Tal Pavel

האם ממשלת בריטניה מאפשרת חוקית לגורמי ממשל לבצע פריצות מקוונות ?

/ב , /על ידי

ב-17 במאי פורסם בדבר טענה לפיה ממשלת בריטניה שינתה בחשאי את החוקים נגד פריצה מקוונת ופטרה מהם את ה-GCHQ, המשטרה וסוכנויות מודיעין אלקטרוני מפני תביעה פלילית במקרה של פריצה למחשבים וטלפונים סלולריים, לשם ביצוע פעילות המעקב השנויה במחלוקת.

המידע על השינוי נחשף בשימוע המתנהל כיום בנושא חוקיות פריצה למחשבים של רשויות האכיפה בבריטניה וסוכנויות המודיעין. אולם נטען כי הממשלה תיקנה את 'חוק השימוש לרעה במחשב' (CMA) לפני חודשיים, כך שיתן ל-GCHQ וסוכנויות מודיעין אחרות הגנה רבה יותר באמצעות עדכון חוק הפשיעה החמורה. החוק שיאפשר לארגונים אלה לפרוץ מבלי חבות פלילית, עבר ב-3 במרץ 2015 ונכנס לתוקף ב-3 במאי.

אולם ממשלת בריטניה דחתה את הטענות של Privacy International וקבעה כי לא בוצע כל שינוי ב-CMA אשר ישפיע על פעילות סוכנויות הריגול.

Tal Pavel

הצי האמריקאי מפרסם פניה לחברות פרטיות לשם הגנה קיברנטית על מערכות נשק שלו

/ב , , /על ידי

ב-20 במאי פורסם כי הצי האמריקאי ((NAVAIR Cyber Warfare Detachment (CWD) פנה לחברות פרטיות לשם פיתוח טכנולוגיה להגנה על מזל"טים, טילים, חיישנים, כלי רכב בלתי מאויישים, ונשק מוטס, מפני האקרים.

האסטרטגיה של ה-CWD היא להגן על נקודות הגישה למערכות הנשק (זיהוי ומניעה), שרידות והמשכיות של ההפעלה במהלך קרבות פנים מול פנים (חוסן ותגובה), ולניהול הרכשה קיברנטית חכמה על מנת להשיג זאת. יסודות אלו של אסטרטגיית CWD עבור מערכות הנשק של NAVAIR היא לפיתוח כוח עבודה קיברנטי, השקעה בתשתית ובמחקר ופיתוח, קביעת תקנים וסטנדרטים ושיטות עבודה מומלצות.

אולם הטענה היא כי בחינת ההצעות תהיה לא לפני מאי 2016 וכי המימוש יהיה לפחות בעוד חמש שנים, בהן מערכות אלה יהיו על פניו בלתי מוגנות.

Tal Pavel

סין מכלילה את המרחב הקיברנטי כחלק מהריבונות המקומית

/ב , /על ידי

ב-8 במאי פורסם כי סין הכלילה את האבטחה הקיברנטית בטיוטת חוק הבטחון הלאומי, הצעד האחרון בשרשרת של מהלכים לחיזוק ההגנה על טכנולוגיית המידע במדינה.

ועדה של הקונגרס הלאומי העממי (NPC), הגוף המחוקק הסיני, בחנה את סעיף ה'ריבונות' במרחב הקיברנטי בחוק המוצע לבטחון לאומי, בהתאם להצעת החוק אשר הוצבה בצורה מקוונת. "המדינה הקימה מערכות אבטחה למערכות המידע ולאינטרנט הלאומי … המגינות על הריבונות הלאומית במרחב האינטרנטי, אבטחה ופיתוח אינטרסים". על המדינה "להשיג אבטחה ושליטה על טכנולוגגית ליבה של מידע ואינטרנט, תשתיות מרכזיות, ומערכות מידע ונתונים חשובות", כמו גם חיזוק ניהול האינטרנט והענשת תוקפי אינטרנט.

כמו כן נטען כי יש לחזק את התשתית הבנקאית ולשפר את המערכות הפיננסיות על מנת לעמוד בפני סיכונים וזעזועים בינלאומיים, מבלי לציין הנחיות למימוש.

הנסיונות הראשונים של סין להסדיר את תחום האבטחה הקיברנטית היו בעיקר בתחום טכנולוגיית הבנקאות והצעת חוק בתחום הלוחמה בטרור, אשר קראו לשימוש בטכנולוגיה "מאובטחת וברת שליטה" אשר פותחה בסין או בקוד מקור אשר שוחחר למפקחים סיניים.

Tal Pavel

ונצואלה מקימה מטה משותף להגנה קיברנטית במסגרת הצבא

/ב , /על ידי

ב-13 במאי פורסם כי ונצואלה הקימה מטה משותף במסגרת הצבא לנושא הגנה קיברנטית.

פרסום מספר 40,655 ברשומות הרשמיות, שם פורסם הצו, לא מספק פרטים נוספים על תפעול מטה זה, אלא מציין כי יהיו לו מספר חטיבות; רשתות חברתיות; מבצעי הגנה קיברנטית; ניהול אבטחת מערכות מידע; מחקר ופיתוח; מנהל וסגנו וכן ניהול אדמיניסטרטיבי.

המסמך מציין שהארגון החדש יהיה אחראי על ההגנה הקיברנטית של המדינה ויחליף את המטה המשותף לאבטחת מערכות מידע בצבא המקומי.

Tal Pavel

התמודדות המערכת הפיננסית בארה"ב עם אתגרי האיומים הקיברנטיים

/ב , /על ידי

ב-17 במרץ הודיע ה-Federal Financial Institutions Examination Council כי בכוונתו לנקוט במספר צעדים נוספים על מנת לסייע למוסדות בנקאיים להתמודד עם סיכוני האבטחה הקיברנטית.

במסגרת זו יעודכנו מספר חוברות הנחיה בתחומי מערכות המידע וזאת על מנת "לשקף את איומי הסייבר והחולשות המתפתחים במהירות, תוך התמקדות בניהול סיכונים ופיקוח; מודיעין ושיתופי פעולה למול איומים; בקרת אבטחה קיברנטית; ניהול תלות חיצונית; ניהול ארועים וחוסן". עם זאת לא נמסר מתי תיושם מדיניות האבטחה הקיברנטית החדשה.

עוד נחשפו שישה צעדי מפתח נוספים;

  • כלי להערכה עצמית של אבטחה קיברנטית – בכוונת הארגון להשיק כלי שכזה במהלך השנה על מנת לסייע למוסדות להעריך את סיכוני האבטחה הקיברנטית הקיימים בהם ואת יכולות ניהול הסיכונים.
  • ניתוח ארוע – חברי הארגון ישפרו את תהליכי איסוף, ניתוח ושיתוף מידע בינם לבין עצמם במהלך ארועי סייבר.
  • ניהול משבר – הארגון יקבע, יעדן ויבחן פרוטוקולים לשעת חרום כמענה לארועי סייבר רחבי היקף, תוך תיאום עם שותפים ציבוריים ופרטיים.
  • הדרכה – הארגון יפתח תוכניות הדרכה לצוותים של החברים בו בנושאי איומי סייבר וחולשות.
  • אסטרטגיה של ספקי שרותי טכנולוגיה – חברי הארגון ירחיבו את פעילותם בדבר יכולתם של ספקי שרותי טכנולוגיה לתת מענה לאיומי סייבור וחולשות.
  • שיתוף פעולה עם רשויות אכיפת חוק ומודיעין – הארגון ירחיב את שיתוף הפעולה עם רשויות אכיפת חוק ומודיעין לשם שיתוף מידע על האיומים המתרבים באבטחה הקיברנטית ושיטות מענה.

הודעה זו הגיעה כחודש לאחר שהארגון פרסם את FFIEC Issues Cyber-Resilience Guidance.

Tal Pavel

בכוונת ערב הסעודית להקים קואליציה בינלאומית למלחמה באתרי אינטרנט המעודדים טרור

/ב , /על ידי

ב-1 במרץ פורסם כי בכוונת ערב הסעודית להקים קואליציה בינלאומית כדי להלחם באתרי אינטרנט התומכים בטרור ומעודדים אותו.

