אם נתעלם לרגע מכל הכשלים הטכניים עליהם הצביע חוקר אבטחת המידע, נועם רותם, בחשיפת הכשלים באתר שב"ס, בואו נדבר על כל יתר הכשלים האחרים.
נתחיל בהתנהלות של רותם עצמו.
חוק עבירות המחשב אוסר על פעולות האקינג לא מורשות. זו עובדה. זה נתון בסיסי. אסור להתעלם מכך ואסור לפאר מהלכים שכאלה.
כלל ידוע ומקובל ואתי בין האקרים לבנים (האקרים הפועלים בשירות החוק) הוא שהם מבצעים דיווח לגורם אחראי. מיהו הגורם האחראי? המנכ"ל יהיה תמיד גורם ראשי. גם דובר הארגון הוא פונקציה חשובה. אבל מניסיון, האקר יעדיף לדבר עם אדם שדובר את שפתו. מקובל ונהוג לאתר ולשוחח בנושא עם מנהל ה- IT או מנהל אבטחת המידע.
אם הבנתי נכון, מקריאת כל הציוצים בנושא, אז הקשר נוהל מול מחלקת הדוברות. תיכף נגיע לכשלים של שב"ס.
קשה לי המחשבה שאיש אבטחת מידע העדיף לפנות לדובר במקום למנהל אבטחת המידע. אני יכולה להעלות על דעתי אינספור נימוקים מדוע הוא חשב שלא כדאי ולא נכון ועדין. זו אחריות של מנהל אבטחת המידע. הוא אמור להיות מיודע ראשון.
פרצה מהותית כמו זו שאיתר בקלילות רותם לא נפתרת בהקשת אצבעות. לא הוגן ולא אתי לצפות לטיפול איכותי בטווח הזמן שהוצב.
התנהלות שב"ס:
בואו נתחיל מהסוף היותר מהותי. בשבוע הבא יכנסו לתוקף תקנות הפרטיות של משרד המשפטים. התקנות מגדירות מהו מאגר מידע וכיצד יש להגן עליו.
העובדה שמאגר מידע גדול ומהותי כל כך היה פרוץ, שבוע לפני כניסת התקנות לתוקף מעידה על דבר אחד - לא בוצעה כלל עבודת מיפוי כמתבקש מהתקנות.
תחזוקת האתר - בהתאם לחוק המכרזים האתר מתוחזק באמצעות ספק משנה. כיצד אפשרי שספק שנבדק לפני קבלת האישור, לא מקיים תהליכי אבטחת מידע בסיסיים?
כיצד אפשרי שספק לא מבוקר ולא מנוהל בעצמו. ביקורת, בדיקת PT יזומה, אפילו פעם בשנה, שנה וחצי, היתה מציפה מיידית את הכשל. מדוע זה לא קרה?
תוכנית פעולה. ניהול סיכונים. כן, שוב אני עם ה Cyber Resilience הזה. כשדנים בתרחישים האפשריים צפים ועולים כל מיני דברים. סבירות שהארגון מעולם לא קיים דיון אחד יסודי בסוגיות אבטחת מידע. אפילו לא בשאלות מאגרי מידע. אם היה מקיים, סבירות גבוהה שהיה מאתר בעצמו את הכשל באתר. הממצאים של נועם רותם כל כך משמעותיים שלא יתכן שאתר שמחזיק כזה מידע לא היה מועלה כפוטנציאל סיכון שצריך לנהל.
כאמור, כך משתמע, הדובר הוא זה שקיבל את הדיווח על הזיהוי.
דובר, מיומן וחכם ככל שיהיה, לא מבין ולא דובר את כל השפות. דובר גוף בנקאי יתקשה מאוד להסביר כשלי בניה. סבירות שהוא פשוט לא הבין ולא העריך נכון את היקף הנזק שבמידע שנמסר לו. ויודעים מה? לא תפקידו.
כשמגדירים תהליך Cyber Resilience מגדירים גם נהלי דיווח ואחריות. סבירות, שוב, שאם המידע היה מגיע בתוך דקה למנהל אבטחת המידע, הבנת סדר גודל האירוע היתה ברורה הרבה יותר.
למנהלי אבטחת המידע של היום תפקיד הרבה יותר משמעותי מאשר בחירה של כלי הגנה. הם אמורים לשקף מבחינה מקצועית ועסקית להנהלה מהם הסיכונים. הם גם אמורים לדרוש ולקבל אוטונומיה מוחלטת על התחום שלהם. לא יתכן שאירוע אבטחת מידע יטופל קודם בצד הדוברותי שלו.
שב"ס לא הבין ולא הצליח להכיל את האירוע. 3 עיתונים קיבלו כל אחד תגובה אחרת. באחת תגובת פאניקה מוחלטת על מתקפת האקרים. באחרת שאננות תמוהה ובשלישית התמודדות. לאיזו תגובה להאמין?
גם שעות לאחר הגילוי, שב"ס מילא פיו מים. לא שיקף לציבור ובטח לא לאלפי המועמדים שהתחיל בהליך מיונם מה קרה באירוע המדובר. מה נעשה כדי לטפל בו וכדי למנוע הישנותו.
עינת מירון, יועצת מומחית בתחום Cyber Resilience.
