מדיניות – עמוד 2

שמות מתחם ומשילות האינטרנט בתוניסיה ובמזרח התיכון

19 יולי 2016/ב מדיניות, תוניסיה, תשתיות /על ידי Tal Pavel

ב–4-5 במאי התקיים בתוניסיה הכינוס השלישי של Middle East DNS Forum (MEDNSF 2016) אשר אורגן על ידי ICANN (Internet Corporation for Assigned Names and Numbers) ו–Internet Society, במטרה "לבנות גשרים בין מומחים שונים באזור ובעולם הרחב, לחלוק נסיון, לעדכן את הקהל במתרחש בתעשיית שמות המתחם ברמה העולמית ובהזדמנויות העסקיות הנובעות מכך". הארועים הקודמים התקיימו בדובאי ובעמאן.

במסגרת הכינוס התקיימה ב–5 במאי סדנא בנושא ניהול cctld, בהשתתפות גורמים מקצועיים שונים, לשיח בנושא שם המתחם המקומי של תוניסיה (.tn). שם זה מנוהל על ידי Tunisian Internet Agency (ATI) משנת 1996 וכן שם המתחם.) تونس (משנת 2010. באותה השנה חלה גם הקלה בתהליכי הרישום של שם המתחם (.tn) ובכלל זה פתיחת פעילות של רשמים, הפחתת במורכבות תהליך הרישום והורדת העלויות. מדיניות זו היתה בעלת השפעה על הזינוק שחל במספר שמות המתחם הרשומים, כאשר כיום יש 33 אלף, תוך ציפיה כי בשנת 2025 יהיו 47 אלף שמות מתחם שכאלה.

אמנם מחקר של Middle East DNS הראה כי קיימת מודעות רבה של משתמשי הקצה בדבר השימוש בשמות המתחם במדינה, אולם אלו נוטים לרכוש שמות מתחם כלליים, יותר מאשר אלו מקומיים (בעלי סיומת .tn).

הסיבות לכך הן העדר שרותים מגוונים ואיכות לקויה של השרות, ובכלל זה העדר אפשרות לרישום ותשלום מקוונים, המונעים שימוש נרחב בשמות מתחם מקומיים. אכן גודל השוק מוגבל למדי ושיעור החדירה של (.tn) עומד על 0.77% ממשקי הבית, בעוד שזה בשפה הערבית עומד על 0.02% בלבד, כאשר רק אחוז אחד מהתוכן המקוון במדינה מצוי בשפה הערבית. היבט נוסף הוא תעשיית דואר הזבל המשגשגת במדינה, אשר מרביתה נשלחת משם המתחם המקומי, דבר המביא להגדרתו כספאמר.

אם כך כיצד יש לחזק את שם המתחם (.tn) ?

רשות הטלקום המקומית הפחיתה את התעריפים מ–42 TDN בשנת 2008 ל–16.1 TDN בשנת 2014.
מחקרים הראו כי מרבית האתרים בעלי הסיומת המקומית מתארחים בשרתים מחוץ למדינה, לפיכך יש לפתח תוכן מקומי, הואיל וזו הדרך היחידה לחזק את האתרים המקומיים ועל ידי כך שמות מתחם אלה.
רשות זו גם החלה ב–5 ביוני 2013 במהלך אשר איפשר פתיחת הרישום של שמות המתחם לציבור הרחב ובכלל זה ארגונים ציבוריים ופרטיים וגורמים משפטיים.

עוד הומלץ על מימוש אסטרטגיות שיווק למיתוג שמות מתחם אלו ובכלל זה שיווקם בלוויית מוצרים נוספים.

ממשלת סינגפור חוסמת הגישה לאינטרנט במוסדות ציבור מטעמי אבטחה קיברנטית

23 יוני 2016/ב מדיניות, ממשל, סינגפור /על ידי Tal Pavel

ב-9 ביוני פורסם כי ראש ממשלת סינגפור הודה שהמדינה היתה יעד למתקפות קיברנטיות "מאוד מתחוכמות" משך שנים, מבית ומחוץ והוסיף כי גם אם הנזק לרשת של הממשלה לא היתה הרסנית, עדיף לנקוט בצעדי זהירות.

בהקשר זה התגלה כי כמאה אלף מחשבים בשרות הציבורי יחסמו מפני גישה לאינטרנט החל ממאי 2017, לדבריו חסימת הגישה לאינטרנט ממחשבים של עובדי ציבור היתה "הכרחית" על מנת להבטיח שרשתות הממשלה ישארו מאובטחות.

"הגענו לנקודה הזו, והחלטנו לעשות זאת. האם אנו מאושרים ? אני לא בטוח בכך, הואיל והדבר יאט אותנו במונחי יעילות יומיומית. אולם במונחים של אבטחה ובטיחות מערכותינו, בטחון האזרחים שלנו והמידע שלהם, זה נחוץ בצורה מוחלטת. אחרת נמצא עצמנו יום אחד כאשר הזהות, כתובות והחזרי מס יהיו זמינים למכירה באינטרנט, בקובץ אחד של 10 ג'יגה. כיצד הממשלה תסביר זאת ?".

עוד התברר כי הגישה לאינטרנט חסומה במשרדו של ראש הממשלה עצמו בארבעת החודשים האחרונים. "ראיתי מספר תגובות, אנשים מאוד התרגשו. אולי לא הסברנו מספיק, אבל זה לא קשור בלהיות ליברלי או לא. זה קשור בבטחון ובאבטחה, ולעשות את שנדרש".

