חנניה כפרי, בנק לאומי: "בשל ריבוי הגורמים בארגונים פיננסיים, נדרש ליצור שפת סיכונים אחידה"

"בשל ריבוי היחידות והגופים במוסד פיננסי, נדרש ליצור שפת סיכונים אחידה, עם סולם רמות סיכון אחיד, ודירוג קריטיות של המערכות באופן כלל בנקאי", כך אמר חנניה כפרי, ראש ענף בכיר ומנהל תחום המשכיות עסקית ויישומים, בנק לאומי.

כפרי דיבר בפתח כנס InfoSec2011 – הוועידה העשירית לניהול סיכוני מידע. הכנס נערך היום (ה') במרכז הכנסים אבניו שבקריית שדה התעופה. לכנס, בהפקת אנשים ומחשבים, ה1גיעו יותר מ-1,400 מקצועני אבטחת מידע, והנחה אותו יהודה קונפורטס, העורך הראשי של הקבוצה.

כפרי אמר, כי קיים בלבול בין מושגי DRP ו-BCM, כשהראשון מטרתו לשקם את הפעילות העסקית של הארגון, והשני – "ניהול המשכיות עסקית מתייחס לניהול האירוע עד החזרה לשגרה".

"יש לזהות את האיומים, להעריך את השפעתם, לתכנן מסגרת לעמידה, לתרגל ולבחון", אמר כפרי, "יש צורך במתודולוגיה. נדרש ליצור מסגרת שתיתן מענה שלם לתכנון ההמשכיות העסקית בארגון. צריך לשלב אנשים בעלי הבנה עסקית, לשם יצירת תכנית אחידה ומרוכזת לטיפול בנושא".

הטיפול בניהול הסיכונים, אמר כפרי, דורש קביעת אסטרטגיה לטיפול בהם, עיצוב תכנית להתאוששות, "תרגול, תחזוקה, בחינה ושפור מתמיד". לצד המתודולוגיה, אמר כפרי, בנק לאומי היה הבנק הראשון לדבריו, שאימץ את תקן BS25999 לניהול תכנית המשכיות עסקית בארגון.

"המשכיות עסקית מטפלת בסיכון אחד ולכן יש לטפל בה כבכל הסיכונים האחרים: למפות, לגדר, ללמוד את הסיכון כדי למזערו", אמר כפרי, "בבנק לאומי הקמנו קטלוג שירותים באמצעות CMBD ובחנו מה יקרה אם השירותים לא יתקבלו, דירגנו את השירותים לפי רמת קריטיות, ואז מיפינו את המשאבים – אנשים, IT, מתקנים – על מנת להבטיח את קיום השירותים. משם גזרנו את התכנית להמשכיות עסקית".

כפרי סיים בציינו, כי הבנק התנדב להשתתף בתרגיל "נקודת מפנה 5", שייערך בעוד שבועיים ויבחן את מוכנות העורף במקרה חירום, "התרגול צריך להתבצע באופן קבוע, לרבות עריכת תרגולי פתע. תרגולי המשכיות עסקית הם מסוכנים, עברתי הרבה כדי שההנהלה תסכים להעביר את הייצור של הבנק למערך ייצור חלופי. יש סיכון גם בהלוך וגם בחזור. צריך הרבה אומץ, זה לא עבד חלק אך כיום אנו יותר משופשפים".

ד"ר ז'אן פול בלריני, חוקר מוביל לתחום אבטחת המידע ב-X-Force – מעבדת המחקר של ISS מבית יבמ (IBM), אמר, כי "מה שנדרש עבור ארגונים הוא יצירת אבטחת מידע פרואקטיבית, תוך טיפול בכל ההיבטים – אנשים, נתונים, יישומים, תשתיות ותהליכים. זאת, על מנת לתת לארגונים את האפשרות להמשיך ולפעול תוך צמצום סיכוני האבטחה".

הדו"ח השנתי של צוות X-Force ב-יבמ, אמר, משלב נתונים ממספר גדול של מקורות, ובכלל זה בסיס נתונים של יותר מ-50,000 נקודות תורפה וחשיפה מתועדות. במקביל, מפעיל X-Force מערכת הסורקת את רשת האינטרנט בתהליך אוטומטי מתמיד (Web Crawler), אוסף נתונים לגבי דואר זבל ומזהה 1.6 מיליון מהם מדי יום, ומנטר בזמן אמת מדי יום 13 מיליארד אירועי אבטחה הנרשמים אצל יותר מ-4,000 לקוחות יבמ ב-130 מדינות.

