יורם הכהן, משרד המשפטים: "יש לדאוג שלא תהיינה סתירות בין רגולציות האבטחה השונות"

"יש לדאוג לכך, שההנחיות והרגולציות השונות בעולם אבטחת המידע וההגנה על הפרטיות לא תסתורנה זו את זו", כך אמר עו"ד יורם הכהן, ראש הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים. עו"ד הכהן דיבר בכנס אבטחת המידע השנתי, InfoSec 2010, הנערך זו הפעם העשירית ברציפות. הכנס, בהפקת אנשים ומחשבים, התקיים היום (ב') במרכז הכנסים אבניו בקריית שדה התעופה, בהשתתפות מאות מנהלי אבטחת מידע ומקצוענים בתחום. את הכנס הנחו אופיר זילביגר, מנכ"ל SECOZ, ויהודה קונפורטס, העורך הראשי של קבוצת אנשים ומחשבים.

נושא הרצאתו של הכהן היה "הגנת מידע אישי – רגולצית אבטחת המידע הבאה". הוא כינה את תפקידו כ"משטרת הפרטיות", בהסבירו, כי השוק ברובו רוצה לעמוד בהוראות החוק השונות, ולכן הרשות שהוא עומד בראשה עוסקת בחינוך ובהעלאת המודעות לנושא, לצד האכיפה והפיקוח. הוא תיאר את היקף האיסוף של המידע, והסביר את החשיבות שבאבטחתו. בנוסף, עו"ד הכהן פירט את הרגולציות הצפויות בעולם אבטחת המידע, כגון איסור זיהוי מרחוק על בסיס מידע ממרשם האוכלוסין. לדבריו, בסופו של דבר, "מיחשוב ענן הוא צורה פרטית של מיקור חוץ, וזה דורש את ההעלאה של רמת אבטחת המידע. כשל אבטחת המידע במקרה הפריצה לשרתי גוגל (Google) בסין היה דרמטי". כמו כן, עו"ד הכהן תיאר תפקיד נוסף של הרשות – משלוח הנחיות מקצועיות לממוני אבטחת המידע בארגונים. הוא סיים בציינו, כי ברשות דואגים שלא תהיינה סתירות בין הרגולציות לגבי הגופים המפוקחים, בהיבט ההגנה על המידע.

ג'ונתן סקלקר, סמנכ"ל מוצרים בנוגהקום ישראל, דיבר על "החוליה החסרה ב-DLP".  הוא הציג את NogaLogic, תוכנה לניהול מידע, ניהול סיכונים ובקרה פנימית. התוכנה, אמר, "מאפשרת לארגון לדעת בדיוק איזה מידע עסקי ברשותו והיכן הוא שמור, ולאחר מכן להשתמש בו ולעשות בו פעולות שונות כמו ניהול, העברה, שיתוף והגנה, ללא קשר למיקומו, השם שניתן לו או שיטת הגישה". הוא ציין, כי "הפתרון מושתת על פלטפורמת סיווג נתונים שמזהה ומסווגת את כל הנתונים הבלתי מובנים באופן אוטומטי – לפי הקשרם העסקי – בונה טקסונומיה ארגונית ולאחר מכן מקשרת את המידע מכל מאגרי הנתונים ברחבי הארגון".

