימים -שינויי תכנון פיזיים ולוגיים שבוצעו במהלך יישום הרשת ,באמצעות תרשימי .VISIO •תצורת נתבים \ מתגים -עותק קשיח ועותק במדיה אלקטרונית של כל תצורת נתב \ מתג שיושמה. לסיכום על מנת לסיים את הפרויקט בצורה נכונה ויעילה, חשוב לסכם על כל שירות מראש מבחינת התוצרים שלו .ניתן להיעזר באחת השיטות הללו: זמן וחומרים -במקרה זה ההסכם בין הספק לבין הלקוח מוגבל לאוסף כישורים ולפרק זמן .במקרה זה ,האנשים אשר יסופקו על ידי הספק יהיו תחת הנחיית הלקוח אשר יהיה אחראי לקביעת סדר העדיפויות וניצול הזמן שלהם. בשלב זה יש ליישם את כל ההתקנים החדשים. כמו כן ,את חומרת הרשת אשר יש להעבירה מקום (אם יש כזו) יש להתקין במקומה החדש. על פי הסיכום ניתן לבצע שלב זה של השירות במהלך לילה או בסופי שבוע עם הגדרת החלונות להשבתת הרשת ובהתאם לתוכנית שסוכמה בשלב התכנון. על בסיס פרויקט -במקרה זה על הספק ועל הלקוח להסכים מראש מהן אבני הדרך והתוצאות אשר יש להשיג בתום הפרויקט .הנחות מסוימות יהיו גם הן חלק מהסכם זה .סוג שירות זה מפורט בחוזה אשר ייחתם בין הספק לבין הלקוח לפני תחילת השירות ,והוא יכלול את כל תכולת העבודה ( .)SOWמסמך SOWאמור גם: יש לסכם תוכנית חזרה-לאחור ( )Rollbackלפני כל חלון זמן .על תוכנית החזרה לאחור לכלול את כל אבני הדרך הנחוצות על מנת להבטיח הגירה מוצלחת .במהלך חלונות הזמן ,על הלקוח לספק איש קשר מתאים ולקבוע פגישות שוטפות על מנת להחליט על "התקדמות\חזרה לאחור" על פי השגת כל אבן דרך. •לפרט את השירות הניתן ,ובכלל זה התוצאות אשר יש להשיג וכל תחומי האחריות של הספק שלב זה אמור לכלול את האתרים השונים (אשר יהיו חלק מהתוכנית ההגירה) .כמו כן ,שלב זה אמור לכלול בדיקות מההיבט הרשת וכן מההיבט קצה-לקצה. •לפרט את תחומי האחריות של הלקוח (לצורך הצלחת הפרויקט) למוסף המיוחד של סקירה מלאה אודות פתרון ,NACניהול דרישות בפרויקט ,סקירה טכנולוגית מלאה ועוד ,ניתן לפנות לאיגוד בכתובת: info@issa.org.il שלב 7תפעול (לאחר הגירה) חשוב להכניס לתוך חוזה השרות אל מול הספק, | גיליון | 2יוני 2012 9 כיצד מנהלים פרויקט ?DLP קורס CISO בטכניון ניהול פרויקט DLP מניעת דלף מידע הינו תהליך ארגוני ולא רק טכנולוגי .לפני הטמעת פתרון DLPבארגון ,צריכים לשאול את עצמנו את השאלות הנכונות: מהו המידע הרגיש והמסווג בארגון? האם אנחנו יודעים מי עושה בו שימוש? היכן המידע הזה ממוקם? האם עובדי הארגון יודעים כיצד לנהוג במידע זה? הדרך למניעת דליפת מידע ארוכה -והיא הרבה יותר מאשר הטמעת מוצר. לא מדובר רק בהטמעת פתרון תוכנה לתחום ,אלא בהגנה רוחבית על התשתיות תוך מימוש מתודולוגיה סדורה. לתחום ,אלא בהגנה רוחבית על התשתיות תוך מימוש מתודולוגיה סדורה. דליפת מידע ארגוני היא אחת הסכנות הגדולות ביותר עבור חברות .העברת נתונים פנימיים מתוך החברה לגורמים חיוניים ,לתקשורת או לארגוני פשע יכולה לגרום לנזקים עצמים עבור החברה .חברות רבות מנסות לטפל בבעיה על ידי התקנת מערכות נגד דליפת מידע ארגוני (.)DLP האיום לדלף מידע ,היה קיים וימשיך להיות אחד הגורמים המרכזיים שמהווים אתגר בהתמודדות מנהל אבטחת המידע עם האיומים השונים .לצערנו ,כיום, בעידן מערכות המידע ,כאשר גבולות הגזרה של הארגון כבר נפרצו מזמן, האיומים לדלף מידע הינם גדולים מהרגיל. בכל ארגון כמעט קיים מידע רגיש ,מסוגים שונים ,כגון :קניין רוחני ,מידע רפואי, מידע פיננסי\עסקי ,פרטים אישיים חסויים ,מידע סודי מסחרי אודות לקוחות, מידע מסווג בטחוני וכו'. ולכן ,ישנה חשיבות רבה ,לנהל פרויקט זה תחת זכוכית מגדלת ,ובצורה מסודרת ,על מנת להפיק את מרב התועלת מהפתרון שנבחר ע"י הארגון. מניעת דליפת מידע היא תהליך ארוך ומורכב ,שכולל יצירת ומימוש מדיניות אבטחת מידע ,טיפול בעובדים ובמידע הארגוני .לא מדובר רק בהטמעת פתרון תוכנה בכתבה זו ניתן להתעדכן אודות השלבים המומלצים כאבני דרך ,בעת הטמעת פתרון DLPבארגון. אז מהן שלבי הפרויקט להטמעת פתרון DLPלארגון? שלב - 1ניתוח סביבה עסקית חשוב עוד טרם בחירת הפתרון ,לנתח את הסביבה העסקית ולבחון את הדרישות העסקיות בארגון. חלק מתהליך זה ,הינו ניתוח האיומים הרלוונטיים לארגון וסיווג תרחישים שונים כגון: •איומים חיצוניים •איומים פנימיים •טעויות אנוש ותקלות טכניות •צדדים שלישיים שלב - 2סיווג מידע בשלב השני ,לאחר שבחנו וניתחנו את הסביבה העסקית ,והבנו את כל הדרישות העסקיות בארגון, חשוב לבצע סיווג מידע .תהליך סיווג המידע בארגון הינו חלק אינטגראלי ובלתי נפרד מפרויקט ,DLPוחלק מהותי בהצלחתו של הטמעת מוצר ויעילותו בארגון. שלב - 4ניתוח מחזור החיים של מידע בשלב רביעי ,חשוב לנתח את מחזור החיים של המידע וניהול הידע בארגון ,כדי ללמוד יותר על תהליכי העבודה בארגון ,מבחינת יצירת המידע[ השימוש בו וכמובן השמדת המידע ,בסיום השימוש. להלן הפרמטרים שצריכים לקחת בחשבון, מבחינת מחזור החיים של המידע: •יצירת מידע •הפצה •שימוש •תחזוקה \ עדכון \ עיבוד •העברה לארכיון \ גיבוי •השמדה ניתן לבצע את הסיווג מידע בצורה ידנית ,או אוטומטית ,ע"י שימוש בתוכנות צד ג'. שלב - 5הערכת ערוצי דלף פוטנציאליים שלב - 3מיפוי מאגרי מידע ואמצעי אחסון כחלק מהערכת הסיכונים ,והבנת מיתר האיומים שחלים על הארגון מבחינת דלף מידע ,חשוב למפות את הערוצים הפוטנציאלים לדלף מידע מהארגון ,כגון: שלב שלישי יהיה נכון להתחיל למפות את כל המקומות בהן מאוחסן מידע ,כגון: •זיכרונות ניידים \ מדיה •בסיסי נתונים •שרתי קצבים •שרתי אחסון \ גיבוי \ קלטות •אמצעים ניידים -סלולרים ,טאבלטים •תחנות קצה 10 גיליון | 2יוני | 2012 •קישורי רשת חיצוניים •מדיה וזיכרונות ניידים •מבקרי רשת מזדמנים •פקסים ומדפסות •גורמים אנושיים תלמד • תוביל • תצליח! שלב - 6אפיון ויישום פתרונות רק לאחר שהבנו את כל תהליכי העבודה ,וזיהינו את מיתר האיומים שחלים על הארגון שלנו מבחינת האפשרות לדלף מידע ,אנו יכולים להתחיל לאפיין את הדרישות לפתרון הרצוי העונה על הדרישות שלנו ,הן מבחינת אבטחת מידע ,והן מבחינת דרישות עסקיות. לאחר אפיון הפתרון ,ניתן לבחון מוצרים ולבחור את הפתרון שהכי תואם לצרכים של הארגון. וגם כאן ,ניתן לחלק את שלבי העבודה ,לאבני דרך ,לצורך מימוש הפרויקט. •יצירה \ עדכון של מדיניות אבטחה •הדרכת משתמשים •הטמעת פתרון DLP •טכנולוגיה משלימה •עדכון תהליכים משלימים -ניהול אירועים, ביקורת ,ניטור לקבלת הסיקור המלא של פתרונות ,DLP ניתן לפנות אלינו לכתובת: info@issa.org.il הסיקור יועבר לחברי האיגוד בלבד. הטכנולוגיה רצה קדימה ,ההנהלות דורשות החזר השקעה ,הספקים מציעים לנו פתרונות ללא סוף, והלקוחות מצפים לשירות עם אפס תקלות ושמירה על המידע שלהם .זוהי הסביבה שאיתה נאלץ כל מנהל אבטחת מידע להתמודד יום ,יום כחלק מהעשייה והחיפוש אחר ההצלחה בתפקיד .הקורס שם דגש על החידושים והאתגרים השונים בתחום אבטחת מידע וניהול. במסגרת הקורס נציג את הנושאים החדשים וההתפתחויות בתחום תוך מתן כלים מעשיים למנהל אבטחת המידע לניהול תקין של מערך האבטחה בארגון. נציג בצורה אובייקטיבית את הנושאים השונים תוך מתן המלצה לגבי דרכי היישום וקביעת סדרי העדיפות של הנושא (בהתאם לחומרת העניין ותהליך ניהול סיכונים מובנה) ,וכמובן נצייד את התלמידים בכל הכלים ,הן בפן הטכנולוגי והן בפן העסקי-ניהולי, שכל מנהל אבטחת מידע צריך כדי לשרוד בתפקידו. הקורס חושף את התלמיד למגוון רחב של נושאים ,הן בפן הטכנולוגי ,והן בפן העסקי-ניהולי .הקורס חובה לכל מנהל אבטחת מידע הרוצה להתעדכן בצורה שיטתית וחסרת אינטרס במגמות ובכיוונים של עולם אבטחת המידע וניהול סיכונים. מנחה ומרצה ראשי דני אברמוביץ, שיטת הלימוד •הקורס יציג תפיסות טכנולוגיות ,עסקיות וניהוליות ודרך יישומם בארגון •הקורס יכלול הרצאות פרונטאליות משולבות בהצגת וניתוח מקרים (Case )Studies •הקורס כולל הגשת והצגת פרויקט גמר קהל יעד מנהלי אבטחת מידע ,מנהלי תחום ניהול סיכונים ,מנהלי ,ITיועצים היקף הקורס 200שעות פרונטאליות כ 500-שעות תרגול עצמי 50מפגשים של 4שעות כל מפגש לייעוץ ,מידע מנהלי והרשמה ניתן לפנות למרכז התכנית ,מר דני אברמוביץ ,בטל',050-8266014 : דוא"לdanny@titans2.com : מנכ"ל טיטנס סקיוריטי | גיליון | 2יוני 2012 11 היבטי אבטחת מידע חשוב להתאים את התהליך בצורה כזו אשר תתאים לצרכים העסקיים של הארגון, יכולות ,מבנה ואפילו לפוליטיקה הארגונית - אחרת היא נדונה לכישלון מראש. בתהליכי פיתוח שילוב אבטחת המידע כחלק אינטגראלי ממחזור החיים של פרויקט תוכנה ,כבר החל משלב הייזום של הפרויקט ,יאפשר לארגון לתפקד באופן יעיל ומהיר ואינו פוגע ב.TTM- בשנים האחרונות נושא אבטחת המידע בשכבת היישום (מה שמוכר לרוב במונח המקצועי כ )Application Security-הלך וצבר תאוצה הן בקרב אנשי אבטחת המידע והן בקהילת המפתחים .העובדות בשטח מצביעות על כך שמירב אירועי האבטחה המדווחים מגיעים מכשלים הנובעים מיישום בלתי מאובטח הן של מוצרים סטנדרטיים והן של מערכות תוכנה שפותחו ב'מיוחד עבור ארגונים. עד כמה הבעיה מורכבת? אבטחת מידע ברמת היישום נחשבת "לבעיה קשה" בעיקר בגלל השוני העיקרי בינה לבין סוגיית אבטחת המידע "המסורתית" (שעוסקת לרוב רק בעולם התשתיות) .שוני זה נובע בעיקר ממקור הבעיה ומדרכי הטיפול בה .בעולם המסורתי, ארגונים רכשו לפני זמן רב את היכולת ואת המיומנות לתכנן הטמעה של פתרונות תקשורת, "להקשיח" שרתים ותחנות עבודה ,להתקין טלאי ועדכוני אבטחה למוצרים\תוכנות שבקשותם וכדומה .עם זאת ,כאשר מדובר באבטחת מידע ברמת היישום כל התמונה משתנה -בעיית אבטחה במוצר תוכנה הנה למעשה "באג" ()bug ברמת הקוד מקור של המערכת של על מנת לאתר ,לתקן או למנוע אותו מלכתחילה נדרשים כלים ורמת מיומנות שונה לגמרי מזו הקיימת בעולם אבטחת המידע המסורתי. מה שלא ממש תורם לבעיה אלא אף מחריף אותה הנה העלייה המשמעותית שאנו רואים בשנים האחרונות במורכבות המערכות\המוצרים המפותחים דבר אשר מגדיל את ההסתברות להתרחשות של "באג" אבטחתי (בין השאר מהסיבה של פיתוח קוד מורכב\גדול יותר אשר נופל קורבן ליחס הישר בין מספר שורות הקוד לכמות "הבאגים" הקיימות בו). אז מה בעצם מקובל כיום בתעשייה? מסקרים שונים שבוצעו בנושא ,עולה כי ישנן 3 גישות מרכזיות הנפוצות לטיפול בבעיה: שיטת "בת היענה" -מדובר בגישה נאיבית, שלצערנו ,אומצה ע"י ארגונים רבים ברחבי העולם. בגישה זו אופן הטיפול בנושא אינו מסודר\רשמי. 12 גיליון | 2יוני | 2012 גישה זו בד"כ מתאפיינת בארגונים אשר נוקטים בגישת "בת היענה" הגורסת שהבעיה לא ממש קיימת כל עוד לא התרחש אירוע אבטחה ולכן ההשקעה בנושא הינה מיותרת. שיטת ה - P&P-בגישה זו אופן הטיפול בנושא הינו נקודתי בלבד ומבוסס על שיטת הPenetrate &- Patchאשר מבוססת על ביצוע מבדקי חדירות ממוקדים כחלק מתהליך העלייה לאוויר של מערכות\מוצרים וכחלק מבדיקות בקרת איכות ( )QAשהמוצר עובר והטיפול הנקודתי בכל אחת מהבעיות שהתגלו. שיטת הטיפול לרוחב -גישה זו לוקחת את הטיפול בבעיה למרחב שונה לגמרי בו הבעיה מתחילה להיות מטופלת משלבים מוקדמים ולאורך כל מחזור חיי פיתוח המוצר\מערכת .באופן זה חלק גדול מהבעיות נעצרות עוד לפני שהם הופכים "לבאגים" או מתגלות בשלבים מוקדמים של הפיתוח כשהעלות לתקנן זולה יותר באופן משמעותי. מכיוון ששיטת "בת היענה" אינה חדשה לתחום אבטחת היישומים וידועה בבעיות הרבות שהיא עלולה לגרום לנוקטים בה (נזק תדמיתי ,חוסר תאימות לרגולציות וחוקים ועוד) ,אנו נבחן ונתבונן במספר ההבדלים המהותיים שבין שתי השיטות האחרות. להלן שני הבדלים מהותיים בין 2השיטות: ההבדל הראשון והבולט הינו "פריסת" הפתרון על פני מרחב זמן ולאורך כל מחזור חיי פיתוח התוכנה (שלבי הייזום ,אפיון ,עיצוב ,קידוד ,בדיקות, תחזוקה) במקום מתן התייחסות נקודתית בשלב בדיקות המערכות .הבדל זה אולי נראה במבט הראשון ככזה אשר מייקר את עלות ההשקעה בנושא אבטחת מידע (מה שבד"כ מהווה את גורם ההרתעה הראשוני מהשימוש במתודולוגיה זו) אולם מכיוון שהמתודולוגיה מונעת לחלוטין חלק מהבעיות מלהגיע לשלב הבא במחזור החיים של המערכת, בטווח הבינוני היא נחשבת ליעילה יותר. עניין נוסף וחשוב לא פחות הינו הפגיעה בTTM- .)(Time -to-Marketאנו נתקלים בלא מעט מקרים בהם נעשה שימוש בשיטה השנייה אשר ממקדת את מאמצי אבטחת המידע רק בשלב מתקדם במחזור החיים של המערכת\מוצר ואשר לא מעט פעמים מגלה רמת אבטחה אשר אינה עולה בקנה מידה אחד עם הדרישות הרגולטוריות ,רמת האבטחה המקובלת בתעשייה ממערכות\מוצרים דומים או עם ציפיות הלקוח. במקרה כזה ההשלכות העסקיות על הTTM- הינן בד"כ הרסניות .ארגונים נאלצים לעקב זמני שחרור של שירותים\מוצרים חדשים ,להפר חוזים או במקרים גרועים לא פחות לקבל החלטה לשחרר את המוצר ברמת אבטחה נמוכה מבלי לפגוע ב ,TTM-ומנסים לטפל בבעיות במקביל (לאחר שחרור המערכת לסביבת הייצור) וכמובן, לקוות לטוב. ההבדל השני המהותי הינו מרחב הפתרונות. בעוד שהפתרון השני מתמקד בעיקר במתן מענה טכנולוגי לבעיה ,הפתרון האחרון מטפל בנושא בשלושה מישורים שונים :טכנולוגיה ,תהליך (שיפור תהליך ייצור התוכנה) והשלישי ,חשוב לא פחות -המישור האנושי .במישור זה נעשה טיפול רוחבי על מנת לדאוג הן להגדלת מודעות האנשים העוסקים בייצור התוכנה (ארכיטקטים, מפתחים ,מתכנתים ,וכו') לבעיה והן הכשרתם לרמה הטכנית הנדרשת מתוקף תפקידם. פתרון רוחבי במחזור חיי פיתוח תוכנה\ מוצר: ברמה העקרונית קיימות לא מעט מתודולוגיות איומים מפורט כולל בחינת אפקטיביות אמצעי ההגנה הקיימים במערכת\מוצר (למשל בשיטת )Threat Modelingולדאוג שתהליך העיצוב כולו יבוצע בהתאם למתאר האיומים. •שלב הקידוד -בשלב זה מבצעים את הפיתוח בהתאם למסמכים\הנחיות לפיתוח מאובטח אשר תואמות את הטכנולוגיה הנמצאת בשימוש ולדאוג שבדיקות הUnit- Testיכללו גם בדיקות אבטחת מידע ראשוניות ברמת קוד המקור (הן באופן ממוכן והם בצורה ידנית). •שלב הבדיקות -בשלב זה ,אנו מבצעים בדיקות אבטחת מידע רוחביות על המערכת\ מוצר בהתאם למתאר האיומים שהוגדר, אשר יבדקו למעשה את האיכות והחוזק ( )Robustnessהן של הקוד והן של ההטמעה שלו .