אם נתעלם לרגע מכל הכשלים הטכניים עליהם הצביע חוקר אבטחת המידע, נועם רותם, בחשיפת הכשלים באתר שב"ס, בואו נדבר על כל יתר הכשלים האחרים.
נתחיל בהתנהלות של רותם עצמו.
חוק עבירות המחשב אוסר על פעולות האקינג לא מורשות. זו עובדה. זה נתון בסיסי. אסור להתעלם מכך ואסור לפאר מהלכים שכאלה.
כלל ידוע ומקובל ואתי בין האקרים לבנים (האקרים הפועלים בשירות החוק) הוא שהם מבצעים דיווח לגורם אחראי. מיהו הגורם האחראי? המנכ"ל יהיה תמיד גורם ראשי. גם דובר הארגון הוא פונקציה חשובה. אבל מניסיון, האקר יעדיף לדבר עם אדם שדובר את שפתו. מקובל ונהוג לאתר ולשוחח בנושא עם מנהל ה- IT או מנהל אבטחת המידע.
אם הבנתי נכון, מקריאת כל הציוצים בנושא, אז הקשר נוהל מול מחלקת הדוברות. תיכף נגיע לכשלים של שב"ס.
קשה לי המחשבה שאיש אבטחת מידע העדיף לפנות לדובר במקום למנהל אבטחת המידע. אני יכולה להעלות על דעתי אינספור נימוקים מדוע הוא חשב שלא כדאי ולא נכון ועדין. זו אחריות של מנהל אבטחת המידע. הוא אמור להיות מיודע ראשון.
פרצה מהותית כמו זו שאיתר בקלילות רותם לא נפתרת בהקשת אצבעות. לא הוגן ולא אתי לצפות לטיפול איכותי בטווח הזמן שהוצב.
התנהלות שב"ס:
בואו נתחיל מהסוף היותר מהותי. בשבוע הבא יכנסו לתוקף תקנות הפרטיות של משרד המשפטים. התקנות מגדירות מהו מאגר מידע וכיצד יש להגן עליו.
העובדה שמאגר מידע גדול ומהותי כל כך היה פרוץ, שבוע לפני כניסת התקנות לתוקף מעידה על דבר אחד - לא בוצעה כלל עבודת מיפוי כמתבקש מהתקנות.
תחזוקת האתר - בהתאם לחוק המכרזים האתר מתוחזק באמצעות ספק משנה. כיצד אפשרי שספק שנבדק לפני קבלת האישור, לא מקיים תהליכי אבטחת מידע בסיסיים?
כיצד אפשרי שספק לא מבוקר ולא מנוהל בעצמו. ביקורת, בדיקת PT יזומה, אפילו פעם בשנה, שנה וחצי, היתה מציפה מיידית את הכשל. מדוע זה לא קרה?
תוכנית פעולה. ניהול סיכונים. כן, שוב אני עם ה Cyber Resilience הזה. כשדנים בתרחישים האפשריים צפים ועולים כל מיני דברים. סבירות שהארגון מעולם לא קיים דיון אחד יסודי בסוגיות אבטחת מידע. אפילו לא בשאלות מאגרי מידע. אם היה מקיים, סבירות גבוהה שהיה מאתר בעצמו את הכשל באתר. הממצאים של נועם רותם כל כך משמעותיים שלא יתכן שאתר שמחזיק כזה מידע לא היה מועלה כפוטנציאל סיכון שצריך לנהל.
כאמור, כך משתמע, הדובר הוא זה שקיבל את הדיווח על הזיהוי.
דובר, מיומן וחכם ככל שיהיה, לא מבין ולא דובר את כל השפות. דובר גוף בנקאי יתקשה מאוד להסביר כשלי בניה. סבירות שהוא פשוט לא הבין ולא העריך נכון את היקף הנזק שבמידע שנמסר לו. ויודעים מה? לא תפקידו.
כשמגדירים תהליך Cyber Resilience מגדירים גם נהלי דיווח ואחריות. סבירות, שוב, שאם המידע היה מגיע בתוך דקה למנהל אבטחת המידע, הבנת סדר גודל האירוע היתה ברורה הרבה יותר.
למנהלי אבטחת המידע של היום תפקיד הרבה יותר משמעותי מאשר בחירה של כלי הגנה. הם אמורים לשקף מבחינה מקצועית ועסקית להנהלה מהם הסיכונים. הם גם אמורים לדרוש ולקבל אוטונומיה מוחלטת על התחום שלהם. לא יתכן שאירוע אבטחת מידע יטופל קודם בצד הדוברותי שלו.
שב"ס לא הבין ולא הצליח להכיל את האירוע. 3 עיתונים קיבלו כל אחד תגובה אחרת. באחת תגובת פאניקה מוחלטת על מתקפת האקרים. באחרת שאננות תמוהה ובשלישית התמודדות. לאיזו תגובה להאמין?
גם שעות לאחר הגילוי, שב"ס מילא פיו מים. לא שיקף לציבור ובטח לא לאלפי המועמדים שהתחיל בהליך מיונם מה קרה באירוע המדובר. מה נעשה כדי לטפל בו וכדי למנוע הישנותו.
עינת מירון, יועצת מומחית בתחום Cyber Resilience.
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר