• White Facebook Icon
  • White LinkedIn Icon

כל הזכויות שמורות לאורנטק מערכות ניהוליות © 2019

'אורנסק אבטחת מידע והגנה בסייבר' מתמחה בכל קשת שירותי הייעוץ בתחומי אבטחת המידע. שירותי אורנסק מבוססים על שנות ניסיון רבות של גיבוש, הקמה וניהול תשתיות אבטחת מידע בקרב ארגונים מובילים בארץ ובחו"ל, ביניהם ממשלות וארגונים מענפי הרפואה, התקשורת, ההייטק, הבנקאות, הבטחון, התעשייה והמסחר. אורנסק הינה חלק מחברת 'אורנטק מערכות ניהוליות', ועושה שימוש בידע והניסיון שצברה אורנטק בתחום ניהול הפרויקטים ופיתוח תוכנה וכלים ממוחשבים ייחודיים.

האגודה למלחמה בסרטן

I'm a paragraph. Click here to add your own text and edit me. It’s easy. Just click “Edit Text” or double click me to add your own content and make changes to the font. I’m a great place for you to tell a story and let your users know a little more about you.

 

בית חולים בני ציון

ייעוץ שוטף בתחומי מתודולוגיית אבטחת מידע

בית חולים הרצוג

I'm a paragraph. Click here to add your own text and edit me. It’s easy. Just click “Edit Text” or double click me to add your own content and make changes to the font. I’m a great place for you to tell a story and let your users know a little more about you.

 

בית חולים כפר שאול-איתנים

I'm a paragraph. Click here to add your own text and edit me. It’s easy. Just click “Edit Text” or double click me to add your own content and make changes to the font. I’m a great place for you to tell a story and let your users know a little more about you.

 

המרכז הרפואי רמב"ם

I'm a paragraph. Click here to add your own text and edit me. It’s easy. Just click “Edit Text” or double click me to add your own content and make changes to the font. I’m a great place for you to tell a story and let your users know a little more about you.

 

המרכז הרפואי זיו

I'm a paragraph. Click here to add your own text and edit me. It’s easy. Just click “Edit Text” or double click me to add your own content and make changes to the font. I’m a great place for you to tell a story and let your users know a little more about you.

 

 
 

איך להתאים את העסק שלי ל-GDPR (יוני 2018)

ה-GDPR היא רגולציית הגנת מידע ופרטיות האירופית שנכנסה לתוקף ב-25 למאי 2018, ועיקרה הרמוניזציה של החקיקה האירופית המחייבת את העסקים השונים הפעילים בצורה כלשהי באירופה או אוספים ועושים פעולות במידע המתייחס לאנשים מאירופה.

האם ה-GDPR חלה על העסק שלי?

הבחינה הראשונה שעל כל עסק ישראלי שעושה שימוש במידע אודות אנשים לבצע (לאחר שבדק את התאמתו לתקנות הגנת הפרטיות (אבטחת מידע) הישראליות), היא האם הוא נכנס בגידרה של הרגולציה האירופית המרחיבה.

אבטחת מידע ואפליקציית WhatsApp (מאי 2016)

רקע

 

כיום, יותר ויותר משתמשים פרטיים וארגוניים משתמשים באפליקציית המסרים המיידית ,WhatsApp המותקנת על-גבי פלטפורמות שונות כגון מכשירי טלפון חכמים, טאבלטים ומחשבי קצה, על-מנת לשתף, לעדכן, לסנכרן ולייעל פעילות אישית ואירגונית (כולל קבוצתית).

עשרות מיליארדי הודעות נשלחות מידי יום על-ידי מאות מיליוני משתמשים פעילים באפליקציה.

לצד היתרונות הרבים בפן האישי והאירגוני בשימוש באפליקציה, עולות סוגיות רבות הקשורות לאבטחת סודיות ואמינות  המידע העובר בה ונאגר על ידה.

במאמר הבא ננסה לדון בסוגיות ובמשמעויות אבטחת המידע הנובעות מהשימוש באפליקציה......

 

מרחב הסייבר – איומים ודרכי התמודדות  (19 לאפריל 2015)

מהו מרחב הסייבר?

 

מרחב הסייבר הינו מרחב לחימה חדש המצטרף, בשדה הקרב המודרני, למרחבי היבשה, הים האוויר והחלל.