מזכ"ל המכון הבינלאומי לאמצעים טכנולוגיים לעולם הערבי, עלי עובידי, מסר כי המטרה היא בחינת אתרי האינטרנט התומכים בטרור והרחקתם מהציבור וזאת לפני תחילת חודש הרמדאן (אשר יחל השנה ב-18 ביוני) וכי לשם כך החל המכון לכונן בריתות עם ממשלות ומרכזי מחקר בתוך ערב הסעודית ומחוצה לה ובכלל זה כווית, מלאזיה ומצרים. לדבריו, מטרת המכון היא "לתקן את הידע השגוי על האסלאם באמצעות חשיפת דרכי העורמה של הטרוריסטים למשיכת מצטרפים חדשים באמצעות האינטרנט".

ערב הסעודית נלחמת מזה שנים בתכנים האינטרנטיים הן משיקולי מוסר והן כחלק מהלוחמה בגורמי טרור במדינה. במסגרת זו דווח על סגירת למעלה מעשרת אלפים חשבונות טוויטר במהלך שנת 2014 בממלכה בשל "הפרות דתיות", זאת לצד דיווחים באוקטובר 2014 כי בכוונת משרד התרבות והמידע להטיל תקנות על אתרים לשיתוף תמונות וסרטונים על מנת להבטיח שאלו יפעלו בהתאם לחוקים בממלכה.

בנוסף, כחלק ממלחמתה בטרור בשטחה התייחסו גורמי הממשל בממלכה כבר בספטמבר 2011 לקלות שבסחר מקוון בלתי חוקי בנשק, זאת לצד מאבק בתופעת הסחר הלא חוקי בכרטיסי SIM המאפשר רכישה אנונימית של כרטיסים אלו גם על ידי גורמי טרור.

Tal Pavel

מצרים אישרה את הצטרפותה לאמנה הערבית ללוחמה בפשעי טכנולוגיית המידע

/ב , /על ידי

נשיא מצרים חתם ואישר בצו מספר 267 ב-14 נובמבר את הצטרפות מצרים לאמנה הערבית למלחמה בפשעי טכנולוגיית המידע, אשר נחתמה בקהיר ב-21 דצמבר 2010 ועליה חתומות 22 מדינות.

מטרת האמנה לחזק את שיתוף הפעולה בין החברות לשם "למלחמה בעברות של טכנולוגיית המידע המאיימות על הבטחון, האינטרסים והבטחון" של החברות. זאת תוך התייחסות ל"עקרונות הדתיים והמוסריים הגבוהים, במיוחד תקנות השריעה, כמו גם המסורת האנושית של האומה הערבית הדוחה סוגים של פשיעה, ובהתייחסות לסדר הציבורי בכל מדינה".

כמו גם "למנוע, לחקור ולהעמיד לדין" פשעים דוגמת התקפות קיברנטיות, פורנוגרפית ילדים, הונאה, דיוף, חדירה לפרטיות וכן "עברות הקשורות בטרור … דוגמת הפצת רעיונות של קבוצות טרוריסטיות והגנה עליהם".

Tal Pavel

נאט"ו: מתקפה קיברנטית נגד חברות הארגון משולה למתקפה פיזית

/ב , /על ידי

ב-1 בספטמבר פורסם כי נאט"ו אישר שבכוונתו להוסיף את נושא ההתקפות הקיברנטיות לרשימת האיומים שיגררו תגובה קולקטיבית, זאת בפגישה הצפויה של מנהיגי הארגון בהמשך השבוע בוולס.

אולם תכולתה של התקפה שכזו אינה חד משמעית ולנאט"ו כפי שדווח יש יכולת תגובה קיברנטית מועטה. בנוסף, חסר לארגון מידע ברור בדבר היכולות הקיברנטיות ההתקפיות של חברותיו דוגמת ארה"ב ובריטניה, דבר אשר ידרש לשם יצירת אסטרטגיה קיברנטית מפורטת.

