לפני קצת יותר מחודש החלטתי שאני מקים גדר סביב הבית. השכנים החדשים נכנסים בקרוב ופרטיות זה דבר חשוב.

מאותו יום התחלתי לתכנן את הגדר שאני רוצה. ראיתי עשרות גדרות, חשבתי על המון אופציות: עץ לאורך, עץ לרוחב, עמודים מעץ, עמודים מברזל, אולי גדר אלומניום או אולי גדר מפלסטיק דמוי עץ שמחזיק המון זמן ולא דורש תחזוקה (האופציה האחרונה נשמעת טוב אך יקרה מאוד…).

בכל מקרה, לאחר שהחלטתי הלכתי וקניתי את העץ המתאים העמודים המתאימים הברגים המתאימים והצבע המתאים (יותר נכון שמן עץ). הובילו אלי את הכל והתחלתי להתקין. זה היה לא קל אבל בסוף יצא בדיוק כמו שרציתי - מושלם ואני לא משוחד

כשחזרתי לחנות ממנה קניתי, שאל אותי המוכר: אם הברגתי את השלבים העליונים לברזל? שאלתי: למה צריך? והוא ענה: אתה רוצה שיגנבו לך את העץ? אתה רוצה שילדים יפרקו לך את כל הגדר? היום זה ל"ג בעומר. אמרתי לו: על מה אתה מדבר מי גונב עץ מגדר? לא שמעתי על אף מקרה של גניבת גדר…

בהערכת הסיכונים שאני ביצעתי הסיכוי לגניבת העץ מהגדר היא כל כך קטנה שלקחתי החלטה שלא לאבטח את הגדר שלי עם ברגים. על פי נסיוני זה לא קרה אף פעם ביישוב שלי או בכלל ואין סיכוי שזה יקרה אצלי. בקיצור לוקח על עצמי את הסיכון.

למה אני מספר לכם את הסיפור המסעיר הזה? הרי לא מדובר כאן באתר של הום סנטר. ובכן החוויה הזו מאוד הזכירה לי את מה שקורה כיום בתחום אבטחת המידע.

לקוחות בכלל ואלו המתכננים פרויקטים חדשים בפרט משקיעים המון משאבים: בתכנון, ארכיטקטורה, רכישה, אינטגרציה, הטמעה, הדרכה….. ואת "הבורג" האחרון הנדרש לאבטחה הם לא טורחים להבריג. מדוע? כי בהערכת הסיכונים של ארגונים, הסיכון שארוע אבטחת מידע יתקיים, יסכן ויחשוף אותם הוא נמוך מאוד ובגדול הם צודקים, אלא מה? שיש הבדל מהותי בין הערכת הסיכונים שאני עשיתי עם הגדר להערכת הסיכונים של אותם ארגונים.

בהערכת הסיכונים שלי -  אם יגנבו לי את הגדר היחיד שיפגע הוא אני.

בהערכת הסיכונים של ארגון -  אם יתקיים ארוע אבטחת מידע, עלולים הרבה מאוד גורמים להפגע: מוניטין החברה, ערך המניה, הכנסות החברה ועוד ולראיה עיינו בערך ענת קם, אתי אלון ועוד עשרות אלפי מקרים שארעו בשנים האחרונות, לארגונים, שהיו בטוחים ומשוכנעים שלהם זה לא יקרה.

העניין נכון גם לעניין הרגולציות השונות.

הרי ידוע לכולנו שרגולציות כמו PCI , SOX ואחרות נולדו לעולם בעקבות ארועי אבטחת מידע או אי סדרים פיננסיים שגרמו נזק כלכלי אדיר. רגולציות אלו הם תוצר של ועדות חקירה מיוחדות שבחנו את המקרים לעומק, תוך נסיון לספק כלים לארגונים דומים פר תעשיה, על מנת למנוע את השנות המקרים או לפחות למזער את הסיכונים שרק הולכים ומתגברים ואני לא מרגיש צורך לחזור שוב על הסטטיסטיקות המטרידות.