הבדיקות יכולות להיות מבוצעות ע"י שילוב של סקרי קוד ( )Code Reviewומבדקי חוסן (.)Penetration Testing •שלב התחזוקה השוטפת -בשלב זה אנו פועלים למעשה לביצוע מיני-מחזור- חיים עבור כל אחד מהשינויים לפני אישורו והכנסתו כחלק בלתי נפרד מהמערכת\ מוצר. לפיתוח מערכות\מוצרים כגוןWaterfall-based, : .Iterative, Agileעם זאת ,מרביתם מתאפיינים בשלבים משותפים כגון אלו המפורטים מטה. שילוב נכון של נושא אבטחת המידע כחלק אינטגראלי מתוך מחזור החיים של מערכת\מוצר, אמור לכלול לפחות את ביצוע הפעילויות הבאות בכל אחד מהשלבים: •שלב הייזום -בשלב זה בעצם מסווגים את המערכת (בהתאם לרמת רגישות המידע בה היא מטפלת) וכמו כן ,כאן גם מגדירים בעצם את תוכנית אבטחת המידע ברמה הפרויקטאלית (לוחות זמנים ,משאבים דרושים ,מגבלות וכו'). •שלב אפיון הדרישות -בשלב זה ,מגדירים את דרישות אבטחת המידע ברמת על עבור המערכת\מוצר בהתבסס על מתאר איומים ראשוני אשר מבוצע ע"י הגורמים הרלוונטיים. •שלב העיצוב -בשלב זה אנו מבצעים מתאר ( SDL-Secure Development קוד מאובטח .)Lifecycleמדידה ככלי ניהולי לשיפור תהליכי הפיתוח לא מעט ארגונים אשר הטמיעו מתודולוגיה לכתיבת קוד מאובטח לקחו אף צעד אחד קדימה ,הן מההיבט "המדידתי (כלומר מדידת כמות ה"באגים" האבטחתיים בכל שלב בפרויקט, מדידת ההשתפרות לאורך הגרסאות ,וכו'), מההיבט התיעודי\הכשרתי (מסמכי פיתוח \ תכנון מאובטח ,סדנאות וכו') ואף מההיבט התהליכי אשר דואג לשיור תמידי של התהליך כתוצאה ממשובים שוטפים שנאספים במהלך התהליך כולו. פיתוח נכון = פיתוח מאובטח שילוב אבטחת המידע כחלק אינטגראלי ממחזור החיים של פרויקט תוכנה ,כבר החל משלב הייזום של הפרויקט ,יאפשר לארגון לתפקד באופן יעיל ומהיר ואינו פוגע ב.TTM- החיסרון הוא ,שזה אינו תהליך פשוט לביצוע ,והוא דורש ניסיון נרחב בנושא כמו גם היכרות מעמיקה עם הארגון .חשוב להתאים את התהליך בצורה כזו אשר תתאים לצרכים העסקיים של הארגון, יכולות ,מבנה ואפילו לפוליטיקה הארגונית - אחרת היא נדונה לכישלון מראש. למיקרוסופט יש כלים מתודולוגיים אשר יכולים לסייע לארגון מבחינת שילוב מתודולוגיה לכתיבת | גיליון | 2יוני 2012 13 סוגרים את הברז כיצד למנוע דליפת מידע דמיינו לעצמכם את מספר החשבון בנק שלכם ,סודות מסחריים ,או אפילו אוסף של מידע רגיש ,כגון בדיקות רפואיות של קופת החולים בה אתם חברים דולף ומוצג לעיני כל שלא לדבר על משמעותיות מסמכים ביטחוניים או שיווקיים אסטרטגיים אשר יועילו למתחרים שלכם .כדי להתמודד עם הסכנה לדליפת מידע פותחו שיטות רבות להגנה על מסמכים מסווגים ורגישים .אולם ,בסופו של יום ,ההאקרים הצליחו לפתח שיטות עקיפה לשתי הטכנולוגיות ההגנה הללו ואין סגירה הרמטית של מערכות. המקרה של וויקיליקס ,שכולנו כבר למדנו להכיר מהחדשות ,מזכיר את מקרה ענת קם בישראל. בשני המקרים ההתחלה דומה :גניבת כמות אדירה של מסמכים דיגיטליים והעברתם לגורם אחר ללא רשות .למזלה של ישראל ,ענת קם בחרה להעביר את החומר לעיתונאי ולא להעלות אותו לאתר אינטרנט ציבורי .דליפת חומרים מסווגים ,כפי שקרתה בפרשות וויקיליקס וענת קם ,יכולה להתרחש בכל ארגון (אם זה עדיין לא קרה) ,ולגרום לנזקים מגוונים לארגונים בהיקפים של מיליוני דולרים .גופים עסקיים צריכים ללמוד מפרשות אלו כיצד להגן על המידע הרגיש שלהם. מדובר על איומים המוכרים למנהלי אבטחת המידע בעולם זה יותר מעשור. אז כיצד סוגרים את הברז? בפן האדמיניסטרטיבי ,יש צורך בפעילות מתמדת של הדרכות להגברת המודעות בנושא בקרב כלל העובדים ,בפיתוח מדיניות ונהלים ,וגם במדיניות לבקרת גישה .אבל ,למרות כל זה ,לצורך אכיפה, נדרש שימוש באמצעי טכנולוגי ,אשר יוכל לפעול עפ"י מדיניות אבטחת המידע של הארגון ,לאתר ולמנוע אפשרות של דליפת מידע מחוץ לארגון. רכיבי בדיקת תוכן הפך לצורך ממשי בארגונים רבים ומגוונים כאשר זהו איום גדול אשר עלול לסכן את אמינות הארגון בשמירה על חיסיון הנתונים ופגיעה בתדמית הארגון .כיום מנהלים רבים מבצעים שימוש במחשבים נישאים מעדיפים לשמור על המידע העסקי הרגיש קרוב לליבם כדי למנוע ככל הניתן דליפה של המידע החשוב כלפי חוץ .דמיינו לעצמכם את מספר החשבון 14 גיליון | 2יוני | 2012 בנק שלכם ,סודות מסחריים של הארגון ,או אפילו אוסף של מידע רגיש ,כגון בדיקות רפואיות של קופת החולים בה אתם חברים דולף ומוצג לעיני כל שלא לדבר על משמעותיות מסמכים ביטחוניים או שיווקיים אסטרטגיים אשר יועילו למתחרים שלכם. אופן דליפת המידע העסקי או הביטחוני רגיש ביותר לארגון יכול להתבצע במגוון רחב של דרכים שונות ומגוונות (תלוי במוח הקרימינלי של התוקף) ,במיוחד בעידן הדיגיטלי ,שהמידע צריך להיות נגיש ,והינו נגיש ,בכל מקום ,ומכל מקום, וכמעט לכל אחד. מהי המערכת למניעת דליפת מידע? מערכת למניעת דליפת מידע הינה מערכת המבצעת בדיקת תכני מידע בסוגי קבצים ,ספריות ועוד .הרעיון המרכזי מאחורי שימשו במערכת מסוג זה הוא האפשרות למנוע זליגת מידע מסווג או מידע המוגדר כמסווג אל עבר משתמשים לא מורשים ורשת חיצונית לא מאובטחת ,כאשר בכל מערכת כזו קובע מנהל המערכת את סוגי השדות הנבדקים ואת סוגי הקבצים הנבדקים וזאת על מנת לבצע בדיקת תוכן עמוקה ככל שניתן וכן זיהוי מידע ומניעת הפצתו כלפי חוץ. היכולת לבצע בדיקת תוכן למסמכים בעייתיים או היכולת לזהות את כל מי שמנסה להוציא מידע מסוים או כזה המוגדר כחריג כגון דוחות או מסמכים המכילים מידע המסומן בתור מידע רגיש, הינה יכולת המהווה ערך מוסף גבוה לאבטחת המידע ברשת .כמו כן ,האפשרות על הפתרון המוצע שיכלול אפשרות לגילוי מיקום הנתונים ברשת ,לנטר מי משתמש בנתונים וכיצד ,ולסייע כמובן להגן על המידע ,לאבטח תהליכים עסקיים ,לנהל סיכונים ולאפשר לארגון לעמוד בהגדרות המחוקק ורגולציות שונות .לביצוע התראות בזמן אמת ומניעת שליחת המסמכים גם כן בזמן אמת יכולה לאתר ולהגן על חומר מסווג – מדליפתו לידיים זרות בין אם בשוגג ובין אם במזיד. חשוב לבחור פתרון שמתאים לדרישות העסקיות של הארגון בראש ובראשונה ,ושיפעל בצורה שהפתרון יהיה מודע לתוכן ( ,)Content Awareוגם למידע ולהקשרו מבחינת היעד אליו הוא נשלח ( .)Context Awareכך בעצם המערכת תאפשר לארגון לדעת מי מוציא מידע ,כיצד ולאן. מאפיין נוסף שחשוב לחפש במערכת ,היא היכולת לאתר את המידע הנמצא ברחבי הארגון ,במיוחד בנקודות מחשוב – לרבות שרתים ותחנות קצה, ולאפשר למנהלי המערכת ליצור ולאכוף מדיניות בנוגע לתוכן. רוב המערכות משתמשות במילות מפתח ובדפוסים התנהגותיים לצורך גילוי ,ניטור והגנה על המידע הרגיש ,לרבות מידע המאפשר זיהוי אישי ,נתוני תקינה וקניין רוחני ( ,)IPללא תלות בסוג הקובץ או בתבניות. חשוב שלמערכת תהיה יכולת ליצור מדיניות עבור משתמשים ,נתונים ,יעדים וערוצים ,ולהבטיח שליטה מאלה על מי ומה מגיע ,לאן ואיך. אז מהן השיטות ההגנה המקובלות להגנה על מסמכים רגישים? לצד טכנולוגיות ההגנה של מוצרי למניעת דליפת מידע ( ,)DLPומוצרי הגנה ברמת תחנות הקצה ( ,)EPSיש עוד הרבה מה לעשות .ההאקרים לסוגיהם הצליחו לפתח שיטות עקיפה שונות לשתי הטכנולוגיות העיקריות הללו ,ולכן ,הן כבר לא מספיקות .ולכן ,מערכות ההגנה למסמכים בפורמט PDF, PPT, WORD, EXCELLשמצויות בסביבות ביטחוניות או מסחריות רגישות חייבות במנגנוני הגנה נוספים .לדוגמה ,בהיבט של זיהוי ואימות ,נדרשת שורת נהלים והנחיות; כל גישה פיזית או לוגית לסביבת עבודה המכילה מידע ונתונים רגישים ומסווגים מחייבת ברישום לוגים; יש ליצור דוחות מעקב וניטור מפורטים; יש לאפשר מתן הרשאות גישה רק לאחר שבוצע זיהוי וודאי של המשתמש ,וגם תהליך מתן ההרשאות למידע רגיש ,צריך להיות מבוקר ע"י כמה בקרות. בנוסף ,חלה חובה על זיהוי משתמש באופן חד ערכי באחת משלוש השיטות הבאות :כרטיס חכם משולב עם הקשת קוד אישי מזהה ( ;)PINמפתח זיהוי המכיל בתוכו תעודה מזהה ,משולב עם הקשת קוד אישי מזהה ( ;)PINזיהוי ביומטרי עם הקשת קוד אישי מזהה. בכל המקרים ,האימות יבוצע מול מחשב מרכזי ולא ברמת תחנת המשתמש .עוד יש להנחות, כי במחשב שאינו פעיל יותר מחמש דקות רצופות ,יופעלו אוטומטית שומר ונעילת מסך. הפתיחה תחייב הקשת סיסמת גישה אישית בשילוב אמצעי הזיהוי האישי .בנוסף ,יש לוודא שקיים מנגנון ניתוקים משני לנעילת מסך המחשב. כמו כן ,הפצת מסמכים צריכה להיות אך ורק בפורמט PDFמוגן ,קרי: ללא הרשאות כלל ,למעט הרשאות הדפסה (וגם ,רק אם צורך עסקי בכך) .אין להפיץ מסמכים בפורמטים אחרים .בנוסף ,יש לוודא רישום של ההדפסות וכן שמסמך שיוגדר מראש ברמת סיווג גבוהה במיוחד יחייב הקשת סיסמת פתיחה או שימוש באחד מאמצעי הזיהוי. יש הפצה של מסמכים תתבצע על בסיס מנגנון מוגבל ומוגדר מראש ,דוגמת רשימת נמענים קבועה ,אימות כתובת דוא"ל (גם ברשת הפנימית) טרם שליחת החומר ,וכן שימוש בשרתי הפצה על בסיס תקשורת מאובטחת ומוצפנת .יש להקפיד שמשלוח של חומר מסחרי רגיש ,במיוחד באינטרנט ,יבוצע תמיד באופן מוצפן ,באמצעות תוכנה מסחרית העושה שימוש באלגוריתם הצפנה בחוזק מינימאלי. לסיכום ארגונים יכולים לעשות מגוון פעולות כדי להתמודד עם תופעת דליפת המידע ,ולנסות למזער את הסיכון לכך: •קביעת מדיניות בקרת גישה נוקשה • שליטה ובקרה וניטור אחר מתן הרשאות גישה (במיוחד לחומרים רגישים) • בדיקה וסינון עובדים ( - )Screeningזה יכול למנוע מקרים של זליגת מידע באם תפסנו את העובד בזמן...עוד לפני שהוא ביצע את העבירה. •סקרי סיכונים...לגילוי סיכונים • הצפנה של מיילים ותקשורת בתוך הארגון ומחוצה לו • וכמובן ,בהינתן תקציב ,להטמיע מערכת הולמת למניעת דליפת מידע ()DLP מומלץ לקרוא את הכתבה של ניהול פרויקט DLPהנמצאת בגיליון זה. לצורך קבלת המוסף המלא של ניהול פרויקט DLPוסקירה מלאה אודות הטכנולוגיה ,ניתן לפנות לאיגוד בכתובתinfo@issa.org.il : | גיליון | 2יוני 2012 15 יודע אני טלפונים חכמים משמשים כיום כמחשב נייד לכל דבר ,דרכם ניתן לגלוש באינטרנט ,להתחבר למערכות בעבודה ,לצלם ,להאזין ,להקליט ועוד, ולכן ,הם היעד הבא לתקיפה במסגרת לוחמת הסייבר והמודיעין. הטלפונים החכמים שנמצאים כיום בכל משפחה ממוצעת ,אוגרים בתוכם ים של מידע ,אודות מגוון נושאים ,כגון :מיקומים בהם אתם נוהגים להסתובב ,לטוס ,ללכת ,מקום העבודה ,מקום מגורים ,תמונות של משפחה ,הודעות דוא"ל, הודעות ,SMSגלישה באינטרנט וכדומה. השימוש בטלפונים חכמים רק הולך וגובר, במדינות רבות כ 50-אחוז מהטלפונים הניידים הם סמארטפונים .את הטלפונים האלה ניתן לנצל גם לאיסוף מידע וגם לתקיפה מרחוק" אומר וייסברג" ,פעם זה היה רק טלפון ,היום יש בו חיבור ישיר למייל ולאינטרנט ,אנשי קשר ,סיסמאות ואסמסים ,מצלמה ,מיקרופון ומכשיר הקלטה, ,Bluetoothאופציה לאיתור אדם באמצעות ג'י. פי .אס ,ועוד .כבר קרו מקרים שחוקרים פרטיים הפעילו מיקרופון והקלטה מרחוק ובעצם עשו האזנת סתר ,כך שהדבר בהחלט מהווה סיכון ממשי כיום. 16 גיליון | 2יוני | 2012 בעידן הדיגיטלי החדש ,אין ספק שהטכנולוגיה משחקת תפקיד מרכזי מצד אחד ,אבל יחד עם כל היתרונות של קדמת הטכנולוגיה ,חשוב לזכור, שלעתים אנו מאבדים קצת מהפרטיות שלנו. ,GEOTAGורוב המשתמשים ,לא רש שעושים בזה שימוש (ברוב המקרים מבלי לדעת על כך) ,אלא גם מפיצים את המידע הזה לכל העולם ,ע"י העלאת תמונות ברשתות החברתיות (לדוגמה פייסבוק).. שחזור :מיילים ,E-Mail -תמונות ,סרטונים ,יומן כתובות ,הודעות SMS,היסטורית שיחות ,הקלטות ועוד. אבל כאלה אנחנו :מצד אחד משאירים אורות דלוקים בבית כשאנו יוצאים לחופשה ,ומצד שני מספרים לכל האינטרנט וגיסתו שאנחנו לא בבית". אנחנו לא רוצים שאדם יוכל לצלם ,להקליט או להוציא מיילים החוצה בזמן שהוא נמצא במתחם מסווג ,בסיס צבאי ,מפעל ביטחוני וכולי ,ואנחנו גם לא רוצים שמישהו ישתלט לו על הטלפון מרחוק ויצליח לאסוף מידע על המקומות האלה. המערכת מתוכנתת 'לדעת' מתי אותו אדם נמצא בשטח הרגיש מבלי לעשות שימוש ברשת או בג'י. פי.אס .גורמי הביטחון קובעים בדיוק איזה יישומים הם לא רוצים שיפעלו והמערכת דואגת לנטרל אותם ,כשהבנאדם יוצא משם הטלפון חוזר לפעילות מלאה. כיום ,ניתן בצורה קלה יחסית ,לשחזר כמעט הכל מהטלפונים החכמים וכרטיסי זיכרון (זיכרונות פלש) ,ממרבית הסוגים הקיימים שוק החופשי. ניתן לשחזר עד 100%מהמידע שאבד ,נמחק או נפגע מוירוס ,חיבור למחשב ,עדכון גרסה. תחשבו ,את כמות המידע שניתן לשחזר מטלפון חכם ,שאגר בתוכו אין סוף מידע .מה שהכי מסוכן זה שבעזרת יכולות השחזור של היום ,יכולים לשחזר כמעט הכל מתוך הטלפון החכם ,ולאסוף המון מידע רגיש אודות הקורבן. כמובן ,שלכל צד שלילי יש צד חיובי ,ולהיפך. כלומר ,ניתן לנצל יכולות אלו לצורך חקירות פליליות ,לצורך איתור נעדרים ,לאיתור ניסיונות לדליפת מידע מהארגון ועוד .אבל יחד עם זאת, יתכן שהפרטיות שלנו תפגע גם כן מאותן יכולות טכנולוגיות מרשימות. כיום ,השימוש בטלפונים חכמים כדוגמת iPhone או BackBerryתופס תאוצה והתלות במכשיר הולכת וגדלה ,למכשירים אלו היכולת לצלם תמונות וסרטונים באיכות גבוה ביותר ,לאחסן אלפי תמונות ,לשלוח ולקבל מיילים ,לקבוע פגישות ,לגלוש באינטרנט ועוד .במקרה של אובדן מידע נדרש לבצע שחזור ל .iPhone ברוב הטלפונים החכמים ,ישנה אפשרות של גילוי מיקום ע"י אפשרויות מיקום תמונה על המפה (בעזרת )GOOGLEMAPSע"י פונקציה שנקראת תכונה חדשה שצצה לאחרונה בטור הימני בפייסבוק החלה לחטט בהיסטוריה האישית שלי ,להציג לי תמונות ולשאול שאלות אודותיהן כמו דודה פולניה .האם נכון שהתמונה הזו צולמה בבאר שבע? וזו ,במושב במרכז? נשאלתי עם אפשרות להשיב ב yes-או .Noכל “הניחושים” של פייסבוק לגבי מיקום הצילום התגלו כמדויקים .תשובה חיובית הוסיפה את המיקום לתמונה באלבומי הפייסבוק שלי ,היכן שכולם יכולים להיחשף אליה. אחד מחברי לפייסבוק התייחס השבוע לעניין בסטטוס הבא“ :משהו מפחיד קורה פה .