לקראת אירוע InfoSec 2011 | רועי הררי, מנכ"ל קומסק: "אידיאולוגיה עוינת וכלי נשק זמינים להתקפות, הופכים את הטרור הקיברנטי לאתגר אמיתי לממשלות וארגונים מסחריים גדולים"
לקראת כנס InfoSec 2011, שיתקיים ב-2.6.11 באווניו שבקריית שדה התעופה, שוחחנו עם מנכ"ל קומסק, רועי הררי, על המגמות בתחום אבטחת המידע ב-2011. לדבריו, שלושת הנושאים המרכזיים שיעסיקו את הארגונים בשנה הקרובה הם אבטחת קיברנטית, אבטחה במכשירים ניידים והשתלבות של אבטחת מידע בניהול סיכוני IT.
מהשיחה עם הררי עולה, כי הנושא "החם" בעולם אבטחת המידע, הוא אבטחת אפליקציות ניידות: "התנופה האדירה של שימוש בטלפונים חכמים, הביאה לשימוש הולך וגובר באפליקציות מובייל "רגישות" כמו יישומים בנקאיים ובורסאיים שבאמצעותם מתבצעות העברות כספים. אנו מקבלים יותר ויותר פניות מארגונים המפעילים יישומים ניידים, פנים וחוץ ארגוניים, המבינים שיש לשפר את האבטחה של אפליקציות אלו בצורה מאסיבית. ארגונים שואפים היום לכך שהחצנת המידע הארגוני וביצוע אינטרקציות דו- כיווניות תוך השימוש באפליקציות, ייעשו תוך הבטחה שרק גורמים מורשים ייעשו שימוש באפליקציה ושהארגון מוגן מפני שימוש מזיק של משתמשים פנים וחוץ ארגוניים".
במקביל, לדברי הררי, קיימת עלייה חדה בהתקפות ייעודיות על יישומים ניידים ספציפיים, שעושות שימוש ביכולות המיוחדות של מכשירים חכמים: "מסיבה זו עשרות חברות מתרכזות במציאת פתרונות אבטחה לסביבה הניידת ועושות מאמץ חסר תקדים בתחום. אנו, בקומסק, מלווים תהליכי פיתוח רבים של פתרונות בעולם הניידים ולכן חשופים לצרכים של חברות עסקיות ולקוחות הקצה בנושאים כגון הצפנה, אוטנטיקציה, גיבוי ובקרת גישה. אנו מנהלים פעילות בתחום הן במתן שירותי יעוץ לאבטחה של יישומים אלה והן בפעילות ה-innovation שהקמנו השנה ואשר כוללת בין חשיפה לסטארט אפים בתחום פתרונות אבטחה למערכות ניידות".
אנו שומעים יותר ויותר על איומי "טרור קיברנטי", מה המגמות המרכזיות וההערכות של גופים ברמה הגלובלית?
"הטיפול באבטחה במרחב הקיברנטי הולך ונהיה מרכזי יותר ויותר. גופי הבטחון בישראל ובחו"ל מבינים כיום שהמרחב הקיברנטי הוא זירת לחימה בלתי נפרדת מזירת הלחימה הפיזית. מגמה שצוברת תאוצה בעולם היא טרור או "פשע קיברנטי" להשכרה- שמשמעותה היא שגופים עוינים יכולים לשכור "שכירי חרב קיברנטיים". במדינות המערב הוקמו גופים ייעודיים, בהשקעה של מיליארדי דולרים, שנועדו לרכז את כל פעילות הלחימה בתחום זה, בכלל זה אימות ופיתוח טכנולוגיות, מתודולוגיות הגנה והתקפה, הקמת מרכזי מודיעין, מניעה ותגובה וכו'.
לסיכום, מתייחס הררי למגמה בולטת נוספת בתחום אבטחת המידע – תחום ניהול הסיכונים: "אנו רואים יותר ויותר בקשות בתחום זה מצד מנהלים כגון מנמ"רים, שמתבקשים לכמת את הסיכון האבטחתי בארגונם. היום הנהלות של ארגונים לא מסתפקות בנתונים טכנולוגיים או באמירות כלליות, אלא דורשות לקבל דיווח במונחים עסקיים על מנת שיבינו בפני איזה איום הן ניצבות, כולל תרחישים עם נתונים כלכליים ועסקיים. יותר מתמיד אבטחת המידע משולבת ברגולציה ולכן נושא ניהול הסיכונים נמצאעל שולחן המנהלים החשופים ברמה האישית ודורשים התאמה לתקנות השונות בהתאם למגזרים בהם הם פועלים, כתוצאה מכך, אנו עדים לתהליכי מיזוג של נושאי אבטחת המידע לתוך פעילות ניהול סיכוני ה-IT הרחבים יותר ואנו בקומסק מקפידים לנהל עבור לקוחותינו תהליכי אבטחה אסטרטגיים הכוללים התייחסות להשפעה שיש לאבטחת ה-IT וניהול הסיכונים על התהליכים העסקיים, לניהול תהליכי הטמעת נהלים פנים ארגוניים ועוד".
