מערך הסייבר יעלה לאוויר מערכת לבדיקת רמת ההגנה בארגונים
מערכת ה-IT מאפשרת לארגונים במשק הישראלי לבדוק, באופן אנונימי, את מצב אבטחת המידע והגנת הסייבר אצלם, כך חשף יובל שגב, ראש מרכז מתודולוגיה ובדיקות חוסן במערך
מערך הסייבר הלאומי יעלה לאוויר ברבעון הראשון השנה מערכת IT המאפשרת לארגונים במשק הישראלי לבדוק, באופן אנונימי, את מצב אבטחת המידע והגנת הסייבר אצלם, כך חשף יובל שגב, ראש מרכז מתודולוגיה ובדיקות חוסן במערך.
שגב דיבר במליאה המרכזית בכנס המקצועי השנתי של הביקורת הפנימית. הכנס, בהפקת אנשים ומחשבים, נערך ביום ה' האחרון במרכז הכנסים אווניו, קריית שדה התעופה, בהשתתפות מאות מבקרי פנים. את המליאה המרכזית הנחה רו"ח דורון רונן, משנה לנשיא IIA, איגוד המבקרים הפנימיים בישראל.
מדובר במערכת מידע לאומית שבאמצעותה יוכל כל ארגון במשק לבדוק את רמת ההגנה שלו בסייבר, ואת כשירותו בתחומי אבטחת מידע והגנת הסייבר – ולפי הנתונים לקבל המלצות כיצד להיערך, לשנות ולשפר. שם המערכת הוא יוב"ל (ר"ת יעדים ובקרות לארגון). היקפו הכספי של הפרויקט לא נמסר לפרסום, אולם גורמים בשוק העריכו אותו במיליוני שקלים בודדים. זאת, כיוון שהמערכת מתבססת על מוצר מדף, שעליו עמלו באופן פנימי אנשי ההגנה של מערך הסייבר – לפיתוח ולהתאמות. המערכת מבוססת על תורת ההגנה לארגונים במשק הישראלי, אותה פרסם המערך בעבר. ב-2019 עלו במערכת שני מודולים: מודול לטיפול בשרשרת האספקה במשק, ומודול התעדה, במסגרתו ארגונים מאובטחים יקבלו חשיפה.
לדברי שגב, "מבקרי הפנים בארגונים נדרשים להתמחות במספר רב של תחומים: רכש, שכר, מלאי, מערכות מידע, סייבר ועוד היבטים. נשאלת שאלה האם ביקורת סייבר תקופתית עומדת בתבחין שרצינו. ביקורת שכזו תספק מידע ערכי – אבל על זווית קטנה וצרה בלבד".
תורת ההגנה הארגונית – המצע ומסגרת העבודה
שגב אמר כי "בשנת 2017 פרסמנו את תורת ההגנה הארגונית. היא הניחה את המצע, מסגרת העבודה, האומרת לארגונים 'אל תמציאו את עצמכם מחדש, אנו מגישים לכם את עיקרי הנושאים שנדרש לטפל בהם'. לא מדובר בהמצאה שלנו, זה משהו שקיים בעולם: 76% ממבקרי הפנים בארגונים עובדים עם מסגרת עבודה כזו או אחרת".
"מערך הסייבר פרסם מסמך בנושא, אבל זה לא הספיק", אמר שגב, "גם לאחר הפרסום נדרשנו ללא מעט פעולות. מדי חודש או כמה חודשים אנו מפרסמים עוד תוצרים. כך, למשל, השבוע יפורסם מסמך בנושא הגנה על מערכות בקרה תעשייתיות, ICS, בפסי הייצור במפעלים". לדבריו, "ישנם כמה חסמים בעת הטמעת מסגרת עבודה בארגון. פער אחד זה בעולם הציות, ההלימה לרגולציות. זו התחלה טובה – אבל התחלה. מסתבר שיש מערכות מחשוב ואבטחה שלא נעשה בהן שימוש, אף שהן נרכשו בכסף רב, וגזלו משאבי זמן ואנשים. למשל, אם יש מערכת IT ועליה יש הגנות של חסימת התקנים, אבל עדיין ניתן להכניס דיסק און קי בארגון. למשל, אם הוטמעה מערכת למניעת דלף מידע בארגון, ועדיין המשתמשים יכולים להוציא באמצעות חשבון המייל הפרטי מידע רגיש. לכן, המעבר מעולם הציות לבחינת רמת בשלות – הוא מתחייב".
בעזרת המערכת החדשה, אמר שגב, "אנו רוצים להקל על כל הארגונים ולהגיע למצב שבו לא תהיה התנגשות עם אינטרסים מקבילים – אלא Win-Win עם ערך. זה ייעשה על ידי חיבור של תחומים – איומים, סיכונים, רגולציה ופרויקטי IT רוחביים. המערכת שואלת את המבוקר פעם אחת שאלות. אז היא משיבה כמה פעמים, תשובה העונה גם על הצורך באבטחה וניהול סיכונים, גם על הצורך בהלימה לרגולציות מקומיות ובינלאומיות, וגם על הצורך להתחבר לעשייה של מנהל הגנת הסייבר בארגון. זאת, במטרה להפחית נטל ולהגדיל ערך למבוקר".
"השיקולים בבחירת מסגרת עבודה", ציין שגב, "צריכים לקחת בחשבון שנדרש תהליך מובנה ושיטתי, אשר כולל הערכת סיכונים ואיומים, עם מערכת המסייעת למבוקר, משיאה לו ערך ומספקת לו תמונת מצב על רמת האבטחה. זאת, תוך בחינת סטטוס הבקרות, בקרות לפי סיכונים, מידת ההלימה לתקנים מקומיים ובינלאומיים, כשהכל נעשה בצורה אוטומטית ושקופה".
"אנו סבורים", סיכם שגב, "שעל מנת שהביקורת תהיה אפקטיבית, אין מנוס מלתת ערך למבוקר, ערך מבוסס מתודולוגיה לאומית. כך המבוקר יוכל לאמץ תפישה בינלאומית, הנתמכת על ידי המדינה באופן פשוט ויעיל".
תגובות
(0)