מה קורה בפועל? במקום שארגונים יאמצו את הרגולציות וימנפו אותם לטובת הארגון תוך שיפור רמות האבטחה. קורה דבר די מדהים, ארגונים מתייחסים לרגולציה כעול ועושים את המינימום הנדרש בכדי לקבל את ההסמכה. מדוע? כי העלויות למימוש הרגולציה גבוהות מדי, כי בהערכת הסיכונים הסיכוי לאירוע אבטחת מידע תמיד יהיה נמוך, כי בכל ארגון אומרים פחות או יותר את אותו דבר: אני סומך על העובדים שלי, הם עברו סיווג, אני מכיר אותם שנים…  וכי תחושת ה"לי זה לא יקרה" חזקה מאתנו.

בשורה התחתונה אני חשוב שהגיע הזמן שארגונים יתחילו להבריג. זה יקח קצת זמן, זו עבודה קשה, זה עולה כסף אבל הרבה מאוד אנשים וגורמים תלויים בכך, שלא כמו במקרה שלי.

תחשבו על זה

חושבים  ששיטת הסמוך תמשיך לעבוד? אומרים לעצמכם: "לנו זה לא יקרה…" או  "לחבר'ה יש סיווג…"  או  " אנחנו מכירים את האנשים שלנו. הם עובדים אצלנו כבר המון שנים…"  בצבא אמרו וחשבו כנראה את אותו דבר בדיוק עד ש ענת קם באה והראתה לכולנו שעידן ה-"הכל יהיה בסדר" חלף לו מזמן מן העולם  ושלא ניתן להסתפק עוד במבדקים, סיווגים, הכרות אישית או שיטת הסמוך…

חושבים שענת קם היא הראשונה או האחרונה? לא נראה לי….

מחקרים מראים ש 6 מתוך 10 עובדים שעוזבים את מקום עבודתם, אם ביוזמתם ואם בגלל שפוטרו, יוציאו מתוך הארגון מסמכים וחומרים שיהיו לעיתים בעלי אופי רגיש כגון, מצגות, דוחות ומידע מסווג אחר…

מה היה ניתן לעשות בכדי למנוע ולא נעשה?

להטמיע פתרון להצפנה ומעקב אחר מסמכים רגישים בכל מקום בו הם נמצאים כך ש:

• המידע לא היה קריא או נגיש מחוץ למשרד האלוף.
• המידע היה נגיש לבעלי הרשאות בלבד.
• כל הדפסה או העתקה היתה מתועדת.
• העתקה, הדפסה או כל פעולה חריגה היתה מקפיצה התראה.

 מי יכול לספק פתרון שכזה?

 אורקל

איך נקרא הפתרון וכיצד הוא יכול לסייע?

הפתרון נקרא Oracle Information Rights Management ומידע עליו ועל יכולותיו תוכלו למצוא כאן : http://control.theoracles.co.il/?p=115

עכשיו תגידו לי, מה אתם מתכוונים לעשות בכדי לא לככב בשערוריה הבאה?

הי חברים

אני שמח ללהזמין אתכם לכנס Security Inside Out שיתקיים ב 5 במאי בבית הירוק בת"א. הכנס יתקיים בהשתתפות Steve Wainwright שמוביל את תחום אבטחת המידע באנגליה, אירלנד וישראל.

במסגרת הכנס:

 * נציג את ה Roadmap הטכנולוגי והעסקי של אורקל בתחום אבטחת המידע וניהול הזהויות לאחר המיזוג עם SUN.

 * נסביר כיצד היצע הפתרונות הנרחב של אורקל מאפשר עמידה ברגולציות מגוונות לצד שיפור משמעותי ברמות אבטחת המידע.

 * תחשפו לראשונה לפתרונות ה Role management וה IRM של אורקל.

 * תשמעו את סיפור ההטמעה של Oracle IDM בבנק אגוד.

