איך נראות תמונות במאמרים שנוגעים לאירועי סייבר? תמונה בשחור לבן המראה דמות לא ברורה עם כובע קפוצון ומשקפי שמש כהים. בחיים האמיתיים מומחי סייבר נראים כאחד האדם, למרות פוטנציאל הפגיעה הגבוה שלהם.
ארגונים מטמיעים תקן ISO 27001 כדי לנהל מערכות אבטחת מידע וסייבר (ISMS). תקן 27001 ISO דורש מארגונים להגן על נקודות התורפה במערכות ותשתיות הארגון מפני פגיעה על ידי גורמים עוינים. ראו בתחתית המאמר את הדרישה שמוגדרת ב Annex A.8.8),
אמצעי מעולה לבדיקת פרצות במערכת המידע הוא סקר סיכונים תשתיתי ו/או אפליקטיבי ומבדק חדירה. למרות זאת חלק מהארגונים דוחים אמצעי זה לשלב מאוחר יותר, ולפעמים נמנעים מלבצע מבדק חדירה.
האם זאת חובה לבצע מבדק חדירה לארגונים שמטמיעים תקן 27001 ISO?
מאמר זה מתמקד בקשר שבין תקן 27001 ISO ומבדק חדירה.
ארגון עם פונקציונליות סטנדרטית ו/או ארכיטקטורת מידע בסיסית יכול להסתפק בסקר סיכונים. כאשר לארגון יש מערכות מורכבות יותריידרש מבדק חדירה לאהטחת בטיחות מערכות אבטחת המידע. , דוגמה למערכת מורכבת: קיום אפליקציות Web.
בתחתית המאמר ציטוט מ-.Annex A.8.8.
דרישת התקן היא שחולשות ופגיעות טכניות של מערכות המידע ותשתיות ייחקרו תקופתית, ייעשה ניתוח של פגיעות הארגון, ויינקטו האמצעים כדי להפחית את הסיכון מנקודות התורפה שזוהו.
מבדק חדירה עונה לדרישות אלה בכך שהוא מספק ניתוח סיכונים ופערים באמצעות התקפה זדונית מדומה. שירות זה מבוצע על ידי מקצועני סייבר המציעים שירותי בדיקת חדירה המזהה את החולשות של מערכת המידע. דו"ח פערים הניתן בסיום מבדק החדירה מאפשר לארגון להכין תכנית פעולה לסגירת הממצאים.
מבדק חדירה / Penetration Test / PT / מבדק חוסן הוא מבדק שמדמה תקיפה על מערכות המידע והמיחשוב של הארגון. מטרה המבדק היא לאתר פריצות וסיכונים. בסיום המבדק הארגון מקבל דו"ח המסכם את הממצאים והסיכונים שאותרו. לאחר קבלת הדו"ח הארגון מכין תכנית פעולה על מנת לסגור את הפרצות ולהקטין את סיכוני הכשל הנגרמים מאבטחת מידע לקויה.
מבדק חדירה הוא מרכיב קריטי לכל מערכת מידע המותאמת לדרישות ISO 27001. יש לבצע בדיקות לאורך כל מחזור חיי המערכת של הארגון. החל מתכנון ראשוני של מערכת המידע ועד להרצה שוטפת כחלק מתוכנית התחזוקה הסטנדרטית של מערכות המידע.
למערכות המידע בארגון יש נקודות תורפה טכניות מובנות הדורשות ניטור ושיפור מתמיד. יחד עם החידושים במערכות, נולדות נקודות פגיעות חדשות. יתרה מכך, החדשנות הפלילית של עברייני הסייבר אף היא משתפרת עם הזמן. ייתכן שבמערכות מידע שנמצאו חסינות לאחר תהליך של מבדק חדירה קודם קיימות נקודות חולשה חדשות. הפגיעויות החדשות נוצרו כתוצאה משדרוג מערכות המידע ו/או כתוצאה משדרוג יכולות התוקפים שמחפשים פרצות באופן תדיר.
סוקרי תקן 27001 ISO דורשים מארגונים לבצע מבדק חדירה אחת לשנה וחצי (פלוס-מינוס). מדוע? כדי לוודא שאותם ארגונים משדרגים באופן שוטף את מערכות המידע שלהם מהפרצות החדשות.
במאמר התייחסתי ל Annex A.8.8 להלן דרישת התקן המדויקת
Management of technical vulnerabilities
Information about technical vulnerabilities of information systems in use shall be obtained. The organization’s exposure to such vulnerabilities shall be evaluated and appropriate measures shall be taken.
Photo by ThisIsEngineering from Pexels
מזמינה אותך להצטרף לקבוצת WhatsApp שקטה. בקבוצה אני משתפת תקופתית מאמר קצר בנושאים הקשורים לאבטחת מידע, אבטחת הפרטיות, רגולציות בתחום ועוד. קישור להצטרפות – כאן |
הרבה מאד ארגונים מנהלים את מאגרי מידע שלהם תוך הסתמכות על שירותי ענן. כתוצאה מכך, מירב החברות במשק חשופות לאיומי סייבר ואבטחת המידע שלהם בענן. איום פשעי הסייבר המבוצעים ברשת האינטרנט באמצעות חדירה למאגרי מידע פרטיים ועסקיים גובר מיום ליום. אפילו ארגונים בינלאומיים גדולים נלכדים בקורי העכביש של גורמים אפלים הפורצים למאגרי מידע מכל מיני סיבות לא סימפטיות עם השלכות כואבות מאד, כמו: סחר במידע פנים, בקשות כופר ועוד.