רומן גולוד, CTO קבוצת ITFS, דיבר על  גישה חדשה לאבטחה, המחברת בין עולם האבטחה המסורתי ובין עולם בסיסי הנתונים. לדבריו, "הכסף הגדול נמצא במסדי נתונים הכוללים מאות, אלפים או אולי אף מיליוני רישומים של פעילויות פיננסיות שונות". הוא ציין, כי "המחיר של כרטיס אשראי בשוק השחור נע כיום בין 0.0005 ל-0.010 סנט. קיים מידע שווה ערך שנכלל בכל מסד נתונים – כתובות דוא"ל, טלפונים, כתובות מגורים, מספרי זיהוי אישיים, רשימות פרטי לקוחות, תוצאות של מכירות, נתונים סטטיסטיים – הכל פתוח למכירה". לדבריו, "המידע, בהיותו רגיש מטבעו, מאוחסן לעתים קרובות במסדי נתונים. מאחר שכל מסדי הנתונים נוצרו למטרות עסקיות, אין אחד מהם שיימצא חשוב יותר מהאחר. כל בעיה הקשורה במסד נתונים, כגון אובדן נתונים, נתונים שהושחתו או זויפו, או אי-זמינות של נתונים, חייבת להשפיע לרעה על הפעילויות העסקיות". הוא סיכם בציינו, כי גישתה הייחודית של ITFS מתמקדת בעולם בסיס הנתונים, ו-"התפישה של החברה והרעיון המנחה אותה הם שהגישה של 'דרישות אבטחת מידע' צריכה להיות מוחלפת בשיקולים של 'צרכים עסקיים'. דרישות אבטחת המידע מהוות היבט אחד בלבד של רשימת הדרישות העסקיות המלאה".

דני בן שלום, סמנכ"ל טכנולוגיות ב-iSecure, הציג את הטכנולוגיה של PGP, אותה הם מייצגים בארץ. לחברה טכנולוגיה המאפשרת רמת אבטחה גבוהה יותר כשמידע אובד או נגנב. שם החברה הוא ראשי תיבות של "Pretty Good Privacy" ("פרטיות טובה למדי"). "פתרון ההצפנה של PGP", הסביר, "שונה משמעותית משאר גישות ההצפנה הקיימות בשוק. בעוד שהאחרות חסרות ביכולת ניהול משתמש אינטגרטיבית, מדיניות ושירותים חיוניים נוספים, PGP מהווה פלטפורמת הצפנה מתקדמת, המשלבת יישומים מרכזיים בתחום ההצפנה. החברה מספקת פתרונות הצפנה כוללים, לרבות למיילים, מחשבים ניידים ונייחים, מסרים מידיים, טלפונים חכמים, רשתות אחסון והעברת קבצים".

רנדי אברמס, מנהל טכנולוגי אזורי, ESET, הציג כמה מפתרונות החברה, לרבות זה של תחום ההגנה על תחנות הקצה. לדבריו, "ESET NOD32 Business Edition הוא אנטי וירוס לעסקים גדולים עד ענקיים, עם רשת של אלפי מחשבים, שמבטיח הגנת שרתים ותחנות עבודה". הוא הוסיף, כי "התוכנה מזהה את כל סוגי הוירוסים, סוסים טרויאנים, תוכנות ריגול ואיומים אחרים המסכנים רשתות של חברות גדולות. למרות דרישות מערכת נמוכות, התוכנה מציגה רמה עילית של הגנה פרואקטיבית של רשת ללא האטה של המחשב. אברמס ציין, כי "התוכנה יכולה להגן על קבוצות שונות של רשת – מחמישה ועד מאות אלפי מחשבים בו-זמנית". הוא סיים בציינו, כי "התוכנה כוללת גם מרכז שליטה, ESET Remote Administrator, שבעזרתו ניתן להתקין ולכוון מאות אלפי עותקים של התוכנה בתוך רשת אחת ולנהל אותם".

שמעון בוגנים, CTO בחברת Bsafe, חתם את האירוע בהציגו גישות חדשות בתחום השליטה והבקרה בסביבה מרובת תשתיות ובסיסי נתונים. הוא הציג את מוצר CPA, ראשי תיבות של Cross Platform Audit, שהוא כלי לניטור ואיסוף אירועים מתוך כלל התשתיות המגוונות של הארגון. הכלי, הסביר, מקבץ את האירועים תחת מערכת ניהול מרכזית עם בסיס נתונים מרכזי, ועם יכולת חיקור וניתוח אירועים עד לרמת השדה הבודד. בוגנים ציין, כי "המערכת תצביע על שינויים שחלו בשדה הבודד, מה היה תוכן השדה לפני ואחרי השינוי, מי ביצע אותו ומתי, מאיזו תחנה, מה הפקודה שהופעלה, ועוד".