מדינות, גורמי טרור, אירגוני פשע וגורמים נוספים רבים בעולם מגבירים את פעילותם  במרחב הסייבר המהווה עבורם מקור עוצמה וכר פעילות נרחב לצורכי איסוף מודיעין, ריגול ותקיפה בתשתיות צבאיות, ביטחוניות, לאומיות ואזרחיות....

 

הסמכת בתי החולים של משרד הבריאות לתקן אבטחת מידע ISO 27799 – יומן מסע  (26 לאוגוסט 2014)

בוקר יום רגיל לחלוטין. ג', נער בן 17, מוציא את הטלפון הסלולארי שלו ומצלם את כל חבריו המשתוללים סביבו. ג' אף הגדיל לעשות ו"מתייג" את שמות חבריו שנתפסו בעדשת המצלמה. תוך שניות בודדות מועלה הסרטון לרשתות החברתיות. לכאורה, אין כל דבר מיוחד בתיאור הפעילות השכיחה הזו. עכשיו, נוסיף לתרחיש פרט קטן – ג' מאושפז במחלקה פסיכיאטרית בבית חולים אי שם במרכז הארץ והסרטון שהעלה חשף את זהותם של המאושפזים לאלפי אנשים ברשת האינטרנט, בניגוד לרצונם או ידיעתם.

 

מקרה זה מהווה דילמה למנהל בית החולים - האם לאשר למאושפזים להכניס טלפונים סלולאריים למחלקה סגורה בבית חולים פסיכיאטרי, בעידן בו הטלפון הנו חלק משמעותי מעולמו של כל אדם ודרך התקשורת שלו לעולם החיצון, ומנגד מהווה מקור בלתי נשלט להעברת אינפורמציה.

זוהי רק סוגיה אחת מבין מאות הסוגיות הקשורות לאבטחת מידע, שמירת המידע ופרטיות המטופל במוסדות בריאות שזכו לטיפול והתייחסות במסגרת פרויקט רחב ממדים של משרד הבריאות להסמכת כלל אירגוני הבריאות הציבוריים לתקן אבטחת המידע הבינלאומי, תקן ISO 27799.

הפרויקט הותנע בעקבות הנחייה של מנכ״ל משרד הבריאות, פרופ' רוני גמזו ובליווי הנהלת מחלקת אבטחת המידע של משרד הבריאות. ההנחיה קבעה כי עד סוף דצמבר 2013 היה על כל בתי החולים הציבוריים בארץ לעבור בהצלחה את מבדק ההסמכה.

 

הפרויקט נמשך 10 חודשים, במסגרתו נדרש ללוות לקראת הסמכה לתקן את כל 24 בתי החולים הציבוריים של משרד הבריאות (כלליים, פסיכיאטריים וגריאטריים). חברות ייעוץ בודדות נבחרו ללוות את הפרויקט ומכון התקנים הישראלי נבחר כגוף "ההתעדה" שיבצע את המבדקים בסופם של תהליכי ההכנה.

'אורנסק אבטחת מידע' נבחרה על-ידי משרד הבריאות כחברת הייעוץ המובילה והדומיננטית ביותר. 'אורנסק' נבחרה ללוות את מרבית בתי החולים - 16 במספר, מתוכם ליווי של 11 בתי חולים במקביל.

 

הפרויקט דרש ניהול קפדני ואיכותי, שהניב עמידה מוצלחת ביעדי לוחות הזמנים, התכולה והמצוינות. על-מנת לטייב את התהליך, פיתחה 'אורנסק' מתודולוגיית עבודה סדורה וברורה לליווי בתי החולים להסמכה. ניהול הליווי חולק לאבני דרך מוגדרות ותחומות בזמן, כשבלב התהליך הוצבה רתימת הנהלת הארגון לקידום ההטמעה. כמו כן, פיתחה 'אורנסק' כלים טכנולוגיים מקצועיים שסייעו לארגון לעמוד בכלל דרישות התקן תוך לימוד והפקת לקחים, ניתוח ממצאים משותפים המאפיינים את כלל בתי החולים, כלים למעקב וניהול לוחות הזמנים ותוכנית העבודה להטמעה ועוד. בהמשך, משמשים כלים אלו לשימור ההסמכה, יכולת בקרה ומתן סטטוס שוטף למנהלים אודות התקדמות התהליך.

