הרבה דיו ומילים נשפכו על נושא אבטחת המידע, וכל בעל עסק ואפילו בעל רשת ביתית שמע משהו על אבטחת מידע, ומן הסתם, עשה משהו בתצורת הגדרת נתב האינטרנט לשמש כחומת אש.
האם באמת די בכך? האם ,בעצם, בכל בית ועסק שיש בו מודם כבלים או adsl יש אבטחת מידע מובנית ואפשר "לישון בשקט"?
ובכן, פני דברים ,כתמיד, אינם כה פשוטים. בואו נחשוב לרגע ביחד: נניח שאני עסק כלשהו ,וממש לא משנה למה, ונניח שמן הסתם יש לי מידע עיסקי שכולל פרטי לקוחות ופרטים על דרך ההתקשרות שלי איתם ומן הסתם מידע שיש בו כדי לתת יתרון למתחרים שלי - לו יכלו לשם עליו את היד. ובכן, האם באמת ישנה סכנה שהמתחרה שלי יתאמץ מאוד ויפרוץ לרשת שלי על מנת לגנוב את המידע הזה? האם באמת האקר שיושב בפולינזיה או אינדונזיה או אפילו בוושינגטון יטריח עצמו לפרוץ למערכת המידע שלי כדי לגנוב את המידע הזה?
מן הסתם התשובה לכך היא שלילית. רוב המידע העיסקי, של רוב העסקים לא מעניין אף אחד עד כדי כך שמשהו יושיב אדם שיפרוץ למערכת המידע ויגנוב מידע.
אם כך המצב, הרי באמת חומת האש שיש בנתבים (ובהנחה שמשהו טרח והגדיר אותה) היא די והותר, ואם זה נכון: אז למה צריך מערכות חיצוניות ,שאינן זולות, על מנת להגן על הרשת הפנימית כשבאמת אין בעייה כפי שתארתי למעלה?
ובכן: כמו בהרבה מקרים ה"אוייב" הרציני הוא דווקא זה שבבית פנימה. רובם המכריע של אירועי אבטחת מידע (כ-70%) מבוצעים על ידי בעלי גישה חוקית למידע - קרי: עובדי החברה.
טוב. אז בואו נרגע רגע ונשב לחשוב. האם באמת אני ,כבעל עסק, צריך לחשוב על העובדים שלי כפוטנציאל נזק לעסק שלי? לצערי התשובה היא חיובית, אבל (ותמיד יש אבל...) צריך לקחת את הדברים בפורפורציות הנכונות, להכין שעורי בית ולהתכונן לכך בעוד מועד.
רבות נכתב על התלבטותם של עסקים לגבי המותר והאסור לעובדים שלהם לעשות ברשת האינטרנט, באמצעות החיבור שהם מקבלים ,בחינם, מהמעסיקים. עוד יותר מזה התלבטו ,ומתלבטים, ארגונים ברמת הגישה ורמת הצנזורה שיש לנהוג עם תיבות הדואר של העובדים שלהם.
ובכן, כמו כמות הבעיות כך כמות הפתרונות אבל, כאמור, צריך להכין שיעורי בית ולכן חשוב מאוד ,מראש ולא בדיעבד, למתג את מערכת המידע על פי העקרון של Need to know כלומר, העובד ,מיום אפס, תהייה לו גישה לערכות המידע שהוא צריך לצורך ביצוע תפקידו, לרבות ביצוע תפקיד שהוא עבודת צוות או ,אפילו, צוותים. המערכת הזו חייבת להיות שקופה לעובד ולמשתמשי הרשת בכלל, וכמובן שחייבת להיות מאוד דינאמית וניתנת לשינוי "מאחורי הקלעים", בזמן קצר ובמלי להפריע לעבודה השוטפת.
חומת האש היא אחד הכלים לשמירה על המידע הארגוני, לשמור את הפעילות בליבה העסקית עבור מי שבעליה החוקי ו/או עבור מי שצריך לפעול בסביבה העסקית של הארגון לשם השגת מטרותיו, ורצוי שעה אחת קודם.
האם באמת די בכך? האם ,בעצם, בכל בית ועסק שיש בו מודם כבלים או adsl יש אבטחת מידע מובנית ואפשר "לישון בשקט"?
ובכן, פני דברים ,כתמיד, אינם כה פשוטים. בואו נחשוב לרגע ביחד: נניח שאני עסק כלשהו ,וממש לא משנה למה, ונניח שמן הסתם יש לי מידע עיסקי שכולל פרטי לקוחות ופרטים על דרך ההתקשרות שלי איתם ומן הסתם מידע שיש בו כדי לתת יתרון למתחרים שלי - לו יכלו לשם עליו את היד. ובכן, האם באמת ישנה סכנה שהמתחרה שלי יתאמץ מאוד ויפרוץ לרשת שלי על מנת לגנוב את המידע הזה? האם באמת האקר שיושב בפולינזיה או אינדונזיה או אפילו בוושינגטון יטריח עצמו לפרוץ למערכת המידע שלי כדי לגנוב את המידע הזה?