מידע נוסף בלינק הבא:

 http://www.oracle.com/global/il/Security/index.html?BannID=422

אשמח לפגוש אתכם שם. יהיה מעניין !!!

עכשיו זה בדוק, Database Vault  קיבל הסמכה EAL4  מטעם Common Criteria Security Evaluation המעידה כי DBV מספק את ההגנה הטובה ביותר לבסיס הנתונים של אורקל מפני איומים פנימיים ואחרים המבקשים לגשת ולחשוף מידע ארגוני רגיש.

Common Criteria  הנו גוף תקינה בנלאומי מוביל אשר בוחן בין היתר: האם טענות ה VENDOR לגבי פונקציונאליות ויכולות המערכת אכן מסופקים, תוך בחינתם אל מול סטנדרטים של ניהול IT ואבטחת מידע. תהליך הבחינה מתבצע בתנאי מעבדה תוך הרצת Scenarios שונים בכפוף לסטנדרטים המחמירים ביותר.

למען הסר ספק, DBV הוא המוצר הראשון והיחיד שזוכה לסרטפיקציה זו.

למידע נוסף אתם מוזמנים להכנס ללינק הבא:

http://www.oracle.com/newsletters/information-indepth/database-insider/jan-10/criteria.html

פרטים נוספים על פתרון ה Database Vault ניתן למצוא כאן:

http://www.oracle.com/database/database-vault/index.html

אולי זה בגלל רוח החג, התחפושות ובעיקר המסכות שהחלטתי סוף סוף לכתוב משהו על נושא ה MASKING.

עוד יום משעמם חושב לו דני, ומריץ בדיקות פונקציונאליות חוזרות ונשנות על הגרסה החדשה שעומדת להשתחרר בעוד יומיים לייצור. את הבדיקות, לאפליקציית ה CRM החדשה, הוא מריץ על נתוני אמת שהועתקו מסביבת הייצור . מתוך שעמום הוא מציץ בנתונים ומגלה להפתעתו שמשה, השכן הבלתי נסבל שלו, הוא לקוח של החברה בה הוא עובד (אתר למבוגרים בלבד…). סקרונותו הגוברת מעירה אותו ברגע ומובילה אותו להיכנס לכרטיס הלקוח של משה. דני, שמחזיק כעת בפרטי כרטיס האשראי של שכנו הנשוי, שוקל ומתכנן את נקמתו….

סצנה מעט הזויה אני מודה אבל היא באה להדגיש את בעיית אבטחת המידע הקיימת בסביבות ה QA, הטסט והפיתוח הנשענים עפ"י רוב על נתוני ייצור הכוללים מידע רגיש כגון פרטי כרטיס אשראי שמות, כתובות וכ"ו..

נשאלת השאלה כיצד ניתן לעבוד בסביבות הפיתוח השונות, הדורשות מידע מלא ואמיתי בפורמטים מקובלים של כרטיסי אשראי, ת.ז ועוד מבלי לוותר על רמה נאותה ומקובלת של אבטחת מידע?

והתשובה היא Oracle Enterprise Manager - Data masking pack שהנו פתרון שלם וכולל לערבול נתונים המאפשר בין היתר:

1. זיהוי וגילוי השדות שברצוננו לערבל כגון פרטי כרטיס אשראי. תתפלאו כמה  לקוחות הופתעו למצוא כרטיסי אשראי במקומות בלתי צפויים.
2. ערבולהנתונים עפ"י פורמטים מוסכמים של כרטיסי אשראי, ת.ז ועוד באמצעות WIZARDS מוכנים מראש.
3. בדיקה שהערבול התבצע בהתאם למצופה תוך שמירה על הקשרים בין השדות.