בשבוע שעבר הודיעה  נאט"ו על כוונתה לעדכן את אמנת וושינגטון משנת 1949 עליו מבוססת הברית. Jamie Shea, האחראי על איומים בטחוניים צומחים, הבהיר כי הסכם החדש "קובע מפורשות שתחום הסייבר מהווה חלק מסעיף 5". ההצהרה תאושר השבוע לאחר שאושרה על ידי שר ההגנה של נאט"ו בחודש יוני השנה.

מטרת השינוי לענות על העליה המשמעותית בהתקפות קיברנטיות חמורות, דוגמת זו ששיתקה את אסטוניה בשנת 2007 ואת גאורגיה בשנת 2008, אשר רוסיה היא החשודה כגורם העומד מאחורי התקפות אלו, אולם היא הכחישה את מעורבותה באלו. תקיפות מתוחכמות אחרות יוחסו להאקרים סיניים ואיראניים.

הצהרה זו מסמלת שינוי ביחס חלק מחברות נאט"ו אשר בשנת 2010 דחה הצעה להוסיף התקפות על מערכות פיננסיות ועל רשתות חשמל לסעיף 5. אולם פקידים בארגון הודו שזהו הצעד הראשון בלבד וכי יש צורך בניסוח "אסטרטגיה כוללת".

עוד נמסר כי לפי שעה ההגדרה של מה תחשב התקפה קיברנטית, תשאר מעורפלת בכוונה, כמו גם הגדרת תגובת הארגון למתקפה שכזו. פקידים אמריקאים הצהירו כי התקפה קיברנטית אשר נראה כי מטרתה לסלול את הדרך בפני תקיפה צבאית קונבנציונאלית יכולה להפעיל את סעיף 5 באמנה. בנוסף הצהרות פומביות של הממשל האמריקאי קבעו כי תקיפת מחשבים אשר תגרום לנזק חומרי משמעותי או תגרום לאובדן חיי אדם, יכולה אף היא להענות בתגובה צבאית קונבנציונאלית.

אולם, לנאט"ו אין נשק קיברנטי משל עצמו ומעולם לא תודרך בדבר היכולות הקיברנטיות של מדינות חברות דוגמת ארה"ב ובריטניה. אלו, לצד גרמניה, שלהן יכולת קיברנטית מתקדמת, סירבו לקיים תדרוך לנאט"ו בדבר הארסנל הקיברנטי שברשותן, בחלקו כדי למנוע מחברות אחרות בארגון מלהשיג מידע זה.

כמו כן יכולות ההגנה הקיברנטית של נאט"ו מוגדרות כ"עדיין בסיסיות למדי", לצד העובדה כי אין ברשות הארגון "תוכניות מפורטות" של תגובה קיברנטית מהסוג שקיים עבור מלחמה קונבנציונאלית או גרעינית.

Tal Pavel

BOYD ? – מספר נקודות למחשבה למנהל הטכנולוגיה בארגון

/ב , , /על ידי

ב-20 באוגוסט פורסמה ב-PCmagכתבה על אודות הסכנות האפשריות לארגון מהחיבור והשימוש בהתקנים של העובדים (BYOD) בדגש על טלפונים סלולריים. הכתבה פונה למנהל מערכות המידע בחברה אשר בה עובדים רבים הרוצים לשמור על נגישות לצרכי העבודה מהמכשירים הניידים שברשותם. מה יכול לקרות במקרה שכזה ? הכתבה מונה שבעה תרחישים בעניין זה;

