דף הבית
 אירועים תשע"ה
 אודות המכון
 פעילות המכון
 סקרים תקופתיים
 מלגות
 קורסים
 תקצירי הרצאות
 קישורים
 קרנות מחקר
 המכון בתקשורת
 פרסומי המכון
 English
 המכון ברשתות החברתיות
Sponsored by
www.imply.co.il
סיכום כנס אבטחת מידע 5

 מר מיכה וייס- מנהל מערך אבטחת מידע, בנק מזרחי טפחות:

הפן הדיסקרטי- סודיות הלקוח 

 

אירועי אבטחת מידע קורים כל הזמן, גם בארץ וגם בעולם, ובהם ניתן לציין דלף מידע ואיסופו בפועל- דבר שלבסוף מסתכם בגניבת כספים רבים. איסוף המידע, המודיעין, הוא הצעד הראשון להונאות (החל מהדברים הפשוטים ביותר, כגון התקנת מצלמה או אמצעי קלט בכספומטים).

איומים הניצבים בדלף המידע: חוקרים פרטיים, מוסדות פיננסיים מתחרים, האקרים ועוד.

התמודדות עם הסוגיה- החוק מחייב את המערכת הפיננסית לשמור על המידע, בנוסף לרצון הטבעי של המערכת לשמור על לקוחותיה. בפועל, הבנק עושה מאמצים מהדרגים הנמוכים שבשורותיו עד הדרגים הגבוהים על מנת למנוע זליגת מידע (באמצעות מניעת הדליפה, בקרה של כל המידע, גילוי באמצעות מערכות ניתור ודוחות חריגות ולבסוף במקרה הקיצוני תגובה באמצעות אכיפה).

שיטות לשמירה על סודיות הלקוח:

-          מניעת פישינג באמצעות בחירת תמונה מותאמת אישית וייחודית בעת הצטרפות לאתר הבנק.

-          שאלות אישיות שהלקוח לרוב בוחר לעצמו  ('שאלות סבתא').

-          חזרה טלפונית למס' המופיע בחשבון בעת התקשרות של הלקוח עם הבנק על מנת לוודא את זהותו.

-          הקלטת שיחות המתנהלות בין נציגי שירות ללקוחות לשם תיעוד.

-          OTP  (לסוגיו).

מעבר לכך יש מענה מקיף של מערכות מידע, עם סיוע טכני כגון קווים מוצפנים ומערכות אבטחת מידה.

לסיכום, במציאות בשטח, בניגוד לדעה הרווחת, כל תקריות דליפת המידע בארגונים פיננסיים מתפרסמות.

בישראל, אין תקיפות רבות בניגוד למצב בעולם ואין אירועי אבטחת מידע חמורים וקשים. רוב האירועים הם low tech, ויש לעיתים תקריות נקודתיות במערכות המידע אך הן לא מהותיות.

 

מר אדי אלמר- סגן נשיא חברת  :Safend

זליגת נתונים בארגון- גורמים ומניעה

 

המרצה פירט אודות חברת Safend- הנהלה יוצאת 8200, אלפיים לקוחות בכללם הבית הלבן, חיל הים האמריקני, הממשל הציבורי ולקוחות פיננסיים רבים כגון בורסות ובנקים בעולם.

לקוחות אלה משתמשים בשירותי החברה בשל חשש מזליגת נתונים של הארגון, ולאו דווקא הונאה.

 

דוגמאות שקורות הרבה- בצבא האמריקני, גם במקומות רגישים מאוד, כך גם במוסדות רפואיים ואף במוסדות פיננסיים המידע דולף החוצה שכן העובדים מוציאים את העבודה לבית הפרטי, שולחים דוא"ל לרשימת תפוצה רחבה יותר מהמכוון, או מצרפים בטעות תוכן.

משמעות הדבר, בעיקר בארה"ב וכעת גם באירופה, שהארגון סובל מכל הפרסום שמתלווה לתקרית (כיוון שהחוק מחייב לדווח ולהודיע פומבית את העובדה שזלג מידע). אמנם הפגיעה הכספית מהזליגה עצמה יכולה שלא לפגוע בארגון בצורה מהותית, הפרסום השלילי שמתלווה לסוגיה גורם למעשה לפגיעה קשה בארגון.

 

עוד גורמים לזליגת מידע- אובדן מחשבים ניידים, הדפסות. פגיעה בחברה בכוונה תחילה- דוא"ל שיוצא למתחרים, העתקות ל- USBלכאורה לצורכי גיבוי, חפרפרות בארגון. לא נשארו הרבה ארגונים שלא מחוברים לרשת- לכן ניתן לייצא חומריםבאופן מוצפן.