בשל קוצר היריעה אני כמובן מאוד מפשט אז במידה ואתם מעוניינים לללמוד עוד אתם מוזמנים להכנס ל:

 http://www.oracle.com/technology/products/oem/pdf/ds_datamasking.pdf

חג פורים שמח

גל ההונאות וגניבות הזהות מתעצם!!! היום פורסם כי טכנאי מחשבים בשם אדני אדיימי מארה"ב גנב ממקום עבודתו (בנק אוף ניו יורק) 150 זהויות של עובדי הבנק לצד שורה ארוכה של עבירות המתוארים בכתב אישום המכיל 149 סעיפים והכוללים בין היתר האשמות: הלבנת כספים, קשירת קשר להונאה, חבלה במחשבים, אחזקת פרטים אישיים שלא כדין ועוד…

מה שמדהים בכל הסיפור הוא שהבחור החביב עשה זאת במשך 8 שנים ללא הפרעה ומבלי שאף אחד ידע על כך!!!!

חושבים  ששיטת הסמוך תמשיך לעבוד? אומרים לעצמכם: "לנו זה לא יקרה…" או " לחבר'ה יש סיווג…"  או " אנחנו מכירים את האנשים שלנו הם עובדים אצלנו כבר 8 שנים…"  בבנק אוף ניו יורק" אמרו וחשבו כנראה את אותו דבר בדיוק

מה אפשר לעשות (רק אם אתם לא רוצים להופיע בסטטיסטיקות ההונאה המתגברות המציגות עליה של 630% תוך 3 שנים):

• קודם כל להבין שעידן ה-"הכל יהיה בסדר" חלף לו מזמן מן העולם בעולם הארגוני\ תחרותי \ בטחוני וכי לא ניתן להסתפק עוד במבדקים, סיווגים, הכרות אישית או שיטת הסמוך…
• שהאיומים הפנימיים שמקורם בעובדנו הם ממשיים ושגניבת זהות הוא תחום מכניס מאוד לגורמים עבריינים
• יש לזהות ולמפות את המסלול בו "חי" המידע הרגיש החל מהאפליקציה, הרשת, ה DB הדיסק קלטת הגיבוי ….
• להטמיע כלים ופתרונות שיבטיחו מניעה,  זיהוי\ גילוי של פעילות חשודה בפרק זמן סביר הקטן משמעותית מ 8 שנים….
• כדאי שנפסיק לחשוב שרגולציות כ SOX,PCI הם כאב ראש מיותר ושמספיק להטמיע כלים בינוניים רק בשביל לסמן V ולקבל הסמכה… שהרי הרגולציות הללו נולדו בגלל מקרים אמיתיים של הונאה…

זהו יש עוד הרבה דברים שניתן לומר אך אני חושב ומקווה שהבנתם פחות או יותר את רוח הדברים

מי שרוצה מידע על פתרונות אורקל להגנה על מידע רגיש בכל מקום בו הוא חי (אפליקציה, רשת, DB, מסמכים ועוד יכול להקיש כאן

מי שרוצה פרטים נוספים על ההונאה שפורסמה היום יכול להקיש כאן

אתמול התפרסמה הידיעה לפיה טוויטר מזהירה מפני התקפות פישינג מבוססות מייל הכולל לינק מזויף. הקורבנות התמימים שהקליקו על הלינק וחשבו שהם באיזור הבטוח והחמים של האתר שהם כל כך אוהבים, הקלידו את שם המשתמש והסיסמה מבלי לדעת שבעת ההקלדה עוברים הנתונים שלהם ישירות לידי התוקפים…

כמובן שזו לא הפעם הראשונה שאנו עדים למתקפות פישינג המבוצעות על-ידי גורמים עבריניים המבקשים לגנוב את זהותנו למטרות הונאה באמצעות מיילים ולינקים מזויפים (ראה ידיעה מתחילת אוקטובר על "הונאת פישינג עצומה נחשפה באה"ב") . אך חשוב לדעת כי מתקפות הפישינג משתכללות כל הזמן וכעת מדברים על זן חדש של התקפות הנקראות In session phishing. במסגרת ההתקפה החדשה לא עושים שימוש במייל אלא מנצלים פרצות בדפדפן בכדי לדלות מידע רגיש תוך כדי עבודה עם האתר הלגיטימי.