חוק חדש בערב הסעודית מחייב את מגזר הטלקום להתבסס על עובדים מקומיים

4 מאי 2016/ב מדיניות, ערב הסעודית, תקשורת /על ידי Tal Pavel

ב–9 אפריל פורסם כי בהוראת משרד התעסוקה בערב הסעודית מה–10 מרץ, עד ה–3 ספטמבר כל עובדי מגזר התקשורת יהיו חייבים להיות בעלי אזרחות מקומית, על מנת להבטיח שאין משרה בשוק הטלקום המקומי המאויישת על ידי עובד זר.

עוד נקבע כי עד 6 יוני על כלל תעשיית הסלולר בממלכה יהיה לגייס לפחות 50% עובדים סעודיים וכי עד ל–3 ספטמבר כל העובדים יהיו סעודיים, בכלל זה משרות בחנויות לממכר טלפונים ניידים, ראיית חשבון, שיווק ועבודות פקידות. חנויות ענק ובהן מחלקות שונות נדרשות לאזורים נפרדים למכירת טלפונים ניידים, תחזוקה ואבזור, שם רשאים עובדים סעודיים לעבוד בצורה בלעדית.

עוד נמסר כי מטרת הצעד היא ליצור הזדמנויות תעסוקה לבעלי אזרחות סעודית הרוצים להצטרף לתעשיית הטלקום, וכי יבוצע פיקוח בשיתוף פעולה עם גורמי אכיפת החוק על מנת לוודא עמידה של כלל הגורמים בכל רחבי הממלכה בהחלטה זו.

נטען כי צעד זה מקורו בלחץ בשל ההאטה הכלכלית בממלכה בשל הירידה במחירי הנפט, אשר לו השלכה שלילית על התעסוקה, כאשר רבים מהמשרות בתחומי השרותים והקמעונאות מאויישות בידי עובדים מדרום מזרח אסיה ומהודו.

איחוד האמירויות הוסמכה לנהל את שם המתחם .arab

20 אפריל 2016/ב UAE, איחוד האמירויות, מדיניות /על ידי Tal Pavel

ב-27 מרץ פורסם כי בתום תהליך בן שבע שנים, הרשות הציבורית לרגולציה של מגזר התקשורת (TRA) באיחוד האמירויות הוסמכה על ידי הליגה הערבית כאחראית על שמות המתחם (.arab) ו-(.) מטעם ארגון ICANN האחראי על שמות מתחם בינלאומיים.

נטען כי מיזם זה הוא בעל חשיבות אסטרטגית במגזר הטכנולוגיה באזור והוא צפי להעלות משמעותית את מספר אתרי האינטרנט והשרותים המקוונים בשפה הערבית, כמו כן הדבר יאפשר למשתמשים ערביים רבים יותר "גישה לשמות מתחם המייצגים את הזהות הערבית". ההערכה היא כי שמות המתחם יהיו זמינים לציבור באמצעות רשמים מורשים לקראת סוף 2016.

עוד נמסר כי הטלת המשימה על ה-TRA היא תוצר של הצלחתו בניהול שם המתחם הלאומי של איחוד האמירויות (.ae), אשר לו למעלה מ-175 מנויים וכן הצלחתו בניהול שם המתחם (.) אשר נחשב לאחד הראשונים שאפשר רישום באותיות שאינן לטיניות.

אכן, כבר במאי 2010 פורסם כי לראשונה אושרו שמות מתחם שאינם באותיות לטיניות, משמעות הדבר היא היכולת להזין כתובת בערבית עם הסיומת مصر (מצרים) עבור אתרים מצריים, السعودية (סעודיה) עבור אתרים סעודיים ו-امارات (אמירויות) עבור אתרי איחוד האמירויות.

תורכיה מנסחת אסטרטגיה חדשה בתחום האבטחה הקיברנטית

6 אפריל 2016/ב מדיניות, תורכיה /על ידי Tal Pavel

ב-31 ינואר דווח כי המועצה לבטחון לאומי בתורכיה (MGK) פרסמה אסטרטגיה בנושא אבטחה קיברנטית. חברי המועצה החליטו על אסטרטגיה חדשה המבוססת על שני רכיבים מרכזיים;

הגנה על מערכות המידע
תקיפת נגד מיידית של איומים אפשריים

חברי המועצה הדגישו את הצורך בהכללת כל המוסדות והארגונים אשר בהם מידע ותשתית קריטית באסטרטגיה של אבטחה קיברנטית, תוך גיוס "כל מוסדות הציבור והמגזר הפרטי על מנת שיקחו חלק באבטחה קיברנטית".

כחלק מהמדיניות החדשה יוגדרו קריטריונים חדשים עבור אלו הפונים ליחידות עיבוד מידע במוסדות ציבור ובכלל זה בדיקת בטחוניות של המבקשים וכן מומחיותם ואמינותם.

עוד נמסר כי לאחרונה התברר כי מגזר המידע סובל ממחסור בכוח אדם, מומחים וכן חברות פרטיות בתחום, זאת הואיל ומרבית חברות האבטחה במדינה, זרות ומקומיות, משוייכות לכאורה לתנועתו של פתהוללה גולן. לשם כך ינתנו בעתיד הקרוב תמריצים, ובכלל זה כספיים, על מנת ליצור ולחזק מוצרים מקומיים ולהגדיל את אפשרויות משאבי האנוש בתחום.