גילוי נאות, אי אפשר למנוע לחלוטין חדירות למאגרי מידע באמצעות ניהול כולל של מאגרי הנתונים. יחד עם זאת ניתן להוריד באופן משמעותי את הסיכונים לפריצות ופגיעה במאגרי מידע באמצעות הטמעת מערכת לניהול אבטחת מידע באמצעות תקן 27001 ISO.
לרוב, ניהול מאגרי מידע מבוצע ע"י הארגונים מול שירותי ענן, כך שמירב החברות במשק חייבות להתמודד עם איומי סייבר ואבטחת מידע בשירותי ענן.
תצפיותיי בארגונים מראות לי שבמקרים רבים ארגונים נכנסים לתהליכי תקינה בעקבות דרישה מלקוחות שיעמדו בתקן כזה או אחר, במקרה שלנו הפעם – תקן לאבטחת מידע. מדוע הלקוחות דורשים זאת? התשובה ברורה: הלקוחות רוצים לוודא שהספק שלהם מיסד תהליכים השומרים על אבטחת המידע של הלקוח.
בתקן כלולות דרישות שזוקקו מהידע הקיים בתעשיה. דרישות אלה מפרטות פרקטיקות בתחום שמירה על אבטחת מידע שיש לבצע. מאמר זה מפרט פרקטיקות אלה בהמשך. ראו להלן, וחשבו – האם כדאי לחכות ללקוח שידרוש זאת מאיתנו, או רחמנא ליצלן שניפגש מתקיפת סייבר, או להטמיע בעצמנו את אוסף הפרקטיקות המיטבות עימנו.
אפשר כמובן להטמיע את הפרקטיקות שלהלן גם בלי לעבור תהליך הסמכה מסודר. יתרונות ההסמכה הן בכך שלא נעגל פינות, נקפיד על הטמעה שוטפת, ונוכל להשתמש בתעודת ההסמכה כדי להרגיע את הלקוחות שלנו, ולתת לנו יתרון בתחרות מול ספקים אחרים שלא הטמיעו את התקן.
מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת פעם בחודש מאמר קצר או טיפ בנושאים הקשורים לאבטחת מידע, אבטחת הפרטיות, מבדקי חדירה, המשכיות עסקית, רגולציות בתחום ועוד. קישור להצטרפות – כאן |
ברור לכולנו, אך לצורך יצירת בסיס משותף לכולנו, הסבר קצרצר.
במונחי כלכלה שיתופית 'ענן' הוא אוסף שרתים שביחד מהווים בנק זיכרון כללי. באמצעות תוכנת שרת ענן, בעל הענן משכיר למשתמשים שטחי אחסון בהתאם לצורך שלהם, בתמורה לדמי שכירות. השירותים מבוססי הענן כוללים אירוח אתרים, אירוח ושיתוף נתונים, שיתוף תוכנות ויישומים ברשתות ברחבי העולם.
אין חולק על העובדה שהיום אנו חיים בעידן מחשוב ענן. ארגונים רבים מנהלים את המידע שלהם (מסמכים ונתונים) על שרתים משותפים ברשת. מידע זה מועד לדלוף לגורמים בלתי רצויים לא רק עקב פריצה זדונית שגורמת לנזקים עצומים אלא כתוצאה של תקלה טכנית שגורמת לשיבושים מרגיזים עקב הצורך לשחזר נתונים ולאבד זמן בעבודה חוזרת. הטמעת תהליכי אבטחת מידע בהתבסס על תקן 27001 ISO מסייעת להורדת סיכוני אבטחת מידע. הראייה לכך – ארגונים רבים המאפשרים לספקים שלהם לעבוד על הרשת הארגונית מחייבים אותם להטמיע תקן 27001 ISO לאבטחת מידע.
היתרון העיקרי של אחסון בענן הוא שבמערכת שכזו ישנם משאבים מבוזרים מרובים הפועלים וירטואלית כמשאב אחסון משותף. עבודה בענן מאפשרת לאנשים המפוזרים במקומות שונים בעולם לעבוד על קבצים משותפים, ולהיות תמיד מעודכנים עם הגרסה האחרונה. חוסך את הצורך בסנכרון גרסאות ותיקון טעויות הנובעות מעבודה על גרסאות לא עדכניות.
בעוד היתרונות של השימוש בענן ברורים ומפתים, אמינות שירותי הענן ואבטחת המידע המאוחסן בהם מטרידים מאד את המשתמשים בשירותי הענן.
