עידו גנור, IPVSecurity: "רוב ספקי אבטחת מידע משווקים הפחדה"

"ספקיות מוצרי ושירותי אבטחת המידע מספרות לארגונים כמה הכל מסוכן וכמה יהיו חשופים לפריצות אם לא ירכשו מערכת הגנה זו או אחרת. הן משווקות הפחדה, בעוד שמה שנדרש הוא ליישם מודל הבוחן את הארגון, תהליכיו, ופערי האבטחה שנדרש להתגבר עליהם", כך אמר עידו גנור, מנכ"ל ומייסד IPVSecurity.

גנור דיבר בפתח כנס שערכה החברה לציון עשור להקמתה. הכנס התקיים היום (ב') במסלול האקדמי – המכללה למינהל בראשון לציון, בהשתתפות כמאה מלקוחות החברה.

"אתגר המנמ"רים ומנהלי אבטחת המידע בארגונים, הוא כיצד לתקצב נכון ולתעדף את כל תחום אבטחת המידע והגנת הסייבר, ובצד זאת, להשקיע בבקרה כי התוכניות מומשו הלכה למעשה", אמר גנור.

החברה קמה, אמר, "כי מצב האבטחה לא היה מיטבי: לא הייתה הפרדה בין בקרה ואינטגרציה באבטחה, השוק היה חסר מתודולוגיות והתהליכים היו בעייתיים וארכו זמן רב. הממצאים הסתמכו על מציאת החוליה החלשה בשרשרת ולא באיתור כלל הפגמים והחורים".

IPVSecurity, אמר גנור, היא חברת ייעוץ העוסקת בהנחיות ובקרות בעולם אבטחת המידע, ובסיוע להלימה לרגולציות השונות. "פיתחנו מתודולוגיה איך לתעדף את המשאבים המוקצים לתחום אבטחת המידע", אמר גנור, "ומנגד, פיתחנו מתודולוגיה איך לערוך בקרה על התעדוף ועל מצב אבטחת המידע של הארגון".

"אנו מגיעים לארגון עם מערך שאלות, בדיקות ומבדקים טכנולוגיים, ומזהים את מצב הארגון ומעגלי אבטחת המידע הקיימים", תיאר גנור. אז אנו עורכים מיפוי פערים – בין הרצוי למצוי. בשלב שני, אנו מנתחים את הנתונים שנאספו, משלבים את הניסיון המצטבר שלנו, את ההיכרות עם האיומים הרלוונטיים למגזר התעשייה אליו משתייך הארגון וכן נתונים שאספנו בשטח". על בסיס זה, ציין גנור, "אנו בונים תכנית עבודה מסודרת לאבטחת המידע בלקוח הארגוני. זאת נעשית תוך תעדוף הפעילויות וההשקעות השונות באבטחה. לאחר מכן, ציין, נערכים השלבים הבאים:  ליווי הארגון בייעוץ ובקרה שוטפים, שכן יש לוודא כי התכנית מיושמת בהתאמה. שלבים נוספים במודל שבע השכבות שפיתחה החברה, ציין גנור, הם הקמת מערכות ניטור, SIEM ו-Web, טיפול באירוע, וניהול אבטחת מידע תוך התייחסות לתקנים ולתכנית המשכיות עסקית, BCP. הוא הכריז בכנס על אוסף בקרות שאותו החברה מציעה כשירותים לארגונים: ליישום נהלים, לחשיפות, למערכות ניהול משתמשים, למודעות עובדים, לכתובות חיצוניות, להרשאות על מידע קריטי ולהקשחות של שרתים קריטיים. "כך, הם יוכלו לקבל תמונת מצב שוטפת על אבטחת המידע בארגון", הסביר.

גנור סיים באומרו כי "ארגונים בישראל לא מנצלים באופן הנכון והמיטבי את תקציבי אבטחת המידע המוקצים להם, שממילא הם אינם גבוהים. הסיבה לכך היא שמנמ"רים ומנהלי אבטחת מידע לא באמת יודעים לפרט את סטטוס אבטחת המידע ואת הצרכים ולהצביע על נקודות התורפה שלהם. במקום להביט על כל מערך המחשוב והמצב של הארגון, הם נגררים אחרי פרויקטי אבטחה נקודתיים. על מנת לקבל החלטות נבונות נדרשת תמונת מצב טובה של סטטוס הארגון, עליהם ללמוד מה קורה בשטח, ברשת, בחשיפות שלהם. אם הם לא יידעו את כל זה, בהכרח רמת ההגנה שלהם תהיה פחותה. מוכרים הרבה פתרונות אבטחת מידע – אבל מרבית הפתרונות הינם למלחמה הקודמת, ולא למלחמה הנוכחית, ובוודאי שלא למלחמה הבאה".

איציק כוכב, ממונה אבטחת מידע, שירותי בריאות כללית. צילום: סטודיו איתן גרוס

איציק כוכב, ממונה אבטחת מידע, שירותי בריאות כללית, אמר כי "מצב הגנת הפרטיות על המידע הרפואי בישראל הוא בכי רע. כאשר מטופל מגיע לחדר מיון, פרטיו האישיים נחשפים למאות עובדים". על פי כוכב, "ישראל היא מדינה בעומס יתר חברתי, ושורר בה זלזול בהגנת הפרטיות, יש בה מיעוט רגולציה ואכיפה קלושה, ואין בה חינוך לתחום". הוא סיים בציינו כי "נדרש שינוי בתפיסת האבטחה, מיסוד רגולציות חינוך והכשרת מקצוענים. זאת, עם בקרה רב שכבתית על המשתמש ה'שובב', זיהוי אנומליות, בקרה על אנשי המחשוב, מנהלי מערכות ותמיכה, תקשורת, אפליקציות וממשקים. הנחת היסוד היא שאירוע אבטחה יקרה – והשאלה איך להיערך לקראתו ובעקבותיו".