19 |
הביטחון
ינואר-פברואר 4102
דואר אלקטרוני (דוא"ל). חג המולד 3002, קפצה כמות ה"פישינג"
פתאום חודש אחד %004 ומאז, איום זה אינו יורד מסדר היום.
העו דה היא ש נקודת זמן מיוחדת מאד "הוקפץ" השימוש "פישינג"
צורה משמעותית ומאז, נושא זה מוכר וידוע.
גם מודיעין על תקיפות אינו עניין חדש. כמוהו כתחום ההצפנות
שהיה תחילתו נחלתו הכמעט לעדית של המיגזר ה יטחוני עד
שאי־שם שנות ה־07 של המאה ה־02, גם טכנולוגייה זו החלה לזלוג
מהעולם ה יטחוני לעולם האזרחי. היה צורך, היה ידע, היו אנשים,
שע רו כל העת מעולם ה יטחון לעולם האזרחי והע ירו עמם את
הידע, המידע והיכולות. "מודיעין הסיי ר" איננו שונה גם עניין זה.
איסוף מודיעין נעשה מאז ומעולם למטרות יטחוניות ואזרחיות, אלא
מה? "ה יטחוניסטים" שפרשו מהיחידות הטכנולוגיות־ה יטחוניות,
הוציאו עמם, מודע ושלא מודע, ידע ומידע שרכשו שם, כך שלא זה
מה שיוצר את הה דל.
ואם נדרשת דוגמה מיוחדת לעניין תקיפה למטרת איסוף מודיעין,
הרי שזו מצויה ספר "העין של וושינגטון", או שמה היותר ידוע של
אותה הפרשה:
The Inslaw Affair/PROsecutors Management Information Systems
־
PROMIS
(תקיפה מתמשכת המ וצעת של ים) מצויינת,
APT
זו היא תקיפת
שהחלה מתי־שהוא שנות ה־07 של המאה ה־02.
כל הדיון שלנו קיימת הנחה סמוייה המתייחסת ל עלות על רכי י
המיחשו , ש הם המידע הארגוני נאגר ומעו ד. ההנחה הינה, שמדו ר
רכי ים עלות הארגון ופועל יוצא מכך הינו שהארגון, מצעות
אגף מערכות המידע שלו, חולש על אותם הרכי ים ועל־כן החלוקה
שהוצגה לעייל תקפה, דהיינו, מנהל טחת המידע אחראי על סיכוני
הסודיות, מנמ"ר־מנהל פיתוח אחראי על סיכוני שלמות ואמינות
והאחריות לטיפול זמינות מתחלקת כפי שמצויין לעייל.
אולם מה קורה כאשר המידע הארגוני מצוי חריותו של גוף
אחר וזה על־פי החלטה מראש של הארגון והמידע איננו מוע ר מהגוף
האחר לארגון כפי שהד ר לידי יטוי למשל מגזר ה ריאות? מי
אחראי ל טחת מידע זה? על־מנת לה ין נקודה זו, להלן דוגמה: כל
אחד מאתנו הוא לקוח של אחת מאר עת קופות החולים. כאשר אנו
מממשים את זכותנו לק לת טיפול רפואי מצעות זכאותנו ועל
סיס ה יטוח קופה, קיימות שתי אפשרויות, האחת שאת הטיפול
הרפואי אנו מק לים מרפאת הקופה והגורם המטפל נו עושה שימוש
מערכות המידע של הקופה. מצ זה, אנו מצויים תחום חלוקת
האחריות ל טחת המידע כפי שתוארה לעייל. האפשרות השנייה הינה
שהטיפול הרפואי מ וצע מכון חיצוני, אליו אנו מופנים מצעות
הקופה והמטפל ישתמש לשם כך מערכות מידע, שאינן של הקופה,
אלא של המכון העו ד עם הקופה שלנו. פועל לא תמיד המידע מוע ר
מהמכון לקופה תקשורת מחש ים והמטופל עשוי לק ל תדפיס של
CT
המפגש או מידע על מדיה מגנטית צורה כל־שהיא (לדוגמה, צילום
.)
CD
שהמטופל יק ל על־ג י
מצ זה, דרישות ה טחה מושתתות על המכון החיצוני מצעות
ההסכם הנחתם אתו. הסכם זה עשוי להיות תוצאה של הליך־רכש
מצעות מכרז. מקרה זה (ומודגש שמדו ר מקרה זה) אגף מערכות
המידע של הקופה איננו חיי להיות חלק מתהליך רכש השירות על־ידי
הקופה ועל־כן עשוי להיווצר מצ , שעל מנהל טחת המידע לק וע
דרישות שלושת התחומים:
שימור סודיות המידע־ כיוון שמדו ר מידע רפואי־אישי, כזה המוגן
על־פי החוק והתקנות להגנת הפרטיות מדינת ישראל.
שימור שלמות המידע ואמינותו - חוק הגנת הפרטיות, נושא
שלמות המידע ואמינותו כלול גם הוא הגדרת טחת המידע ועל־כן
גם נושא זה מצוי חריות מנהל טחת המידע מקרה שכזה,
שימור זמינות השירות שיגרה ו מקרי חירום־ גם הזמינות מצוייה
הגדרת טחת המידע חוק הגנת הפרטיות.
מה אנו למדים אם כך מדוגמה זו? מקרה זה, מנהל טחת המידע,
ואו לכלול דרישות טחת המידע, שעל ספק שירותי ה ריאות
החיצוני לספק למ וטח, סמכותו ומחו תו לכלול דרישות לסודיות,
שלמות ואמינות וזמינות.
השאלה הינה כמו ן, האם יש ידיו את הכלים המקצועיים לדרוש
זאת, שכן יום־יום כפי שפורט לעייל, הוא אחראי רק על סודיות
המידע.
נקודה זו סיימנו למיט ה נתי את הדיון טחת מידע - הגנה
על מידע. השאלה היא האם נותר משהו שלא טיפלנו ו והוא כלול
או אמור להיות כלול מענה המקצועי לסיכונים תחומי "סודיות",
שלמות ואמינות" ו"זמינות" שלא דנו ו עד לנקודה זו? המענה שלי
הוא שיש ויש.
וזה דיוק הה דל ש ין טחת - הגנת מידע והגנה סיי ר.
.
ועל־כך חלק השני והאחרון של מאמר זה שיפורסם גליון ה
: מה עלול לקרות אם יתממש הנזק? לדוגמה, חדירת קוד זדוני זה
Risk
: הפוטנציאל להתרחשות "משהו לא־טוב" ("נזק"). סיכון -
Threat
1. איום -
איום. הסיכון מאיום זה הינו משולש: שיבוש מידע, שיבוש עד השבתת יכולת הפעילות, גניבת מידע. האיום לא חייב להתממש או עלול להתממש בכל
קומבינציה אפשרית של מרכיבי הסיכון. כמו־כן, סיכון אחד יכול להתממש מיותר מאיום אחד. לדוגמה: השבתה יכולה להתממש עקב חדירת קוד
זדוני או מטעות אנוש או מפעולה זדונית של פצחן (האקר).
פנס הלם ייעודי
נשק שאינו קטלני המיועד לניטרול זמני למשך כשלוש דקות .
המכשיר מאפשר לצוות או ליחיד להתגבר ולנטרל כל גורם
מאיים ללא התנגדות.
מיועד לשיטור ציבורי, יחידות מיוחדות, לקב"טים בבתי משפט,
בבתי חולים, בשב"ס, במוסדות חינוך וגני ילדים, בתחבורה
ובמקומות רגישים אחרים דוגמת חוות בודדים.
| 050-8460261 :
מוטי