כמו כן דווח כי בימים הקרובים תוקם וועדת האבטחה הקיברנטית בראשות שר התחבורה, הספנות והתקשורת, אשר תדרך את חברי המועצה בנושא אבטחה קיברנטית.

ערב הסעודית תארח את הפורום השלישי לאבטחה קיברנטית

26 דצמבר 2015/ב מדיניות, ערב הסעודית /על ידי Tal Pavel

ב-19 דצמבר פורסם כי ב-24-26 מאי 2016 יתקיים בריאד שבערב הסעודית הפורום השלישי לאבטחה קיברנטית בממלכה.

מחקר שפורסם לאחרונה מגלה כי הממלכה ממוקמת במקום ה-12 מבחינת המדינות המותקפות ביותר בעולם במרחב הקיברנטי וספגה 1.81% מהמתקפות הידיעות. כאשר הגידול במחשוב במזרח התיכון הביא עימו חשיפות גדולות יותר לאיומי אבטחה קיברנטית ולצורך הנדרש למענה בתחום מדיניות אבטחה ובכלל זה תקינה, אסטרטגיה וכן מדיניות ממשלתית ליצירת מרחב קיברנטי בטוח מפני איומים אלו.

פורום זה יתמקד בשיתוף מידע וגישות להתמודדות מפני פגיעות בתשתיות קריטיות, לצד דיון בדרכים לקדם אבטחה קיברנטית בממלכה עד שנת 2020. מטרת הפורום לספק מפת דרכים למומחי אבטחת מידע באזור המפרץ.

עוד נמסר כי ערב הסעודית מהווה היעד השני בחשיבותו בעולם במספר התקפות ספאם וצורות אחרות של פשיעה קיברנטית, לפיכך על מנת להקטין איומים אלה, צפוי שוק האבטחה הקיברנטית לגדול לכ-40.5 מיליארד דולר מ-2014 ל-2018.

אכן הממלכה ניצבת בפני סוגים שונים של פשיעה קיברנטית, סחר בלתי חוקי בכרטיסי SIM העלולים לשמש גם גורמי טרור, לצד סחר מקוון בלתי חוקי בנשק, תקיפות מקוונת על הבורסה והמערכת הבנקאית, ונגד אתרי ממשל, ואף הדלפת פרטיהם של אנשי צבא סעודיים.

הסכמים, התרעות ותגובות במרחב הקיברנטי

8 אוקטובר 2015/ב Calcalist, ארה"ב, מדיניות, סין /על ידי Tal Pavel

ארה"ב בפרט והמערב בכללותו חווים בשנים האחרונות ארועים רבים, ולעיתים יומיומיים, הקשורים במרחב הקיברנטי ושליטתו על חיינו הפיזיים, באמצעות פעולות של פריצה וגנבת מידע ערכי רב וכן נסיונות לתקוף ולשבש מערכות תפעוליות שונות אשר להן חלק והשפעה בחייה של מדינה מודרנית.

אחד המקרים המפורסמים ביותר מהעת האחרונה הוא הפריצה למערכות המחשב של Office of Personnel Management וגנבת כ-25 מיליון רשומות מידע של עובדי ממשל בארה"ב ובהן מידע ערכי רב, אשר יש בו כדי להוות סכנה בטחונית למדינה, דוגמת הפרסומים לפיהם בין המידע הרב שנגנב היו ככל הנראה 5.6 מיליון טביעות אצבעות של גורמי ממשל. אסון אבטחתי ובטחוני ללא כל ספק, אשר נטען כי יכול לשמש את סין ורוסיה כדי לאתר מרגלים אמריקאיים.

כבמקרים רבים בעבר, הופנתה האצבע המאשימה כלפי סין, על ידי גורמים שונים ובכללם על ידי מנהל הבטחון הלאומי בארה"ב, ג'יימס קלאפר, גם אם התקבלה החלטה עוד קודם לכן לא להאשים רשמית את סין בפרשה. נשיא סין כמובן הכחיש את ההאשמות ואמר כי "ממשלת סין אינה מעורבת בכל צורה שהיא בגנבת סודות מסחריים ואינה מעודדת או תומכת בחברות סיניות המעורבות בכך בכל דרך שהיא".

בעקבות ארועים אלה הודיע הממשל כבר בסוף חודש אוגוסט כי הוא מפתח "חבילה של סנקציות כלכליות חסרות תקדים נגד חברות וגורמים פרטיים סיניים אשר ירוויחו מביצוע גנבות מקוונות על ידי ממשלתם של סודות מסחריים אמריקאיים בעלי ערך".

לקראת פגישתם של נשיאי שתי המדינות, אשר התקיימה ב-25 ספטמבר, ובעקבות שלל הארועים שבה הואשמה סין, פרסם הנשיא אובאמה אזהרה כלפי עמיתו הסיני לפיה כל פעולה של ריגול תעשייתי נתמך מדינה תחשב על ידי ארה"ב כ"מעשה של תוקפנות", הוא שב והזהיר מפני סנקציות אפשריות שיוטלו על סין וציין כי הסוגיה תהווה נושא מרכזי בשיחות בין השניים.