פייסבוק מעלה באוב תמונות ישנות ומציע לציין היכן הן צולמו. ההצעות שלו לגבי המיקום נכונות. נראה שהוא מעיין בטקסט ולפיכך מסיק את מסקנותיו ,בכל מקרה תחושת האח הגדול חזקה מתמיד”. אז מה קורה כאן? בתחילה חשבתי שפייסבוק מתבסס אך ורק על מילות מפתח שהוסיף הגולש לכיתוב התמונה אשר עשויות לרמז על מיקום הצילום ,אך כאשר פייסבוק “ניחש” היכן צולמו תמונות ללא כיתוב כבר היה לי די ברור שמדובר במקרה פשוט של .Geotaggingכן ,רוב הסמרטפונים כוללים היום תכונת גיאו-מיקום אוטומטית שמוסיפה מידע על מיקום הצילום למטא דאטה של התמונה על בסיס ,GPSרשתות אלחוטיות ותאים סלולריים ,כאשר כל ספק שירות יכול לעשות בה שימוש. פייסבוק אפילו מתחשב יחסית לשירותים חברתיים ואתרי תמונות אחרים בעניין זה ועד כה “הפשיט” כל מידע אודות המיקום מהתמונות וגם כעת מוסיף את המיקום רק באישור המשתמש ברמת הישוב בלבד ללא נקודות ציון מדויקות של התמונה. בעידן של רשתות חברתיות שחושפות אט אט ובהדרגה את מיקומנו בזמן אמת באמצעות פייסבוק ,טוויטר ואחרים ,קל יותר ויותר לתרגם את הסטטוסים המתייגים מיקום למפה המציגה את המסלול שאנחנו עושים על גבי מפה .ברור לגמרי שמי שחושף את המיקום שלו ברשתות חברתיות חייב להיות מודע להשלכות ולסיכונים, אם כי זה לא בהכרח מזמין או מצדיק סטוקרים. אם בכל זאת התכונה הזו מטרידה אתכם ,דעו שזה בידיים שלכם .ליתר דיוק ,במצלמה שלכם. באייפון 4 לכו ל”הגדרות” ואז ל”שירותי מיקום” ותכבו כל אפליקציה שלא תרצו שתיגש לנתוני המיקום, כולל המצלמה. באייפון 3 בחרו בSettings, - General, Location Servicesכדי לכבות את כל שירותי המיקום. אם לא תרצו לכבות את כל שירותי המיקום, בחרו ב Settings, General, Reset-ואז Reset .Location Warningsבפעם הבאה שהאייפון ישאל אם להשתמש במיקום שלכם בחרו ב.Don’t Allow- באנדרויד מקש תפריט Settings ,ואז Location and .securityלהסיר את הסימון מאפשרות ה.GPS- בבלקברי בחרו בOptions, Advanced Options,- ,GPSאז לחצו על מקש תפריט ,בחרו Disable- GPSולחצו .Yes | גיליון | 2יוני 2012 17 10סיבות לשימוש בכרטיס חכם כאמצעי זיהוי חזק 1 הגברת רמת האבטחה ושילוב גישה לכל המקורות כרטיסים חכמים מאפשרים גישה מאובטחת 24שעות ביממה למקורות פיזיים ולוגיים. 2 3 4 5 6 7 8 9 10 18 גיליון | 2יוני | 2012 אבטחה והפשטת הגישה למערכות פנימיות למעשה צריך רק כרטיס ומספר קוד סודי אישי ( )PINלכניסה למערכת ,על ידי כך נעשה ויתור על תהליכים ארוכים ומסורבלים של הקלדת שמות משתמש וסיסמאות מרובים ,התוצאה מביאה לשיפור ביעילות העובד. הוכחה דיגיטלית מיוחדת של הזיהוי הכרטיס החכם יכול ליצור ולאכסן תעודות דיגיטליות ייחודיות שאינן אפשריות להעתקה ויצירה מחדש ( דוגמה :תעודות PKI לדואר אלקטרוני חתום). עמידות וחסינות שלא בדומה לכרטיסי העברה מגנטיים ,כרטיסים חכמים מוגנים במספר קוד אישי סודי )PIN( .אם מספר זה מוקלד בצורה שגויה מספר פעמים הנקבעים מראש בכרטיס הכרטיס ננעל בעצמו ותוכנו נעשה לא נגיש. כרטיס אחד ,שימושים רבים כרטיס אחד יכול לשמש לדברים מרובים :זיהוי ,הזדהות ,אימות, רכישה ועוד... נוחות מתאים בגודלו לארנק ,מימדיו בהתאמה למימדי כרטיסי האשראי. תאימות לפריסת מערכות כרטיסים קיימות כרטיסים חכמים תואמים לכרטיסי פס מגנטיים קיימים .דבר זה מאפשר לתכנן בשלבים את מערך הכרטיסים החכמים כנדרש. מבנה מוכר משתמשים יאמצו במהירות שימוש בכרטיס חכם שכן הם דומים לכרטיסי האשראי הקיימים. גורם מרתיע גלוי הכרה וזיהוי מיידים של מערכת המאובטחת של הכרטיס מפחיתה נסיונות גניבה ופריצה של האקרים. התאמה אישית תמונת המשתמש ושמו יכולים להיות מודפסים על פני הכרטיס. יש אפשרות להנפקת כרטיס עובד מלא. היום שאחרי מחר.... אחת הבעיות המרכזיות בבניית תוכנית להמשכיות עסקית היא הקושי להציג את החזר ההשקעה עליה .נושא ההיערכות לחירום וההמשכיות העסקית חייב להיבחן ברמה האינטגרטיבית .המימד האנושי הינו אחד הגורמים החשובים בהיערכות לשעת חירום .היעדר העדכניות של תוכנית המשכיות עסקית הוא זה שעלול להיות נקודת הכשל בארגונים. מערכות המידע הקריטיות במשק ,הן במגזר הפרטי והן במגזר העסקי ,חייבות להיות ערוכות – לא רק להגנה על הנתונים ,אלא גם להמשכיות עסקית שתאפשר את המשכת השירות בצורה שוטפת עבור לקוחות הארגון. ברור לכולנו ,כי מרבית הארגונים אינם ערוכים כהלכה למקרה אסון או לשעת חירום ,והתחושה היא שהכל פרוץ ופתוח בפני ההאקרים. מסקרים שנערכו (הן במגזר הממשלתי והן במגזר הפרטי) עולה כי רוב הארגונים כ68%- אינם ערוכים כלל למקרה של אסון ,ומבין אלו שכן ערוכים ,כ 30%-לא תרגלו את התוכניות להתאוששות מאסון כלל ,אפילו לא פעם אחת, ורק בכ 5%-קיימת תוכנית להמשכיות עסקית. כולנו יודעים לטפל בכשל מערכתי נקודתי בחדרי המחשב שלנו – הרי כולנו טיפלנו בתקלות שונות ,אבל מה קורה כשחדר המחשב נשרף? במרבית הארגונים לא קיימת תפיסה מערכתית להתמודדות עם תקלות רוחביות קיצוניות. המדובר ,קבע ,בתהליכים שמחייבים הערכות זמן רב מראש. תוכנית להמשכיות עסקית ()BCP תוכנית להמשכיות עסקית ( )BCPהינה תוכנית אשר נותנת מענה לתרחישי חירום שונים ומאפשרת לארגון להמשיך את פעילותו הקריטית גם בזמן חירום .תוכנית זו נכתבת מראש ומכילה את התרחישים האפשריים העלולים לפגוע בארגון עקב מצב חירום ואת הדרכים כיצד להתמודד עם תרחישים אלו בזמן אמת. המשכיות אם כך היא מילת המפתח ,כיצד יוכל הארגון להמשיך את פעילותו במשאבים המינימאליים האפשריים ותוך כדי כך להביא להתאוששות מאסון במינימום הוצאות .כדי להגיע למצב זה אסור שהארגון ייתפס לא מוכן. חשוב להדגיש כי התוכנית אינה מכוונת לתת מענה לרשימה סגורה של מקרי אסון אלא נותנת מענה למגוון תרחישי חירום רלוונטיים לארגון כגון נתק במערכות המחשוב בארגון ,מחסור חמור בכוח אדם ,חוסר יכולת לתקשר עם גורמי חוץ ,אי תפקוד של נותני שירות לארגון וכן הלאה .דוגמה רלוונטית למצב כזה היא נפילת מערכת המחשוב המרכזית באחד הבנקים הגדולים במדינה אשר הותירה את לקוחותיו ללא מענה למשך יותר מ 48-שעות. טיבה של תוכנית להמשכיות עסקית מתבטא באופן בו נותנת התוכנית מענה לכל התרחישים האפשריים במצב חירום ,המשמעות היא שהשלב הראשון לביצוע תוכנית המשכיות עסקית הוא ביצוע מיפוי מפורט של התהליכים הקריטיים בארגון אשר צריכים להמשיך לפעול בכל מצב. לאחר מכן ניתן התוכנית מענה וחלופות שונות לכל תהליך אשר הוגדר כתהליך קריטי בארגון וכל עובד יידע מה תפקידו תוך כדי מצב החירום ותשאיר כמה שפחות סימני שאלה לרגע האמת. תוכנית התאוששות מאסון ()DRP מדבור בתוכנית המכילה פירוט של פעולות ותהליכים אשר יש לבצע על מנת להחזיר במהרה פעילויות ותהליכים קריטיים לארגון. לצד החשיבות ההולכת והגדלה בצורך בשרידות של מערכות ה IT-בארגון ,גם המימד האנושי מהווה אחד הגורמים החשובים בהיערכות לשעת חירום .מה קורה אם במקרה של אסון ,עובדים הבוחרים לא יהיו מוכנים להגיע לעבודה או יעזבו לעיר אחרת? זה שמערכות ה IT-יהיו מוגנות ,זה בסדר ,אבל אין לזה ערך אם צוות טכני לא יתחזקו אותן. עלינו למצוא איזון מתאים בין הפעילויות השונות, בין הגורמים השונים ,ולא להתמקד רק בדבר אחד .לדוגמה :על מנת שבית חולים יתפקד, צריך גח אדם ,שרידות מערכות ה ,IT-אוכל, כביסה ,סטריליות ,אספקת תרופות ,כסף ואמצעי זיהוי חלופיים ,ואלו רק חלק מהדברים .רציפות תפקודית מורכבת ממגוון פרטים ,גז ,חשמל ,מים, ועוד .נדרשת סינרגיה בין כלל הפעילויות ,ולרוב הארגונים ,זה חסר. החזר השקעה... אחת הבעיות המרכזיות בתוכנית להמשכיות עסקית היא הקושי להציג את החזר ההשקעה עליה לעומת ההשקעה הנדרשת .העובדה שמדינת ישראל מתמודדת עם בעיות גיאו-פוליטיות ,עם בעיות טרור ,חשש מרעידות אדמה ,טרור קיברנטי – לא בהכרח מביאה לכך שהיא תהיה ערוכה טוב יותר בהיבט המשכיות עסקית .העלויות הגבוהות של בניית תוכנית להמשכיות עסקית מהוות את הקושי העיקרי בלהוכיח את החזר ההשקעה. נדרשים סדרי עדיפויות ,ולעתים משלמים על כך מחיר כבד .ארגון אומר לעצמו ,כי בתקציבים מוגבלים ,לא תמיד כדאי להשקיע את הכסף דווקא ב IT-לטובת בניית תוכנית להמשכיות עסקית. למרות הכל ,הולכת וגוברת המודעות לצורך בתוכנית להמשכיות עסקית ו\או התאוששות מאסון .ההמשכיות העסקית כבר אינה נחלתם הבלעדית של ארגונים גדולים ,היא מחלחלת לארגונים בינוניים .הדבר דורש תחזוקה שוטפת ,וזו לא פחות חשובה מעצם הטמעת התוכנית עצמה. כמו כן ,נושא ההיערכות לשעת חירום וההמשכיות העסקית חייב להיבחן ברמה האינטגרטיבית .יש חשיבות להיבט של תרגול של ארגונים את עצמם להיערכות בתחום. ביצוע תרגילים לתוכניות להמשכיות עסקית ו\ או התאוששות מאסון ,יכולים להניב תובנות רבות לארגון ,כחלק מתהליך של הפקת לקחים, ושיפור התוכניות .ככל שמתרגלים יותר ,ובכל דרגי הארגון – ככה ניתן להפיק יותר תועלת לקדם את פני העתיד. היבט נוסף ,הוא הצורך לבדוק מה יכול לקרות לארגון בשל השבתה של מערכות ה ,IT-וכמה זמן ניתן לעבוד בצורה ידנית ושונה? ואת זה ,נוכל גם לדמות במציאות ,ע"י ביצוע תרגול .התרגיל חייב לדמות את המציאות .חשוב לזכור ,שהתרגול הוא של הארגון ולא של המנמ"ר ,.ודורש היערכות מוקדמת נרחבת. אחת הבעיות הנפוצות ,בהטמעת תוכנית להמשכיות עסקית ,היא שלעתים קרובות, התכנית מתעדכנת ,ובזמן החירום מגלים שחלק מהנתונים אינם נכונים ,וכאן בדיוק נכנס התרגול, כדי לתת פתרון הולם לבעיה .היעדר העדכניות של תוכנית המשכיות עסקית הוא זה שעלול להיות נקודת הכשל בארגונים ,כיוון שתהליכים עסקיים השתנו ,אנשים התחלפו ועוד. העיסוק בתחום ניהול המשכיות עסקית ,הוא משהו שצריך לעסוק בו כל השנה ולא פעם בשנה. העיסוק בחירום צריך להיות חלק מהתרבות הארגונית ולהפוך להיות חלק משגרת פעילות הארגון. לסיכום האתגר הגדול ביישום תוכנית להמשכיות עסקית בארגון ,טמון בעובדה שלא מדובר במוצר מובהק אלא בשילוב של מספר מרכיבים :מדיניות ,כלים שונים ,טכנולוגיות שונות ואינטגרציה ביניהן, מתודולוגיות וניסיון מצטבר .כדי להצליח בפרויקט מסוג זה ,יש צורך בחברה מתמחה שיכולה לספק מענה הולם ללקוחות השונים ,שנדרשים ליישום BCPמלא או חלקי בארגון. מבט לעתיד המעבר לענן מהווה הזדמנות לבחינת תהליכי המשכיות עסקית בארגון .ארגונים כבר לא חייבים להשקיע הון תועפות במערכי אחסון, רפליקציה בין מערכות ,וכדומה .עפ"י חברות מחקר (כגון )Gartnerארגונים מבינים שלא ניתן יותר לברוח מהמציאות ,והמשכיות עסקית הינו דבר שמחייב. תרגול...תרגול...תרגול... | גיליון | 2יוני 2012 19 האם אתה מנהל את המידע בארגון או שהמידע מנהל אותך? כל ארגון מתחזק ,Unstructured Dataאשר גדל באופן מתמיד ועל פי רוב ,בלתי ניתן לניהול. כמות המסמכים ,גיליונות אלקטרוניים ,מצגות, קבצי מדיה ונתונים עסקיים אחרים ,השמורים בשרתי קבצים ,שרתי ,NASומאגרי מידע Semi- האם מדובר בלהבה או בניצוץ רגעי? מאת :ניר ולטמן ,ארכיטקט אבטחת המידע של חברת .Citadel Consulting בימים האחרונים יש "הד תקשורתי נרחב" סביב הנוזקה ( )Malwareהנקראת Flame/Flamer/Skywiperשפגעה במספר רב של מדינות במזרח התיכון ובעיקר באיראן .ישנן הצדקות אך גם אשליות אשר נגזרות מהפרסום התקשורתי שזכתה לה הנוזקה ,המטרה של מאמר זה הינה להציג את שתי פרספקטיבות על האירוע. בהיבט שבו אני מסכים עם ההד תקשורתי שנוצר סביב הנוזקה ,ניתן לומר כי אכן מדובר בתוכנה זדונית אשר מתנהגת באופן חריג מהרגיל בקטגוריה זו של תוכנות זדוניות ,לדוגמה :התוכנה תוקפת מספר וקטורים במערכת ההפעלה במקביל ,ישנו שימוש בטכניקות פיתוח מתקדמות לטיפול בקטעי קוד קריטיים התלויים אחד בשני (במדעי המחשב קוראים למינוח ,)Mutexהגדרת תזמון שונה לכל הפעלה של משימה כך שיהיה קשה לעקוב אחר הפעלת תהליכים במערכת ההפעלה ,שימוש בתקשורת מוצפנת לשרתים חיצוניים ועוד .למעשה ניתן להבין מחקר הנוזקה כי מדובר בפיתוח מתקדם שבוצע על ידי מומחי אבטחה עם רקע חזק בפיתוח ואיתור פרצות ,סביר להיצמד לטענה כי אכן לא מדובר על קבוצה של האקרים אלא על סדרי גודל משמעותיים כגון ארגון או מדינה העומדות מאחורי הפיתוח .ישנן שתי עובדות נוספות אשר גורמות להסכים עם ההצדקה לפרסום כה גדול; כלל חברות האנטי וירוס הגדולות בעולם לא גילו/התייחסו לנוזקה הזו במשך השנתיים האחרונות ובעיקר לעובדה כי מדובר בנזק ממשי שהלוחמה הקיברנטית (Cyber )Warfareגרמה בשנית לאיראן. אולם הסבירות להפעלתה נמוכה יחסית מאחר והדרך (שאותרה בפועל עד כה) להפצת הנוזקה בארגון היא באמצעות Disk on Keyאו באמצעות מחשב אחר "מודבק" .בניגוד ל Stuxnet-אשר גרם נזק ממשי (על פי פרסומים זרים) לצנטריפוגות המעשירות אורניום במקרה זה ,הרשת הארגונית המותקפת חייבת להיות מחוברת לאינטרנט ,אחרת הנוזקה עובדת באופן חלקי ,קרי לא מוציאה מידע ארגוני לאינטרנט .אם נחשב באופן יבש את הסיכון, הרי שהוא אינו קריטי עקב הסבירות הלא גבוהה שלו למימוש .שנית ,כמות המחשבים שבשלב זה אותרו כ"מודבקים" בנוזקה זו היא נמוכה ביחס למתקפות אחרות שנתגלו לאחרונה ,לדוגמה: כמות מחשבי ה – Macשנפגעו מה – Flashback Malwareהייתה 600אלף .יתרה מכך ,כמות המחשבים שנפגעה מהנוזקת ה – Flashbackבעיר Cupertinoבקליפורניה (מקום הימצאותה של חברת )Appleהיא כ – 270מחשבים ,אשר גם הוא גדול ממספר המחשבים ש"הודבקו" מה – Flame בכל איראן .שלישית ,כל יום מפותחות עשרות אלפי תוכנות זדוניות אשר יודעות לבצע את הפעולות שה – Flamerעושה ,אך באופן פחות חכם. מאידך יכול להיות כי ההילה שנוצרה סביב הנושא מוגזמת מדי מהסיבות הבאות :ראשית ,בעולם האם כל הארגונים חשופים ל – ?Flame אבטחת המידע החישוב של הנזק הפוטנציאלי למערכות מידע מורכב מהנזק שייגרם לארגון כנגזרת מהפעלת הנוזקה ומהסבירות להפעלתה. במקרה זה ,אפשר לומר כי הנוזקה "חיה ונושמת", 20 גיליון | 2יוני | 2012 ארגונים אשר משקיעים באבטחת מידע באופן שוטף חשופים פחות למתקפה זו עקב העובדה שבארגונים כאלו יש הגנות כנגד הכנסת Disk ,on Keyהתקנת טלאי אבטחת מידע של חברת Microsoftובכלל ואף ביצוע הקשחות במערכות ההפעלה כדוגמת ביטול האפשרות להפעלה אוטומטית של תוכניות ( )Autorunמכוננים חיצוניים. מה אנחנו יכולים לעשות כמשתמשים? למרות העובדה שהפצת הנוזקה מתבצעת בעיקר באמצעות ,Disk on Keysאי אפשר להלחיץ את כל המשתמשים בכך שנגיד להם שלא להשתמש בהם .הדבר היחיד שנדרש לבצע באופן שוטף ,ללא קשר ל – ,Flameהוא להיות מודע .כלומר ,שימו לב שאינכם מעתיקים קבצים לא מוכרים מ – Disk on Keysאו מחשבים אחרים ,לא פותחים דברי דואר ממקורות שאינכן מכירים ולא מורידים תוכן מאתרים שאינכם סומכים עליהם .ד"א ,האם ציינתי שמערכות ההפעלה Linuxו – Mac OS Xלא פגיעות בפני ה – ?Flame לסיכום הנוזקה Flameעוררה "הד תקשורתי" תקשורתי רב עקב סדרת אירועים שקרתה לאיראן ,אולם הסיכון האמיתי נמצא סביבנו בכל יום שאנחנו נמצאים בסביבת מחשבים ,טלפונים חכמים וטאבלטים ,היכולת האמיתית של ארגון להתמודד עם איומים במימד הקיברנטי תהיה באותם איומים חדשים ובלתי צפויים שיצוצו ובעיקר בגמישותם של ארגונים ומערכות מידע להתמודד עימם בזמן אמת. ,Structuredכגון ,SharePoint :הינה עצומה וגדלה במהירות. על פי גרטנר: • 80%מהמידע הארגוני הינו Unstructured .Data • Unstructured Dataיגדל בחמש השנים הבאות ב.650% - בימינו ,ידוע כי ארגונים משתפים מידע באופן דיגיטלי ,דבר אשר בא לידי ביטוי בתהליכים עיסקיים בסיסיים ביותר ועד לתהליכים מורכבים, וכל זאת ,כדי להיות יעילים ותחרותיים ביותר. ארגונים פועלים בצוותים מקצועיים ממחלקות שונות ,אשר ניגשים לסטים של משאבים דיגיטליים ,שאינם שייכים בהכרח למחלקה האורגנית של כל אחד מן העובדים .כמות הקבוצות ,בשילוב עם דרישות הניהול והאבטחה ההולכות וגדלות ,גורמת ,באופן פרופורציונאלי, לגידול מתמיד בכמות הסיפריות בשרתי הקבצים והאתרים ב.Sharepoint - כל מידע שכזה חייב להיות מוגן ומנוהל. כדי להסביר את רמת הקושי בניהול מידע ,להלן מספר נתונים: על כל 1TBשל מידע ,יש בממוצע ,כ250,000 - תיקיות .אם נגיד שרק ל 1% -מהן ישנן הרשאות יחודיות ( ,)Unique permissionsלמרות שהממוצע אף גבוה יותר ,הרי של 2,500 -תיקיות יש הרשאות יחודיות .עכשיו תכפילו את הנתון הזה במספר ה- TBשל מידע שקיים בארגונכם. ברור כי ברמת כאוס שכזה ,אף אחד לא מנהל את ההרשאות ,לא מסיר הרשאות עודפות ולא מממש את מדיניות אבטחת המידע בארגון. הגנה על הנתונים נדרשת ,על מנת לשמור על הלקוחות של הארגון ,עובדים, שותפים עסקיים ,ומשקיעים. כמו כן ,הגנה על הנתונים הינה פעולה בסיסית וקריטית לאבטחת הקניין הרוחני של הארגון ,להקניית יתרון תחרותי ולשמירה על האמון בארגון, הנדרשים לפעולה תקינה שלו. הגנה וניהול המידע ,בכל נפח, דורשים טכנולוגיה ,שנועדה להתמודד עם היקף מידע ההולך וגדל וכך גם סיבוכיות מפת הקשרים וההרשאות אליו. לטובת ניהול מידע נכון ,נדרשים הנתונים הבאים: •מידע על המשתמש והקבוצה – מהActive - Directory, LDAP, NIS, Sharepointוכו' •מידע לגבי ההרשאות – הבנה מלאה של מי יכול לגשת ,לאיזה מידע ובאיזה ספריות. •תמונה ברורה של משתמשים ,ספריות וקשר ההרשאות ביניהם. •פעילות גישה ()Auditing – Access Activity – תמונת מלאה של גישה למידע ע"י כל משתמש ,מתי ומה נעשה במידע. •המלצות לשיפור הרשאות במערכת הקבצים. •בקרה ואמצעי תחקור על פעולות המשתמשים במידע (.)Audit •איתור תוכן רגיש – תמונה מלאה של מיקום המידע הרגיש והחשוב של הארגון ,באילו קבצים ולמי יש גישה למידע זה. •סימולציה של שינוי הרשאות ובחינתם מול גישה בפועל. •מנגנוני התראה על שימוש חריג. ורוניס פיתחה פלטפורמה ויישומים לשליטה ובקרה על המידע .פתרון ורוניס מאחד את פרטי המשתמשים עם מבנה מערכת הקבצים ומבצע רישום מפורט של כלל אירועי הגישה .פלטפורמה זו מנתחת את הנתונים ומציגה את המידע למנהלי ה IT -ואבטחת המידע של הארגון ,באופן אינטרקטיבי ודינאמי. בהתבסס המידע שנאסף ,אלגוריתם חכם משכלל את כלל הנתונים ומציג המלצות להרשאות נכונות, על פי צרכי הארגון. פתרונות ורוניס מסייעים באיתור בעלי המידע בארגון ,ומרגע שבעלי המידע מזוהים ומוגדרים, הם מסוגלים לנהל את ההרשאות למידע שבאחריותם ,באמצעות ממשק אינטרנטי נוח ( .)Web Interfaceניהול זה מבוצע ע"י בעלי המידע, ללא תקורות ITוללא צורך בפעולות ידניות ברקע, כפי שמבוצע כיום או בפתרונות אחרים בתחום. תוכנת DatAdvantage Varonisמספקת את היכולות הבאות: •זיהוי והשמת אחראים למידע (.)Data Owners ורוניס מספקת אמצעים לצמצום הרשאות עודפות ומניעת חשיפה מיותרת למידע .בהתבסס על ניתוח מודל השימוש ,האפליקציה מספקת המלצות לאילו משתמשים יש גישה לגיטימית למידע ולמי יש הרשאות עודפות ,שכדאי לצמצם. חבילת ה Data Governance -של ורוניס מציגה נתונים ,ללא תלות בגודל הארגון ובהתאם לצרכיו ודרישותיו .כל זאת באמצעות תשתית מחשוב סטנדרטית ,גם כאשר המורכבות בין היישויות גדלה ומסתעפת בכל יום. פלטפורמות מידע חדשות ,שעתידות לקום בארגון ,יוטמעו גם הן לתוך מערכת ורוניס, בלחיצת כפתור ,כאשר טובת הניהול וההגנה על המידע הארגוני יובאו לידי ביטוי בתועלות וביעילות שהיא מאפשרת. | גיליון | 2יוני 2012 21 תוכנות ריגול מה המשמעות החוקית של העניין? כיום ,החוק בארץ עדיין לא מטפל בצורה מפורשת ברוגלות ,אך ישנם מגוון חוקים שמתייחסים בעקיפין להתקנת תוכנות מזיקות ללא ידיעת בעל המחשב ,כאשר העונשין על עבירה זו היא עד 5שנות מאסר. כולנו זוכרים את המקרה המפורסם שסוף סוף הגיע לכותרות בארצנו הקטנה :פרשת הסוס הטרויאני .מדובר במקרה הראשון (הגלוי) של ריגול תעשייתי ממוחשב ,מתוצרת כחול לבן. וזה היה עניין של זמן עד שפרשה כזו תתפוצץ, אך אף אחד לא ציפה לסדר גודל שכזה .אבל העצוב בסיפור ,הוא שבארצנו הקטנה ,ישנה נטייה של לעבור על סדר היום מהר מדי ,ולשכוח מהאירועים של אתמול ,במטרה לפנות זמן לאירועים החדשים .וזה מתבטא לעתים גם בהפקת הלקחים ,מהאירועים שאירעו. אז מהי בעצם תוכנת ריגול? מדובר בתוכנה זדונית הידועה בשמה המקצועית כ ,Spyware-ובעברית כרוגלה .מדובר בתוכנה שמטרתה לנטר וליירט אחר פעילות מסוימת במחשב בו התוכנה הותקנה ,להעביר מידע לשולחה ולבצע פעולות שונות ,באופן עצמאי או מונחה .בדרך כלל פעילות זו מתבצעת בחשאי, ללא ידיעת המשתמש (הקורבן). לרוב ,הרוגלה מותקנת\מושתלת במחשבי הקורבנות תוך שימוש בתחבולה עתיקת יומין הידועה כשימוש בסוס טרויאני. ישנו מגוון רחב של תוכנות זדוניות מסוג זה ,אשר כל תוכנה מגיעה עם תכונות מסוימות ,בהתאם למטרתו של היוצר .לאחר התקנתה החשאית במחשב, פועלת הרוגלה באופן עצמאי ואוטומטית ,בצורה חשאית ועצמאית לניטור פעילות המחשב ויירוט כל מידע העובר במחשב .כמו כן ,יתכן גם שהרוגלה תאפשר ליוצר שלה לשלוט על המחשב בוא היא מותקנת וזאת ,כאמור ,באופן חשאי ומבלי שבעלי המחשב או המשתמש במחשב ,ידעו על כך. פנים רבות לריגול כיום ,תהליכי הריגול נהיו מתוחכמים יותר ,ובעידן הדיגיטלי ,כמעט ואין מערכת דיגיטלית כלשהי, 22 גיליון | 2יוני | 2012 שאינה חשופה לסיכון של ריגול .אנו עדים לתוכנות ריגול בפלאפונים החכמים ,במחשבים (בעזרת תוכנות מחשב) ,ואף בהתקני חומרה (.)Keylogger הדרך הנפוצה ביותר היא ע"י שימוש בתוכנות מחשב ,אם כי ,לאחרונה ,אנו עדים לעלייה בכמות מקרי האזנה דרך טלפונים חכמים. .גשהרוגלה מסוגלת לגרום נזק למחשב או לשבש את פעולתו. .אייצרה מידע שעלול להטעות את המשתמשים בו. במקרה ובו מתברר לנו כי מערך המחשוב שלנו נחשף לפעילות ריגול כלשהי ,ראשית יש להכין רשימה של כל אלה המעורבים באופן ישיר ועקיף בפעילות הריגול ,כגון יצרן התוכנה (שבה השתמשו) ,משווקי התוכנה ,אלה שעשו שימוש בתוכנה ,אלה שהזמינו את השימוש בתוכנה ואלה שעשו שימוש במידע שנוטר וייורט באמצעות התוכנה. באמצעות חוק הגנת הפרטיות התשמ"א1981- וחוק האזנת סתר התשל"ט ,1979-עלולים המעורבים בפעילות הריגול להשתכן חמש שנים בכלא ,באם יתברר כי מי מהם הטריד ,העתיק מידע חסוי ,השתמש במידע ללא רשות ,הפר חובת סודיות ,האזין ,הקליט והעתיק ללא הסכמה מידע שמקורו בתקשורת בין מחשבים ,או התקין את הרוגלה או עשה שימוש בה ו\או שימוש במידע שיורט ,או גילה את תוכנו לאחר .סביר גם להניח כי חלק מן המידע שנוטר ויורט על ידי הרוגלה מהווה שימוש שלא כדין ביצירה המוגנת בזכויות יוצרים, עבירה שדינה בין שלוש לחמש שנות מאסר על פי פקוד זכות יוצרים. במישור הפלילי ,חוק העונשין ,התשל"ז – 1977 מאפשר להרשיע בביצוע העבירה ולהעניש לא רק את מבצע העבירה אלא גם על ניסיון ,שידול ,ניסיון לשידול או סיוע לאותה עבירה ,אלא אם כן נקבע אחרת בחוק .במישור האזרחי ניתן לקבל פיצוי גם מאלה אשר בעקיפין אחראים לגרימת הנזק. במסגרת ההליך האזרחי לפיצוי כספי ניתן לעשות שימוש בעילות הנמצאות בחוקים הבאים: במסגרת ההליך הפלילי ,חוק המחשבים התשנ"ה ,1995-מקים סנקציה של 3שנות מאסר באם יתברר כי .אמי מן המעורבים בריגול שיבשו את פעולתו התקינה של המחשב או הפריעו את השימוש בו. שלנו תקופת המאסר תגדל לחמש שנים במידה ויתברר כי פעולת הרוגלה. מה לעשות במקרה שיש חשד לביצוע האזנה\פעילות ריגול? העונשין – האם הפשע משתלם? שלך העבודה .בחדרו ,מחקו ,שינו ,שיבשו או הפריעו לתוכנה ו\או מידע ממוחשב. .במטרת הרוגלה לגרום לנזק למחשב או לשבש את פעולתו. לאחר שהרשימה הוכנה ניתן לנקוט נגד כל אחד מהם ,בהליכים פליליים ואזרחיים אשר בחלקם תומצתו לרשימה המקוצרת הבאה. הביטחון חברת ייעוץ אובייקטיבית מומחים לייעוץ וליווי פרויקטים בתחום אבטחת מידע הגדרת אסטרטגיה הכנת הארגון ותפיסת ממשל לעמידה בדרישות אבטחת מידע רגולציה שונות בארגון אפיון דרישות מערכת ,כתיבה וליווי במכרזים בחירת טכנולוגיה המתאימה ביותר לארגון בתהליך RFPמסודר ושיטתי ניהולי פרויקטים אבטחת מידע מורכבים .אחוג המחשבים – המגדיר כעוולה נזיקית כל הפרעה ,שימוש ,גזילה ,מחיקה ,שינוי ושיבוש שלא כדין למחשב. .בחוק עוולות מסחריות התשנ"ט – 1999-במסגרת גזל סוד מסחרי. .גפקודת זכות יוצרים וחוק זכות יוצרים. .גחוק הגנת הפרטיות -בגין מספר רב של עילות. לתיאום פגישות וקבלת פרטים נוספים: חייגו :דני – 050-8266014 או בדוא"ל: danny @ titans 2. com | גיליון | 2יוני 2012 23 סיקור המפגש החודשי של האיגוד במפגש החודשי של האיגוד ,אשר התקיים בתאריך ,22.04.2012הגיעו כ 50-מקצועני אבטחת מידע ,אשר באו לשמוע את סגל המרצים האיכותי שגייסנו לטובת המפגש .המפגש עסק בעיקר בתחום הסייבר ,והדוברים הצליחו להלהיב את קהל המשתתפים. "אם אני יכול לחדור למערכי המחשוב של גופים שונים במדינה ,אז גם היריב יכול" ,אמר תא"ל ניצן נוריאל .לדבריו" ,התשובה לשאלה למה זה עדיין אל קרה ,היא בשל החלטה של הצד השני .היריב אוסף יכולות בתחום הקיברנטי אט אט ,והוא זה שיחליט מתי לממשן"" .על המדינה להכריע בין פגיעה בזכויות הפרט ובין יצירת מערכות הגנה ל .IT-אם תרצו להגן על מערכות ה ,IT-אין לי ברירה אלא להיכנס לקרביים שלהן ולפגוע בפרטיות האזרחים והחברות העסקיות" ,אמר נוריאל. "הנחת העבודה שלנו היא שכל מה שאנו יודעים לעשות ,גם היריב יודע לעשות -לחדור למערכות ה IT-שלנו ולגרום נזק .לצערי הרב ,ב100%- מהמקרים שבהם ניסינו לחדור למערכות מחשוב של גורמים שונים במדינה ,הצלחנו" ,כך אמר תת- אלוף (מיל") ניצן נוריאל ,ראש המטה ללוחמה בטרור במשרד ראש הממשלה. לדבריו "אם אנו יכולים לחדור למערכי המחשוב של גופים שונים במדינה ,אז גם היריב יכול. התשובה לשאלה למה זה עדיין לא קרה ,היא בשל החלטה של הצד השני .היריב אוסף יכולות בתחום הקיברנטי אט אט ,והוא זה שיחליט מתי לממשן". 24 גיליון | 2יוני | 2012 אפריל 2012 "האיום הקיברנטי הוא חשאי ,ובמובן מסויים הוא חמקמק" אמר נוריאל" .הוא יכול להתממש ולפעול גם בשגרה ,כשאין עימות" .נוריאל ציין "מערכות המחשוב במדינה ספגו מתקפות רבות במהלך מבצע עופרת יצוקה והפשיטה על ספינת מרמרה הטורקית" .בניגוד לעבר" ,אמר" ,אדם בודד יכול להביע את דעתו באופן חריף יותר מאשר טוקבקים ,והכל בעזרת מקלדת המחשב ,והוא יכול לבצע תקיפה ישירה על מערכות ה."IT- לדבריו "הנחת העבודה שלנו ,שאינה שלמה ולא לגמרי נכונה -היא שהתשתיות הקריטיות שלנו מטופלות .יש גוף המטפל בעניין ,יש הליכים סדורים ,אשר בוחנים את האיומים ואת הייחוסים. האם אנו יודעים לשמור על כל מערכות ה ?IT-לא, אולם אנו יודעים על מה צריך לשמור". נוריאל "המחיש את החשיבות המצרפית של מתקפות קיברנטיות באמצעות דוגמאות" :אם מערך המחשוב של תעשיית החלב ייפרץ ,לא נשכב על הרצפה ,מקסימום נקבל קלקול קיבה. אם הנתונים הרפואיים שלנו בבתי החולים יימחקו, הרופא לא יידע לאילו תרופות אנו אלרגיים ומה סוג הדם שלנו .אם תיהרס מערכת ה IT-המטפלת בגביה בעיריית תל אביב-יפו ,נחוייב לשווא .כל התהליכים הללו לא ימוטטו את המדינה ,אבל המצרפיות שלהם עלול ליצור מסה קריטית בעייתית .טרור קיברנטי יודע לקעקע את שגרת היומיום שלנו". הוא ציין כי בפני הגוף שבראשותו ובפני המדינה ניצבות כמה דילמות :מהי מידת האחריות של המדינה על המחשב הנייד האישי של הפרט? מי מממן את התקלות הנובעות מטרור קיברנטי? כיצד המדינה מפצה על נזקים בעקבות הנחית המטה לגוף עסקי להשבית את פעולתו כדי להימנע מפגיעה של טרור מקוון? "והשאלה הכי כבדה שאנו מתחבטים בה הכי הרבה ,היא מהי המסה הקריטית שתקבע שאנו כמדינה מצויים תחת מתקפה ושתחייב תגובה". הוא ציין כי "לטעמי ,ישראל צריכה להיות מובילה עולמית בתחום עמדות הלבנה ,כאלו שלא ניתו יהיה לחדור דרכן -ואולם זה לא המצב" .תחומים נוספים הטעונים שיפור ,ציין ,הם יצירת תקינה בתחום ,וקיום מסודר של העברת ידע והפקת לקחים בין גופים וארגונים שונים. בהתייחסו להרתעה בעולם הטרור הקיברנטי, אמר נוריאל כי "הרתעה גרעינית לא הייתה קיימת בעולם בטרם .1945הרתעת הסייבר טרם נולדה ,אולם היא קרובה מאוד .מה שקרה בעשור האחרון בתחום באסטוניה ובגיאורגיה אלה סתם משחקי בריונות שכונתית יחסית לפוטנציאל הגלום במלחמת סייבר אמיתית .הרתעה צריכה להיות כזו שנדע לזהות במדויק מי התוקף ונוכל להענישו .אני מוכן להשקיע כסף רב כדי לשרוף את המחשב של תוקפי .בסופו של דבר ,אם מישהו ירצה לתקוף ,ייתכן שהוא יכול לעשות זאת". "אנו קרובים לנקודה בציר הזמן בה יהיה על המדינה להכריע" ,אמר נוריאל" ,בין פגיעה בזכויות הפרט ובין יצירת מערכות הגנה .המדובר בשני וקטורים סותרים .אם אני רוצה להגן על מערכות ה ,IT-אין לי ברירה אלא להיכנס לקרביים שלהן ולפגוע בפרטיות האזרחים והחברות העסקיות". אסטרטגיה לאבטחת מידע IRA WINKLERהבעיות העיקריות באבטחת המידע נובעות הן במימד האנושי והן מהממד הטכנולוגי. "המימד האנושי לא פחות חשוב מהמימד הטכנולוגי" ,אמר אירה .