תקן ISO 27001 הוא מודל המגדיר דרישות לפיתוח, ניהול ותחזוקה של מערכת אבטחת מידע. התקן דורש ליישם תהליכי בקרה פיזיים, טכניים ורגולטוריים. ניהול מערכת מידע המצייתת לדרישות התקן מפחיתה באופן משמעותי את הסיכונים לשלמות ואבטחת המידע המאוחסן בענן.תהליך הטמעת התקן כולל 6 שלבים כדלהלן:
הסוגיות שלהלן מקבלות מענה באמצעות הטמעת תקן 27001 ISO:
לא! קיימים עוד תקני נישה נוספים בנושא לחברות המעוניינות או הנדרשות להרחבות כדלהלן:
27017 ISO – הרחבת תקן 27001 ISO בנושאים הרלוונטיים לדרישות אבטחת מידע בשירותי ענן
27018 ISO – התקן מרחיב את דרישות תקן 27001 ISO בנושאים הרלוונטיים להגנה על מידע אישי מזהה שמאוחסן בשירותי ענן.
ארגון שנותן שירותי ענן ללקוחות, או ארגון שהמוצר שלו הוא מערכת SaaS – הרחבה ל- 27017 + 27018 מומלצת כחלק מתהליך הסמכה לתקן 27017.
מעוניינים לדעת עוד פרטים על תקני אבטחת מידע וכיצד להיערך להטמעתם, קראו בקישורים שלהלן: ISO27001, ISO27017,ISO27018.
מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת פעם בחודש מאמר קצר או טיפ בנושאים הקשורים לאבטחת מידע, אבטחת הפרטיות, מבדקי חדירה, המשכיות עסקית, רגולציות בתחום ועוד. קישור להצטרפות – כאן |
אשמח לשיתוף באחת הרשתות החברתיות שקישורן להלן.
מידי יום מתפרסם מידע על פריצה למחשבים וגניבת מידע מסווג מחברות פרטיות או ארגונים ציבוריים. למשל: דליפה של פרטים אישיים של לקוחות שטופלו במוסדות רפואיים. על כל אירוע שכזה אפשר להניח שיש עוד עשרות אירועים של שוד מידע שהארגונים מעדיפים להשתיק כדי לא לפגוע במוניטין שלהם. הסכנה מנפילת מידע חסוי לידיים הלא נכונות היא בלתי ניתנת לכימות. מעבר לפגיעה העסקית ו/או פגיעה במוניטין החברה, ארגונים ציבוריים ורפואיים חשופים לתביעות משפטיות מגורמי רגולציה ממשלתיים, כגון: פגיעה ברישיון ו/או הטלת קנסות מאד משמעותיים.
אמנם כיום כבר קיימת מודעות כללית בציבור לנושא אבטחת מידע, אבל לרוב העובדים לא מודעים לדרישות פרטניות שקשורות לשמירה על אבטחת המידע במקום העבודה שלהם. כמו כן, השקעה בתשתיות טכנולוגיות של אבטחת מידע הינה לרוב יקרה יחסית ולכן הרבה ארגונים מקימים תשתיות בסיסיות בלי לנתח את הסיכונים והאיומים האפשריים למערכות ומאגרי מידע.
מסתבר, שחלק נכבד מהאירועים מתרחשים עקב רשלנות או חוסר מודעות של עובדים שחושפים מידע, או עקב בעיות בתשתיות מערכות מידע של הארגון שניתנות לפריצה ע"י גורמים עוינים.
כל ארגון חפץ חיים חייב למסד תהליכי ניהול אבטחת מידע כדי להבטיח הטמעת תהליכים שיטתיים בנושא. תהליכים אלה כוללים נושאים כגון: תהליכי ניהול אבטחת מידע, הערכה ובקרה של סיכוני אבטחת מידע הרלוונטיים לארגון ועוד. הארגון מזהה את גורמי הסיכון האפשריים ואת חומרתם ומגדיר פעילויות בקרה (ממוכנות או מפצות) למניעת הסיכון.
דרך שיטתית לטפל בנושא היא באמצעות הטמעת תקן אבטחת מידע 27001 ISO המגדיר את הפעולות שנדרש לעשות בנושא כחלק מתהליכי החברה והתרבות הארגונית.
בארגונים רפואיים כגון בתי חולים, מעבדות רפואיות ומכונים רפואיים ישנה דרישה לתקן 27799 ISO לניהול אבטחת מידע ברשומות רפואיות. תקן זה הותאם לדרישות הספציפיות של ארגונים רפואיים. משרד הבריאות הוציא במיוחד חוזר מנכ"ל ייעודי לפיו כל ארגוני הבריאות שהם ספקים של מערכת הבריאות בארץ חייבים לעבור תהליך הסמכה לתקן אבטחת מידע עד סוף שנת 2015.
האם בארגון שלכם נעזרים בתקני אבטחת מידע לשם מיסוד תהליכים שיטתיים כדי להפחית את הסיכון לאירועי שדידת מידע? האם אתם ממפים את המידע בארגון וברור לכם איזה מידע הוא קריטי עליו צריך לשמור במיוחד?
זהו, קדימה, הפשילו שרוולים ולכו לטפל בנושא חשוב זה !
האם אתם מודעים לכך שכמוסד רפואי, עליכם להיות מוסמכים לתקן אבטחת מידע 27001 ISO או 27799 ISO ?