וכאן נשאלות השאלות: כיצד נערכות החברות המספקות שירותי ONLINE בכדי להתמודד עם שיטות הפישינג המשתכללות חדשות לבקרים? כיצד ניתן למנוע התקפות פישינג באמצעים טכנולוגיים? מה עושים בנידון טוויטר ואתרי המסחר אלקטרוני, מעבר להעברת האחריות לכיוון המשתמשים המקבלים מגוון עצות והנחיות לגבי התנהגות אחראית בגלישה באינטרנט? כיצד הם מגינים באופן פעיל ופרואקטיבי מפני התקפות אלו ואחרות?

 וכאן מגיע החלק המפתיע - לאורקל פתרון אנטי פישינג טכנולוגי מוביל ומוכח המאפשר לחברות מובילות להגן באופן פרואקטיבי מפני התקפות פישינג ושלל צרות אחרות.

 מדובר בפתרון עליו כבר כתבתי בפוסט: "סיפורים מהחיים - גניבת זהות"

חומר נוסף לגבי In session phishing ותיאור יכולות האנטי פישינג של פתרון אורקל תוכלו לקבל כאן

 אגב אני אישית עדיין לא הצלחתי להבין את ההתלהבות מטוויטר אבל זה נושא לפוסט אחר

לפני כמעט חצי שנה במרץ האחרון יזמתי את הכנס הראשון בארץ (מטעם ספק תוכנה) בנושא PCI DSS. במסגרת הכנס הצגנו את התקן ומשמעותו הסברנו על התהליך שיש לעבור על מנת לקבל אישור של עמידה בתקן מטעם חברות האשראי וסיפרנו על פתרונות אורקל התחום זה.

תקן ה PCI DSS - Payment Card Industry Data Security Standard נוצר בכדי להגן על המידע של כרטיסי האשראי מפני גורמים עבריינים וטרוריסטיים במטרה לצמצם למינימום את תופעת גניבת הזהות והונאות האשראי המתעצמת מדי שנה ומייצרת נזק כלכלי אדיר המוערך ב 50 מיליארד דולר לשנה. התקן, על 12 סעיפיו, הנו פרי יוזמה משותפת של חברות האשראי המובילות  ונוצר על בסיס לקחים שנלמדו בדרך הקשה ממס' רב של אירועי הונאה שהסבו נזק כלכלי כבד לבתי העסק ולתעשיית כרטיסי האשראי. אחת הדוגמאות הבולטות ביותר לנזק הכלכלי הפוטנציאלי העלול להיגרם כתוצאה מאי שמירה על פרטי כרטיס האשראי, שייכת לחברת TJX האמריקאית ששילמה 216,000,000 $ בעבור הוצאות משפטיות ואחרות בעקבות דליפת הפרטים של 90,000,000 כרטיסי אשראי. דוגמה נוספת, הגיעה מבריטניה הגדולה ולפיה, מידע המכיל את פרטיהם של 25,000,000 בריטיים דלף בעקבות רשלנות שהביאה להתפטרות ראש שלטונות המס ולנזק כלכלי אדיר בסך 250,000,000 לירות שטרלינג.