 

התמודדות:

מדיניות ברורה לגבי ההיתרים והאיסורים, והסבר ההגיון שמאחוריהם.

על כל עובד לדעת שיש טיפול משמעתי במקרה של עבירה- כשלימוד הנהלים נעשה על די עשייה, לעומת חזרה קבועה עליהם על ידי הדרכות ומבחנים. 

בארגונים שפועלים כך עדיין נעשות חסימות, אך לרוב יש צורך באזהרה בלבד.

 


 

מר שאול גלק- ראש מערך מחשוב, הפקולטה למדעי הרוח, אוניברסיטת תל-אביב:

 גורמים פנים, גורמי חוץ- המירוץ אל המידע באקדמיה

 

העולם האקדמי מתחלק לענף מנהלתי, בו יש ראשי צוותים ומנהלים האחראיים על אבטחת המידע, ולענף מחקרי, בו קיימת אנדרלמוסיה כיוון שהמשתמש (יהיה זה חוקר או סטודנט) חופשי לעשות כל שברצונו במידע ואיננו כפוף לאיש.

 

באקדמיה אמנם קיים firewall, אך הסגל האקדמי, הסטודנטים והסגל המנהלתי נמצאים תחת אותה קורה- הם הלקוח- כך שלמעשה כל אחד יכול לפנות לשרתים באקדמיה ולגלות מידע רב מידע גלוי שניתן לדלות- כתובות דוא"ל, ספר טלפונים, תעודות זהות (לטענת המרצה תופעה זו מתגמדת עם השנים), מידע המצוי על השרתים.

 

ביזור לעומת ריכוזיות- בעולם האקדמי ישנם איים של חוקרים ומידע, אם קיימים מחקרים בין מספר מוסדות והמידע נותר פתוח- הסכנות ברורות לכל.

האמצעים לאחסון מידע זה הם כבירים, והם מהווים גם דרך גישה למידע זה- שרתים משותפים, שמירה בענן, דוא"ל, דיסק און קי, גניבת מחשבים ניידים.

מודעות הנהלה- אין מודעות מספקת. אנשי אבטחת מידע פועלים בתור מכבי אש, ולא מונעים את האירועים.

יש לציין כי גם אנשי אבטחת מידע כפופים למנהלי IT ובכך נתונים לשיקולים סותרים.

 גורמים ומניעים:

סטודנטים

  • רצון לקבל את המבחן לפני מועד הבחינה- יש צורך להצפין את הטופס, להצמיד לו סיסמא, אך אין מספיק מודעות לכך. 
  •    שינוי ציונים. 
  •  סטודנטים רבים, ובעיקר של מדעי המחשב, עושים זאת לצורכי הנאה וסטטוס. 

חוקרים מתחרים

  • מחקרים רצים- אם המידע דולף מישהו יכול להקדים את החוקר.
  • מענקים ותקציבים+תרומות.
  • גופים מסחריים שרוצים לקבל את המידע שבמחקר לפני כולם.
  • אורחים מאוניברסיטאות בחו"ל.

 עובדים

  • משכורות- לבדוק כמה מרוויחים עמיתיהם.
  • החלטות הנהלה.
  • גרימת נזק- עובדים ממורמרים.
  • גניבת כספים.

גורמים עוינים

טרור/ גורמים פליליים

 

 דרכי התמודדות- נהלים

  • איחוד זהויות לשמות משתמשים שונים לאותו הלקוח.
  • קביעת מדיניות ואסטרטגיה של אבטחת מידע.
  • אמצעי מיגון+ virtualization במקום שמירה בענן.
  • הגברת שיתוך הפעולה בין הפקולטות.
  • הגברת המודעות והחינוך של עובד האקדמיה.

המרצה קבע כי הגורם האנושי הפנימי הוא תמיד הגורם לזליגת המידע, ולכן יש לטפל בו.

 


 

גב' אסתי פשין- שותפה בקרן  Destino Ventures ויועצת אסטרטגית לחברות בתחום ההייטק:

שלוש  מתקפות- שלוש תובנות

 

*בשל קוצר בזמן עסקנו בשתי מתקפות.

 מקרה וול-מארט

מאגרי המידע של רשת וול מארט האמריקנית נפרצו ב-2006 באמצעות שם משתמש וסיסמא של עובד לשעבר במהלך 17 חודשים. הדבר מתגלה רק בעקבות שרת שנופל, אך המתקפה הממוקדת נמשכת והפורץ מנסה להיכנס למערכת באמצעות שמות משתמש וסיסמאות אחרות.

