It’s not what you don’t know that can hurt you most, as much as it is: what you don’t know that you don’t know
פורסם: 28.8.16 צילום: shutterstock
לעיתים תכופות יותר אנו פוגשים בעיתונות הכללית או העיסקית כתבות על נזקים שגורמים פצחנים שחודרים ישירות למערכות הסייבר של ארגון, שואבים מידע, חוסמים את הגישה תמורת כופר או משנים נתונים לתועלתם. תשומת הלב של הארגונים והרגולטורים מופנית מזה כעשור לצורך להגן על מרחב הסייבר והארגונים נענים באופן כללי ומשתפים פעולה.
נקבעו מספר רמות/תחומים שהרגולציה התייחסה אליהם ולהלן עיקריהם:
ת"י 27001 ISO.
התקן הכללי וה"רך" לניהול אבטחת מידע. מגדיר את הליך שיטת יצירת, ניהול ותחזוקת הבקרה של אבטחת המידע בארגון. התקן מספק ראייה רחבה על "כל" הסיכונים הקיימים בארגון על כל היבטיו הטכניים, הפיזיים והארגוניים. התקן מקיף מספר נושאים, אשר יחד מהווים בסיס יציב לכל פלטפורמת אבטחת המידע של הארגון.
תקן 27799 ISO
מנחה ארגוני שירותי בריאות, וישויות אחרות השומרות על מידע בריאות אישי, באשר לדרך המיטבית להגנה על סודיותו, שלמותו וזמינותו של אותו המידע.
בחוזר מנהל הכללי מס 18/2012 של משרד הבריאות מתאריך15.02.2015 פורסם כי:
"עד ליום 31.12.2015 יש לתת עדיפות לספקים העומדים בתקן בינלאומי לאבטחת מידע ISO27001 או בתקן לאבטחת מידע במוסדות בריאות ISO 27799. החל מה 1.1.2016 יש לבצע התקשרויות רק עם ספקים העומדים בתקנים הנ"ל".
תקן PCI-DSS Payment Card Industry
חל על כל העסקים הקשורים למערכות התשלומים בכרטיסי אשראי ובכלל זה בתי העסק, היצרנים, המפיצים וספקי שירות צד שלישי כאחד.התקן קובע את כללי הטיפול, האחסון וההגנה על הנתונים הרגישים של כרטיסי האשראי כגון: מספר הכרטיס, תאריך תוקפו ונתוני הפס המגנטי המלא של הכרטיס. הכללים מפרטים הוראות התנהגות בטרם ולאחר שידור כל עסקה ע"י בית העסק לגורם האיסוף המקומי.
הגנה כנגד תקיפה ישירה של פצחנים הולכת ומתקבעת כנורמה בארגונים בכל התחומים, חברת הביטוח אף מציעות פוליסות לכיסוי/גידור הנזק האפשרי, כולל שירות טיפול באירוע: מסיוע טכני לשיקום ושיחזור המערכת ועד ניהול מו"מ עם פצחנים דורשי כופר (הביטקוין הפך את עבודת הגביה לקלה וללא סיכון). נכון להיום מספר המבוטחים לנזקי סייבר נמוך יחסית בעיקר מן הנימוק שדרישות המגון של חברות הביטוח "דרקוניות" מדי , וכדברי המנמ"ר (מנהל מערכות מידע) של החברה: "אם נתקין את כל המיגונים הנדרשים כבר לא צריך ביטוח".
דלתות אחוריות בלתי מוגנות. לאחרונה פורסם בפורום של האגודה (האמריקאית) לניהול סיכונים וביטוח (RIMS) מאמר של ג'והן קלי מחברת "הנובר סטון" לניהול סיכונים, המסב את תשומת הלב אל ה"דלתות האחוריות" של הארגון שאינן מפוקחות ומציין כי נושא זה הופך עתה למוקד תשומת הלב של המערכות הגדולות והרגולטורים.
ספקים, לקוחות, פרויקטורים, שותפים עסקיים, שירותי מיקור חוץ, עובדים "מהבית" הפועלים ברשתות ביתיות, כל אלה ונוספים הם "דלתות אחריות" אל הארגון שלגבי חלקם לפחות האירגון אינו ער להיותם גורמי סיכון ראשונים במעלה, כי פצחנים- כידוע- אינם רק אנשי מחשבים טובים אלא גם עבריינים מתוחכמים המחפשים נקודות תורפה לכניסה למערכת הארגון.
"הסמכת ספקים" הינה פרקטיקה נורמטיבית מזה כשלושה עשורים בארגונים תעשייתיים לגבי ISO 9002 . הפרקטיקה שבה לקוח מאשר את נוהלי אבטח האיכות של ספקיו מספקת הגנה כפולה. האחת הפיכת המוצר כולו למוצר שיוצר תחת נוהלי אבטחת איכות אחידים והגננה השניה היא הפיכת הספק לאחראי כלפי הלקוח שלו לגבי נזק שנובע מן המרכיב שסופק, ללא יכולת להתגונן בטענה שחובת הבדיקה חלה על הלקוח. מרגע שהספק אושר על הלקוח לא חבה חובת בדיקה על ידי מערכת אבטחת איכות של הלקוח וכשל של הפריט המסופק הוא באחריות מלאה ובלעדית של הספק (הבהרה לענין זה חשוב שתופיע בהסכם ההספקה).
נורמה חדשה הנדרשת היא: "הסמכת נגישות סייבר". אין לנו ספק שבמציאות אליה אנו נחשפים בעידן הנוכחי יש לפעול כלפי כל הגורמים שיש להם נגישות אל הארגון כאל "סוכנים תמימים לסיכונים " ויש לדרוש מהם את האחריות לאבטחת המידע שלהם ו"שלנו". הגורמים הנגישים צריכים להתחייב להקים מערכת אבטח מידע רלוונטית, לפחות ברמה של ISO 27001 ( בדומה למה שמנכ"ל משרד הבריאות מורה לגבי ספקים, אך יש להרחיב גם לגורמים אחרים) ,להתחייב בהסכם בינם לבין הארגון להקפיד ולעמוד בדרישות התקן, ולקחת על עצמם אחריות נזיקית במקרה של נזק לארגון שנובע מחריגה (מוכחת) שלהם מההתנהלות על פי התקן.
*הכותב ד"ר עמי כהנא הוא מהנדס תעשיה-וניהול ומשפטן, יועץ לניהול סיכונים וביטוח בחברת "סט פוינט בע"מ". http://www.setpoint.co.il/
עוד בסטטוס:
שיתוף עובדים בניהול הסיכונים של הארגון
בדיקת מערך אחריות ביטוח ופנסיה בתהליך בדיקת נאותות
Tags: אסטרטגיה טכנולוגיה מעבר לדיגיטל ניהול סיכונים סייבר