תפקידו של מנהל אבטחת המידע בארגון ( )CISOהינו בעיקר שיווק ומכירות ,ולא להסתגר בתוך חדר שרתים רחוק מעיני הנהלת הארגון .על מנהל אבטחת המידע בארגון לאמץ מסגרת לניהול סיכונים ,ולשאוף שכל התהליכים העסקיים בארגון ,עוברים תהליך של הערכת סיכונים ,ושדרישות אבטחת המידע תואמות לדרישות העסקיות .אירה שיתף אותנו בידע והניסיון הרב שצבר במשך השנים ,בהיותו יועץ עבור ארגונים גדולים ברחבי העולם, ומסר את המסר הכי חשוב עבור הCISO- בארגון "...עליכם לנהל נכון את הסיכונים בהיבטים של אבטחת מידע בארגון ,וזה חלק מתפקידו העיקרי של ה ."CISO-עולם הפשע עבר תהפוכות ,והאיומים השתנו, ונהיו מתוחכמים יותר ,ולא ניתן יהיה לסגור הרמטית את הארגון ,ולכן חשוב ,לנהל נכון את הסיכונים ,ולהיות מודע לאילו סיכונים הצלחנו למזער ,ואילו סיכונים עדיין קיימים, ולשים בקרות מפצות באותן מקומות. דוד ממן מאפייני התוקף בעידן הסייבר והזן החדש של ההתקפות מייסד ו CTO-של חברת .GreenSQL מדובר במתקפות שכל הזמן הולכות ונעשות מתוחכמות יותר ,אמר דוד, והוסיף כי "שרשרת האספקה בעולם הסייבר בנויה כבר על אנשים מקצועיים ולא על ילדים בני .16האנשים שמפתחים הם טכנולוגיים .אנחנו מפתחים תוכנה וגם הם מפתחים תוכנה .הוא הוסיף ,כי "יש קבוצה אחרת של פושעים שרוכשת את הכלים האלה ומשתמשת בהם כדי לבצע גניבות .כמובן שעבור זה צריך שוק ויש הרבה מאוד מקומות באינטרנט בהם מציעים למכירה, רוכשים ,מייעצים ומוכרים שירותים .זה מוכיח שיש צור בהגנה רב שכבתית ובמעקב קבוע". כנגד מיתר המתקפות כיום בתחום הסייבר ,צריכים לקבוע אסטרטגיה נכונה לאבטחת מידע .כיום ההתקפות סייבר נהיו ממוקדות ומתוחכמות יותר .האסטרטגיה צריכה להיות מורכבת מכמה צעדיםץ" .קודם כל ,צריך להגדיר מדיניות אבטחת מידע ברורה ומקיפה ולא משנה אם מדובר במדינה ,חברה או אדם בודד .צריך להגדיר מי יכול ומורשה להגיע ,לאן ולמה ,ולהיצמד לכך ולעשות זאת באופן פשוט וברור .אמר" ,בנוסף ,יש להסביר את המדיניות ,לוודא שמשתמשים בטכנולוגיה ועושים זאת בתהליך העבודה השוטף .גם בצבא וגם בבית הפרטי ,למשל, צריך לייצר רצף של הגנות שיעבדו ביחד .זה מאוד חשוב ,כי ההתקפות כיום מאוד מורכבות ".הוא הביא כדוגמה לכך את " .STUXNETזו הפעם הראשונה שהיינו עדים לכך ,שבמקום לשלוח מטוסים כדי להפציץ השתמשו בתולעת כדי לעשות את הנזק ,וההצלחה הייתה כה כבירה" ,אמר דוד. תפיסה חדשנית, גיל קייני בעולם מנכ"ל חברת TRINITYאבטחת המידע גיל קייני נתן סקירה על תפיסה חדשנית, בעולם אבטחת המידע ,ותיאר בעצם את המענה ההולם כנגד מתקפות הסייבר ,והיא אבטחת מידע היברידית (רב-שכבתית) .גיל ,דיבר על הנקודה שבה יש צורך בהגנות רב שכבתיות". כל ההתקפות הפופולאריות האחרונות היו מורכבות מכמה וקטורים ,מה שהכי מעניין הוא שכולן שוגרו באופן סימולטני. כדי לדעת להגן כמו שצריך ,צריך ללמוד היטב את כל המאפיינים של העבודה ברשת ,כולל היישומים והשרתים עצמם, אמר גיל. הוא ציין שצריך לשנות את ההתייחסות ואת הגישה" .צריך יותר ויותר לצאת להתקפות נגד .לא רק להסתכל על חורי האבטחה ,אלא לחשוף את המגבלות של התוקפים .יש לכך אפקט מאוד משמעותי ויש לא מעט התקפות שניתן לנטרל את המתקיף ,עד כיבוי המחשב שלו או עד שמצליחים לייאש אותו", סיכם גיל. | גיליון | 2יוני 2012 25 מיינפריים ירוק והגנת הסביבה המיינפריים עם המסך הירוק מאז ומתמיד ,מסכי השליטה במיינפריים היו ונותרו מסכים הירוקים -שהציגו על המסך טקסטים ו"גרפיקה" בצבע ירוק על גבי רקע שחור (גרסת ה GUIשל המיינפריים Green - .)User Interface השימוש שנעשה ברקע שחור בתצוגת המסך במקום שימוש ברקע לבן ,הוריד משמעותית את הקרינה שספגו עיני המתבונן במסך ,והקטין את צריכת החשמל של המסכים וקירורם. עם זאת יש לרקע השחור על המסך נזק שולי שהרי הדפסה של תמונת מסך גרפית שלהמיינפריים ,מכלה משאבי טונר ודיו רבים, באשר הרקע מודפס בצבע שחור. הנאלצות להתעכב ולהמתין ,ניתן להעביר אותן לביצוע על מחשב אחר ,ללא עיכוב. הפעילות הזו של SYSPLEX Clustering נעשתה תוך הפרדה לוגית משותפת של LPAR במחשבים. לשימוש הזה ב ,LPARובמיוחד תוך Clusteringשל כמה מחשבים המחלקים ביניהם את כל הסביבות יש כמה חולשות בהגנת סביבת היצור ,ונתייחס כאן ל 2מהן: .1הפרדת המידע. .2גישה לסביבת שונות מאותו חשבון משתמש. המיינפריים מגן על הסביבה לאורך השנים, מחשב אחד מרכזי שאינו מוחלף מדי שנה חוסר השלכת פסולת תעשייתית ותורם לאיכות הסביבה. אבל השאלה שאנו רוצים להתייחס אליה היא -כיצד המיינפריים מגן על סביבת היצור? בשנת ,1990במקביל לפעילותה של IBM להגנת הסביבה ,הציעה IBMללקוחותיה לעשות שימוש משותף במשאבים הנפרדים של מחשבי המיינפריים שיש לכל לקוח. היא הכריזה על מוצר SYSPLEXאשר מאפשר לכמה מחשבי מיינפריים לפעול כיחידת אחת ,במסגרת של CLUSTERמשותף .ה SYSPLEXהינו פתרון המאפשר לשתף משאבים ,ולחלק עומסים בין מחשבים שונים, כך שאם לדוגמא אחד המחשבים מגיע למלוא התפוקה ,והוא נדרש לבצע משימות נוספות 26 גיליון | 2יוני | 2012 נציין כי ניתן בהחלט להפריד פיזית את מאגרי מידע -אם ניקח לדוגמא מחשב יצור ומחשב פיתוח נפרדים שלא אוחדו באמצעות ,SYSPLEXכאשר שלכל מחשב יש מאגר מידע פיזי ייעודי נפרד משלו. בכל מקרה ,ומכל סביבה אליה יבחר המשתמש להיכנס באמצעות האפליקציה ,המשתמש יכול (במגבלות ההרשאות והכלים הקיימים לרשותו) לגישת אל כל הדיסקים ולכל מאגרי המידע והקבצים שלא נחסמו בפני החשבון. בעיית הפרדת סביבות המידע. המיינפריים כידוע הינו שרת Data Center מרכזי בתצורת " ."All inclusiveככל שמדובר במיינפריים ,לא קיימות הפרדות של שרת ,Data Baseאו שרת ,Proxyואף לא שרת אפליקציות. המידע אליו ניגש שרת המיינפריים נמצא במארזי מידע Clustersבפני עצמם ,אשר מחולקים באופן לוגי-וירטואלי לכרכים של מידע .Volumesלכל VOLUMEיש שם וניתןלקבוע לו גודל ,ולנהל אליו הרשאות גישה ,וכן לקבוע מאפיינים מגבילים על קבצים שאפשר לשמור בתוכו -לדוגמא קבצי SYSTEM בלבד ,או קבצי מידע של ייצור ,או קבצי מידע של ניסוי. הגישה הפיזית אל המידע מכל סביבות ה LPARSשל המיינפריים הינה זהה ,כך שבאופן פיזי ומעשי יש גישה מסביבות היצור אל מידע לקראת אירוע הגנה אפקטיבית בעיית יכולת הגישה לסביבת שונות מאותו חשבון משתמש. המשתמש בהתאם להגדרות יכול להיכנס בו זמנית לכמה אפליקציות בסביבות שונות ,או להיכנס כל פעם לאפליקציה אחת בודדת מחשב מיינפריים בודד מאפשר וירטואליזציה של סביבות ,הקרויות LPAR (Logical )Partitionאשר מאפשרות ניהול סביבות מחשוב נפרדות שונות ,באותו מעבד ובאותו זיכרון ובאותו מחשב .ההפרדה הלוגית- וירטואלית הזו נחשבת עד היום למושלמת ומאובטחת. באופן טבעי ,צרכי המחשוב גדלים מיום ליום, וחברות מוצאות צורך הגדיל את כוח המחשוב, ולשדרג את המחשבים שברשותן ,כדי לעמוד בדרישות הייצור. הפרדת הסביבות הפיזיות על המידע הינה קשה למימוש. כאשר שרתי המיינפריים ,אחד או יותר, מחוברים זה אל זה באופן פיזי ו\או באמצעות ,SYSPLEXניתן לאפשר לעובד העושה שימוש בחשבון משתמש אחד ,לגשת ולהזדהות מול אפליקציות שונות בסביבת היצור ,הפיתוח והניסוי( .כגון אפליקציות VTAMשל Net- Pass, CICS PROD, CICS TEST, CICS ,DEVאו ROSCOEאו .)TSO ומה ביחס להגנת הסביבה של היצור במיינפריים? ואם זו איננה הפרדה מספקת של סביבות, הרי שחברות נוהגות להחזיק שרת מיינפריים פיזי נוסף לצורכי גיבוי והתאוששות ,כדי לבצע בו פיתוח וניסויים ,וכך גם להוריד עומסים ממחשב היצור. הבדיקות והפיתוח ,ויש גישה מסביבות הניסוי והפיתוח אל מידע הייצור ,אשר כולל את המידע החסוי ,הפרטי והסודי של התאגיד או המוסד המשתמש במיינפריים. ככלל ניתן לומר -כי גם אם המשתמש אינו יכול לבצע אפילו קריאה של המידע ,הרי שעצם קיום המידע בשמו המפורש גלוי בפניו .את רשימת הקבצים הקיימים ,המשתמש יכול לראות בכל מקרה ,וגם אם אין לו גישה לתוכן הקובץ ,ייתכן שיש לו גישה להעתקים ו\או גזירות של הקובץ, באמצעות יידע וכלים שונים העומדים לרשותו. הבעיה נעשית רגישה יותר כאשר מדובר במשתמש חוץ גופי ,אשר נהנה מהרשאות גישה למיינפריים. בעיות אלו של הפרדת סביבות מהוות מכשול ואתגר לא פשוט ,כאשר נדרשים לציית לדרישות המחוקק להגנה על מאגרי מידע ,להגנה על פרטיות ,ולהגנה על נכסי המידע הרגישים והיקרים של הארגון. לסיכום: נושא ההגנה על סביבת היצור בשרתי מיינפריים הינו אתגר משמעותי ,מורכב ובעייתי. מפני תקיפות סייבר מתוחכמות שיחה עם דני אברמוביץ ,נשיא האיגוד הישראלי לאבטחת מידע ()ISSA מהן הנקודות העיקריות בהם יעסוק הכנס השנתי של האיגוד? עיקר ההרצאות יעסקו בהתקפות סייבר מתוחכמות המאיימות על ארגונים ברחבי העולם, ונציג כמובן גם את שיטות ההגנה האפקטיביות שארגונים יכולים ליישם בכדי להתמודד עם התקפות אלה .התוקפים הנדונים אינם תוקפים אופורטוניסטיים ,אלא תוקפים המכוונים לארגון ספציפי ופועלים בשיטתיות להשגת מטרותיהם. במהלך הכנס ,נציג ניתוח של התקיפות שאירוע לאחרונה ונמליץ על דרכי התמודדות. בחזית הבטחונית ובחזית התשתיות הלאומיות ישנם גופים הפועלים במרץ ליצור הגנה אפקטיבית ובראשם צה"ל והרשות הממלכתית לאבטחת מידע .עם זאת ,במגזר העסקי יש פער גדול בנושא אבטחת הסייבר ,הן בגלל המורכבות, המגוון והשוני של החברות במשק ,הן בגלל היעדר הידע ,כלים וסטנדרטים אחידים שיכולים להנחות חברה בתהליך אבטחת הסייבר ובעיקר עקב הפער במודעות לעוצמת האיום. על כן ,תהליך ההיערכות מול מתקפות סייבר צריך לכלול ניתוח של הסיכונים לחברה ,תכנון ויישום ארכיטקטורה נכונה ,הטמעת מנגנוני הגנה ובקרה ומעקב רציף אחר הפעילות .מנגנון מרכזי בכל היערכות הוא ניהול אפקטיבי של מערך אבטחת המידע הקיים בארגון. האם הארגונים מבינים מה עליהם לעשות, וכיצד להיערך לקראת מתקפות סייבר? האם לדעתך מדינת ישראל ערוכה לקראת מלחמת סייבר? השאלה קצת כללית מדי ,וצריכים לעשות הפרדה בין מוכנות ברמה מדינית (תשתיות קריטיות) ומוכנות של המגזר הפרטי-עסקי .מלחמת סייבר היא אך מצב אחד מבין מגוון רחב של רמות העימות עימם מתמודדת וצפויה להתמודד מדינת ישראל ,כאשר מלחמה היא עימות בעצימות הגבוהה ביותר .המצב הצפוי יותר ,וזה המתרחש כבר כיום ,הוא זה של רצף התקפות ברמות התחכום השונות ,המנסות לפגוע במגוון מוקדים ישראליים = ביטחוניים ,כלכליים ,תדמיתיים ועוד. ההגנה במרחב הסייבר היא אחד האתגרים המורכבים העומדים בפני מדינת ישראל ,כאשר התמודדות זו מתרחשת במספר חזיתות ,ביניהן החזית הביטחונית ,חזית התשתיות הלאומיות הקריטיות וחזית המגזר העסקי. הפיזי ,כך שכיום ניתן ,לדוגמה ,לפגוע בפס הייצור של מפעל באמצעות תקיפת סייבר מול מערכות השליטה ובקרה שלו. כיצד על המגזר העסקי להיערך לקראת מתקפת סייבר? בכדי להיערך אל מול התקפות סייבר ,המנהלים במגזר העסקי צריכים ראשית כל להבין את רמת האיום הניצב מולם .כיום ,תשתיות המידע מהוות מרכיב קריטי בפעילותה של כל חברה ,על כן פגיעה בזמינותן ,אמינותן או סודיות המידע המצוי בהן עלולה לשבש באופן מהותי פעילות זו .יתר על כן ,בשנים האחרונות אנו עדים ליותר ויותר מתקפות היוצאות מעולם הסייבר אל העולם חברות רבות עושות את הטעות הקלאסית של התייחסות להתקפות מתמשכות ומתקדמות ( )APTכאל תקרית חד-פעמית ,הכוללת ניצול פרצה והדבקה בסוס טרויאני או תולעת, שלאחריה מבצעת החברה תהליך ניקוי והחזרת המצב לקדמותו .בעשותן כך ,הן מתעלמות מהעובדה שהתקפות APTהיום הינן סדרה של מאמצים משולבים שמטרתם לייצר דריסת רגל במערכות הארגוניות למטרות טרור ,פשע ,ריגול תעשייתי ועוד. החברות חייבות להבין כי התקפות APTמתרחשות לכל אורך "מחזור החיים" של ההדבקה ולכן יש למגר אותם עוד בשלב ה - exploit-לפני שהתוקף הצליח ליצור "חור" בחומת ההגנה הארגונית ולהקים לעצמו ערוץ תקשורת חשאי עם הסודות הכי כמוסים שלכם... אנו מזמינים אתכם להגיע לכנס ,ולהעשיר את הידע במגוון נושאים מקצועיים הקשורים לעולם הסייבר ודרכי התמודדות. | גיליון | 2יוני 2012 27 10 3 עשרת הדיברות ()Business Owners להכנת תוכנית לביצוע מבדקי חוסן עבור הארגון שלכם מטרת ביצוע מבדק חוסן ,היא לא לסרוק את הרשת ,ולמצוא חורי אבטחה ,אלא לבחון את האפקטיביות של הבקרות הקיימות (שהוטמעו) וגם לתת מענה לדרישות עסקיות שונות (כגון רגולציות). אז למה בעצם אנו צריכים לבצע מבדקי חוסן? והאם זה חובה? או צורך עסקי? ואם כן ,של מי הצורך? של מנהל אבטחת המידע בארגון, ו\או של הנהלת הארגון? בין אם אנו מבצעים את המבדק בעצמנו (ע"י מומחים מתוך הארגון) ובין אם אנחנו מבצעים את המבדק ע"י מומחים חיצוניים (חברות ייעוץ) ,האם המטרה העיקרית היא לעמוד בדרישות רגולציה שונות, שמחייבות אותנו בביצוע הבדיקות, או האם אנחנו מחפשים לייעל את רמת האבטחה שלנו ,ע"י בדיקת האפקטיביות של הבקרות הקיימות, וכמובן ,שיפורן? ערכנו מחקר קצר מבין חלק מחברות הייעוץ המתמחות בארץ, במטרה לבנות את המדריך האולטימטיבי לביצוע מבדקי חוסן עבור הארגון ,כך שנוכל להפיק תועלת מבחינת אורך זמן הבדיקה, עלויות ,וכמובן משאבים נוספים. כמובן ,שלא היה שום מחנה משוף בין התשובות שקיבלנו ,אבל החלטנו לבנות לכם מדריך אובייקטיבי ,אשר יענה לדרישות של כל ארגון ,באשר הוא. 28 היפים הבאים ,מטרתם היא לסייע לכם להבין היטב את המטרות ואת היעדים של המבדק ,לפתח אסטרטגיה נכונה ויעילה ,לעשות שימוש נכון במשאב האנושי בתוך הארגון ,וכמובן ,האחרון ,אבל לא פחות חשוב :להיעזר בממצאים של הדוחות על מנת לייעל ,ולשפר באופן תמידי את רמת אבטחת המידע בארגון. גיליון | 2יוני | 2012 1 הגדרת מטרות (עסקיות) כעקרון ,כל פעילות שמתבצעת בארגון בנושא אבטחת מידע ,מטרתה היא להגן על נכסי הארגון .כאשר ,אתם הולכים לבצע מבדק חוסן ,אתם בעצם מנסים להיכנס לנעליו של התוקף (האקר) ,ומנסים למצוא את כל חורי האבטחה (פגיעויות) בארגון ,ולנצל אותם (תקיפה), במטרה להגדיר את רמת הסיכון של אותם נכסים העלולים להשפיע על הארגון באם ייפגעו ,ולבסוף, למסור דו"ח המלצות לתיקון ושיפור רמת האבטחה בהתאם לממצאים .