 

שיטת העבודה הוכיחה את עצמה כאשר כלל הגופים שלוו על ידי 'אורנסק' הוסמכו לתקן, בציון מאוד לא טריוויאלי של -100% הצלחה במעבר ההסמכה כבר במבדק הראשון ובשבחים רבים מאוד מצד מכון התקנים הישראלי ומשרד הבריאות.

לראייתו של יריב יפרח, סמנכ״ל הפרויקטים באורנסק שניהל את הפעילות מול בתי החולים, ״התפיסה בה רגולטור מחייב גופים ציבוריים לעמוד בתקן וולונטרי ביסודו, הוכיחה את עצמה ואפשרה להעלות את רמת אבטחת המידע בבתי החולים בצורה משמעותית ובהתאמה לסטנדרטים בינלאומיים מתקדמים, זאת, ללא צורך לעסוק בחקיקה ורגולציה ייעודיים. בנוסף, התגבשה לרגולטור תמונת מצב כוללת של מצב אבטחת המידע בגופי הסמך ויכולת להסיק מסקנות ולקחים רוחביים כבסיס לתוכנית עבודה מעמיקה וארוכת טווח". עוד הוסיף יריב, כי להבנתו, מודל  זה יכול ורצוי שיהיה מוטמע בגופים ממשלתיים/רגולטוריים אחרים וזאת כמובן תוך הנחיה, ליווי ושליטה על התהליך על-ידי הגוף המתכלל, המלווה את הפעילות.

 

ליווי בתי החולים להסמכה בוצע על-ידי צוות יועצי אורנסק - זיו גוטרמן, נעם אבן, לירן קלדרון ויובל צאיג, בהנהלת מירב ורד ובהובלתו המקצועית של יריב יפרח, סמנכ"ל הפרויקטים.

 

עם סיומו המוצלח של הפרויקט, נערכה בקבוצת אורנטק הרמת כוסית חגיגית, בה נכח צוות 'אורנסק' וכן תמיר פלדמן, מנהל תחום הגנת המרחב הקיברנטי במשרד הבריאות, שניהל את הפרויקט מטעם משרד הבריאות ושוקי פרייס, סוקר בכיר מטעם מכון התקנים שביצע את המבדקים בכל בתי החולים.
שוקי ציין לשבח את רמתה הגבוהה ומצוינותה של אורנסק והוסיף כי אלו בלטו באופן ניכר.  תמיר הדגיש כי משרד הבריאות, בראשותו של פרופ' רוני גמזו, מנכ"ל משרד הבריאות דאז, ראה בפרויקט הסמכת בתי החולים לתקן אבטחת מידע, פרויקט בעל חשיבות רבה מאוד עבור משרד הבריאות ומדינת ישראל, בכללותה.

 

מאת: יריב יפרח, סמנכ"ל פרויקטים.

בתמונה (מימין לשמאל) יושבים: שוקי פרייס, ציקו חפץ, תמיר פלדמן, יריב יפרח ומירב ורד.

עומדים: זיו גוטרמן, נעם אבן, לירן קלדרון ויובל צאיג.

 

שינויים בתפיסת ניהול הסיכונים (15 למאי 2014)

בטווח של 15 שנים בלבד, סיפקה בידינו הטכנולוגיה מצבור גדול של אמצעים, שלא היו בידי האנושות במשך מאות רבות של שנים. בפרק זמן של כעשור וחצי, חלקיק זניח ביותר במונחי זמן של האנושות, פתחה הטכנולוגיה בפני בני האדם ערוצי תקשורת המוניים, שהיוו קפיצת מדרגה בסדר גודל שלא היה מוכר באבולוציה האנושית.

 

תחום אבטחת המידע התפתח במהרה בעשור האחרון, מתוך צרכים דחופים לספק מענה לאירועים שעלו בשטח. בתחילת התהוותו של התחום, נוצרו מרבית פתרונות אבטחת המידע "תחת אש", בנסיבות בהן "הרעים" הקדימו את "הטובים". הפתרונות פותחו לרוב לצורך התמודדות עם נזקים שאירעו ולאו דווקא מטעמי מניעה או בעקבות תכנון מוקדם.