היה איסוף מידע לקראת ביצוע פשע;cyber crime .

אנו מזהים בכך מספר תקלות-

כיצד הושגו 3 סיסמאות איתן המערכת נפרצה- בעיה של הגורם האנושי בין אם הפרטים נגנבו או נמכרו.

בנוסף, נשאלת השאלה מדוע המשתמש לא נסגר לאחר עזיבת הארגון.

עוד, עולות שאלות בנוגע לאבטחת המידע במקום- גם אם לעובד היו הרשאות לקבל את המידע ושם המשתמש שלו לא נסגר, מדוע הדליפה לא נמנעה? כיצד הדבר לא התגלה במשך זמן רב כל כך?

תשובה אפשרית יכולה להיות שב-2006 תפיסות אבטחת מידע לא היו חזקות במיוחד, ושהיום דבר דומה לא היה קורה.

האמנם?

5 שנים מאוחר יותר, בדרום קוריאה, תוקף נכנס למערכת של מכון מחקר ממשלתי, המחובר על ידי רשתות לגורמי אכיפה ממשלתיים. התוקף נכנס למערכת עם שם משתמש וסיסמא של קצין בכיר, אותם השיג כשהאחרון התחבר לפורטל דרכו קיבל וירוס.

התקיפה הייתה ממוקדת גם כן, ככה"נ במטרה ליצור בנק מטרות לתקיפה (קרוב לוודאי שהיה מדובר ביחידת האקינג של הצבא הצפון קוריאני).

אף על פי שלא נעשתה מתקפה בפועל מדובר ב-cyber warfare.

גם כאן יש מספר עבירות ביטחון מידע-

הקצין פעל באופן לא ממודר בסביבת האינטרנט שלא תאם את הנהלים.

ניתן להסביר זאת שבדרום קוריאה אין מספיק מודעות לכך.

 אמנם ישנה מוטיבציה מסחרית ולאומית להגן על מידע, בשני המקרים התקיפה נעשתה על ידי מידע של משתמש מורשה, ובשניהם המערכת לא ידעה להגן על עצמה במקרה של דליפת מידע.

בהקשר זה המרצה נתנה מספר נתונים המתנכזים לנתון מדאיג זה- ב-75% מהארגונים טענו שהם הותקפו במהלך 2007 ו-100% מהם טענו להפסד כספי בסך שניים עד שלושה מיליון.

 

 

מר גדי עברון- אסטרטג אבטחת מידע. מקים מערךCERT הממשלתי:

מלחמות האינטרנט באסטוניה ובגיאורגיה- רשמים מהשטח

 

אסטוניה מנהיגה את עולם האינטרנט- לא קיים שם פער מידע. הבנקים שלהם הם באינטרנט, הם מצביעי בבחירות דרך האינטרנט, תעודות הזהות שלהם מוצפנות...

ב-2007 פרצו במדינההפגנות ומהומות על רקע סכסוך אידיולוגי-פוליטי עם רוסיה ובהתאם התחוללו תקיפות מקוונות מאורגנות שהאסטונים לא נערכו אליהן ולא יכלו לעבות את ההגנה ברשת, התשתית האזרחית הקריטית שהייתה מחוברת לאינטרנט הייתה בסכנה.

התנועה האזרחית הופעלה כך שכל אחד יכול היה להילחם- כל אזרחי אסטוניה מכל המינים והגילאים הפכו בפועל לחיילים המגינים על התשתיות החשובות של המדינה. לאחר תקופה מסוימת גודל ההתקפות פחת.

המרצה שם דגש על התגובה- הם פעלו דרך cert, והשתמשו בפן הגלובלי של האינטרנט.הייתה זו מלחמת האינטרנט הראשונה- האסטונים אף ביקשו מנאט"ו להתערב בצורה קינטית.

רוסיה תקפה גם בגיא ורגיה באופן דומה, עוד לפני התקיפה הפיזית אתרים של הממשלה הגאורגית הותקפו לפי החשד על ידי רוסים, אך הפעם הרוסים תקפו גם עם טנקים- ותשתיות במדינה סבלו- האינטרנט הגאורגי שבק חיים.

לבסוף, המרצה המשיל את הדבר לתאוריית הברבור השחור.