חשוב להבין ,שמטרתם העיקרית של התקוף (האקר) היא לגנוב מידע -השיטות בהן הם עושים שימוש ,זה רק אמצעים. ולכן ,גם המטרה של ביצוע מבדקי חוסן ,זה לא לבחור את הכלים המגניבים ביותר לביצוע התקיפה ,אלא למצוא את אותן הנקודות בהן הארגון פגיע ,וניתן לתקוף אותו ,הן מבחוץ ,והן מבפנים. ולכן ,ישנה חשיבות רבה ,בהגדרת מטרות הבדיקה, ואת התחולה .לא די בלהגיד שמצאת שרת עם פורט 80פתוח ,ושתקפתם או שאפשר לתקוף את השרת... אך ,חשוב להבין ,מה זה אומר מבחינת העסק? מה ההשלכות על הארגון ,כתוצאה מתקיפת השרת הזה? מטרת המבדק חוסן היא גדולה ורחבה יותר מאשר לסרוק את הרשת אחר פגיעויות (Vulnerability ,)Assessmentאלא זהו רק תהליך אחד קטן ,מתוך תוכנית פעולה רחבה יותר. מבדק חוסן הינו אחד הכלים החשובים ביותר, בממשל אבטחת מידע ,והוא בעצם מאפשר לנו, לבחון את מדיניות אבטחת המידע שהארגון קבע לעצמו ,ואת האפקטיביות של הבקרות והטכנולוגיות הקיימות בארגון .הארגון שלכם משקיע לא מעט כסף במוצרים ופתרונות אבטחת מידע ,בתהליכי עבודה (התקנת טלאים והקשחות לתחנות ושרתים) ,וכדומה, והנהלת הארגון ,צריכה לדעת שזה באמת עובד ,ולא נזרק כסף לשווא. אחת המטרות של המבדק חוסן ,היא בעצם לדמות את התנהגותו של התקוף ,ולנסות לעקוף או "לנטרל" את הבקרות הקיימות בארגון .זה בעצם מציג לארגון תמונת מצב מבחינת עלות-תועלת של הבקרות שנרכשו ,האם הן יעילות. ולכן ,המטרה העיקרית היא לא רק לעמוד ברגולציות שמחייבות זאת ,כגון ,PCIאלא גם לבחון את רמת האבטחה הקיימת של הארגון ,ולנקוט בכל האמצעים שנדרשים על מנת לשפר אותה. חשוב לדבר עם בעלי המערכת 2 להלן עשרת הדיברות תמקד את המטרה של הבדיקה רוב הארגונים בארץ ובעולם סובלים מבעיות תקציב ומשאבים לביצוע מבדקי חוסן ,וזה לא משנה באם המבדקים נעשים ע"י עובדים מתוך הארגון ,או חברות ייעוץ חיצוניות .אי אפשר להתפזר ,ולנסות לבצע מבדקי חוסן על כל הארגון (מדובר על ארגוני ,)Enterpriseאלא חשוב למקד את המטרה ,בנקודות הקריטיות בארגון .כאן ,אולי יש מקום לבצע על כל הארגון ,תהליך של סקירת פגיעויות ( ,)Vulnerability Assessmentשגם תהליך זה גוזל לא מעט משאבים במונחים של כסף ,זמן וכח אדם. וגם לא מומלץ לתת להאקר להסתובב לכם חופשי, בכל הרשת .תמיד עדיף למדר אותו ,לתחולה מצומצמת ,לאזורים שיותר רגישים ,ולכן הבדיקה תהיה יותר יעילה מבחינת עלות-תועלת .אז לפני שמגדירים את התחולה של הפרויקט ,עליכם לקחת צעד אחורה ,ולשאול את עצמכם :על מה אני מנסה להגן? איזה נכסי מידע קריטיים יש לנו בתוך הארגון? האם זה כרטיסי אשראי ,סודות מסחריים, מידע רגיש מבחינת צנעת הפרט וכדומה? איפה נמצאים כל נכסי המידע הקריטיים שמיפינו? האם בכלל אתם מודעים לכל נכסי המידע הקריטיים שיש לכם בארון? אולי אתם לא יודעים ,אבל ישנו סיכוי ,שהתוקף ,ברגע שיצליח לחדור לארגון ,ימצא אותם. ולכן ,השלב העיקרי בתכנון מבדק חוסן ,הוא לצמצם את הטווח של הבדיקה ,ולמקד אותו רק לאותה תחולה שהיא רגישה מבחינת החברה. המטרה שלנו היא למפות איזה מידע\נכסים קריטיים יש לנו בתוך הארגון ,והיכן הם נמצאים. לאחר מכן ,זהו תפקידו של התוקף (האקר) לנסות ולהבין כיצד הוא יכול לתקוף את הארגון ולגנוב את המידע. ושוב ,חשוב לציין ,שהמטרה של לדמות תוקף מבחוץ ,צריכה להיות גם כן ממוקדת ,ותפקידו של התוקף היא לא למצוא את כל בעיות האבטחה האפשרויות של הארגון (לפחות לא בתוך מבדק אחד) ,אלא להתמקד באותה תחולה שהוגדרה ע"י החברה (הלקוח). האנשים שמכירים הכי טוב את מהות העסקת בארגון ,הם יהיו גם אלו שיתנו לך מענה הולם לשאלות שקשורות למיפוי נכסי המידע בארגון, מהי רמת הסיווג והקריטיות של נכס ,איפה הנכסים נמצאים ,מי עושה או אמור לעשות בהם שימוש ,ואיזה ממשקים יש לתוך או מחוץ למערכות הללו .הם יהיו האנשים הנכונים אשר יידעו לומר לך בדיוק אילו מערכות הן קריטיות עבור הארגון ,ואיפה המידע הרגיש נמצא. חשוב להתייחס למצב האמיתי ,שבו למשל, לתוקף חיצוני ,אין מידע כלל או מידע מוגבל על הארגון ,למשל ,רק כתובת IPחיצונית של הארגון .התוקפים יכולים להיות עובדים לשעבר של הארגון ,או לעבוד עבור שותפים או ספקי שירות כך שיהיה להם מידע פנימי רב אודות מבנה הארגון בכלל ,ומבנה הרשת בפרט .התוקפים יכולים להיות עובדים מתוך הארגון ,למשל ,מנהל רשת או מנהל בסיסי נתונים ( )DBAעם הרשאות גבוהות למערכות הקריטיות של הארגון ,ולכן הוא גם יודע בוודאות היכן נמצא המידע הקריטי. ע"י תשאול בעל המערכת ,אתה יכול ללמוד הרבה מאוד על רמת הסיכון שקשורה למערכת ספציפית ,מה הערך של אותה מערכת ,ומה הם הנכסים הקריטיים שמושפעים מאותו סיכון. ולכן חשוב ,למפות מספר פרופילים של תוקפים ,ולאחר מכן לנסות לקחת בחשבון, מספר פרמטרים נוספים כגון :מניע ,יכולות, נגישות ,הזדמנויות וכדומה. עליך להגדיר את התחולה שכוללת את כל הנכסים הקריטיים והתהליכים העסקיים החשובים בארגון .ניתן לעשות סיור מוחות עם צוותי עבודה שכוללים בין היתר את הנהלת הארגון ומומחים לביצוע מבדקי חוסן. מניע -המניע הינו אחד הפרמטרים החשובים ביותר שמצריך התייחסות ,בעת בניית פרופיל תוקף. במהלך הסיור מוחות ,חשוב להגדיר כמה שיותר תרחישי אסון ,ואף ללכת על המקרה הכי גרוע .תשאלו את הנהלת הארגון מה המקרה הכי גרוע שיכול לקרות כתוצאה מתקיפת מערכת מסוימת? מטרת הסיור מוחות כאן היא לאתר את המערכות הקריטיות ביותר בארגון, ולהתמקד עליהן. 4 •האם התוקף מעוניין לגנוב סודות מסחריים ,זכויות יוצרים ,או פטנטים עבור המתחרים? •האם המניע של התוקף היא דווקא פוליטית ,או אידיאולוגית ,וכל מטרתו היא לגרום נזק תדמיתי או לפגיעה בחברה, ולא משנה מה המחיר לכך? •האם התוקף הינו עובד פנימי ממורמר או עובד לשעבר ,שפוטר? התאימו את סוג הבדיקות לפי רמת הסיכון בעצם ,מה שיקבע את סוג וגודל הבדיקה ,זה הערך של הנכס ורמת הסיכון שקיימת על אותו הכנס .לנכסים עליהם יש רמת סיכון נמוכה ניתן לבצע סקרי פגיועיות (Vulnerability )Assessmentשזו יכולה להיות בדיקה מקיפה וכדאית מבחינת עלות-תועלת .נכסים עליהם יש רמת סיכון בינונית -מחייבים כבר התייחסות מעמיקה יותר ,ולכן ,כאן יתאים שילוב של סקרי פגיעויות יחד עם חקר פגיעויות ידנית והתייחסות לכל ממצא .וכמובן ,עבור נכסים עליהם יש רמת סיכון גבוהה ,תאלצו לבצע מבדקי חוסן מלאים. 5 •האם התוקף מעוניין בגניבת כרטיסי אשראי ו\או מידע רגיש אחר שיוכל למכור אותו ברשת ,ולהפוך את זה לתזרים מזומנים? יש צורך לפתח פרופילים לפי סוגי תוקפים שונים המומחים אשר יבצעו את מבדקי החוסן ,יצטרכו לדמות את ההאקרים ,ולכן יצטרכו לחשוב כמו האקרים ,ולפעול כמו האקרים .הבעיה היא שהאקרים זאת קטגוריה רחבה מדי ,וישנם יותר מדי סוגים של האקרים ,ולכן יש צורך בבניית פרופילים לתוקף ,מבחינת יכולות ,נגישות, כלים ,והזדמנויות תקיפה. זה מאוד חשוב להבין מה מניע את התוקף ,על מנת לדעת כיצד להיערך מפני תקיפות אלו. המניע הינו פרמטר חשוב ,והוא משפיע גם על שאר הפרמטרים האחרים. ניתן לעבוד בבניית פרופילים עם בעל המערכות בארגון ,כדי ללמוד מהם ,היכן ניתן לתקוף את המערכות ,ומי הם התוקפים הפוטנציאלים שיכולים לתקוף? וכיצד הם עלולים לתקוף את המערכות? פיתוח פרופילים לתוקפים ,יכול לסייע לארגון, בקביעת תחולה למבדק חוסן ,ומיקוד באותן מערכות ותהליכים עסקיים שהם קריטיים לארגון ,ושם תוקף יהיה מעוניין לפגוע. ההמלצה היא לבצע תרחיש בהתאם לסוגי התוקפים ,ואז לבצע את המבדק חוסן ,ולא לערבב בין הממצאים .לכל פרופיל ,צריכים לבצע מבדק ,לעבור על הממצאים ,ורק אז, לבצע שוב מבדק נוסף. 6 איסוף מידע הינו שלב קריטי במערכה תהליך איסוף נתונים הינו חלק אינטגראלי בתוך מבדק חוסן ,בדיוק באותה מידה כמו הניצול פגיעות ,כלומר ,התקיפה בפועל .בשלב של איסוף הנתונים ,אנו מזהים את ההתקנים שקיימים ברשת הארגון ,את סוגי מערכות ההפעלה השונות ,סוגי בסיסי נתונים ועוד .ככל שהתוקף יודע יותר נתונים על הרשת שלכם, ככה תהליך התקיפה יהיה קל ומוצלח יותר. בתהליך איסוף הנתונים ,כל שלב יכול להוביל לתקיפה של ממש ,ולספק לתוקף מידע חיוני אודות הנכסים הקיימים בארגון ,מבנה טופולוגי של רשת הארגון ,ועוד .מידע זה יכול לסייע לתוקף במיקוד על המערכות הקיימות בארגון בלבד ,ולא להתפזר .כמו כן ,מידע זה שימוש לתוקף מבחינת מציאת פגיעויות ( )vulnerabilitiesלמערכות שקיימות בארגון. שלב איסוף הנתונים ( )Reconnaisanceמתבצע בדרך כלל על ידי שימוש בכלים אוטומטיים אשר סורקים את הרשת של הארגון ,אבל בהחלט ניתן לעשות שימוש בכלים נוספים ,כגון "הינדוס אנושי ( .)Social Engineeringשיטה זו הוכחה להיות מאוד יעילה באיסוף מידע חיוני, ולעתים זו גם הדרך היחידה להשיג מידע זה. בעת שימוש בהינדוס אנושי ,התוקף מנסה לאסוף כמה שיותר מידע ,שיכול להיות לו לעזר בשלב מאוחר יותר ,של בניית תסריטי התקיפה. מבדק חוסן יסודי ,הינו מורכב משלב האיסוף נתונים ,סריקת פגיעויות ,ולבסוף ,ניצול פגיעויות ותקיפה בפועל ,כאשר כל שלב בעצם ,מקדם אותנו לקראת המטרה הסופית ,והיא להגיע לנכסים הקריטיים של הארגון ,ולגנוב אותם .הדרך לשם (התקיפה) פחות חשובה עבור הארגון. 7 חשוב לקחת בחשבון את כל סוגי ההתקפות (וקטורים תקיפה) התוקף ,יכול וינצל סוגים שונים של פגיעויות, הקיימות בתוך הארגון ,הן ברמת התשתית, ברמת האבטחה הפיזית ,ברמת האפליקציות והבסיסי נתונים וכדומה. המבדק חוסן מונע מהמטרה עצמה ,כאשר היעד הוא להשיג את המידע ,ולכן ,מה ואיך תוקפים ,פחות חשוב .מה שכן חשוב ,זה לדעת מהן הדרכים בהן יכולים לתקוף אותנו ,ולנקוט באמצעים נאותים למזער את הסיכון בכך .אם נדע בבוא מועד ,מהן הדרכים בהם התוקף עלול לתקוף אותנו ,נוכל לשים בקרות מונעות, ובקרות מגלות ,ולנסות למנוע או לאתר את ניסיונות התקיפה. התוקף אינו מכריז על סוג הבדיקה ,ומהי הדרך הנכונה לבצע את התקיפה ,אלא ,הוא ינסה למצוא כל דרך אפשרית ,ולנצל כל פגיעות | גיליון | 2יוני 2012 29 10 אפשרית ,על מנת להשיג את מבוקשו. ולכן ,התוקף יעשה שימוש בוקטורים רבים לצורך ביצוע התקיפה ,עד שימצא את מה שהוא מחפש .הוא ינסה ראשית להיכנס לרשת ,דרך המקומות הכי פחות צפויים ,כגון :אבטחה פיזית, מדפסות רשת ,שעוני נוכחות ,חדרי ישיבות, ולאחר שהשיג גישה כלשהי ,ינסה לעלות רמה, הן מבחינת הגישה לרשת ,והן מבחינת הרשאות הגישה למערכות. לעתים ,בעת ניסיונות תקיפה לאתרי ,WEB מתקבלות הודעות שגיאה ,שמצביעות על נכסים אחרים ברשת הארגון שניתן לתקוף. ולכן ,התוקף אינו תוקף ישירות את המערכת אותה הוא מחפש ,אלא מנסה להגיע לאיה בכל דרך אפשרית .כאשר מדובר על המצב האמיתי, הכל כשר. ולכן ,חשוב לא להתמקד רק בווקטור תקיפה אחד ,אלא לנסות הכל ,עד שמצליחים. למשל :בעת ביצוע תקיפה לאתר ,WEBבמטרה להגיע לבסיס הנתונים ,שבו היה מידע רגיש ,לא היה ניתן להשתלט על השרת ,ולכן ,אם התחולה היה רק להתמקד בווקטור תקיפה אחד בלבד, על האתר ,WEBכאן בעצם הבדיקה הסתיימה, בכשלון .אבל זה לא אומר שזה מה שהתוקף יעשה .ולכן ,נקטנו באמצעים נוספים ,וסרקנו את התשתית ,ומתוך הודעות השגיאה שהתקבלו, (כתוקפים) קיבלנו מידע חיוני אודות שרת אחר ברשת ה ,DMZ-שהיו לו מספר פגיעויות, וגם היה מחובר בעזרת מערכת נוספת לאותו שרת שרצינו לתקוף בהתחלה ,ולכן ,הצלחנו לחדור לבסיס הנתונים ,דרך שרת אחר לגמרי. וזה מה שחשוב לנו לבחון ,בתור מנהלי אבטחת המידע בארגון :האם ישנן מספיק בקרות או האם הבקרות הקיימות הן נאותות ,ויכולות למנוע מהתוקף "לדלג" ממערכת בעלת רמת סיכון נמוכה (שהיא פחות מאובטחת) למערכת קריטית יותר ,בעל רמת סיכון גבוהה יותר? 8 חובה להגדיר את "נהלי תקיפה" את האפקטיביות של הבקרות הקיימות בארגון, אלא גם המוכנות של צוותי הטיפול ותגובה לאירועים ,וכיצד הם מנהלים את האירוע. לרוב ,הארגונים מבצעים תחילה מבדק בשיטת ה White Box-שהוא יותר כדאי מבחינת עלות- תועלת ,כאשר לוקחים בחשבון משאבים כגון, עלויות ,כח אדם ,וזמן .מבדק זה יכול להציג תמונת מצב מהירה יחסית של האזורים בהם הארגון פגיע ,וניתן לתקוף אותו .לאחר שטיפלנו בכל הממצאים ,רצוי לבצע מבדק מסוג Black Boxעל מנת לבחון האם הצלחנו לסגור את כל הפרצות ולאבטחת את הארגון בצורה נאותה. מבדק זה ,כפי שהזכרנו קודם לכן ,בוחן לא רק את הבקרות אלא גם את הכישורים של צוות אבטחת מידע בתגובה וניהול האירוע. בעת הסדרת נהלי התקיפה ע"י חברה חיצונית, אחד הדברים שצריכים לקחת בחשבון ,זה האם מותר ליועצים החיצוניים להתקין תוכנה בתוך רשת הארגון ,על מנת לנסות לייעל את המבדק, על אילו מערכות ניתן להתקין כלים ,ומה בדיוק מותר לבצע כחלק מהמבדק?! האם ניתן לנצל פגיעות על שרת בסביבת הייצור? האם ניתן להפיל ציוד קצה או תקשורת? האם ניתן לגנוב מידע ,ולהוציא אותו החוצה מהארגון? כמו כן ,ניתן גם להחליט אילו כלים ושיטות נרצה לאפשר להם להפעיל כחלק מהמבדק ,כגון: כלים להתקפות ,DOSהינדוס אנושי ,פיצוח סיסמאות במערכות קריטיות וכדומה. כמו כן ,מומלץ ליידע את הנהלת הארגון ,בסופו של כל יום ,או בפרק זמן מוגדר מראש ,אודות הממצאים ,והתקדמות של המבדק ,במיוחד באם נמצאו ממצאים קריטיים שחושפים את הארגון לתקיפה אמיתית .לא צריכים לחכות עד לסוף המבדק ,בעת הגשת הדו"ח ,על מנת להתריע על אזורים רגישים בהם הארגון חשוף מאוד ,מכיוון שיתכן שבפרק הזמן הזה ,מישהו באמת יתקוף את הארגון .אם כבר בתחילת המבדקים ,עלינו על ממצאים קריטיים ,חובה לדווח במיידית להנהלת הארגון. 9 שלב הדו"חות ויישום תהליך של מדידה .1דו"ח הנהלה -עם תקציר קצר אודות הבדיקה ,והממצאים ,בסדר של עדיפות עפ"י רמת החומרה. .2דוח מפורט מאוד -שיכיל את כל הממצאים שעלו מהמבדק ,עם פירוט מלא של הפגיעויות ,כיצד התוקף הצליח לנצל פגיעויות אלו ,מהי רמת הסיכון כתוצאה מכך ,והכי חשוב, מהן ההמלצות לטיפול ברמות הסיכון. חשוב לזכור כי מבדקי חוסן אינם פעולות שמבצעים אותם פעם אחת וזהו ,אלא זהו תהליך מחזורי ,שצריך לבצע אותו תקופתית, על מנת לעלות על בעיות חדשות\ישנות שלא עלו מהמבדקים הקודמים .חשוב להשוות את הדוח"ות והממצאים מהדוחות הקודים ,ולראות, האם הצלחנו לשפר ,הן את הבקרות והן את היכולת של הכח אדם במחלקת ה ,IT-להגיב בצורה מהירה ויעילה לאירועי האבטחה. תהליך הפקת לקחים ,ומדידה לצורך שיפור מתמיד ,הינו חלק אינטגראלי מתפקידו של מנהל אבטחת המידע בארגון. 