  1. אובדן המכשירים – רבים חוששים מפני פריצה של האקרים למערכות, אולם אובדן וגניבה הם איום גדול יותר עבור טלפונים חכמים. אם אלו יכילו נתונים של החברה, כל המידע הרגיש יאבד עם הטלפון. נטען כי למרות היכולת למחיקה מרוחקת של המכשיר, ביכולת הנוכלים לאחזר את המידע שנמחק מהמכשירים אשר רבים שכאלה מוצעים למכירה ב-eBay ובאתרים אחרים.
  2. הנדסה חברתית – גם במידה וכל נקודות הקצה בחברה מאובטחות במלואן, כל זאת יהיה לשווא במידה ואחד העובדים ימסור את פרטי הגישה לנוכלים אשר יציגו עצמם כעמיתים לעבודה או כמנהלים.
  3. פישינג – שיטה שעובדת היטב במכשירים סלולריים בעלי קישוריות גבוהה. הנוכלים יכולים לשלוח דוא"ל מתחזה, הודעות טקסט, שיחות קוליות, ציוצי טוויטר, הודעות פייסבוק ועוד. הדבר יכול להוביל להונאות ואף לשכנוע הקורבנות להתקין נוזקות על המכשירים הניידים שברשותם.
  4. נוזקות – אפליקציות זדוניות מצויות במגמת עליה, לא באותו השיעור כמו לגבי מחשבים אישיים, תודות לבדיקה הקפדנית של חנויות מקוונות, אולם חנויות צד שלישי ואתרים מפוקפקים מכילים מרכולת זמינה ומסוכנת מסוגים שונים. משעה שהותקנה על המכשיר, הנוזקה יכולה לגנוב כסף ומידע. חלק מהמכשירים הנגועים משמשים למשלוח ספאם ולכריית ביטקויין.
  5. שימוש בסיסמאות חלשות – BYOD הינה שיטה נוחה הואיל והיא מאפשרת לשים בכפיפה אחת את האפליקציות האישיות ואת אלו של העבודה על מכשיר אחד. אולם משמעות הדבר היא כי על העובדים לנהל עשרות סיסמאות לשרותים השונים, הפרטיים והעיסקיים. הדבר יכול להוביל את המשתמש ליצירת סיסמאות קלות לפיצוח. לשם כך מומלץ לעשות שימוש בתוכנות לניהול סיסמאות.
  6. התקנת אפליקציות דולפות – אף אפליקציות חוקיות יכולות להביא לדליפת מידע של המשתמש במידה וזה לא יוצפן בעת המשלוח. מצב אותו מתארים חוקרי אבטחה כאחת מהבעיות השכיחות ביותר. במידה והתוקפים יוכלו לשים ידם על מידע זה של העובד, תהיה להם דריסת רגל ברשת הארגונית.
  7. הזאב הבודד – אדוארד סנואדן היה רק עובד קבלן ב-NSA, אולם היתה לו גישה למידע סודי רב מאוד על מבצעי מודיעין סודיים. כל חברה צריכה לבחון את המידע אליו העובד צריך להחשף באמת.

הכתבה נכתבה עבור עמותת אשנ"ב

Tal Pavel

גרמניה פועלת להקשחת החוק העוסק באבטחה קיברנטית

/ב , /על ידי

ב-19 באוגוסט פורסם כי גרמניה פועלת להקשחת החוק העוסק באבטחה קיברנטית. במסגרת הצעת החוק שהגיש שר הפנים הגרמני, יוטלו דרישות מחמירות יותר על חברות וסוכנויות הפעילות בתחום התשתיות הקריטיות.

החוק החדש יתייחס רק לגורמים הממלאים תפקיד ב"תחומים חשובים" דוגמת טכנולוגיית המידע, תקשורת, אנרגיה, תחבורה, תעבורה, בריאות, מים, אספקת מזון, פיננסים וביטוח.

בהודעת המשרד נכתב כי "מערכות ה-IT והתשתית הדיגיטלית בגרמניה צריכות להיות הבטוחות ביותר בעולם". ההצעה קובעת כי חברות המנהלות את התשתית הקריטית במדינה חייבות להיות תמיד נגישות על מנת להבטיח שניתן יהיה להזהירן במהירות הנדרשת במקרה של התקפות קיברנטיות.

בנוסף, החברות ידרשו לדווח על התקפות של האקרים למשרד הפדראלי של אבטחת מידע האחראי לטיפול באיומים קיברנטיים. השר שלל את האפשרות שהחוק החדש יגרור עלויות עצומות על החברות שיושפעו ממנו, וציין כי החוק נוסח לאחר התייעצויות עם נציגי התעשיה.