לקראת פגישת שני הנשיאים, דנו המדינות בהסכם לפיקוח נשק במרחב הקיברנטי, אשר יכלול הסכמה לא לעשות שימוש בנשק קיברנטי לתקיפת תשתיותיה של האחרת בעת שלום, אולם הוא לא יכלול ריגול תעשייתי מקוון או ארועים דוגמת פריצה למערכות ממשל. הסכם אשר לראשונה יכלול הגבלות על שימוש במרחב הקיברנטי כאמצעי נשק, בדומה לקיים לגבי נשק כימי, ביולוגי וגרעיני.

ניסוח הסכם הוא טוב ויפה, אולם האם ניתן לממשו הלכה למעשה ? לעקוב אחר אי הפרתו ? להרתיע, לאיים, לספק הוכחות לביצוע תקיפה קיברנטית שהפרה את ההסכם ?

האם אכן נשק קיברנטי משול לנשק כימי, ביולוגי וגרעיני מבחינת היכולת לפקח עליו, על ההצטיידות והשימוש בו ? אפילו לגבי דברים מוחשיים ופיזיים כנשק כימי ופרוקו בסוריה, התברר כי 'המדינה האסלאמית' הצליחה לשים ידה על נשק זה בסוריה, עת השתלטו על אזורים בהם החזיק המשטר חומרים אלו, למרות משטר הפיקוח והפרוק של האו"ם, ולתקוף את הכורדים בגז חרדל באוגוסט השנה.

אם כך, מה רמת הפיקוח על פעולה המתבצעת "במחשכי המחשבים" ושניתן להסוותה בנקל ? האם אכן ניתן לספק הוכחות לתקיפות שכאלה או שאיומי של הנשיא אובאמה הם אכן ריקים מתוכן ?

אחת מבעיות הייסוד של פעילות במרחב הקיברנטי היא "בעיית הייחוס" אותה סוגיה בסיסית שהיא הכרחית למניעה, מעקב, איום, הרתעה ותגובה, באשר היא; הידיעה מי האויב שלי ? מי מאיים עלי ? היכן הוא נמצא ? מי ביצע את התקיפה ?

מעקב אחר פעילות של מתקפות קיברנטיות היא קשה, על אחת כמה וכמה במקרים בהם מעורב בכך שחקן מדינתי בעל יכולות על להסוות את דבר התקיפה ומעל לכל את זהות ושיוך הגורם העומד מאחוריה. בתחילת חודש ספטמבר פורסם קיומה של קבוצת האקרים דוברת רוסית העושה שימוש בלוויינים מסחריים, לא רק לשם גנבת מידע רגיש מגופים דיפלומטיים וצבאיים בארה"ב ובאירופה, אלא אף כדי להסוות את מיקומם האמיתי.

אמנם הסכם זה בין ארה"ב וסין לעניין השימוש בנשק קיברנטי סביר להניח כי כולל מנגנוני בקרה ופיקוח, התרעה וסנקציות, אולם בעיינה עומדת השאלה בדבר היכולת לממש זאת, לדעת בזמן אמת את זהות התוקף הקיברנטי בצורה מדוייקת וודאית. תוך יכולת להציג הוכחות חותכות לא רק לדבר ביצוע הפריצה או המתקפה, אלא מעל לכל לזהות התוקף.

ניתן להטיל ספק בדבר יכולתה של מדינה לא רק להשיג הוכחות חותכות שכאלה, אלא מעל לכל להציגן לציבור כדי לממש איומים בפעולת תגמול דוגמת סנקציות או תקיפה צבאית. סביר כי גם אם מדינה תוכל להגיע להוכחות שכאלה, היא לא בהכרח תרצה להציגן לציבור ובכך לחשוף מקורות ושיטות עבודה.

ובלא הוכחות ממשיות, עלולים ההסכמים, האיומים וההצהרות השונות בנושא להיות לא יותר מתרגיל יחסי ציבור ומילים ריקות מכל תוכן ממשי. כך שאולי זהו הסכם ראשון להסדרת השימוש בנשק קיברנטי, אבל ארוכה הדרך ליכולת לממשו בעת הצורך באמצעות הטלת סנקציות או ביצוע תקיפה צבאית ממשית כתגובה למתקפה קיברנטית.

פורסם בכלכליסט ב-8 אוקטובר 2015

הסייבר לא מוגז בישראל

18 ספטמבר 2015/ב Calcalist, ישראל, מדיניות /על ידי Tal Pavel

"סייבר" הפך למילה החמה ביותר בעת האחרונה, אנו נחשפים עוד ועוד אליה בהקשר של ארועי הדלפות מידע ושיבוש פעילות החיים הפיזיים כתוצאה משיבוש מערכות מחשב השולטות בחיים אלו.

ארועי סייבר קיימים השכם והערב ברחבי העולם, על פי רוב יותר מאשר אנו מודעים לכך; פריצות, השבתות ודליפת מידע במגוון רחב של מגזרים ובכלל זה; בנקאות, חינוך, אנרגיה, חשמל, צבא, כלכלה, תעופה, אתרי חדשות, עסקים, תשתיות האינטרנט, בריאות, תחבורה.

זאת על ידי גורמי המזוהים עם 'אנונימוס', 'המדינה האסלאמית', גורמי פשיעה ושחקנים מדינתיים דוגמת איראן, סין. באמצעות הנדסה חברתית, החדרת נוזקות, מתקפות מסוג 'מניעת שרות מבוזרת', רוגלות, השחתות אתרי אינטרנט, הונאות. לשם נסיון להתמודד עם שטף ארועים אלו, המדינות נערכות באמצעות סקרי מוכנות, חינוך והכשרה, קביעת מדיניות, ביצוע תרגולי סייבר שונים.

