לקראת אירוע | הגנה על מידע – האם אנחנו יודעים כמה אנחנו לא יודעים???
מאת מירב ורד – מנכ"לית DataSEC, ויובל שגב – יועץ GRC בכיר בצ'קפוינט
"בכל פעם שניסינו לחדור למערכות מחשוב של המדינה, הצלחנו. ההנחה שלנו היא כי מה שאנו יודעים ועושים, לומד האויב לעשות גם כן". כך הכריז ראש המטה ללוחמה בטרור.
אם חשבנו כי לצורך ביצוע פשע קיברנטי אנו זקוקים להאקרים וליכולות טכנולוגיות מתקדמות, הרי טעויות תמימות או יד המקרה עלולות אף הן להוביל לנזקים קיברנטיים משמעותיים, כמו גם להשבתה רחבת היקף. לפני כשנה, ניתקה בטעות קשישה בת 75 מגאורגיה, מיליוני אזרחים גאורגיים וארמנים מרשת האינטרנט, בעקבות מכת מעדר שהנחיתה בחצר ביתה וחתכה כבל אופטי ראשי. כל זאת, במסגרת חיפוש תמים אחר מתכות.
מכאן עולה השאלה האם התשתיות הקריטיות למדינה, כגון מערך הבריאות, החשמל, הרמזורים, הרכבות או התעופה, מסוגלות להתמודד עם שיתוק אמצעי התקשורת ו/או הטלפוניה, בעקבות מתקפת סייבר או מכת מעדר תמימה? האם ארגונים במשק הישראלי נערכים כהלכה להתמודדות עם שיתוק שכזה?
העולם השתנה בעשרים השנים האחרונות בסדר גודל העולה באלפי מונים על השינויים שנערכו בו באלפי השנים האחרונות. המידע הפך להיות זמין יותר, נגיש יותר, מרוכז יותר ומהותי יותר לכל ארגון. מתקפת סייבר אלימה עלולה להוביל לקריסה של ארגונים וחמור מכך, לאובדן חיי אדם. חדירה של האקר למאגר המידע של בנק הדם, לדוגמא, עלולה להוביל להרג של מאות אזרחים שיקבלו עירוי דם מסוג שגוי. נזקים לתשתיות המידע עלולים לנבוע גם מחדירה פיזית בלתי מורשית לשטחי הארגון הרגישים, פגיעה בזדון או בשוגג על-ידי גורמי צד ג' הנכנסים לחברה, הדלפה מכוונת של מידע על-ידי עובדים ממורמרים ועוד שורה ארוכה של תרחישים. מנהל אבטחת מידע אינו יכול עוד למקד את פעילותו סביב סיכונים בהיבטים הלוגיים (המחשוב והתקשורת) אלא עליו לנתח את התרחישים בכל קשת הסיכונים, הפרוסים על פני כל מעגלי האבטחה. המורכבות בניהול מקביל של הסיכונים והתרחישים בכל מעגלי האבטחה, מחייבת כיום שימוש בסרגל אחיד שירכז תחתיו את כל בקרות ההגנה. באנלוגיה לכך, משמשים רגולציות ותקנים בתחום הגנה על המידע, כסרגל זה.
חברת צ'קפוינט, המובילה במוצרי הגנה על הרשת והתשתיות, זיהתה את הצורך בפלטפורמה שתיתן מענה מקיף לכלל הרגולציות לממשל תאגידי (GRC – Government Risk Compliance). חטיבת ה-GRC של חברת צ'קפוינט, בשיתוף הניסיון והידע הנרחב של חברת DataSEC מקבוצת SQLINK, המשמשת כמפיצה בלעדית בתחום האבטחה של תוכנת easy2comply מבית צ'קפוינט, מציעים לארגונים פלטפורמה "מותאמת אישית" לניהול תמונת המצב העדכנית של סיכוני ההגנה על המידע וניתוח פערי הארגון ביחס ליישום הבקרות והפתרונות הנדרשים. כל זאת, על בסיס רגולציות ותקנים שאומצו על ידי הארגון ככלים המהווים "סרגל אבטחה".
באמצעות מערכת easy2comply יוכל הארגון לבצע:
* השוואה בין סקרים לאורך השנים ומציאת מגמות אבטחה בארגון
* מיפוי נכסי מידע
* ביצוע הערכת סיכונים לנכסי המידע
* בניית 'גאנט' למשימות שוטפות של הארגון, לרבות אלו שעלו במהלך הסקרים
* ניהול אירועי אבטחה – מעבר מתיעוד פאסיבי (כגון מסמכי OFFICE ) לתיעוד אקטיבי שכולל תוכנית מזעור נזקים
* ניהול טפסים (מנגנון WORK FLOW) כגון טופס בקשה לפתיחת חוק FW, טופס הנפקת TOKEN וכו'
* חילול דו"חות
* גיבוש dashboard להצגת תמונת מצב להנהלה
ניהול סיכונים יעיל ונכון, מהווה כיום את הבסיס לצמצום אמיתי של סיכוני האבטחה בארגון. הדרך האופטימלית לניהול מקביל של כלל הסיכונים, הנה באמצעות מערך ממוחשב לניהול בקרות מרוכז. חברת צ'קפוינט, בשיתוף עם חברת DataSEC, ישמחו להעמיד גם לרשותכם את מערכת easy2comply, הכלי שיוביל אתכם לנהל, לטפל, לצמצם את הסיכונים ולדעת גם מה שלא ידעתם שאתם לא יודעים…