זאב שטח, קומדע: "בישראל עדיין לא נעשה די מבחינת הרגולציה בתחום ההצפנה ולכן – המידע אינו מוגן"

"המידע הארגוני מצוי כיום בשני מצבים – נייח ובתנועה. יש להגן עליו לאורך כל חייו, והדבר נעשה בין השאר באמצעות הזדהות חזקה והצפנה", כך אמר זאב שטח, מנכ"ל קומדע. לדבריו, "עולם האבטחה הולך ומתקדם בתחום, אולם לצערי, לא מספיק נעשה בתחום בישראל מבחינת הרגולציה – בעולמות הביטוח, הפיננסי והבריאות".

שטח דיבר היום (ד') במפגש מנהלי אבטחת מידע שנערך במלון דניאל בהרצליה. האירוע הופק על ידי אנשים ומחשבים והשתתפו בו עשרות מנהלי אבטחת מידע בכירים מכלל מגזרי המשק.

לדבריו, "לנושאי ההזדהות החזקה, ההצפנות והחתימה אלקטרונית יש כיום משנה חשיבות בעולם, כיוון שהעבודה בארגונים נעשית מרחוק, או מול מיחשוב ענן. מקום הסיסמאות הקבועות הולך ופוחת, והן מפנות מקום לאמצעי הזדהות חזקים, מחוללי סיסמאות, מצפינים ועוד". שטח ציין, כי "גם תחום החתימה האלקטרונית הולך ותופס נפח בארגונים בישראל, כשכבר כיום, 50 אלף אנשים נושאים עימם חתימה אלקטרונית".

"כל התחום הולך ומתפתח בחקיקה העולמית, אולם לצערי, בארץ התחום מפגר לעומת העולם", המשיך. "יש חשיבות רבה להצפנות, להסתרת המידע ולמניעת הגישה מפני בלתי מורשים במגוון תחומים – מידע אישי, רפואי וכספי וכן מידע מסווג עסקית בארגונים. בעולם המערבי, הרגולטור מטיל עונשים כבדים על ארגוני בריאות, בנקאות וביטוח אם קורים אירועי אבטחה, אולם בארץ אין עדיין רגולציה מתאימה. חובה על המחוקק והרגולטור שיוטלו איסורים כבדים עם עונשים במקרי הפרה, כדי שכולנו נוכל לישון טוב בלילה".

צילום ועריכת וידיאו: גיא רז

בתשובה לשאלת אנשים ומחשבים אמר שטח, כי "פרשת הפריצה ל-IT של לוקהיד-מרטין (Lockheed Martin) כבר החלה לתת אותותיה, ומשפיעה על עולם אבטחת המידע. בכל שנה יש כמה פרשיות מסוג זה, והן מעלות את המודעות. אני מעריך שבארגונים דוגמת לוקהיד-מרטין יתחילו להצפין מסמכים הנדסיים. בסיסי הנתונים בכלל הארגונים יוצפנו אף הם, והגישה אליהם תהיה קשה עוד יותר מזו הקיימת כיום. ההתמודדות בין ההאקרים לארגונים החפצים להגן על המידע שלהם תימשך במלוא עוזה".

הוא ציטט מחקרים שונים שמהם עולה, כי ההלימה לסיכוני האבטחה היא הנושא החשוב ביותר אצל הנהלות ארגונים, עקב הפגיעה הצפויה במקרה שהסיכונים יתממשו והאחריות שאותה יצטרכו לשאת המנהלים.

"פרויקט הצפנה בארגון נדרש להכנה מוקדמת"

בדבריו אמר שטח, כי קומדע הוקמה לפני 26 שנים, החלה את דרכה בעולם אבטחת המידע ובעשור האחרון מתמקדת בעולמות ההזדהות החזקה, עולם הזיהוי הביומטרי, סיסמאות וחתימה אלקטרונית. הוא ציין כמה פרויקטים שהחברה ביצעה, בין השאר בארגוני בריאות ובמגזר הציבורי.

כשבאים לעשות פרויקט הצפנה בארגון, הוסיף שטח, "אחד הדברים החשובים הוא ניהול מפתחות ההצפנה. לצידם יש לטפל בתחום האלגוריתם של ההצפנה ובהסמכה של ההצפנות. פרויקט הצפנה בארגון נדרש להכנה מוקדמת, להפצת המפתחות, לבקרה עליהם, לטיפול בעובדים שעזבו, ולהצפנת מידע נייח ומידע בתנועה".