10 צריכים להגדיר ממי תרצו לקבל שירותי מבדק חוסן ההחלטה האם להיעזר במבדקים פנימיים או בחברות חיצוניות ,תלויה במספר גורמים ,כגון: דרישות רגולטוריות (הדורשות לרוב מבדק אובייקטיבי) ,גודל ומבנה החברה ,כישורים טכנולוגיים ,תקציב (לרכישת כלים) ,הערך של המידע\מערכות\נכסים בארגון (האם תהיה מוכן לחשוף אותם לחברות חיצוניות) ועוד. חברות גדולות ,לרוב ,מחזיקות צוות בדיקות חוסן פנימי ,שמטרתו לבצע בדרך קבע, מבדקים פנימיים תקופתיים או בכל פעם שיש שינוי מהותי בארגון ,שעלול להשפיע על הערכת הסיכונים. השימוש בחברות חיצוניות ,טומן בחלקו יתרונות רבים כגון ראייה אובייקטיבית ,התמחות במגוון כלים ושיטות תקיפה ,זמינות ועוד. חשוב להבין ,שמבדקי חוסן ,אומנם מטרתם לדמות את פעולת התוקף ,אבל זוהי לא תקיפה של ממש על הארגון .בין אם אתם עורכים את המבדקים עם אנשים מתוך הארגון ,ובין אם אתם נעזרים בחברות ייעוץ חיצוניות ,חשוב מאוד להגדיר מהם הגבולות גזרה לכל מבדק, ומה מותר ומה אסור לעשות .הרי לא נרצה, שבמהלך מבדק חוסן לרשת הארגון ,אנחנו נגרום נזקים .כמו כן ,חשוב לבדוק גם מתי ניתן לבצע את המבדקים ,איפה (או יותר נכון על אילו מערכות) ,ולא פחות חשוב ,מי צריך להיות מודע למבדקים -וזה תלוי בסוג המבדק עצמו (Black Boxאו .)White Box אחת המטרות העיקריות של ביצוע מבדקי חוסן, היא לשפר משמעותית את רמת האבטחה בארגון, ולכן ,בין אם אתם עורכים מבדקים פנימיים או חיצוניים ,הדוח"ות זהו חלק חשוב מתהליך המבדק והפקת הלקחים. מה שחשוב לבדוק לפני שבוחרים חברה לביצוע מבדקי חוסן ,זה את הכישורים השונים של הצוות תקיפה שלה ,מבחני אמינות ,המלצות של לקוחות שלהם ,דוח"ות לדוגמה. חשוב להבין שהמטרה היא לשפר את רמת האבטחה ,אבל לצורך כך ,יש צורך בהתערבות הנהלת הארגון.הנהלת הארגון צריכה לקבל החלטות כדי לשפר את התהליכים העסקיים ,ולסייע ולתמוך בצוות התפעול לשפר את רמת האבטחה. מדובר באומנות ,ולא כל אחד מסוגל לבצע מבדקי חוסן ברמה גבוהה .לרוב ,התוצאות הטובות ביותר ,זה כאשר צוות עבודה אשר מורכב מכמה מומחים בתחומים שונים, מתאחדים יחדיו ,לביצוע מבדק חוסן כללי ,על הארגון. ביצוע מבדק בשיטת ה Black Box-בוחן לא רק לאחר כל מבדק ,יש להכין 2דוח"ות: 30 גיליון | 2יוני | 2012 (לצורך שיפור מתמיד) סקירהטכנולוגית Varonis DatAdvantage פתרון כולל לשליטה ובקרה על המידע האתגר המידע הארגוני מהווה נדבך חשוב ומרכזי בכל עסק .משימת ניהול המידע דורשת מהארגון להתמודד עם השאלות :למי יש הרשאות למידע? מי ניגש למידע? ולמי צריכה להיות גישה? למרבה ההפתעה, מענה מהיר ויעיל לשאלות פשוטות אלו כמעט ובלתי אפשרי כיום. מדוע? מכיוון שאנשי ה ,IT-מנהלי שרתי האחסון, מנהלי ה ,AD-אנשי התמיכה הטכנית וכל הגורמים שאחראים על המידע בארגון, מבצעים את עבודתם מבלי לראות תמונה ברורה של ההרשאות למידע וללא יכולת לקבוע למי צריך להיות גישה בפועל למידע .תהליך הגדרת ההרשאות למידע הינו תהליך ידני והאנשים שאחראים עליו לא יכולים להעריך את חשיבות המידע ואם אופן השימוש הנכון בו .בנוסף לכך ,תפקידים בארגון ומידע המאוחסן בשרתים משתנים במהירות רבה ,מה שהופך את משימת שמירת ההרשאות במצב אופטימאלי לבלתי אפשרית. לפיכך ,ניהול ההרשאות בארגונים כיום מציב מידע קריטי בסיכון והופך את משימת ניהול הגישה למידע ליקרה ולא אפקטיבית. הפתרון: DatAdvantageמאחד את פרטי המשתמשים עם מבנה מערכת הקבצים ומבצע רישום מפורט על אירועי גישה של כלל הפעולות .אנליזה מורכבת ומתקדמת משכללת את השימוש במידע שנאסף ומציגה המלצות להרשאות נכונות על פי צרכי הארגון DatAdvantage .מספקת את היכולות הבאות: •תמונה ברורה של משתמשים ,ספריות וקשר ההרשאות ביניהם •המלצות לשיפור הרשאות במערכת הקבצים •בקרה ואמצעי תחקור על פעולות המשתמשים במידע ()Audit •סימולציה של שינוי הרשאות ובחינתם מול גישה בפועל •מנגנוני התראה על שימוש חריג •זיהוי והשמת אחראים למידע (Data )Owners •תצוגה מיידית של הרשאות: באמצעות DatAdavantageניתן לראות את כלל המשתמשים ,השייכות שלהם לקבוצות מול כלל הספריות בשרתי הקבצים .מעכשיו ,בלחיצת כפתור ,ניתן לראות בדיוק למי יש הרשאה לספריה מסוימת ,איזה סוג הרשאה (קריאה, כתיבה וכו') ומקורה (.)Inheritance למי צריכה להיות גישה? תוכנת DatAdvantageמספקת אמצעים לצמצום הרשאות עודפות ומניעת חשיפה מיותרת למידע .בהתבסס על ניתוח מודל השימושDatAdvantage . מספקת המלצות לאילו משתמשים יש גישה לגיטימית למידע ולמי יש הרשאות עודפות שכדאי לצמצם. ה IT-בארגון יכול לאמת את ההמלצות של DatAdvantageבעזרת בדיקה וירטואלית של השלכות שינוי ההרשאות מבלי לבצע אותם בפועל .את השינויים הנדרשים ניתן ליישם בקלות ישירות מהמערכת. יתרונות ויכולות שקיפות הרשאות ארגונית ()Visibility קפיצת מדרגה באבטחת המידע •תצוגה במסך אחד של קשרי הגומלים בין המשתמשים ,קבוצות וספריות שכוללות את מבנה ההרשאותומקורן. מנגנון קביעת הרשאות מותאם לקוח מערכת פיקוח אוטומטית על גישה •המלצות מדויקות לצמצום הרשאות עודפות על בסיס מודל השימוש וצרכי הארגון בקרה ותיעוד מפורט של השימוש במידע: DatAdvantageמציג במדויק את הגישה למידע עד לרמת הקובץ ומאפשר למנהלי המערכות לקבל פרטים על תדירות ,זמן וסוג הגישה (פתיחה ,מחיקה ,יצירה וכו'). מערכת דוחות מפורטת מכסה את כלל ההיבטים של שימוש במידע עבור תאריך מסוים או תקופה (פעילות המשתמשים, גישה לספריות קריטיות ,שינוי הרשאות וכו') .בעלי תפקידים ,אחראים ומנהלים יכולים לקבל דוחות בדואר אלקטרוני על פי לוח זמנים המותאם אישית. לפרטים נוספים ניתן לפנות ל :אריק אסייג זיהוי בעלי המידע ()Data Owners תפקוד מהיר ויעיל של מחלקת הIT- •זיהוי של בעלי המידע על כל ספריה נתונה במערכת הקבצים תיעוד השימוש במידע אמצעי תחקור ותיעוד מפורט •פרטי השימוש מוצגים בברור ובתמצתיות •המערכת מאפשרת הפקת דוחות עבור כל פרק זמן נתון •דוחות אלו נשלחים לפי לוחות הזמנים שהוגדרו 052-4336793 aassayag@ varonis. com | גיליון | 2יוני 2012 31 תקן אבטחת מידע ISO27001 הפתרון של היום לבעיות של מחר תקן זה מתווה שיטה להקמה ,ניהול ותחזוקה שוטפת של הבקרות הנדרשות לשם קיום תהליך אבטחת המידע בארגון .התקן מספק ראייה כלל ארגונית לשם ניהול מושכל של סיכוני אבטחת המידע על מכלל היבטיו :היבטים טכניים ,היבטים ארגוניים והיבטים פיזיים .תקן אבטחת מידה זה עוסק במגוון נושאים המהווים יחד בסיס למערך אבטחת המידע של הארגון. העיקרון המשמש בסיס לתהליך הנלווה ליישום התקן הוא אבטחה אופטימאלית של המידע בארגון .כדי להקל על יישום אבטחת המידע, ולהפוך אותו לתהליך מובנה ומותכן ,מתווה התקן כללים ברורים ,תוך מתן הנחיות מפורטות כיצד ליישם כללים אלה. התקן בא לידי ביטוי באמצעות הקמה של תשתית אבטחת מידע ארגונית ,המוכרת בשם מערכת לניהול אבטחת מידע (מנא"מ) ,אשר מעניקה תמיכה למכלול התהליכים הקשורים באבטחת המידע בארגון .תשתית זו מתבססת על נהלי אבטחת מידע הנובעים מהתקן ומכסים את כל היבטי האבטחה הרלוונטיים .בכפיפות לנהלי התקן יש ליישם אמצעי הגנה לוגיים מתאימים במערך המחשוב ואמצעי הגנה פיזיים באתר בו שוכן הארגון ובסניפים קיימים. בהמשך ,על הארגון לאמץ דפוסים מובנים של ניהול אבטחת מידע וניהול סיכוני אבטחת מידע, כאשר המטרה היא הגנה נאותה על כל סוגי המידע הנמצאים בתחומיו מפני כל האיומים הפוטנציאליים הניתנים לזיהוי .התקן אף עוסק בשמירה קפדנית על שרידות המידע ,תוך דרישה ליישום תהליכים הולמים של המשכיות עסקית במקרה של כשל מערכות או אסון .חוסר הערכות לכשל כגון זה ,עלול להביא להשבתת פעילות החברה לתקופה התלויה בעוצמת הכשל .אימוץ התקן יכול למנוע זאת. מה כולל התקן? התקן בגדול מורכב משני חלקים עיקריים ,כאשר בחלקו הראשון ,פרקים 4-8 )Clausesכל הדרישות שמופיעות בחלק זה חובה ליישום .החלק השני של התקן ,מבוסס על 11פרקים ( )Annex Aוכולל בערך 133בקרות. מידת הישימות של הבקרות בחלק הזה ,מותנית בערכת הסיכונים שביצענו בחלק הראשון .כלומר, אם ישנם סיכונים על הנכסים שנמצאים בתוך תכולת התקן ,אז חובה ליישם בקרות נאותות לצורך מזעור הסיכון. (Management 32 גיליון | 2יוני | 2012 להלן פרקי התקן (מתוך :)Annex A 1 .1מדיניות אבטחה 2 .2התארגנות לצורך אבטחת מידע 3 .3ניהול נכסים 4 .4אבטחת משאבי אנוש 5 .5אבטחה פיזית וסביבתית 6 .6ניהול תקשורת ותפעול 7 .7בקרת גישה 8 .8רכישה ,פיתוח ותחזוקה של מערכות מידע 9 .9ניהול תקריות אבטחת מידע 1010ניהול המשכיות עסקית 1111התאמה כפי שניתן לראות ,התקן כולל התייחסות לכל הרבדים של אבטחת המידע ,ולכן ,הינו מהווה מסגרת מומלצת לכל ארגון לניהול אבטחת המידע .היות והתקן מתייחס לכל שכבות אבטחת המידע ,מומלץ ליישם אותו בארגון ,ובכך למזער את הסיכונים אל מול איומים עתידיים שעלולים לפקוד על הארגון. כיום ישנם כבר שני תקנים מגזריים 27011 :למגזר התקשורת ,ו 27799-למגזר הבריאות .תקן מגזרי שלישי למגזר הפיננסי ( )27015נמצא בהכנה. תקינה מגזרית ממקדת דרישות מותאמות למגזר ומחייבת את יישומם ,דהיינו ,מצמצמת את מרחב חופש הפעולה של הארגונים במגזר לבחור שלא ליישם בקרה ספציפית. למי נדרש התקן? כעקרון ,כל ארגון צריך תקן אבטחת מידע שכזה. התקן הוא מעין "רשימת בקרה" על מנת שתהיה בקרה מקיפה ווידוא של רשימת בדיקות שנדרש לעשות בעת מילוי תהליכי אבטחת מידע .מאוד חשוב שהדבר ייקבע בצורה סטנדרטית ,ולא שכל יועץ יביא את הידע שלו עימו לבד .התקן נותן מעטפת שלמה ורחבה הרבה יותר ,כך בעצם נוצר סרגל מדידה ,מול גופים אחרים ,גם בארץ וגם בחו"ל .חשוב לזכור שהתקן לא עושה את האבטחה .הוא ממפה את הארגון בצורה טובה יותר ,על מנת שתיטיב את האבטחה בארגון, ומקנה לארגון מסגרת לניהול אבטחת המידע בצורה נאותה .התקן מספק כלים למשנה סדורה, לפיה ניתן לממש את נהלי האבטחה – לעתים קרובות ,אבטחה היא סדר בבלגן השרוי במערכות המידע בארגון. התקן נדרש בפרט בארגונים בהם יש מידע רגיש ורב ערך שניתן לעשות בו שימוש לרעה אם לא ננקטים צעדים להגנתו .מידע כזה מאוחסן במחשבי הארגון ובתוקף זאת הוא חשוף לאיומים פנימיים וחיצוניים ,אלא אם כן יוגן כהלכה .חשיפתו של מידע זה בפני גורמים בלתי מורשים ,עלולה לגרום לארגון נזק רב וכבד. תעודת ההסמכה לתקן ISO 27001אותה יקבל הארגון ,תשמש כהוכחה חד משמעית כי רמת אבטחת המידע שלו אכן גבוהה ומתאימה להתקשרויות עסקיות עם לקוחות המקפידים על חיסיון המידע שלהם.. תהליך ההכנה האינטנסיבי הקודם להסמכה תורם כמובן להעלאת רמת אבטחת המידע של הארגון ,כך שההגנה על המידע שלה תשפר לאין ערוך ותמנע התממשות סיכונים פוטנציאליים לזליגת מידע ,העלולים להסב לחברה נזקים עסקיים ניכרים. דרך טובה לעמידה ביעדי אבטחת המידע הינה ביצוע פרויקט מקיף להכנת הארגון לתקן אבטחת המידע. ISO 27001ההכנה כוללת הגדרת תשתית אבטחתית ויישום של מגוון התהליכים והבקרות הנדרשים ע“פ התקן .מומלץ לבצע הכנה זו בהנחייתו של גורם חיצוני בעל ניסיון ומיומנות בתחום זה. התהליך כולל ביצוע סקרי אבטחת מידע פנימיים ברמה הארגונית והטכנית ,הקמת תשתית ארגונית לאבטחת מידע ,הכנת מדיניות ונהלי אבטחת מידע ויישומם ,יישום בקרות אבטחת מידע במערך המחשוב ,הגברת מודעות העובדים לאבטחת מידע ויישום ניהול מובנה של סיכוני אבטחת מידע. כל התהליך מתבצע בכפיפות מלאה לדרישות מכון התקנים הישראלי ,כפי שהן באות לידי ביטוי במבדקי התקן הנערכים ע“י מוסד זה לצורך קבלת ההסמכה .עם סיום ההליך ההכנה מתבצע מבדק מכון התקנים ,הכולל בחינת עמידת הארגון במכלול דרישות התקן מבחינת ניהול אבטחת המידע ,קיום תשתיות מתאימות ויישום בקרות אבטחת מידע מתאימות. במידה והארגון עומד בדרישות אלה ,מוענקת לו תעודת הסמכה ישראלית ובינלאומית המהווה הוכחה לקיום סטנדרטים גבוהים של אבטחת מידע בארגון. היתרון הגדול הטמעת התקן בארגון ,הוא בכך שנוח יותר לעבוד ,אנשים לא "סוטים" הצידה ויש שפה ארגונית אחידה בכל הארגון. להלן מדריך קצר להטמעת תקן ISO 27001בארגון. אם חשבתם ו\או רציתם להטמיע את התקן ISO-27001בארגון ,אז הנה לכם מדריך קצר להטמעת התקן ISO 27001בארגון .למי שאינו מכיר את התקן ,וגם לאלו שכן מכירים ,הטמעתו בארגון יכול להפוך לתהליך ארוך ומסורבל ,אם לא מתכננים אותו כראוי. אז להלן 20שלבים שיוכלו לסייע לכם בהטמעת התקן ISO-27001בארגון ,בין אם זה בעזרת יועץ חיצוני ,ובין אם החלטתם לקחת את המשימה הזאת על עצמכם. .1הצטיידו בתקן .ISO 27001 ראשית ,עליכם להצטייד בתקן עצמו .ניתן לרכוש את המסמכים ישירות ממכון התקנים .המסמכים הינם בעברית .אני אישית ,מעדיף את הספרות המקורית באנגלית ,אבל לאלו ששפת האם שלהם עברית ,ולא אנגלית ,אז ,עדיף לא לשבור את השיניים ,או לשרוף זמן יקר על ריצות לבבילון. .2תקראו ותלמדו בקצרה את מהות התקן. הסיבה לכך מאוד פשוטה .אם החלטתם לבצע את הפרויקט בעצמכם ,אז חשוב מאוד שתדעו מול מה אתם עומדים ,ומה עליכם לבצע בתהליך הטמעת התקן בארגון .אם החלטתם בכל זאת להקל עליכם ,ולהיעזר בחברות ייעוץ חיצונית ,אז עדיין חשוב שתדעו על מה הם מדברים ,על מנת לדבר איתם באותה השפה ,ולמנוע מצבים בהם מחייבים אתכם הון עתק על פעולות שאינן נחוצות להטמעת התקן .אני תמיד בעד ללמוד ולהעשיר את האופקים ,ובמקרה הזה ,גם תזכו ללמוד לא מעט דברים ,מכיוון שהתקן הוא מהווה מעין מסגרת לניהול אבטחת מידע (מקבץ המלצות- BEST PRACTICESל"עשה ואל תעשה" בתחום אבטחת המידע). .3תקבלו את ברכת הדרך של הנהלת הארגון. חשוב מאוד להתחיל לשווק את היתרונות של התקן בארגון ,ולקבל תמיכה מלאה מהנהלת הארגון (ורצוי מאוד הנהלה בכירה ,ולא מנהל ישיר שלכם) .לרוב ,מתייחסים לנקודה זו כמובנת מאליו ,אבל לרוב ,זוהי נקודת הכשל של רוב הפרויקטים הקשורים בהטמעת התקן ISO 27001בארגון ,בגלל היעדר תמיכה כזו או אחרת מצד הנהלת הארגון (כח אדם וכסף) ישנה בעיה גדולה מבחינת תפיסת אבטחת המידע בארץ, כיוון שברוב הארגונים ,מנהל אבטחת המידע הינו כפוף ישירות למנמ"ר ,דבר הפוגע במוצרה ישירה בהתנהלותו של מנהל אבטחת המידע מול ההנהלה הבכירה בארגון. בעולם המודרני ,כבר מזמן הבינו זאת ,ומנהל אבטחת המידע תופס מקום כבוד בארגון ,ולעתים רבות ,כפוף ישירות למנכ"ל או לסמנכ"ל .