הסייבר מבעבע, פרשיות חדשות של ארועי פריצות, הונאות, השחתות, דליפת מאות אלפי ומיליוני רשומות צפות כבועות גז, מקרקעית מערכות המחשב, ומתפוצצות בתקשורת ברחבי העולם; פינלנד, בלגיה, אוסטרליה, אפגניסטאן, דרום קוריאה, הודו, וייטנאם, ארה"ב, איחוד האמירויות, לבנון, תורכיה. בעצם בכל רחבי העולם.

כמעט, רק כמעט. כי יש מקום אחד בו כמעט ולא נשמע דבר על ארועי סייבר מקומיים, במעצמת הסיליקון של המזרח התיכון ובדמוקרטיה היחידה בו, במדינה בה קיימות מאות חברות סייבר, הסייבר עצמו עוד לא מוגז. הוא עוד לא מבעבע.

יש גורמים רבים במדינה שאמונים על הגנת תשתיותיה הקריטיות של ישראל מפני תקיפות קיברנטיות העלולות להשבית את פעילותה הפיזית ושגרת חייה של המדינה, וגורמים האחראיים למניעת דליפות מידע.

אולם גורמים שכאלה ופעילות הגנתית נרחבת קיימת ברחבי העולם ועדיין אנו שומעים כמעט כל יום על ארועי סייבר שכאלה, אז מדוע לא בישראל ?

כיצד יתכן שבישראל הידועה כמדינה מודרנית, מתקדמת, טכנולוגית, מתוקשבת ומרושתת, לא שמענו עד כה על דליפת מידע משמעותית של מידע אישי ורפואי מבתי חולים, גניבה המונית של כרטיסי אשראי מרשת מרכולים, שיבוש פעילות בנקים, או גורמי תקשורת וסלולר ?

האם זו אחת המדינות היחידות בעולם בה אין ארועי סייבר שכאלה ? אין פריצות למערכות מחשב ? לא דליפות מידע המוניות ? או פגיעה במערכות תשתית ? או שמא זו אחת המדינות היחידות בעולם בהן ארועי סייבר אכן מתרחשים, אולם הם טמונים עדיין בקרקעית מערכות המחשב הארגוניות והממשלתיות – בידיעתם או שלא בידיעתם של הגורמים הרלבנטיים – והם עדיין לא בעבעו ועלו על פני השטח, לתודעה התקשורתית והציבורית ?

בעידן הזה ההתנהלות מבוצעת במחשכי המחשבים, קשה לדעת כי בוצעה פריצה למערכות המחשב או תקיפתן, קל לתוקף להסוותה, קשה לקורבן לגלותה. זו לא שריפה, טיל שנפל, חוליית מחבלים שחדרה את הגבול או תאונת דרכים, להם יש עדות מוחשית, לכן קל גם לקורבן להסוותה מעין לקוחותיו ומהציבור הרחב.

לכן יתכן שהיינו עדים לארועים של מתקפות סייבר בישראל, אשר יתכן ולא בהכרח הובאו לידיעת הציבור כשכאלה, סביר להניח כי חלק מהארועים דווחו כתקלות, תחזוקה שגרתית של מערכות המחשב הארגוניות, או פעילות מבוקרת אחרת כלשהי.

אם נצא מההנחה כי לא יתכן שמדינה טכנולוגית וממוחשבת כישראל לא חוותה ארוע סייבר שהשפיע על חיי תושביה, הרי שהדבר עלול ליצור "משבר אמון טכנולוגי" ומעלה שאלות רבות, אנו עלולים בעידן זה לעמוד בפני "שרשרת אי אמון טכנולוגית"; העובד לא יוכל לסמוך על מערכות המחשב, על צגי התפעול והבקרה הואיל והתוקף יכול לא רק לחדור למערכות המחשב, אלא גם להסוות את הנזק על מנת להעצימו; המנהל לא יוכל לדעת האם דיווחי עובדיו אמיתיים והאם זו אכן תקלה, תקיפה חיצונית או חבלת מעשה ידי זאב בודד פנים ארגוני; אנו הצרכנים והלקוחות לא נוכל לדעת האם השבתת התקשורת למשך מספר שעות היתה תוצר של תקלת מחשב, טעות אנוש, החלפת גרסה או מתקפת סייבר מתוחכמת על תשתית התקשורת בישראל מצד גורמים עויינים שונים.

כל אלו מחייבים התנהלות שקופה יותר, ככל הניתן, בכל האמור בהתנהלות ארגונית, ציבורית וממשלתית מרגע ההבנה כי אלו היו נתונים למתקפה קיברנטית. יש צורך בחקיקה ובקביעת נורמות התנהלות ארגונית המחייבת דיווח אמיתי ובזמן אמת לא רק בין יחידותיו השונות של הארגון שנפגע, ולגורמים הממשלתיים האחראיים, אלא גם לגורמים מקבילים ומתחרים לארגון ואף חובת הודעה לציבור.

