אבי ויסמן, שיא סקיוריטי: "כשגוף האדם יתמלא מערכות תקשורת, לא יהיו בו פיירוולים"
"בכל כלי רכב יש יכולת להתחבר לאינטרנט, אבל אין בהם פיירוולים", התריע ויסמן, מנכ"ל החברה ● הוא הזהיר מפני מתקפות שעלולות להתאפשר כתוצאה מכך והביע חשש שהבעיה תעבור גם למערכות שיותקנו בגוף האדם ● לדבריו, "איש לא יכול לשער עכשיו מה תהיה השפעת המערכות הללו"
"בכלי רכב אין כיום פיירוולים ונראה שגם בעוד שנה-שנתיים, כשגוף האדם יתמלא מערכות תקשורת, לא יהיו בו פיירוולים", כך התריע אבי ויסמן, מנכ"ל חברת שיא סקיוריטי. ויסמן הנחה את מפגש פורום CISO של אנשים ומחשבים, שהתקיים אתמול (ב').
הוא דיבר במהלך המפגש על סכנות אבטחת המידע הטמונות במכוניות. לדבריו, "בכל כלי רכב יש יכולת להתחבר לאינטרנט. באחרונה נודע שהאקר שהשקיע מספר חודשי לימוד הצליח לאתר בכמה דגמי מכוניות נפוצים את האפשרות להתחבר למחשב הרכב ולשנות לו את ההוראות באמצעות יישומים. אם כיום ניתן לשבש את מערכות המכוניות, חישבו מה יהיה ניתן לעשות כאשר המכוניות תהיינה אוטונומיות. כמו כן, אף אחד לא מדבר על פיירוולים במערכות הרבות שיופעלו בתוך גוף האדם ויתקשרו עם העולם החיצון".
ויסמן השווה את המצב כיום בתחום עם מצבה של המכונית ב-1888 – השנה שבה נמכרה המכונית הראשונה. "כמו שאיש לא חשב אז שיהיו כבישי אספלט ורמזורים ושהמכונית תשנה את חיינו, איש לא יכול לשער עכשיו מה תהיה השפעת המערכות הללו".
תקן ISO חדש להגנת סייבר
כדי לעשות סדר במערכות המיחשוב הרבות, כמו גם בבעיות הוותיקות של הסייבר, פרסם ארגון התקינה העולמי ISO תקן חדש המכיל בתוכו את כל ההליכים הדרושים להגנת סייבר.
יריב יפרח, מומחה למשפחת תקני האבטחה ISO 27001 מאורנסק, חברת ייעוץ שמלווה את הטמעת התקן, אמר ש-"מידע הינו נכס שכמו כל נכס עסקי חשוב לארגון ונדרש להגנה ראויה באופן קבוע".
התקן מגדיר כיצד בונים מערכת אבטחת מידע בתוך ארגון. "בראש ובראשונה צריך לנהל את המידע", אמר יפרח. הוא ציין ש-"התקן מחייב את הארגון להתעסק בצורה סיסתמטית בהגנה על המידע. הדבר מעיק על הארגון. אנשים לא אוהבים את זה, אבל לאחר שאנחנו מטמיעים את התקן ונמנעת חדירה לארגון – הם מודים לנו".
לדבריו, "ההסמכה מאפשרת בקרה חיצונית על מצב הארגון ושמירת מסגרת התקן על כל תכולתו, דורשת מחויבות של ההנהלה והארגון לתהליך ומביאה ליתרון שיווקי ועסקי. אפשר כמובן לעשות את התהליכים הללו בלי שהארגון יוסמך ל-ISO, אבל בלי ההסמכה הזאת קשה מאוד להגיע לתוצאות".
דודו ברודה, יועץ בחברת שיא סקיוריטי, דיבר על תקן 27032, שעוסק באוטומציה תעשייתית. לדבריו, מדובר ב-"ניסיון למצוא פתרון לאזור המעורפל בין הארגונים. הוא מתייחס למתקפות הנדסת אנוש, האקינג, Malware, רוגלות ועוד. אנחנו מבקשים להתכונן למתקפות, לזהות אותן ולהגיב עליהן. לשם כך יש צורך בשיתוף פעולה בין הארגונים. התקן מדבר בנוסף על בדיקה ברשת האפלה האם מתבשלת מתקפה על הארגון".
תקן נוסף שמכסה את מערכות ה-SCADA
שוקי פרייס, מרכז נושא אבטחת המידע במכון התקנים, אמר ש-"מקצועות שלמים ייעלמו וכל הידע המקצועי יעבור בעתיד לענן. כשנצטרך רופא מומחה, למשל, לא נלך לרופא אלא לטכנאי שיתחקר אותנו, יזין את התשובות למחשב ויקבל את חוות הדעת הכי טובה שניתן להעלות על הדעת מהמומחים הכי טובים. המנתח בבית החולים יהיה רובוט והתרופות יוכנו במיוחד עבור החולה, לפי ה-DNA שלו. מכיוון שכל החיים שלנו יהיו נתונים בתוך הסייבר, יש חשיבות עצומה לאבטחתו".
לגבי תקן 27032 אמר פרייס ש-"מערכות אוטומטיות מבצעות כיום חלק מהעבודה הייצורית ויש להן קשר עם העולם החיצון, באמצעות הסייבר – האינטרנט או רשתות תקשורת אחרות. צריך להגן על האוטומציה בתוך המוצר עצמו, בכל רכיב בו, ולא רק במעטפת הארגונית. דוגמה לכך היא מערכות SCADA שמפעילות מערכות מים, ביוב וחשמל. אם המערכות הללו לא יהיו מוגנות מעצמן נהיה בבעיה גדולה".
תגובות
(0)