"מנהל רכש במפעל ביטחוני חשוד בהונאה", יום ראשון, 29 במאי 2005, 9:11
עובד במפעל המספק רכיבים לאלביט ורפא"ל, חשוד שניפח עלויות יבוא של רכיבים וגרף מאות אלפי דולרים לכיסו.
"בכירים במשק חשודים בפרשת ענק של ריגול תעשייתי" יום ראשון, 29 במאי 2005, 12:15
בפרשה מעורבות החברות המובילות בתחומיהן בארץ
הותר לפרסום: בכירים במשק הישראלי…. חשודים בהזמנת מידע עסקי על יריביהם. תשעה חוקרים פרטיים נעצרו בחשד להפעלת תוכנת "סוס טרויאני".
"מסמכים סודיים שלנו הגיעו לגופים מתחרים" יום ראשון, 29 במאי 2005, 19:21
לאחרונה אנו עדים לגל של כשלי אבטחת מידע אשר שוטף את החברות המובילות בארץ, הכולל ארגונים ממגזרים שונים (מזון, היי טק, תקשורת, מסחר, בטחון ועוד). במרבית מהארגונים שנפגעו, מיושמות טכנולוגיות אבטחת מידע מהמתקדמות ביותר, אך מסתבר שמקור הבעיה הינו האנושי.
פרשית הריגול התעשייתי אשר מדוברת בימים אלו מקורה ב"סוס טרויאני אשר ריגל, גנב והעביר מידע לחברות מתחרות.
"סוס טרויאני" – תוכנה אשר פועלת, ללא ידיעת המשתמש, במחשב האישי שלו, במטרה לאתר מידע ממוקד ולשלוח אותו לכתובת ייעודית או להעתיק את פעולות ההקלדה ולחשוף קודי סיסמאות וכדומה.
החדרת "סוס טרויאני" מתבצעת בכמה שיטות כמו משלוח מייל הכולל קובץ WORD נעול ע" סיסמא כאשר הפעלת הסיסמא מתקינה את התוכנה. החדרת קבצים עוינים על ידי משתמשים לא מורשים למערך המחשבים (עובדי ניקיון, משתמש זר ועוד). דרך נוספת הינה קבלת מדיות מגורמים לא מוכרים, צפייה במידע או התקנת ה DEMO מפעילה את התוכנה. הורדת קבצי מחשב ממיילים אשר הגיעו כמכתבים משולחים מזויפים, ועוד שיטות העולות על כל דימוין. כאשר המשותף לכולן, פעילות המשתמש אשר מתבצעת בתום לב, חוסר תשומת לב או אפילו זלזול בהוראות והנחיות.
הפתרון לבעיה הינו ניהולי כאשר ניתן לחלק זאת לתחומים הבאים:
- הצטיידות במערכות התגוננות טובות אשר מתעדכנות לפחות פעם ביום.
- העלאת מודעות העובדים, כל רובדי הארגון,להיבטי אבטחת מידע הניהוליים ארגוניים ולטכנולוגיים.
- הקמת מערכת ניהול אבטחת מידע אשר עומדת בדרישות התקן לאבטחת מידע ת"י Iso27001:2005.
התקן לאבטחת מידע ת"י Iso 27001:2005 נותן מענה רוחבי לכלל הארגון לרבות התהליכים העסקיים שלו ונוגע בנקודות הבאות:
- חיסיון – וידוא כי המידע נגיש רק למורשים בלבד.
- זמינוּת – וידוא שהמידע והתהליכים זמינים בהתאם לצורך ובכל עת למשתמשים מהארגון ו/או אף מחוצה לו. כלילוּת – שמירת דיוק ושלמות המידע ושיטות העיבוד.
- המשכיות – הבטחת המשך הפעילות העסקית של הארגון, תוך הגדרת תהליכים וכלים המאפשרים התאוששות מהירה בעת אסון ו/או כשל.
בעת יישום והקמת מערכת ניהול אבטחת המידע נשאלות השאלות הבאות:
האם כל נכסי המידע והידע מוכרים וידועים, וקיימת מודעות לאיומים עליהם?
האם כשלי האבטחה בשוגג או במזיד זוהו ומופו?
האם קיימת מדיניות אבטחת מידע וידע ?
האם רמות האבטחה שנקבעו ידועות וברורות לכלל העובדים?
האם כל משתמשי מערכות המידע מוכרים ומזוהים?
האם נקבעו אמות מידה לוידוא עמידת הארגון בחוקים, תקנים ונהלים?
מערכת ניהול זו תיתן פתרון רוחבי כולל בכל רובדי הארגון, גם במקומות אשר היבטים טכנולוגיים לא מיושמים במלואם, לרבות מחויבות ההנהלה והעומדים בראש הארגון, למידע, לשלמותו וחסיונו.
אם לצוטט מתוך מאמר של מכון התקנים הישראלי:
"ארגון ה- I.B.F מסר, כי היקף נזקי החבלה והגניבה בתחום המידע אשר דווחו בשנת 1999 בארה"ב הגיע ל- $800M סכום זה מהווה רק את קצה הקרחון, שכן רוב הארגונים שנפגעו הסתירו את העובדה מחשש לפגיעה בתדמיתם או עסקיהם…
התקן לניהול אבטחת מידע ת"י 27001:2005ISO מבוסס על התקן המתקדם ביותר בעולם בתחום זה Bs7799. הוא מטפל בראיה כלל ארגונית בכל ההיבטים הנדרשים למתן פתרונות שלמים לנושאי אבטחת המידע, ומתווה שיטה להקמה, לניהול ולתחזוקת הבקרות הנדרשות, תוך ניטור שיטתי ומניעת תקלות מראש." (יהושע פרייס, אגף איכות והסמכה, מכון התקנים הישראלי).
ולסיכום, מניעת זליגה, שמירה על מהימנות ושלמות המידע מתבססת על:
קביעת מדיניות מערכתית ארגונית.
יישום טכנולוגיות הגנה במספר רב שכבתיות.
העלאת המודעות להיבטי אבטחת מידע.
נדב אריכא
יועץ אבטחת מידע וידע – ייעוץ ויישום מערכות ניהול אבטחת מידע ואיכות.
מאושר כ COACH ע"י ה- QWEB ליישום והקמת מערכות ניהול אבטחת מידע ואיכות.