 

התפיסה הקלאסית של תחום אבטחת המידע, שהיתה שגורה בעולם עד לפני כ-15 שנים, התמקדה בהיבטי האבטחה הפיזיים מאחר וסיכונים לוגיים טרם היוו בעיה. ההצפה הטכנולוגית שהתרחשה באופן מרוכז יחסית, לפני כ-15 שנים, הובילה אט אט לפאניקה גלובאלית, שהותירה חברות חסרות אונים מול האיומים כלפי מערכות המידע. הפאניקה נבעה מכך שהטכנולוגיה צמחה במהירות שלא אפשרה הבנה מעמיקה של הפגיעויות, לצד היעדר היערכות מוקדמת לקראת הטיפול באיומים. תופעה זו הובילה להסבה של משאבי האבטחה לעבר ההיבטים הלוגיים, הנוגעים למיחשוב ולתקשורת. מרבית החברות שקמו בעולם, פעלו תחת התפיסה כי "יש לכוון את התותחים הכבדים של הארגון לעבר התותחים הכבדים של היריב". מכאן, שרוב משאבי האבטחה של מרבית הארגונים בעולם, נותבו להתייחסות ממוקדת בהיבטים הלוגיים בלבד.

 

בשנים האחרונות ניתן להבחין בשינוי מהותי בתפיסת אבטחת המידע בעולם. השינוי נבע מתוך הבנה גלובאלית שלמרות המשאבים והמאמצים הניכרים באבטחת ההיבטים הלוגיים, המידע המשיך להיפגע. הבנה זו אילצה את הוגי הדעות בתחום האבטחה לחדול מהמסורת השגורה ולחפש מקורות אחרים המובילים לנזקים המתרחשים. מתוך כך, החלה התפיסה החדשה להנחות על ניתוח הסיכונים "ממעוף הציפור". לא עוד "אצבע בסכר", התמקדות במעגל הלוגי בלבד, אלא ניתוח סיכונים כולל ומקיף, המתייחס לכל החזיתות מהן עלולים לנבוע הסיכונים.

 

הנחת יסוד בסיסית בתפיסת אבטחת מידע, צריכה להיות כי היריב, באשר יהיה, לעולם לא יחפש את הדרך המתוחכמת ביותר להגיע למידע, אלא תמיד יחפש את הדרך הקלה ביותר בכדי להגיע אליו.  

 

ניתן לְדַמוֹת את הארגון למבצר המוקף בחמש חומות. באנלוגיה של האבטחה העדכנית, מייצגות החומות את חמשת מעגלי האבטחה: האבטחה הלוגית, הפיזית, אבטחת מצעים פיזיים נושאי מידע, מהימנות עובדים וטיפול אבטחתי בספקים. במרכזו של המבצר, אגורים המידע ומערכותיו – הנכסים הקריטיים ביותר בארגון.

 

כאשר חברה תמקד את אמצעי האבטחה שלה במיגון של חומה אחת, יבחר היריב לנסות להגיע למידע דרך אחת מארבע החומות האחרות. ארגון שהשקיע את מרבית משאביו באבטחת ההיבטים הלוגיים, יגרום ליריב לחפש אפשרויות נגישוּת למידע דרך החומות האחרות, אשר בהתבסס על התפיסה המסורתית של משאבי האבטחה בארגון, נותרו דקוֹת ופגיעות.

 

השינוי מתרחש לאיטו ומחלחל לכדי יישום, בעיקר בחברות המאמצות תפיסה אבטחתי המבוססת על הוראות או תקנים המנחים לגבי תשתיות לניהול אבטחת מידע. עוד ארוכה הדרך ליישור קו בינלאומי בעניין "מענה אופטימלי", אך השלב הראשון במסע הוא ההכרה בבעיה, וניכר כי לפחות לשם כבר הגענו.

 

מאת: מירב ורד, מנכ"לית אורנסק

 

אבטחת מידע באפליקציות. למה ואיך (20 לפברואר 2014)

מהי אפליקציה מאובטחת? - אפליקציה עמידה בפני התקפות. ההתקפות השכיחות ביותר כמו  SQL INJACTION וכן SCRIPT INJECTION מופיעות ברשימת OWASP top 10 וידועות לשמצה כבר שנים לא מעטות. למרות זאת, אתרים רבים באינטרנט וגם אפליקציות שאינן אינטרנטיות חשופות להתקפות אלו משום היעדר היערכות מספקת ברמה האבטחתית...