תקינה ורגולציה אל מול הפרקטיקה בהגנת סייבר איגוד האינטרנט הישראלי הכינוס השנתי ה 16- אבי נגר סקיורנט בע"מ הגנת סייבר We Certify Secured Networks • הצורך בהגנת סייבר הפך.
Download ReportTranscript תקינה ורגולציה אל מול הפרקטיקה בהגנת סייבר איגוד האינטרנט הישראלי הכינוס השנתי ה 16- אבי נגר סקיורנט בע"מ הגנת סייבר We Certify Secured Networks • הצורך בהגנת סייבר הפך.
תקינה ורגולציה אל מול הפרקטיקה בהגנת סייבר איגוד האינטרנט הישראלי הכינוס השנתי ה16- אבי נגר סקיורנט בע"מ הגנת סייבר We Certify Secured Networks • הצורך בהגנת סייבר הפך לחיוני מהרגע ששרותים באינטרנט הפכו להיות ממשק מהותי ובלתי ניתן להחלפה בשימוש היום יומי • הנתונים מצביעים על גידול של מעל 30%בהתקפות סייבר בכל שנה • אין ספק כי המגזר העיסקי ,המסחר המקוון ושרותים קריטיים הפכו לחזית בהתמודדות מול איומי סייבר מגזרים מפוקחים – – – – – בנקאות ופיננסיים שרותי בריאות תחבורה מערכות מידע חומרים מסוכנים אנרגיה שרותי חרום תקשורת שרותי ממשל -משק המים זהו כנראה הגבול הארוך ביותר איתו אנו צריכים להתמודד והוא מתפשט ומתרחב מיום ליום We Certify Secured Networks • ניתן להצביע על מגזרים הנמצאים בחיוניות מובהקת למשק ולבטחון בהם יש לתת דגש בהגנת סייבר – תקינות והנחיות – מפעלים בטחוניים – מלמ"ב – מפעלים וארגונים מונחים – רא"מ – בנקאות ופיננסיים – משרד האוצר ,בנק ישראל – מערכות מידע – משרד המשפטים We Certify Secured Networks רגולצית אבטחת מידע בתחום הסייבר פועלת בארץ במספר מישורים עיקריים – We Certify Secured Networks מערכות ההגנה (!) בקרות מומלצות198 קבוצות בקרה המכילות סה"כ18 SP800-53 הגדירו בNIST – בתוכן • Access Control – • (1) Access Control Policy and Procedures, (2) Account Management, (3) Access Enforcement, (4) Information Flow Enforcement, (5) Separation of Duties, (6) Least Privilege, (7) Unsuccessful Login Attempts, (8) System Use Notification, (9) Previous Logon (Access) Notification, (10) Concurrent Session Control, (11) Session Lock, (12) Permitted Actions without Identification or Authentication, (13) Security Attributes, (14) Remote Access, (15) Wireless Access, (16) Access Control for Mobile Devices, (17) Use of External Information Systems, (18) User-Based Collaboration and Information Sharing, and (19) Publicly Accessible Content Audit and Accountability – • • 1) Audit and Accountability Policy and Procedures, (2) Auditable Events, (3) Content of Audit Records, (4) Audit Storage Capacity, (5) Response to Audit Processing Failures, (6) Audit Review, Analysis, and Reporting, (7) Audit Reduction and Report Generation, (8) Time Stamps, (9) Protection of Audit Information, (10) Nonrepudiation, (11) Audit Record Retention, (12) Audit Generation, (13) Monitoring for Information Disclosure, and (14) Session Audit Awareness and Training – (1) Security Awareness and Training Policy and Procedures, (2) Security Awareness, (3) Security Training, (4) Security Training Records, and (5) Contacts with Security Groups and Associations תהליכי הבקרה • בכל סוג ארגון נדרשות כמובן ההתאמות והחידודים