 

מר שמעון שרבף – מומחה לשוק הסיני. מבעלי חברת XMG בסין:
מבט מבייג'ין אל העולם המקוון


האינטרנט בסין חולק לשניים- כשהאינטרנט מחו"ל חייב לעבור מערגת סינון של הממשלה, כשישנו גם סינון לגבי מה שיוצא החוצה. אך גם מידע שלא עובר את דלתותיה של הרשת בתחומי סין- על כל משתמש להתחייב במשטרה שלא יסכן את סין בשימוש באינטרנט, וישנם נהלים ברורים של מידור בנוגע למחשבים המכילים מידע רגיש, לכל חדר צ'אט חייב להיות גורם אנושי מפקח, וכל אתר באינטרנט בעל מנהל שמדווח הלאה אם ישנו משהו שלא תואם את הנהלים.

האקרים בסין:

  • האקרים אידיולוגיים- הכל מאורגן, אין פעילות פרטית, גם בממשלה וגם מחוצה לה. יש להם אתיקה משלהם.
  • האקטיביסטים פוליטיים.

בסין צף לו מעמד ביניים המתקיים מתעשייה רשמית ובלתי רשמית (כגון גניבות, חיקויים ופריצות) והאינטרנט מהווה חלק בלתי נפרד מכך. אנשים עלו במעמד ממגדלי מלפפונים לאנשי עסקים באמצעות המסחר באמצעות האינטרנט.

אתרים סיניים כמקור מידע:

הנגישות למידע היא קלה, וקיים מידע רב. חלק מהאתרים אף מתורגמים לאנגלית (אם כי לא באופן רהוט). ישנה גם נגישות רבה לתקשורת ולנעשה בסין אונליין.

אך ישנם גם חסרונות- כגון צנזורה, שפה (רוב המידע אינו מתורגם), קושי בקביעת איכות המידע.

 

מר ישראל גרין- מנכ"ל חברת ,Asis Enterprises לשעבר בכיר במשרד רה"מ:

 הגורם האנושי: פערי תרבויות- פערי גישות

 

המרצה סבור כי יפן מובילה בעולם, גם בתחום האינטרנט והמחשבים.

בעודו עוסק ביפן המרצה העביר את הקושי בהבנת האחר, ההבדל התרבותי שבין היפני לישראלי, שכן לכל קבוצה אתנית קשה להבין את המושגים של חברה אחרת, וגם עומדת בפניינו מהמורה שבבסיסה חד פעמיות של הנסיון.

הלך הרוח הישראלי שונה באופן מהותי מזה של היפני, ולכן יש פער תרבות גדול ביותר ביננו. עלינו להבין את המגבלות שלנו כמי שחיים בצורה מסוימת. לכן, כשאנו מגינים על המידע, עלינו להבין את הערכים, צורת החשיבה ודרכי החשיבה של האחר, אחרת לא נוכל לבצע את מלאכתינו בצורה מושלמת.

 

גב' חדווה חזאי- סמנכ"ל חברת 'מידות מהימנות עובדים', לשעבר ראש החטיבה להתאמה ביטחונית בשירות הביטחון הכללי:

עברייני מחשב- גורמים ומניעים אישיים

 

כ-83% מהנזקים שנגרמים לארגונים, פיננסיים או בטחוניים, נגרמים על ידי העובד עצמו שנקלט במערכת ומקבל הרשאה לעבוד עם הגורמים עליהם המערכת מעוניינת להגן.

איך אנו כחברה תופסים את ההאקרים לעומת גנבים?

בתחקיר הבטחוני ההאקר מתוודה על הישגיו, אך המהימנות שלו בעייתית שכן בשל היותו האקר הוא מהווה סיכון בטחוני, ופעמים רבות לא נעשה שימוש מושכל ביכולתיו בשדה הביטחוני.

החברה מאוד מעריכה ידע וטכנולוגיה, במיוחד כשהידע ספציפי לאוכלוסייה מסוימת- אנו מבינים שמדעי המחשב הם חיונייים להתקדמות האנושית ואין לעצור את ההתקדמות, לכן יש סלחנות גדולה לעברייני מחשב- גם בעולם המשפטי.

האם זה באמת עבירה? האקרים פועלים מתוך תפיסת עולם שאנו חייבים לעשות את הפעולה עדי למגן על המידע.

האם אנו יודעים לבנות פרופיל או למצואת את העבריין התעסוקתי הבא?

לא ניתן לבנות פרופיל של עבריין מחשב- אך יש משולש גורמים הממפה את פעילותו-

  • מניע- בדרך כלל, רצון או צורך להשיג במהירות כסף, מעמד, או כוח.
  • נגישות- כל הגופים עובדים עם מערכות מחשב, וכל עובד יכול לפרוץ.
  • צידוק- "כולם עושים זאת", "לא גרמתי נזק לאיש", "תיקנתי עול שנעשה לי ולאחרים כמותי", "הנהלים והחוקים של החברה לא מתאימים, זוהי לא עבירה"...

