07/02/2012

נמרוד קוזלובסקי: "ההתקפות של התקופה האחרונה לא היו אירוע לוחמת סייבר כנגד ישראל אלא כשל אבטחת מידע במגזר הפרטי"

"הן בעיקרן התקפות לא מתוחכמות שנערכו על ידי גורמים עם מיומנות מוגבלות תוך שימוש בכלי מדף קיימים", הוסיף עו"ד ד"ר נמרוד קוזלובסקי בראיון לקראת כנס CyberSec 2012  ● לדבריו, למרות שכלי התקיפה היו פשוטים הם חשפו את חולשתה של ישראל במיגון התשתית האזרחית

האם לדעתך מדינת ישראל ערוכה לקראת מלחמת סייבר?
"לדעתי מדינת ישראל נערכת היטב בבחינה מערכתית של סוגי האיומים במרחבי הסייבר והגדרת תפיסת האיום בסקטורים השונים: צבאי, בטחוני ותשתיות קריטיות. כמו כן, יש היערכות מרשימה לגיבוש האבטחה בתשתיות חיונית. ברמה המוסדית נעשית עבודה ניכרת לגיבוש תפיסה ולהכנת התשתית המוסדית והטכנולוגית להתמגנות. ואולם, דומה כי תרחישי האיום הנדונים מתמקדים ב"אפקט דומינו" של הקרסת תשתיות ולא נותנים משקל לאיום המרכזי של ריגול שיטתי וחילוץ מודיעין לצד הטמנות יכולות שיבוש. תפיסת האבטחה נבנית על יסוד תרחיש איום חלקי ולא ממצה ודורשת בחינה מחדש. גם בחזית המוסדית נדרשת הבהרה של הסמכויות של הגופים השונים והגדרת גזרת אחריות ברורה. טרם ישנו טיפול ראוי בסיכון הקיים על התשתיות האזרחיות והעסקיות".

כיצד על המגזר העסקי להיערך לקראת מתקפת סייבר?
"עיקר פועלו של המגזר העסקי צריך להיות בבחינת יזומה של מידת החדירות של הארגון ומידול סיכונים של תרחישי איום שרלוונטיים לארגונים. התהליך חייב להיות בידי גורם הנהלה המרכז את איומי הסייבר כחלק ממתווה הסיכונים הכולל ולא להישאר בידי אנשי מקצוע טכניים. הארגון נדרש לבקרה חיצונית על תפיסת האבטחה וארכיטקטורת האבטחה ולהימנע מללכת שבי אחר תפיסת אבטחה המוכתבת על ידי גורמים פנימיים המוטים אחר תובנות קיימות בארגון. נדרש מעבר לחשיבה של ההנהלה על תהליכים וחשיפה של הארגון ברמה התפקודית והמנהלתית ולא לחשיבה על טכנולוגיה ורכש מערכות כפתרון לבעיית האבטחה. נדרש מערך תחקור מקיף של אירועי אבטחה והקמת צוותי ניהול אירועי אבטחה ותרגולם. במקביל נדרשת תשתית סקטוראלית לשיתוף מידע ולניתוח ריכוזי של אירועי אבטחה ומידע על איומים".

כיצד אתה מנתח את המתקפות של התקופה האחרונה?
"ההתקפות של התקופה האחרונה לא היו אירוע לוחמת סייבר כנגד ישראל אלא כשל אבטחת מידע במגזר הפרטי. ההתקפות של התקופה האחרונה הינן בעיקרן התקפות לא מתוחכמות שנערכו על ידי גורמים עם מיומנות מוגבלות תוך שימוש בכלי מדף קיימים ברשת. ואולם, בעוד שכלי התקיפה ומתודת ההתקפה הייתה פשטנית, הרי שהיא חשפה את חולשתה המרכזית של ישראל במיגון התשתית האזרחית ואת רצונם של גורמים עוינים למקד תקיפה למול האוכלוסייה האזרחית. ההתקפה הייתה תולדה של רשלנות חמורה במיגון אתרים עסקיים הפועלים בישראל והיעדר תשתית בסיסית להגנת מידע אישי רגיש הנאגר בהם. ההתקפה היא קריאת אזהרה לגבי המערך החסר של חקיקה, אכיפה ופיקוח על רמת האבטחה של אתרים בישראל".

מהם הנקודות העיקריות שאתה מתכוון להעלות בהרצאתך בכנס?
"אני מתכוון להציג מתווה לפתרון משבר אבטחת המידע שבא לידי ביטוי בין היתר באירועי חשיפת פרטי זהות של ישראליים ובהתקפות על תשתיות ישראליות. אני אציג את הסיבות לכשל אבטחת המידע ככשל מערכתי ביצירת תמריצים להתמגנות ובחינת רמת המוגנות של אתרים המאחסנים מידע פרטי רגיש, וכן ככשל של החקיקה והאכיפה בתחום ההגנה על מידע אישי ובדיווח על אירועי אבטחה. אציג תוכנית פעולה כיצד בשלבים פשוטה של חקיקה ואכיפה ניתן להביא לשיפור מהותי ברמת אבטחת המידע. עיקרי התוכנית ביצירת תמריצים, חובת בדיקה מונעת של רמת האבטחה,  חובת דיווח על אירועי אבטחה, סנקציות על כשל אבטחה ומערך מתכלל לניהול אירועי אבטחה".

 

*עו"ד ד"ר נמרוד קוזלובסקי הינו מומחה בדיני מחשבים ואינטרנט, מרצה בביה"ס למנהל עסקים, אוניברסיטת ת"א ויו"ר חברת אלטל לאבטחת מידע.

Contact us on WhatsApp
Open Accessibilty Menu