בכל מקרה ,החשיבות כאן היא לשווק נכון את מהותו של התקן והצורך שלו בארגון ,כך שהנהלת הארגון תבין את החזר ההשקעה תמורת הטמעת התקן בארגון .ישנם לא מעט אתרים שמכילים מצגות בנושא יתרונות התקן ,ותוכלו גם לפנות אלינו לקבל סיוע בכך. .4התייחסו לזה כאל פרויקט לכל דבר. .8הגדירו לעצמכם מתודולוגיה להערכת וניהול סיכונים כמו שציינתי בתחילת המאמר ,הטמעת התקן ISO 27001יכול להיות תהליך ארוך ומסורבל (תלוי בגול הארגון ובעיקר בתחולת הפרויקט), ולכן רצוי מאוד להתייחס אליו כאל פרויקט על כל המשתמע מכך .תהליך הטמעת התקן יכול לצרוך לא מעט משאבים בארגון ,ומבלי לנהל את זה בצורה מתודולוגית ומסודרת ,אנו עלולים למצוא את עצמנו בבלגן גדול יותר מאשר מהמצב שהיינו בו עוד טרם ניסיון הטמעת התקן .כפי שציינתי ,הטמעת התקן יכול להיות תהליך ארוך (תלוי בגודלו ותחולת הפרויקט) ,ויכול להימשך החל משלושה חודשים עד חצי שנה או שנה, ואם לא מגדירים היטב מה צריך לעשות ,מי צריך לעשות את זה ,ובאיזה מסגרת זמן ,יתכן שלעולם לא נסיים את הפרויקטים הללו. תהליך הערכת הסיכונים הינה המשימה הכי מורכבת בפרויקט – ISO-27001המטרה היא להגדיר את העקרונות לזיהוי הנכסים בארגון, פגיעויות (חולשות) ,איומים ,השפעות האיומים על הנכסים ,סבירות ,רמות סיכון ומהי רמת הסיכון שמקובלת על הארגון .אם לא מגדירים את הדברים הללו ,מהר מאוד אתה מוצא את עצמך במצב שבו תוצאות הסקר (ממצאים) אינם משקפים את המציאות. .5תקבעו לכם מנהל פרויקט מטעם הארגון שלכם. זהו שלב חשוב מאוד בתהליך הטמעתו של התקן בארגון ,מכיוון שזה יכול לחסוך המון בעיות פוליטיות בארגון ,במיוחד בארגונים ,בהם מתמחים בפוליטיקה ארגונית (ואני נמנע מלציין את הארגונים) .מנהל הפרויקט חייב להיות דמות סמכותית בארגון ,על מנת לגרום לכך שהתהליך ירוץ כשורה ולא ייעצר בכל פעם שיש קונפליקט בין שני צדדים. .6הגדירו את התכולה לפרויקט אם הארגון שלכם גדול ( ,)Enterpriseאז אני אישית ממליץ לכם לבחון היטב את תחולת הפרויקט. המלצתי היא להתחיל עם אגף מערכות מידע, ולאחר מכן לבחון כל מקרה לגופו.למשל ,תוכלו לבחור אתר פיזי אחד ,תוכלו לבחור אפליקציה מסויימת וכדומה .מה שהכי חשוב ,הוא לבחור חלקים בארגון שיש להם חשיבות לעבור את ההסמכה לתקן .להמלצות ,טיפים ושאלות כיצד לבחור את התחולה ,תוכלו לפנות אלינו לאיגוד. .7הגדירו וכתבו את מדיניות אבטחת המידע של המנא"מ ()ISMS מסמך מדיניות הינו מסמך המציג את העקרונות והצהרות הנהלת הארגון בנוגע לניהול מנא"מ ( .)ISMSזה לא מסמך שתפקידו לפרט בפרטי פרוטות מה צריך לעשות ,אלא יותר ברמת המאקרו .אז מה מטרת המסמך אם כך? המטרה היא שהנהלת הארגון תוכל להגדיר מה בדיוק היא רוצה להשיג (מטרות) וכיצד הוא מתכוון לנהל את אבטחת המידע בארגון. .9תבצעו תהליך של הערכת סיכונים וטיפול בממצאים בשלב זה עליכם להטמיע את המתודולוגיה להערכת סיכונים אשר בחרתם (הגדרתם) בשלב הקודם ( .)8זה יכול לקחת לארגון גדול כמה חודשים ,אז כדאי לתכנן את התהליך הנ"ל היטב. המטרה היא לקבל תמונת מצב אמיתית בנוגע לאיומים וסיכונים שחלים על הארגון שלך (נכסים). המטרה של תהליך טיפול בסיכונים הינה למזער את הסיכונים אשר אינם מקובלים על הארגון (על הנהלת הארגון) – בד"כ זה מתבצע ע"י תכנון שימוש בבקרות אשר נמצאות בנספח )Annex A )Aבתקן .בשלב זה ,חובה לרשום דוח הערכת סיכונים ,אשר יתעד את כל השלבים שבוצעו כולל את תהליך הטיפול בסיכונים .כמו כן ,במידה וישנם סיכונים שיאוריים ( , )Residual Riskצריכים לדאוג שיהיה לכך אישור בכתב ,או כמסמך נפרד ,או כחלק ממסמך הצהרת הישימות (Statement of )Applicability .10כתבו מסמך הצהרת ישימות ()SOA ברגע שהנכם מסיימים את תהליך הטיפול בסיכונים ,אתם בעצם תוכלו לדעת בדיוק אילו בקרות מנספח )A (Annex Aתצטרכו ליישם ואילו בקרות לא יהיה בהן צורך .ישנם 355 בקרות ,ובד"כ ,לא תצטרכו את כולן .מטרת מסמך הצהרת ישימות (, )SOAהוא למפות את כל הבקרות ולהגדיר אילו בקרות ישימות מבחינת הארגון שלכם ואילו בקרות לא ,וכמובן תצטרכו להוסיף מספר עמודות אשר יצדיקו את ההחלטה שלכם ,נוספות כגון :מהי הסיבה לכך שהבקרה אינה ישימה ,איזה מטרות אתם רוצים להשיג בעזרת הבקרות הללו ,והסבר קצר אודות תהליך ההטמעה של המנא"מ ( )ISMSכמו כן ,לא פחות חשוב ,המסמך הזה חייב להיות מאושר וחתום ע"י הנהלת הארגון ההנהלה הבכירה) .להלן דוגמא לטבלה מתוך מסמך הצהרת ישימות (:)SOA | גיליון | 2יוני 2012 33 בגיליון הבא תקן אבטחת מידע | ISO27001הפתרון של היום לבעיות של מחר | המשך .11כתבו תוכנית לטיפול בסיכונים (.)RTP טוב ,בדיוק כשחשבתם שכבר ביימתם עם כל המסמכים שקשורים לסיכונים ,אז הנה ,עוד מסמך אחד שתצטרכו על מנת לעבור את תהליך ההסמכה .מסמך "תוכנית טיפול בסיכונים" (Risk – )Treatment Planשמטרתו היא להגדיר בדיוק כיצד אתם הולכים להטמיע את הבקרות שציינתם במסמך הצהרת הישימות ,מי הולך להטמיע אותן, מתי ועם איזה משאבים .מסמך זה מהווה בעצם תוכנית הטמעה המתמקד בבקרות ,שבלעדיו תתקשו להתקדם הלאה בפרויקט. .12הגדירו כיצד תמדדו את האפקטיביות של הבקרות. משימה נוספת שבד"כ ארגונים מפחיתים מחשיבותה – זה מדידת האפקטיביות של הבקרות. הנקודה כאן היא שאם אתה לא יכול למדוד מה עשית ,אז כיצד תוכל להיות בטוח שהשגת את המטרה שלך? ולכן ,עליך לוודא שאכן הגדרת לעצמך כיצד אתה הולך לבדוק ולמדוד שהשגת את המטרה שלך ,עבור כל בקרה שמצוינת במסמך הצהרת הישימות (.)SOA .13הטמיעו את הבקרות ונהלים מנדטוריים. קל יותר לדבר מאשר לבצע .זהו השלב שבו עליך להטמיע את 5השלבים הראשוניים של התקן ( )Management Clausesובנוסף את הבקרות הישימות והרלוונטיות עבור הארגון שלכם מתוך נספח Aמוגדר בתקן כ.Annex A- לרוב ,זו יכולה להיות המשימה בעלת הסיכון הגבוה ביותר בפרויקט שלכם (הטמעת ISO- 27001בארגון) היות ומדובר כאן בהפעלת ויישום טכנולוגיות חדשות) בקרות ,אבל מעל הכל, מדובר בהטמעת התנהגות חדשה בתוך הארגון שלכם .לעתים קרובות ,יש צורך במדיניות ונהלים חדשים ,וכידוע לנו ,לרוב ,האנשים נוטים להתנגד לשינויים במערכת – ומה שהופך את השלב הבא, לחיוני ביותר בכדי כישלון בפרויקט. ( )Auditorsמאוד אוהבים תיעוד – ללא תיעוד ,יהיה לכם מאוד קשה להוכיח שפעילות מסוימת אכן מתבצעת כפי שאתם טוענים שהיא מתבצעת. כמו כן ,התיעוד גם עוזר לכם מלכתחילה – ניתן להיעזר בתיעוד על מנת לנטר מה קורה בארגון, כך תוכל לדעת בוודאות האם העובדים (וספקים חיצוניים) אכן עושים את המוטל עליהם. התקנים) .ההמלצה היא שתכינו תוכנית עבודה תלת שנתית לתפעול המנא"מ ,זה מאוד יקל עליכם הן מבחינת הסוקר ,והן מבחינת ביצוע תפקידכם בניהול ותפעול המנא"מ .מקווה שהמדריך הזה עזר ויעזור לכם ,ואולי גם יחסוך לכם קצת תקציב ייעוץ כך שתוכלו לבזבז אותו בפעילויות אחרות. .16חובה לנטר את פעילות המנא"מ )ISMS( . בכל מקרה ,לכל שאלות הבהרה ,תוכלו לפנות אלי במיילdanny@titans2.com : מה קורה אצלכם בארגון? האם המנא"מ ()ISMS אצלכם עובד כראוי? כמה אירועי אבטחת מידע יש לכם בארגון? מאיזה סוג? האם כל הנהלים ננקטים בצורה נאותה? כאן בעצם אנו בודקים לראות האם הבקרות והמטרות שהצבנו לעצמנו, באמת השגנו אותם ,ובצורה מלאה .אם לא ,אז אנו לפחות יודעים שמשהו לא תקין ,ואז נוכל לבצע פעולות מתקנות ו\או מונעות. .17יש לבצע ביקורות פנימיות. ברוב המקרים ,מרבית האנשים אינם מודעים לעובדה שהם עושים משהו בצורה לא שגויה (או לפעמים הם מודעים לכך ,אבל מעדיפים לשמור את זה בשקט ,כדי שאחרים לא יידעו על כך) .אבל לא להיות מודע על בעיות שקיימות או פוטנציאל למימוש של סכנות ואיומים בארגון ,יכול לגרום נזק רב לארגון .ולכן עלינו לבצע ביקורת פנימית בכדי למצוא ליקויים ולוודא שלכל הממצאים שנמצאו ,ננקטים פעולות מתקנות\מונעות. המטרה כאן היא לא להעניש מישהו ,אלא למצוא ליקויים ,ולתקן אותם מיידית לפני שייגרם לנו נזק כלשהו בארגון. .18חובה לבצע סקר הנהלה. הנהלת הארגון אינה צריכה להגדיר את הפיירוולים בארגון ,או את האנטי וירוס ,אבל היא צריכה לדעת ולהיות מודעת למה שקורה בארגון מבחינת ניהול המנא"מ .האם כל עובד מבצע את המוטל עליו, האם המנא"מ מביאה את התוצאות שהצבנו לעצמנו מלכתחילה ,וכו' .בהתבסס על סקר זה (סקר הנהלת הארגון) ,הנהלת הארגון צריכה להסיק מסקנות ולנקוט באמצעים. .14הטמיעו ובצעו תוכנית להגברת המודעות בנושא אבטחת מידע. .19יש לנקוט בפעולות מתקנות ומונעות. אם הנכם רוצים שהמשתמשים יטמיעו את כל מסמכי המדיניות והנהלים החדשים בארגון, ראשית ,עליכם להסביר להם למה יש בכלל צורך בכל השינויים הללו ,וכמו כן גם רצוי גם להדריך ולהכשיר את אותם המשתמשים כדי שיוכלו לבצע את המוטל עליהם .היעדר תהליך זה בפרויקט, מהווה סיבה שנייה לכישלון בפרויקט. מטרת המנא"מ היא לוודא שכל מה שלא נמצא תקין ( )non-conformitiesיתוקן ,או לפחות ינקטו פעולות מתקנות ,מונעות או מפצות .ולכן ,התקן , ISO-27001דורש שפעולות מתקנות ומונעות יבוצעו באופן סיסטמטי ,מה שאומר שצריכים למצוא את שורש הבעיה ( ,)Root causeלתקן ולוודא שאכן זה תוקן. .15חובה לתפעל את המנא"מ ()ISMS .20תכינו תוכנית עבודה תלת שנתית להמשך תהליך הביקורת. זהו החלק שבו ,התקן ISO 27001הופך להיות חלק אינטגראלי בשגרת היום יום שלכם בארגון .המילה הכי חיונית כאן הינה" רשומות-תיעוד" .הסוקרים ההסמכה לתקן ניתנת למשך 3שנים ,כאשר במהלך תקופה זו ,אתם עלולים לזכות מדי פעם לביקורות מצד הגוף המבקר\מסמיך (כגון מכון 34 גיליון | 2יוני | 2012 ISO הכותב הינו סוקר מוסמך בינלאומי ל27001 LEAD - AUDITORו . BS25999 LEAD AUDITOR -הוא הסמיך וייעץ לארגונים רבים בארץ ובחו"ל ,וכותב בעצמו הסמכות ומסמיך. מנהלות: חברים ממליצים ניהול זהויות התמודדות עם עולם הסייבר טרור הידיעון יכול לשמש במה לחברי האיגוד ,שבאמצעותו ניתן יהיה מסרים והודעות לשאר החברים ,מידע בתחומים שונים .זה יכלול מאמרים מקצועיים ,ספרים,כנסים וימי עיון,הצעות עבודה ,אתרים באינטרנט ,קבוצות דיון ,ועוד ,כפי שאתם החברים תמצאו לנכון .אנא ,שתפו את עמיתיכם בנושאים המקצועיים המעניינים. חומר שמיועד לידיעון האיגוד ,יש להעביר אל מר דני אברמוביץ בדוא"לdanny@titans2.com : - EPS מה באמת הארגון צריך? תעסוקה בקרוב ,תעלה לאתר של האיגוד פינה להצעות עבודה ו\או לוח דורשי עבודה .אתם מוזמנים להעביר הצעות ו\או פניות אל מנהל האתר. מערכות SIEM אתר האינטרנט של האיגוד הישראלי לאבטחת מידע בקרוב יעלה לאוויר האתר של האיגוד הישראלי לאבטחת מידע. נשמח לקבל הצעות לשיפור מהחברים ,אפשר באמצעות מזכירות האיגוד אך עדיף ישירות למנהל האתר ו\או ליו"ר ועדת פרסומים ושיווק ,כמובן דרך האתר עצמו .כתובת האתר הינוwww.issa.org.il : כיצד בונים תוכנית להמשכיות עסקית קשר עם מזכירות האיגוד מערכות IPS חוק וסדר האיגוד הישראלי לאבטחת מידע ( )ISSAרוצה לברך ולהודות לכל המשתתפים שתרמו לעריכת גיליון זה. אנו משתדלים לשמור על פרטים מעודכנים של חברי האיגוד .פרטים אלו מתקבלים אצלנו מתוך העדכונים שאתם\ן מעבירים\ות בצורה מקוונת ל ISSA-באמצעות האתר שלהם .לפי העניין אנא ידעו אותנו – באמצעות מזכירות האיגוד – על שינויים שחלים בפרטים שלכם ,בפרט נתונים כמו כתובת דואר אלקטרוני באמצעותה אנו מעבירים לכם חומר רלבנטי על פעילותנו וכמובן מספרי טלפון וניידים ,באמצעותם ניתן ליצור קשר עימכם\ן .נשמח לקבל את פניותיכם באמצעות אחת מהדרכים הבאות: מזכירות האיגוד ,077-5150340 :לנייד 054-9844855 :או פקס077-5150341 : דואר אלקטרוני בכתובת info@issa.org.il :ו\או באמצעות אתר האיגוד: www.issa.org.il/contact.asp נקודות CPE בין הכותבים שלנו: ניר וולטמן Security Architect -בחברת סיטדל דני אברמוביץ -מנכ“ל חברת TITANS SECURITY שלומי מרדכי -מנמ“ר הקריה האקדמית הדס שני -ראש צוות CERTבתהיל“ה אלי כזום -מנהל אבטחת מידע אגף המכס והגבייה מוטי מאירמן – יועץ אבטחת מידע בכיר ארז מטולה – מנכ"ל ומייסד חברת Appse-Labs אורן הדר – מנכ"ל חברת KnowIT אם גם אתם רוצים לכתוב כתבות, נא לפנות אלינו בכתובת: info@issa.org.il למתן חסות לאיגוד ,ניתן לפנות אלינו במסגרת מאמצינו לסייע לחברי האיגוד ,הנהלת האיגוד לקחה על עצמה משימה בניהול ומעקב אחר שעות ה CPE-שלכם עבור ביקורות עתידיות. •לכל בעלי ההסמכות הבינלאומיות כגון CISSP, CISM, CISA, CGEIT :נדרש לצבור מספר נקודות CPEבשנה ( ,)Continuing Education Policyכאשר המספר מתבצע שנתי ותלת שנתי. •על רוב ההסמכות ,עליכם להשלים 120נקודות CPEלתקופה של 3שנים .קיימות דרכים רבות לצבור שעות CPEואחת מהן היא השתתפות במפגשי האיגוד ,אשר יזכו אתכם בכל פעם בנקודות .CPE עד כה הועברו בצורה מוצלחת 9מפגשים במהלך שנת ,2011שכללו בין היתר הרצאות שונות ומקצועיות בתחומים שונים מעולם אבטחת המידע. אנו מבטיחים כי שנת 2012תהיה עשירה יותר ,הן מבחינת תדירות המפגשים ,והן מבחינת התכנים המקצועיים. אם יש נושא שתרצו לשמוע עליו או שאתם מכירים אותו היטב ותרצו לשתף את הידע והניסיון שלכם עם שאר חברי האיגוד ,אנו יותר מנשמח לתת לכם במה. אנו פנו אלינו לתיבות הדואר של האיגוד ,ואנו ניצור אתכם קשר ולשבץ אתכם בלו"ז. info@issa.org.il | גיליון | 2יוני 2012 35 האבטחה שלך להצלחה בטוחה! מנהלי אבטחת מידע בואו ללמוד איך לקשר בהצלחה בין מטרות עסקיות של הארגון לאבטחת מידע יום ותארי ך מספ ר שם הסמינר א' – 20.06.2012 T S01 קורס – CISOניהול אבטחת מידע כולל הסמכה בינלאומית של CISM ב' – 20.06.2012 TS02 קורס – CROניהול סיכוני ITכולל הסמכה בינלאומית של ג' – 20.06.2012 TS03 קורס – CISAמבקר מערכות מידע כולל הסמכה בינלאומית של CISA א' – 27.05.2012 TS04 קורס – CISMהכנה לבחינה א' – 27.05.2012 TS05 קורס – CRISCהכנה לבחינה א' – 27.05.2012 TS06 קורס ISO 27001 Lead Auditor רשימת קורסים מלאה מופיעה באתר החברה. לתיאום פגישה וקבלת פרטים נוספים חייגו077-5150340 : יועץ אקדמי (דני) – 050-8266014דוא"ל: מכירות (סיוון) – ,0549844855דוא"ל: danny@titans2.com sivan@titans2.com CRISC
© Copyright 2024