המרצה שאלה האם בארגונים נעשה תהליך סינון כדי למצוא את המשלוש הפוטנציאלי הזה וקבעה שיש לבחון ולמצוא את הגורם האנושי לפני שיפעל.

לבסוף, המרצה איירה את הקלסתרון הטיפוסי של ההאקר לפי נסיונה:

ההאקר הטיפוסי הוא לרוב אדם אינטליגנטי, חם, חברותי, יצירתי, נהנה מאתגרים. רוב ההאקרים כיום הם צעירים, בעלי משפחה, בדרך כלל פעילותם חשאית ולעיתים אף הופכת להתמכרות.

הם פועלים ממניעי אתגר, תועלת, תסכול, נקמה, אנטי ממסדיות או לשם מציאת מידע לצורכי ריגול.

המרצה חתמה בקביעה שלפני שאנו מדברים על אבטחת מידע, יש לטפל בגורם האנושי.


 

ד"ר אורלי תורג'מן-גולדשמידט- החוג המשולב למדעי החברה, אוניברסיטת בר-אילן:

 חדשות לבקרים- התראות על עבירות מחשב

 

המרצה פירטה על האזכורים של האקרים במדיה לפי מחקר איכותני שערכה ב-google alerts:

ההאקרים מוגדרים כסטייה על ידי החברה- בשנות ה-60 הם נתפסו כגאונים, כוירטואוזים, כגיבור מהפכת המחשב. רואים את ההשפעה שלהם, לטענת המרצה, ביצירת קוד פתוח ופיתוח המחשב האישי.

בשנים האחרונות, לעומת זאת התפיסה התהפכה- כעת ההאקרים נתפסים כפושעים, ונדליסטים וטרוריסטים המהווים איום על ביטחון המדינה.לאחר פיגוע התאומים הרחיבו זרועות הביטחון האמריקניות את 'חוק הפטריוט', ועתה כל מי שפורץ למחשב נחשב לפושע.

מאפיינים יחודיים להאקרים, לפי הפרסומים- גברים צעירים, פרופסיונלים, משכבה סוציו-אקונומית מבינוני ומעלה וללא עבר פלילי.

תוצאות המחקר- נראה כי לצד הדיווחים השליליים יש גם כיום מעט דיווחים חיוביים, תופעה שלא קיימת בתחומי פשיעה פיזיים. ההאקרים יכולים להבנות את עצמם באופן חיובי, כסוטים אך בצורה חיובית- יותר חכמים מהאדם הרגיל, הם רואים את עצמם כמובילי הדרך.

המדיה עוסקת בהבנייה של המציאות- שיקוף המציאות מוטה רייטינג. מפרסמת יותר פשעים מכל סוג שהוא לעומת דיווחים על דברים חיוביים. המדיה עושה פעמים רבות יצירת פאניקה מוסרית ומנטליות של אסון.

יש לציין כי התראות מסוג זה מניעות את גלגלי התעשייה של אבטחת המידע.


 מר אבנר בן אפרים- מייסד חברת 'אב-סק ביטחון מידע בע"מ', לשעבר בכיר במשרד הביטחון:

הגיעה עת המגן- שדרוג המשאב האנושי

 

לוחמת מידע- ארגוני הפשע תוקפים ותשתיות קריטיות נפגעות. עד היום העולם נחלק לתוקפים ולמגנים, כך גם מחולק המשאב האנושי.

הבעיה בכך היא שכשהמלחמות מתבססות על לו"מ, המנצח יכול להפסיד יותר מהמנוצח. שכן תשתיות חיוניות כגון חשמל או אינטרנט יכולות להיפגע, לכן אסור שהמגן ישאר בעליבותו. גם אם ניהיה התוקפים הכי טובים, לא נוכל לעמוד במחיר של תקיפה בתשתית חיונית ויש לשדרג את המגן.

הכשרת כוח האדם- ההכשרה של התוקפים והמגנים צריכה להיות דומה, אך יש להתייחס גם להבדל בין השניים- מצב המגן הרבה יותר מסובך משל התוקף כיוון שקשה הרבה יותר לנחש מאיפה תגיע תקיפה ומה יהיה טבעה.

יתרונות שדרוג מערך ההגנה- פיזור נכון של ידע והמידע, ושל המשאב האנושי והעברת הכובד מצד לצד- מעבר מהצד של התוקף לצד המגן, ואף לשתפם בתרגילים משותפים.