"הכשרת העובדים בישראל – רמה של עולם שלישי"
כך אמר אבי וייסמן, מנהל מכללת See Security, בפורום CISO, בהתייחסו לאבטחת המידע בישראל ● לדברי איריס לב ארי, יועצת אבטחת מידע אפליקטיבית ב-CISSP, "חמישים אחוזים מהבעיות ניתנות לאיתור במבדקים אוטומטיים וחמישים אחוזים ניתנות לאיתור רק בבדיקות ידניות"
"אנחנו נמצאים במלחמת סייבר. אמנם אי אפשר לעשות נזקים אדירים בסייבר, אבל אפשר לשנות הכרעות של מדינות", דברים אלה אמר אבי וייסמן, מנהל מכללת See Security לאבטחת מידע וסייבר, בפורום CISO שהתקיים בהפקת אנשים ומחשבים. "הבריטים והצרפתים מגלים שגונבים מהם מידע כל הזמן, אבל בגלל מנטליות הם לא מדברים על זה. בארה"ב, לעומת זאת, כן מכירים בבעיה, ואף הוקמה תעשיית סייבר כדי להתגונן מגניבת מידע".
בנוגע להכשרת עובדים אמר וייסמן, כי "בצרפת מחויב כל ארגון לשלוח את העובדים ל-18 ימי לימוד בשנה. בישראל שולחים את העובדים במקרה הטוב לחמישה ימי לימוד. זו רמה של עולם שלישי. נקודת האור היא, הקמת המטה הקיברנטי, שלדעתי, בתוך שלוש-ארבע שנים יביא לשינוי בתפישה. בנוסף, השנה יהיו בפעם הראשונה לימודי סייבר בתיכון והצבא כבר מכשיר מורים".
ארז מטולה, מייסד AppSec, אמר בפורום, כי "אנחנו מבצעים סימולציה של התקפה. ההבדל בין גישת ה'קופסא השחורה' ל'קופסא הלבנה' הוא, האם יש לי שם משתמש ואני יכול להיכנס לקוד ולדבר עם המפתחים (בגישת הקופסא הלבנה), לעומת מצב בו לא נתנו לי גישה לקוד (קופסא שחורה), אלא, במקרה הטוב, קיבלתי URL. אם יש לי קוד אני יכול לראות את הבעיות לעומק ולאתרן במהירות. החיסרון הוא שזה תהליך יקר יותר. לדעתי יש לשלב בין שתיהן, בגישת 'הקופסא האפורה'".
לגבי שיטות הבדיקה אמר מטולה כי יש שתי שיטות עבודה: עם כלים אוטומטים ועם כלים ידניים. לדבריו, "כדי לחסוך זמן, כדאי להתחיל עם הבדיקה האוטומטית יום לפני תחילת הבדיקה בפועל ולאחר מכן לבצע בדיקה ידנית. הבדיקה הידנית מאפשרת לאתר בעיות שדורשות את הבנת ההיגיון העסקי של הארגון ואת החוקים, הנהלים והתהליכים העסקיים שלו. כלים אוטומטים לא מסוגלים להבין הגיון עסקי. הם מסתמכים על 'חתימות' כלומר תבניות. בבעיות לוגיות אין תבנית שניתן להריץ אותה".
איריס לב ארי, יועצת אבטחת מידע אפליקטיבית ב-CISSP אמרה בפורום, כי "חמישים אחוזים מהבעיות ניתנות לאיתור במבדקים אוטומטיים וחמישים אחוזים ניתנות לאיתור רק בבדיקות ידניות. כלומר, לא ניתן לוותר על הגורם האנושי".
לב ארי מחלקת את אבטחת המידע למבדקי חוסן ולפיתוח מאובטח. "מבדקי חוסן הם כמו דייג עם חנית", אמרה. "אתה מאתר את הדג, יודע בדיוק איך הוא נראה ומכוון אליו את החנית. כלומר, בודק יישום ספציפי שכבר עובד. פיתוח מאובטח, לעומת זאת, מתאים במקרים בהם מפתחים יישומים מאוד רגישים כמו למשל יישומים פיננסיים. בכל יישום שכרוך ברמת סיכון גבוהה ויש סכנה לזליגת מידע, מומלץ לעשות פיתוח מאובטח משום שהוא מאפשר בדיקה עמוקה יותר".
היא הדגישה, כי "הארגון חייב לתכנן נכון ולשתף את איש אבטחת המידע בכל שלבי הפיתוח. חברות לא אוהבות לחשוף מידע בפני אנשי אבטחת המידע אבל כדי להגן על המערכות שלהן, הוא חייב להיות חלק מכל שלבי הפיתוח, ולהיות מודע לכל הכללים העסקיים של הארגון".
איתי ינובסקי, יועץ מומחה לאסטרטגיית סייבר CXO דיבר בפורום על הערכת סיכונים ארגוניים. לדבריו, "חייבים להגדיר מראש מה מאבטחים ומפני מה. אין שני ארגונים שצרכי האבטחה שלהם זהים. הדרך להתאים את אבטחת המידע היא להעריך ולנהל סיכונים. סיכון הוא מצב בו יש איום שמנצל חולשה כדי לגרום נזק. האיום עצמו הוא רצף נסיבות, שבהן עלול להתרחש נזק פוטנציאלי. גם לאחר שנקטנו בכל אמצעי צמצום הסיכון, תמיד נשאר סיכון מסוים. אי אפשר לצמצם את הסיכון לאפס. לכן, את הסיכון שנותר יש לנהל".
"לשם כך יש לנתח את מבנה הארגון ולהגדיר מהם בעלי התפקידים והגופים הרלוונטים. תהליך לניתוח הסיכונים כולל את רמת הסבירות שהסיכון יתממש לעומת רמת ההשפעה שלו. במקביל, מגדירים את אזורי האיום ואת סוגי הסיכונים, כולל יישומים רגישים, ואיומים מצד שותפים וספקים. לאחר מכן יש לארגן את הסיכונים לפי סדר עדיפויות, המסודר על פי רמת האפקטיביות ורמת היעילות הפיננסית".
תגובות
(0)