שמירת המידע המצוי במערכות המחשב של אתר הכרויות והיכולת להבטיח את הרציפות התפעולית של חברה לשרותי דלק הן דבר הכרחי ועל הציבור לדעת כי אלו עושות את המרב להגן על מערכות המחשב הללו ועל השירותים הניתנים באמצעותן ללקוחותיהן בימי שגרה. כמו כן על הציבור לדעת בעת חרום כי בוצעה התקפה על מערכות המחשב של גורמים אלה על מנת שידע שפרטיו חשופים לניצול לרעה ויערך בהתאם, ולהחליט האם לעבור להשתמש בשרותיה של חברת שרותי דלק אשר מערכותיה התפעוליות מאובטחת יותר.

עוד ארוכה הדרך עד אשר הסייבר בישראל יהיה צלול ומוגז יותר, בו ארועים שכאלה צפים ועולים כבועות גז אל פני השטח והתודעה הציבורית, לטובת כל הנוגעים בדבר.

פורסם בכלכליסט בתאריך 31 דצמבר 2015

הודו וארה"ב פועלות לחזק את שיתוף הפעולה בתחומי האבטחה הקיברנטית

1 ספטמבר 2015/ב ארה"ב, הודו, מדיניות /על ידי Tal Pavel

ב-14 באוגוסט פורסם כי הודו וארה"ב הביעו את מחוייבותן לחזק את שיתוף הפעולה בנושאים קיברנטיים ביניהן לשם הגדלת האבטחה הקיברנטית העולמית והכלכלה הדיגיטלית.

בהצהרה משותפת שפורסמה בתום ועידה, הרביעית בסדרה, בת יומיים שהתקיימה ב-11-12 באוגוסט בוושינגטון, נדונו תחומים השונים ובכלל זה בניית היכולת של אבטחת קיברנטית, מחקר ופיתוח, לחימה בפשיעה הקיברנטית, בטחון בינלאומי ומשילות אינטרנטית.

בנוסף נפגשו המשלחות עם נציגים מהמגזר הפרטי ודנו עימם בנושאים הקשורים באבטחה קיברנטית וכלכלה דיגיטלית, זאת לצד גורמי ממשל בכירים בארה"ב.

בכירי התעשיה מארה"ב הגישו המלצות לממשלות ארה"ב והודו, בהדגישם את הצורך בהגנה על מידע חוצה גבולות, הקלה על שליטה מרוחקת, יצירת תקנים להצפנה חזקה והפחתת איומי אבטחה קיברנטית באמצעות שותפויות ממוקדות של המגזר הציבורי והפרטי.

סבב השיחות הבא יתקיים בדלהי בשנת 2016.

יפן מעדכנת את מדיניות האבטחה הקיברנטית

31 אוגוסט 2015/ב יפן, מדיניות /על ידי Tal Pavel

ב-21 באוגוסט פורסם ב-The Japan Times כי לאור דליפת 1.25 מיליון רשומות של מקבלי פנסיה במדינה, אימצה הממשלה טיוטה מעודכנת של אסטרטגיה חדשה לתחום האבטחה הקיברנטית הקוראת לניטור של מוסדות הקשורים בממשל מפני התקפות קיברנטיות.

הממשלה ניסחה את טויטת האסטרטגיה בחודש מאי ועדכנה אותה בעקבות ארוע דליפת המידע. ההצעה המתוקנת צפויה לקבל את אישור הקבינט היפני בו ביום. בנוסף הממשלה צפויה לנסח מסגרת חוקית רלבנטית.

הנוסח המקורי לא כלל סוכנויות עצמאיות וארגונים אחרים הקשורים בממשל ברשימת הארגונים הנתונים לניטור של ה-NISC – National Center of Incident Readiness and Strategy for Cybersecurity – לשם גילוי מתקפות קיברנטיות. בכוונת הממשל לכלול תחילה ארגונים המטפלים בכמות גדולה של מידע אישי או סודות דיפלומטיים ולהגדיל בהדרגה את מספר הארגונים תחת פיקוח.

מזכיר הקבינט אמר כי "מתקפות קיברנטיות הופכות למתוחכמות יותר ויותר, לפיכך עלינו לחזק את צעדי המדינה נגד התקפות שכאלה".

ההצעה המתוקנת מציעה קיום שיתופי פעולה בין ה-NISC וה-Information Technology Promotion Agency אשר לה מומחי IT רבים, וקידום גיוס מומחים מהמגזר הפרטי ל-NISC. כמו גם יצירת צוות תגובה מהירה, של המגזר הציבורי והפרטי אשר יכלול מומחי אבטחה קיברנטית למקרי חרום.

לעניין דליפת רשומות מקבלי הפנסיה במדינה, דוח חקירה ציין כי לשרות הפנסיה קשה להבחין בין דוא"ל נגוע לבין אחד תקין, הואיל ומרביתם של אלו מוסווים בחוכמה, לפיכך הנחת המוצא צריכה להיות שכל הודעות הדוא"ל יפתחו על ידי המשתמשים. לפיכך הובע הצורך ליצירת מערכת שתנתק את התקשורת מיידית למניעת התפשטות הוירוס והרחבת הנזק משעה שמחשב אחד הודבק בוירוס שכזה.

מדיניות האבטחה הקיברנטית של קטאר

19 יוני 2015/ב מדיניות, קטאר /על ידי Tal Pavel

תת השר לנושאי אבטחה קיברנטית במשרד התקשורת וטכנולוגיית המידע בקטאר אמר כי חוסן ואבטחה במרחב הקיברנטי חיוניים להמשך ההצלחה והשגשוג של קטאר. לשם כך, יש צורך באסטרטגיה לאומית כוללת לשם התמודדות עם האיומים החדשים.