הנדרשים We Certify Secured Networks • הרגולציה נדרשת לטפל בתהליכים רבים ומורכבים החל מהתנהלות ארגונית ועובר דרך טיפול בארועים טיפול בארועים • לא אחת המשוב החוזר כולל שינויים נדרשים במערך ההגנה ,נהלים ,מנגנוני בקרה ומנגנוני פיקוח We Certify Secured Networks • תהליך הטיפול בארועים דורש משוב חוזר הנובע ממסקנות כל ארוע בעיות נוספות – – – – שרותי ענן טלפונים חכמים שרותי VoIP ... • חוקים חדשים דורשים התייחסות רגולטורית מתאימה • מגזרים בהם הרגולציה אינה חלה ,הנחלתה עלולה לעצור התפתחות והשקעות We Certify Secured Networks • הרגולציה נדרשת למרדף מתמיד אחר הקידמה הטכנולוגית הן עקב שכלול פתרונות ומנגנונים קיימים והן עקב היווצרות פתרונות ושרותי ITחדשים הבעיה לא רק שלנו • דו"ח משרד המבקר האמריקאי ( )GAOקובע כי חברות המוגדרות כספקיות שרותים קריטיים "טובעות" בהנחיות אבטחת סייבר We Certify Secured Networks • הממשל האמריקאי מצהיר כי בשל העומס החליט לרכז את המאמץ ב 7מגזרים בלבד :בנקאות ופיננסיים ,תקשורת ,אנרגיה ,שרותי בריאות ,מערכות מידע ,כורים גרעיניים ,חומרים מסוכנים ומים המצב כיום • הכבדה רגולטורית על ארגונים אינה דרך בטוחה לפתרון הבעיה ועלולה לעקב התפתחות טכנולוגית ושרותית • ארגונים רבים רואים בהגנה מפני התקפות סייבר ערך עיסקי ,שיווקי ושרותי וכתוצאה מכך משקיעים משאבים לא מבוטלים במיגון מתאים We Certify Secured Networks • אפילו החקיקה והרגולציה הטובים ביותר לא יימנעו בעיות אבטחה! פעולות נדרשות – הגנה על תשתיות קריטיות – חלוקת אחריות ופיקוח של רשויות ממשל – שיתוף מידע • נדרש לייצר מוטיבציה ע"י תמריצי שוק – תמריצי רכש במגזרים מסויימים – יצירת מוטיבציות כלכליות להגדלת ההשקעה של ארגונים – תמריצים ביטוחיים ואחרים We Certify Secured Networks • יש למקד את הטיפול השלטוני פעולות נדרשות • בנית רמות דרוג אבטחה המצביעות על רמת החוסן של השרות והקישור תוך בנית מוטיבציה עיסקית לניהולו ואכיפתו • טיפול בהתקפות סייבר יתחיל ברמת תשתיות לאומיות עם הגדרת מדרגים מוסכמים של "רמות שרות/אבטחה" תוך שיתוף פעולה עם ספקיות התשתית We Certify Secured Networks • נדרשת תשתית להשכלה פורמלית בתחום בכדי שניתן יהיה ליצור רמות הסמכה ואמון מקובלות פעולות נדרשות • שיתוף מידע בין המגזר העיסקי לגופי ממשלה על בסיס "התנדבותי" ולפי כללי חסיון שיוגדרו • יש לבדוק את האפשרות של יצירת שיתוף מידע וידע בין קהילת המודיעין והמגזר הפרטי על דרכים למיגון מפני התקפות סייבר – בנית מנגנונים אשר יאפשרו חשיפת מידע מגופי המודיעין למגזר העיסקי והפרטי לגבי איומי סייבר • בנית מערך ענישה מתאים ו"הרתעה" לאומית We Certify Secured Networks • בנית מוקד לאומי לריכוז ארועים ושיתוף מידע בתוך סקטור ובין סקטורים לצורך התמודדות עם התקפות דומות סיכום • • • • פעולות אלה יקטינו את הלחץ על הרגולציה וייצרו מינוף פנימי ועיסקי לשיפור העמידה מפני התקפות סייבר We Certify Secured Networks • • רגולציה נדרשת וחיונית נדרשת הרחבת המודעות במגזרים הקריטיים ויצירתה במגזרים אחרים בנית תשתית השכלתית לתחום תתרום להתמקצעותו פיתוח מוטיבציות כלכליות כדוגמת מנגנון מדרוג ,לעידוד שיפור רמת המיגון במגזר העיסקי והפרטי הקמת שרותי תשתית במדרוג מפוקח בנית מנגנון שיתוף הדדי בין מנגנוני המודיעין למגזר העיסקי יתרמו להפריה הדדית ויכולת התמודדות לאומית