מן הסתם התשובה לכך היא שלילית. רוב המידע העיסקי, של רוב העסקים לא מעניין אף אחד עד כדי כך שמשהו יושיב אדם שיפרוץ למערכת המידע ויגנוב מידע.
אם כך המצב, הרי באמת חומת האש שיש בנתבים (ובהנחה שמשהו טרח והגדיר אותה) היא די והותר, ואם זה נכון: אז למה צריך מערכות חיצוניות ,שאינן זולות, על מנת להגן על הרשת הפנימית כשבאמת אין בעייה כפי שתארתי למעלה?
ובכן: כמו בהרבה מקרים ה"אוייב" הרציני הוא דווקא זה שבבית פנימה. רובם המכריע של אירועי אבטחת מידע (כ-70%) מבוצעים על ידי בעלי גישה חוקית למידע - קרי: עובדי החברה.
טוב. אז בואו נרגע רגע ונשב לחשוב. האם באמת אני ,כבעל עסק, צריך לחשוב על העובדים שלי כפוטנציאל נזק לעסק שלי? לצערי התשובה היא חיובית, אבל (ותמיד יש אבל...) צריך לקחת את הדברים בפורפורציות הנכונות, להכין שעורי בית ולהתכונן לכך בעוד מועד.
רבות נכתב על התלבטותם של עסקים לגבי המותר והאסור לעובדים שלהם לעשות ברשת האינטרנט, באמצעות החיבור שהם מקבלים ,בחינם, מהמעסיקים. עוד יותר מזה התלבטו ,ומתלבטים, ארגונים ברמת הגישה ורמת הצנזורה שיש לנהוג עם תיבות הדואר של העובדים שלהם.
ובכן, כמו כמות הבעיות כך כמות הפתרונות אבל, כאמור, צריך להכין שיעורי בית ולכן חשוב מאוד ,מראש ולא בדיעבד, למתג את מערכת המידע על פי העקרון של Need to know כלומר, העובד ,מיום אפס, תהייה לו גישה לערכות המידע שהוא צריך לצורך ביצוע תפקידו, לרבות ביצוע תפקיד שהוא עבודת צוות או ,אפילו, צוותים. המערכת הזו חייבת להיות שקופה לעובד ולמשתמשי הרשת בכלל, וכמובן שחייבת להיות מאוד דינאמית וניתנת לשינוי "מאחורי הקלעים", בזמן קצר ובמלי להפריע לעבודה השוטפת.
חומת האש היא אחד הכלים לשמירה על המידע הארגוני, לשמור את הפעילות בליבה העסקית עבור מי שבעליה החוקי ו/או עבור מי שצריך לפעול בסביבה העסקית של הארגון לשם השגת מטרותיו, ורצוי שעה אחת קודם.
למנחם לוריא תואר ראשון במנהל עסקים מטעם מכללת רופין במסגרת התוכנית "BA למנהלים".מנחם לוריא עסק בחקירת עבירות מחשב כקצין חקירות במשטרת ישראל.
בחברת פלאפון עסק בחקירת מעשי הונאה,במסגרת זו הקים מערכות מידע שתפקידן לאתר ולסכל מעשי הונאה סלולרית. מתמחה בחקירת חוסנם של אתרי אינטרנט כנגד התקפות DOS או סוסים טרויאניים ובהשגת מידע עסקי מאתרי אינטרנט של לקוחות עסקיים. ניסיון רב בהקמת שרתי לינוקס הכוללים שרתי אינטרנט,הטמעת מערכות מידע עסקיות על גבי שרתי הלינוקס ומערכי גיבוי המבוססים על תוכנות קוד פתוח ובכלל.
אתר האינטרנט Cyta
בחברת פלאפון עסק בחקירת מעשי הונאה,במסגרת זו הקים מערכות מידע שתפקידן לאתר ולסכל מעשי הונאה סלולרית. מתמחה בחקירת חוסנם של אתרי אינטרנט כנגד התקפות DOS או סוסים טרויאניים ובהשגת מידע עסקי מאתרי אינטרנט של לקוחות עסקיים. ניסיון רב בהקמת שרתי לינוקס הכוללים שרתי אינטרנט,הטמעת מערכות מידע עסקיות על גבי שרתי הלינוקס ומערכי גיבוי המבוססים על תוכנות קוד פתוח ובכלל.
אתר האינטרנט Cyta