Tal Pavel

כווית שואפת להגביר את אבטחתה הקיברנטית

/ב , /על ידי

בידיעה מה-27 ביוני דווח כי הדאגה בכווית גוברת מאיומי התקפות קיברנטיות נגד תעשיית הנפט והגז שלה ונגד מגזרים נוספים בכלכלתה. זאת לצד הכשרה רבה יותר של הצוותים השונים ושיפור טכנולוגי הנתפסים כהגנה חיונית לשם אבטחה קיברנטית מספקת.

ב-24 במאי הזהיר שר הנפט הכוויתי שרווחתה הכלכלית העתידית של כווית תלויה ברמה גבוהה של אבטחה קיברנטית, באמצעות בדיקת הצרכים הטכנולוגיים על מנת להגן על מגזרי התעשיה, העסקים והממשל. "הסקטור התעשייתי ניצב בפני אתגרים טכניים כתוצאה מפריצות וחבלות, כך שמערכת שליטה תעשייתית (ICS) הופכת לדבר נדרש על מנת להבטיח את יכולתם להתמודד עם כל מקרה חרום".

כווית, כיתר מפיקות הנפט והגז הגדולות באזור המפרץ, פועלת להרחבת רכיבי טכנולוגיות המידע והתקשורת (ICT) בניהול תעשיות אלה. אמנם הטכנולוגיה תאפשר מיקסום של היצור, אולם הדבר עלול לחשוף תעשיות אלה לפרצות אבטחה מורכבות, אלא אם יפותחו פתרונות חדשים ויתוחזקו. הדבר מאפשר לחברות אבטחה מקומיות ובינלאומיות הזדמנויות להרחיב פעילותן בשוק זה ולהציע פתרונות לעסקים מקומיים ולרשויות ממשל.

זאת בהמשך לדאגה זו שהביעה מג'ידה אל-נאקב, סגנית מנכ"ל National Project Sector בסוכנות המרכזית לטכנולוגיית המידע ב-12 במאי והטענה כי יש לאבטח את מוסדותיה של כווית מפני התקפות קיברנטיות גוברות נגד תשתית טכנולוגיית המידע שלה ובסיסי נתונים של גופי ממשל ומוסדות פרטיים.

Tal Pavel

סיירת מתנדבים קיבנרטית במישיגן

/ב , /על ידי

באוקטובר 2013 הכריז המושל בועידת הסייבר של מישיגן על תוכנית ממשלתית חדשה בדבר "צוות תגובה מהיר אשר יסייע למדינה ולתעשיות בה ברחבי מישיגן במהלך ארוע סייבר משמעותי". הרעיון היה ליצור קבוצה של מתנדבים מומחים, אשר יתאמנו יחדיו ויהיו נכונים לסייע בעת הצורך. בתחילת חודש יוני המייזם הפך למציאות עם ההודעה הרשמית על השקת Cyber Civilian Corps.

גוף זה, הנקרא גם MiC3, כולל מומחי סייבר מיומנים המתנדבים אישית לספק תמיכה מקצועית למדינה ולסייע לגורמי הממשל, החינוך והעסקים בשעת משבר קיברנטי, תוך מתן מענה מהיר עם הכרזה של המושל על מצב חרום הנובע מארוע קיברנטי. גוף זה הוקם בשיתוף גורמי ממשל שונים ובכלל זה משטרת מישיגן, המשמר הלאומי, גורמים פרטיים וציבוריים שונים. המתנדבים מגיעים ממגזרים שונים ובכלל זה ממשל, חינוך, עסקים ועוד.

גורמים פרטיים המעוניינים להשתלב בכוח משימה זה חייבים להיות בעלי כישורים בתחומי מערכות המידע והסייבר, לשם כך תנתן למתנדבים גישה לכיתות הכשרה בתחום, לצד ביצוע הדרכות מעשיות בכל שנה.

תושבי מישיגן יכולים להצטרף למיזם החל מה-1 ביולי, לפי שעה החלה פעילות עם קבוצת מתנדבים בת 10-15 איש העוברים שלבים שונים. עוד נמסר על כוונה לקיים תרגיל בסוף חודש יולי על מנת לבחון את הצוות כמו גם מספר רכיבים של תפיסת העבודה.

 

הכתבה נכתבה עבור עמותת אשנ"ב