לשם כך הוקמה הוועדה לאבטחה קיברנטית לאומית כחלק ממדיניות האבטחה הקיברנטית אשר פורסמה בנובמבר 2014.

לדברי הפקיד הבכיר, המטרה היא לאזן בין הצורך להגן על מוצרים ושרותים מתחום טכנולוגיית המידע והתקשרות, למול הצורך לספק הזדמנויות הממקסמות את התועלות והיעילות המצויות בתחום זה. "הדבר המרכזי הוא לשמור על מרחב קיברנטי מאובטח לשם שמירה על האינטרסים הלאומיים והגנה על התשתיות הקריטיות של המדינה מפני מתקפות גדולות".

בראיון עימו התייחס אל-האשמי – המנהל צוותים העובדים עם סוכנויות הממשל השונות, מוסדות פינסיים, מגזר האנרגיה וכן עם אנשי עסקים וגורמים פרטיים לשם הגנה על מידע רגיש ואבטחת בטחונים של הילדים באינטרנט – לצעדים שהממשלה נוקטת בתחום האבטחה הקיברנטית והתייחס בכלל זה לאתגרי האבטחה הניצבים בפני קטאר, יוזמות חדשות בתחום האבטחה הקיברנטית, וכן לאסטרטגיות להגנה על תשתיות קריטיות.

אתגרי המרחב הקיברנטי

מבין האתגרים מנה אל-האשמי את הבאים;

חוסר במיומנות – מספר נמוך של עובדים אשר להם כישורים להבנה ממשית את עולם ה-ICT והיכולים להתמודד עם אתגרי אבטחה קיברנטית.
סכנות שרשרת האספקה הגלובלית – המערכת העולמית כוללת מערכות מחוברות ובהן לרוב רכיבים רבים ממקורות מגוונים ומרחבי העולם. שרשרת זו כוללת חולשות אותם יכולים לנצל שחקנים שונים לשם ביצוע מתקפות.
חיבוריות ה-(ICS (Internet Connection Sharing – אלו מוחברים לרשתות עסקיות ולאינטרנט בצורה הולכת וגדלה. למול היעילות שבניטור מרוחק אחר התהליכים המכניים בהם נעשה שימוש בהפקת נפט וגז, חשמל וטיהור מים, הדבר מגביר משמעותית את פגיעות מערכות אלה מפני איומים קיברנטיים.
אילוצי שיתוף מידע – בעלי המידע או הספקים יכולים להרתע מלשתף מידע בדבר חולשות, ארועים ונהלי עבודה למניעת גילוי חולשות.
שינוי בפרטיות – לאור העליה בשימוש במידע פרטי בקרב ארגונים ממשלתיים ועסקים בינלאומיים, מדינות ממשיכות לחוקק חוקים ולעדכן את הקיימים בכל הקשור בפרטיות על מנת להגן על הפרט ועל המידע שלו.

בעניין היוזמות בתחום האבטחה הקיברנטית, ציין הבכיר כי מטרת הוועדה לאבטחה קיברנטית לאומית היא "להבטיח מסגרת חקיקה אפקטיבית לשם התמודדות עם פשיעה קיברנטית ואבטחת הנכסים הקריטיים שלה". עוד נמסר כי לצד החוקים הקיימים בתחום האבטחה הקיברנטית, הממשלה פועלת ליצירת חוק בתחום פרטיות המידע וחוק להגנה על תשתיות מידע חיוניות. בעניינו של חוק פרטיות המידע ציין אל-האשמי כי החוק עדיין בשלבי ניסוח והוא כולל את הכללים העולמיים הטובים ביותר והוסיף כי לבטח יהיה זה החוק הראשון באזור. מטרתו לעסוק באופן בו ארגונים מנהלים את המידע האישי, כאשר למשתמשים תהא הזכות להתיר מפורשות את השימוש בפרטיהם האישיים ולהבין את מקור המידע המשני.

כמו כן הוקמה תוכנית בשם CIIP) Critical Infrastructure Information Program) לשם פעילות משותפת עם מגזרים קריטיים על מנת לשפר את אבטחתם ולהעניק להם הנחיות להתמודדות עם אתגרי המרחב הקיברנטי. עוד מושם דגש על תוכניות של הדרכה ומודעות לשם בניית יכולת אנושית.

לצד זאת קיימת פונקציה של מודיעין בדבר איומים האחראית על ניטור המרחב הקיברנטי הקטארי, צוות ניהול הארועים פועל למול המגזרים החיוניים והציבור לצורך מענה לדליפות קיברנטיות.

הגנה על תשתיות קריטיות

קטאר הקימה את QCERT לשם בניית היכולת ופעילות שיתוף המידע והקמת ה-CIIP ב-2009. במסגרת זו זוהו עשרה מגזרים קריטיים ובכללם; ממשל, אנרגיה, פיננסים, תקשורת, תחבורה ובריאות. כמו כן נעשתה פעילות לשיפור רמת אבטחת המידע ופרסום מספר מסמכי מדיניות כדי להתמודד עם איומים ספציפיים. כדוגמא הוא ציין את תקינת מערכות שליטה תעשייתיות העוסקות במערכות SCADA תוך קביעה כי זו הראשונה מסוג באזור וככל הנראה מבין הבודדות הקיימות ברחבי העולם. זאת לצד שיתופי פעולה עם המגזר הפיננסי כדי לחזק את הכללים הטכנולוגיים במגזר זה.