הוא סיכם בהציגו כלים של הענק הכחול בעולם אבטחת המידע וניהול האבטחה ואמר, כי "אנו 'מאזינים' למה שקורה ברשת ומפתחים כלים למניעת ההצלחה של ההתקפות. בגלל החשיבות שהחברה רואה לתחום, היא מיתגה מחדש את מוצרי האבטחה שלה, אלה מספקים פתרונות הגנה כוללים, לרבות הגנה על בסיס הנתונים, רשתות, יישומים ושירותי ווב, לצד מערכות לניהול זהויות והרשאות".

גיורא שקד, מנכ"ל ג'טרו-רדט, דיבר על Jetro COCKPIT4 – פתרון שפיתחה החברה, המאפשר הפצה וניהול מרכזיים של יישומים. הוא אמר, כי מדובר במערכת לניהול ואבטחת מיחשוב מבוסס שרתים (SBC, ר"ת Server Based Computing). הפתרון מאפשר ניהול ובקרה מרכזיים של מערכת IT מבוססת אתרים מבוזרים, חלקם פנימיים וחלקם חיצוניים, כולל גישה מבחוץ פנימה וגישה לאינטרנט מהרשת החוצה, ציין. בנוסף, אמר שקד, המערכת מאפשרת לארגונים לממש מיחשוב ענן באופן עצמאי, תוך התממשקות לרכיבי החומרה והתוכנה המקובלים בשוק הארגוני.

כך, "השימוש ב-Jetro COCKPIT4 מייתר את הצורך בהחלפת נקודות קצה – מה שחוסך לארגונים עלויות", ציין. "בנוסף, הוצאות התחזוקה נחסכות בזכות השימוש בחוות שרתים מרכזית. שימוש במערכת מגביר את רמת האבטחה בארגון, בכך שזו מקנה שליטה ובקרה יסודית וממורכזת וכן שיפור ביצועי היישומים והנגישות אליהם". באופן זה, הסביר, "במקום להגן על התוכן הנכנס פנימה, אנחנו מוציאים את הגלישה החוצה. מה שנכנס פנימה הוא העתק של המידע ולא המידע האמיתי – דבר שמאפשר גלישה גם כשהרגולטור אוסר לגלוש".

שקד סיכם בציינו, כי הרגולטורים השונים מחייבים הפרדת רשתות וכי ישראל מצויה בתחום זה במקום טוב לפני העולם, "הטמענו עשרות מערכות בארץ ובעולם, המערכת מצויה בתהליכי בדיקה אצל עשרות מוספים. הפתרון עונה לרגולציות של הבנקים ואנו ממשיכים הלאה – לעולם הרפואי, ההיי-טק והתעשיה".

משה ישי, סמנכ"ל קומסק, אמר, כי המציאות החדשה המתפתחת של אבטחה קיברנטית, משלבת בין עקרונות מוכרים וחדשים. על מנהלי אבטחת המידע, אמר, "להכירה היטב, על מנת להילחם ב-'רעים' באופן היעיל ביותר, וייתכן שיהיה עליהם להילחם בהם באותם כלים".

ישי ציין כמה מאפיינים חדשים בעולם הפשע והלחימה הקיברנטיים, ביניהם "שווקים כלכליים משוכללים, שימוש במוצרי הפשיעה, מידע גנוב וכלי פריצה – כבכל מוצר מסחרי". כך, אמר ישי, "יש מודלים ברשת המהווים תשתית להעברת כספים למוצרי הפשע הקיברנטי. יש מכירת כרטיסי אשראי גנובים ומשתמשים בתשתיות כספיות, המהוות חלופות לבנקים לטובת הסחר בהם".

מאפיין נוסף הקיים בעולם הקיברנטי, הוא המכרזים, אמר ישי, "כך, לצד המכרזים גם יש שירות הפצה לנוזקות, כאשר הלקוח משלם להם לפי רמת ההפצה והביזור. יש רשתות בוטנט להשכרה, לטובת ביצוע התקפות מניעת שירות, DoS". לדבריו, "כשהאקרים גונבים – לא שומרים זאת על השרתים שלהם, אלא שוכרים שרתים באירוח למידע רגיש עם גיבוי. יש גם נוזקות עם תחזוקה ורישוי".

ישי סיים בתארו כמה שיטות להילחם בפשיעה הקיברנטית, וציין כי בין הגורמים לתפוצתה נמנים הקוד הפתוח והרשתות החברתיות.