האם גם אתה תהייה בכותרת הבאה?! <br>

"מנהל רכש במפעל ביטחוני חשוד בהונאה"

יום ראשון, 29 במאי 2005, 9:11

עובד במפעל המספק רכיבים לאלביט ורפא"ל, חשוד שניפח עלויות יבוא של רכיבים וגרף מאות אלפי דולרים לכיסו.

"בכירים במשק חשודים בפרשת ענק של ריגול תעשייתי"

יום ראשון, 29 במאי 2005, 12:15

בפרשה מעורבות החברות המובילות בתחומיהן בארץ
הותר לפרסום: בכירים במשק הישראלי.... חשודים בהזמנת מידע עסקי על יריביהם. תשעה חוקרים פרטיים נעצרו בחשד להפעלת תוכנת "סוס טרויאני".

"מסמכים סודיים שלנו הגיעו לגופים מתחרים"

יום ראשון, 29 במאי 2005, 19:21

לאחרונה אנו עדים לגל של כשלי אבטחת מידע אשר שוטף את החברות המובילות בארץ, הכולל ארגונים ממגזרים שונים (מזון, היי טק, תקשורת, מסחר, בטחון ועוד). במרבית מהארגונים שנפגעו, מיושמות טכנולוגיות אבטחת מידע מהמתקדמות ביותר, אך מסתבר שמקור הבעיה זה הגורם האנושי.

"סוס טרויאני" - תוכנה אשר פועלת, ללא ידיעת המשתמש, במחשב האישי שלו, במטרה לאתר מידע ממוקד ולשלוח אותו לכתובת ייעודית או להעתיק את פעולות ההקלדה ולחשוף קודי סיסמאות וכדומה.

החדרת "סוס טרויאני" מתבצעת בכמה שיטות כמו משלוח מייל הכולל קובץ WORD נעול על-ידי סיסמא, הפעלת הסיסמא מתקינה את הסוס הטרויאני.

החדרת קבצים עויינים על-ידי משתמשים לא מורשים למערך המחשבים (עובדי ניקיון, משתמש זר ועוד). דרך נוספת הינה קבלת מדיות המכילות מידע מגורמים לא מוכרים, קבלת והפעלת תוכנות DEMO מגורמים לא מוכרים, הורדת קבצי מחשב ממיילים אשר הגיעו כמכתבים משולחים מזוייפים ועוד שיטות העולות על כל דימיון, כאשר המשותף לכולן פעילות המשתמש אשר מתבצעת בתום לב, חוסר תשומת לב או אפילו זלזול בהוראות והנחיות.

הפתרון לבעיה הינו ניהולי, כאשר ניתן לחלק זאת לתחומים הבאים:
הצטיידות במערכות התגוננות טובות אשר מתעדכנות לפחות פעם ביום.
העלאת מודעות העובדים, בכל רובדי הארגון להיבטי אבטחת מידע בכל התחומים ולא רק בצדדים הטכנולוגיים.

כמו-כן הקמת מערכת ניהול אבטחת מידע אשר עומדת בדרישות התקן לאבטחת מידע ת"י Iso17799, הליך זה מהווה מסגרת ניהולית אשר נוגעת לכל רובדי הארגון, בכל רמות העובדים ומכסה את כל התחומים הנדונים.

התקן לאבטחת מידע ת"י Iso 17799 נותן מענה רוחבי לכלל הארגון לרבות התהליכים העסקיים שלו ונוגע בנקודות הבאות:

חיסיון - וידוא כי המידע נגיש רק למורשים בלבד.

זמינוּת - וידוא שהמידע והתהליכים זמינים בהתאם לצורך ובכל עת למשתמשים מהארגון ו/או אף מחוצה לו.

כלילוּת - שמירת דיוק ושלמות המידע ושיטות העיבוד.

המשכיות - הבטחת המשך הפעילות העסקית של הארגון, תוך הגדרת תהליכים וכלים המאפשרים התאוששות מהירה בעת אסון ו/או כשל.

בעת יישום והקמת מערכת ניהול אבטחת המידע נשאלות השאלות הבאות:

האם כל נכסי המידע והידע מוכרים וידועים, וקיימת מודעות לאיומים עליהם? האם כשלי האבטחה בשוגג או במזיד זוהו ומופו?
האם קיימת מדיניות אבטחת מידע וידע? האם רמות האבטחה שנקבעו ידועות וברורות לכלל העובדים?

האם כל משתמשי מערכות המידע מוכרים ומזוהים? האם נקבעו אמות מידה לווידוא עמידת הארגון בחוקים, תקנים ונהלים?

מערכת ניהול כזו תיתן פתרון רוחבי כולל בכל רובדי הארגון, גם במקומות אשר היבטים טכנולוגיים לא מיושמים. לרבות מחוייבות ההנהלה והעומדים בראש הארגון, למידע, לשלמותו וחסיונו.

אם אצטט ממאמר של מכון התקנים הישראלי:

"ארגון ה-I.B.F מסר, כי היקף נזקי החבלה והגניבה בתחום המידע אשר דווחו בשנת 1999 בארה"ב הגיע ל-$800M סכום זה מהווה רק את קצה הקרחון, שכן רוב הארגונים שנפגעו הסתירו את העובדה מחשש לפגיעה בתדמיתם או עסקיהם....

התקן לניהול אבטחת מידע ת"י 17799ISO מבוסס על התקן המתקדם ביותר בעולם בתחום זה Bs7799. הוא מטפל בראיה כלל ארגונית בכל ההיבטים הנדרשים למתן פתרונות שלמים לנושאי אבטחת המידע, ומתווה שיטה להקמה, לניהול ולתחזוקת הבקרות הנדרשות, תוך ניטור שיטתי ומניעת תקלות מראש. (יהושע פרייס, אגף איכות והסמכה, מכון התקנים הישראלי). ייעוץ ויישום מערכות ניהול אבטחת מידע ואיכות.