במסגרת ניהול ארועים, הפעילות היא על בסיס תעדוף למול גורמים במגזרים קריטיים לשם ניהול ארועי סייבר. כמו כן הוקמו ועדות של מומחי סיכוני ידע (IRECs) לתשתיות קריטיות בתחומי האנרגיה, פיננסים, ממשל, באמצעותן מתבצע שיתוף פעולה ודיאלוג בתוך כל מגזר.

ארגונים, מחוקקים והממשל פועלים ליצירת סביבה תורמת בה המשתתפים חשים בטוחים דיים כדי לדון בארועים בבטחון מוחלט. "אני מעודדים שיתוף מידע בתוך כל מגזר, כמו כן זיהינו פרויקטים משותפים בהם ניתן לשתף פעולה לשם שיפור האבטחה הקיברנטית במגזר. השלב הבא שלנו הוא שיתוף פעולה חוצה מגזרים".

בנושא המודיעין הקיברנטי הוא מסר כי "הבנו את חשיבות המודיעין ופיתחנו כלים מבית לשם הבטחת המיקוד והרלבנטיות של המודיעין במדינה. התרעות ואזהרות מפני איומים מופקות על מנת לעדכן את בעלי העניין בדבר איומים חדשים ופוטנציאליים. זוהי תוכנית כוללת שמטפלת בחששות מרכזיים ומבטיחה שיש לנו את היכולת לממש מדינה חסונה ובעלת רמת בשלות גבוהה של הבנת אבטחת המידע".

בנוסף, מטרות הערכת סיכוני הגנה על תשתיות קריטיות תהיה;

פיתוח מסגרת לאומית של ניהול סיכונים לזיהוי נכסי מידע בתשתיות קריטיות.
הערכת איומים, חולשות ותוצאות, לצד פיתוח פרופילי סיכון.
ביצוע הערכות סיכונים קבועות למנהלי אבטחת מידע וארגונים אחרים.
ביצוע הערכות של תלויות ותלויות הדדיות לשם זיהוי סיכונים שיטתיים בחתך מגזרים קריטיים.

בתחום בניית היכולת נמסר כי קטאר משקיעה מאמצים רבים להכשיר מומחים בתחום האבטחה הקיברנטית, תוך עבודה עם אוניברסיטאות להעלאת המודעות להכשרת אנשי מקצוע צעירים בתחום אבטחת המידע לשם עבודה בתחום, לצד פעילות למול המכללות על מנת להבטיח כי יציעו לבוגריהן תוכניות בתחום אבטחת המידע.

הצעת חוק בכווית לעונשי מאסר בגין קשת נרחבת של פעילויות מקוונות

5 יוני 2015/ב כווית, מדיניות /על ידי Tal Pavel

ב-4 ביוני פורסם כי האספה הלאומית של כווית אישרה יום קודם לכן חוק אשר נועד להלחם בפשעים אלקטרוניים, תוך קביעת עונש של החל בחצי שנת מאסר לאלו המשתמשים באופן לא חוקי במחשביהם של אחרים, וכלה בעשר שנים, בגין סיוע מקוון לקבוצות טרור והלבנת הון באמצעות הקמת אתרים לקבוצות הטרור או פרסום חדשות עליהן אשר יש בהן כדי להעלות תרומות לארגונים.

החוק כולל עונשים דומים עבור אלו המפרסמים דרכים ליצור חומרי נפץ, או כל אמצעי אחר עבור גורמי הטרור. שר המשפטים ציין כי חוקים דומים מיושמים במדינות אירופאיות וכי על החקיקה למלא את החלל שנוצר בטיפול ספציפי בפשעים שכאלה.

החקיקה, אשר זכתה לתמיכת 28 חברי פרלמנט, שמונה מתנגדים ושני נמנעים, מטרתה להלחם בכל סוגי הפשיעה הקשורים בפעילות מקוונת והמרחב הקיברנטי ובכלל זה הרשתות החברתיות. ההצבעה השניה והסופית תתקיים ב-16 ביוני ונמסר כי מספר חברי פרלמנט הודיעו שיבקשו הכללת תיקונים בהצעה. מבין המתנגדים להצעת החוק היה חבר פרלמנט אשר הבהיר כי "עם כל הכבוד לשר המשפטים, אני חושב שאם החוק יעבור, מרבית תושבי כווית יהיו מאחורי סורג ובריח. אנשים עלולים להכלא לחמש שנים רק בעוון הודעת טוויטר אחת או שתיים" וטען כי אינו מאמין שחוקים דומים קיימים באירופה.

אכן, לאורך השנים כווית מצרה את צעדי משתמשי האינטרנט בתחומה; במרץ השנה דווח כי מקור במשרד הפנים מסר ששלטונות המדינה מנטרים הודעות טוויטר בקשת רחבה של "נושאים רגישים ואסורים", דבר אשר הביא למספר מעצרים במדינה. כבר ביוני 2011 דווח על מעצר משתמש טוויטר בשל ביקורת פוליטית שמתח בצורה מקוונת. בינואר 2014 נידון לראשונה אזרח כוויתי לעונש גלות מהמדינה עם תום תקופת מאסרו וזאת בשל הודעות שהציב בטוויטר שהופנו בין השאר לאמיר כווית ונתפסו כפוגעניות.