"הרגולטור במדינת ישראל ישן", סיכם שטח. "הנתונים והמידע אודות האזרחים מופקרים לגמרי. לרגולטור יש תפקיד חשוב בהגנה על המידע המצוי במאגרים השונים. הנזק במקרה פריצה אינו רק כספי, אלא גם באובדן המוניטין לארגון. בישראל המצב פחות טוב מהעולם: המפקח על הבנקים הוציא את הוראה 357, אולם ההנחיות חלשות למדי ולא מנדטוריות עם עונשי אכיפה, כמו בחוץ לארץ. כך גם בהנחיות המפקח על הביטוח, בתקנה 257. המצב חמור אף בעולם הבריאות – משרד הבריאות לא מתייחס לנושא בכובד ראש וממתין לעידן ה-'רשומה הרפואית', וזו טעות ממדרגה ראשונה. תקוותי היא שרמו"ט יקדמו הנושא, ובמקום להילחם בבניית מאגרי מידע – יפעלו לחייב הצפנה למאגרים אלה, שזה יותר מעשי".

"הרגולציה דוחפת ארגונים למימוש פתרונות אבטחה"

קיין הארדי, סגן נשיא לדרום EMEA בחברת סייפנט (SafeNet), אמר ש-"נדרש להגן על המידע לכל אורך חייו. כשהוא נוצר, יש להגן על הגישה אליו, בין היתר באמצעות זיהוי המשתמשים. לאחר מכן יש להגן על המידע כשהוא בשימוש, במעבר בין מחשבים או שרתים בארגון, ולבסוף – כשהוא מאוחסן ולא בשימוש".

לדבריו, "בשנים האחרונות יש כמה מגמות עיקריות בתחום, בהן התחזקות רגולציות שדוחפות ארגונים למימוש פתרונות אבטחת מידע. בנוסף, יש כיום מודעות רבה יותר לצרכים השונים של אבטחת המידע. הפתרונות בתחום אינם פתרונות ההצפנה הפשוטים כבעבר, אלא פתרונות הרבה יותר מתוחכמים, ששמים דגש על האפקטיביות של האבטחה, נוחות השימוש והעלות הכוללת של הפתרון".

בשנים האחרונות, אמר הארדי, "גברה ההכרה שרוב דליפות המידע מהארגון מתבצעות על ידי אנשים שיש להם גישה לרשת הארגונית: עובדים, קבלני משנה, ספקים. לכן, הפתרונות חייבים להיות מקיפים. אי אפשר להסתפק בפתרונות זיהוי משתמש בלבד, כי אלה, חזקים ככל שיהיו, זמינים לכל הגורמים הללו".

הארדי סיכם בציינו, כי "אירוע לוקהיד-מרטין הוא בבחינת קריאת השכמה למנהלי אבטחת המידע ולתעשייה כולה".

אבטחת המידע לאורך מחזור חייו

יוסי פישלר, מנהל מכירות אזורי בסייפנט, ציין שהחברה הוקמה ב-1986, ובמהלך השנים גדלה באמצעות רכישות – בין השאר זו של אלאדין הישראלית, שבוצעה לפני שנתיים ושעל בסיסה קם מרכז מו"פ בארץ, המונה 200 מהנדסים. הוא אמר, כי החברה פועלת בכמה שדות: מוצרי אותנטיקציה, רכיבי HSM, מוצרי הצפנת מידע בבסיסי הנתונים, וכן הצפנת קווי תקשורת.

"סייפנט מאבטחת את המידע לאורך כל מחזור החיים שלו", הוסיף פישלר. "אנחנו מספקים מערך מוצרים שעוזרים למנמ"ר ולמנהל האבטחה הארגוני להגן על המידע בשלבים השונים: פתרונות לזיהוי משתמשים על ידי שני מזהים שונים, פתרונות הגנה על טרנזקציות כשהמידע בשימוש ואבטחה כשהטרנזקציה נשמרת, ללא יכולת להתכחש לה מאוחר יותר, פתרונות ליצירת ערוצי תקשורת מאובטחים ופתרונות לשמירת מידע מוצפן, בשימוש, או מאוחסן".

"פתרונות ההגנה שלנו עוקבים אחרי המידע ומשלבים הצפנה, אימות נתונים וניהול מפתחות לאבטחת המידע בכל שלב בחיים המידע: כשהוא במנוחה, בשימוש או מועבר בין יחידות קצה", אמר. "ארגונים יכולים להגן על המידע שלהם ולנהל את מדיניות אבטחת הנתונים עבור מסדי נתונים, יישומים, שרתי קבצים, מחשבים ניידים, תחנות עבודה ומדיה שניתנת להורדה. האבטחה נעשית לשם הגנה על זהויות, עסקות, נתונים ותקשורת. חברנו לנט-אפ (NetApp) כדי להרחיב את הפתרונות באופן שיכללו אבטחה עבור איחסון מידע וניהולו במרכז הנתונים, יחד עם גמישות שמאפשרת להרחיב את ההגנה גם על מודלים לאספקת תוכנה כשירות (SaaS) והענן לסוגיו".