 במסגרת התקן מפורטים כללי התנהגות והנחיות לטיפול, אחסון ושמירה על נתוני האשראי ע"י: הצפנת המידע - בין אם המידע מאוחסן בבסיס הנתונים, בדיסק, בגיבוי או בכל אמצעי אחסון אחר, הצפנת רשת התקשורת, הגבלת הגישה למידע על בסיס צורך עסקי בלבד (need to know basis ) , חיזוק מערכת בקרת גישה, ניטור תקופתי של רמות ה- Security בארגון, מעקב אחר פעילות המשתמשים וגישתם למידע, התקנת Firewall, Antivirus ועוד. חשוב לציין, כי התקן הנו תקן מחייב החל על כל הגורמים הקשורים למערכת התשלומים בכרטיסי האשראי וכי אי עמידה בו עלולה להוביל לקנסות כספיים מצד חברות האשראי

חברת אורקל שנושא אבטחת בסיסי הנתונים והמידע הארגוני זורם בעורקיה עוד מיום הקמתה פיתחה פתרון כולל הלוקח בחשבון מגוון איומים ומספק מענה הוליסטי להגנה מלאה על מידע רגיש בכל מקום בו הם נמצא (בסיסי נתונים, דיסקים, רשת, אפליקציות, מסמכים ועוד) עם התייחסות ספציפית לסעיפי PCI DSS. פתרונות Oracle (הותיקים והחדשים)  הנם פתרונות מובילים ומוכחים המיושמים על ידי מאות ארגונים בארץ ובעולם עוד בטרם יצא תקן PCI  הראשון בשנת 2005.  רוב הלקוחות המשתמשים בפתרונות אלו הנם מהמגזר הפיננסי והביטחוני שמורגלים לרמות אבטחה גבוהות ולתפיסת עולם פרנואידית (בהיבט החיובי של המילה).

נכון להיום, אורקל סייעה למאות לקוחות לעמוד בתקן PCI DSS מאז הוכרז לראשונה לפני 4 שנים.

מידע נוסף על פתרונות אורקל בתחום זה תוכלו למצוא כאן

יום חורף ואני מול המחשב בבית, מנסה להעביר כמה שעות של עבודה לפני שאני יוצא לפקקים האינסופיים שנוצרו בגלל כמה טיפות גשם. לגימה נוספת מכוס הקפה החם ואני מחליט לבדוק את מצב החשבון וההשקעות שלי. אני נכנס לאתר הבנק ורגע לפני שאני מקיש את שם המשתמש והסיסמה אני מסתכל לאחור לבדוק שאף אחד לא מציץ… תחושת הפרנויה אשר עוטפת אותי, משתלטת עלי גם לאחר שאני מזכיר לעצמי שאני נמצא בביתי וגורמת לי לבדוק בשיטותיי "המתוחכמות" (ניסוי רנדומלי של מס' לינקים באתר… ) שאכן הגעתי לדף הבית של הבנק שלי ולא חלילה לאתר קרימינלי מתוחכם שנוצר לצורך גניבת זהותי.

בסופו של דבר אני משתלט על עצמי ומקיש את שם המשתמש והסיסמה……. ממתין והופ אני בפנים…  כעת אני  יכול להעביר כספים בין חשבונות , לקנות מניות, למכור מניות ….. איזה כח, איזה נוחות, איזה פחד….

מה יקרה אם מישהו יגנוב את שם המשתמש שלי ואת הסיסמה שלי? איך הבנק שלי יידע שאכן אני הוא האיש ולא מישהו אחר שגונב כרגע את כספי ומבצע שמות בחשבון הבנק שלי… 

לא רגוע החלטתי לבדוק לעומק את הנושא ואת השאלות הבאות אשר ניקרו במוחי ללא הרף:

1. איך אני יכול לדעת בוודאות שאכן הגעתי לאתר הבנק ולהרגיש בטוח כשאני מקיש שם משתמש וסיסמה?
2. איך הבנק יכול לדעת בוודאות שאני הוא זה שעושה שימוש באתר ושלא נגנבה זהותי?
3. האם זהותי אכן מסתכמת בשם משתמש וסיסמה או שיש אמצעים נוספים שיכולים לאפשר זיהוי  טוב יותר?
4. האם מדובר בפרנויה פרטית שלי או שגניבת זהות  היא תופעה מוכרת שמגובה בנתונים? בסטטיסטיקות?

שיטוט מהיר באינטרנט הביא אותי לאתר מעניין מאוד או יש לומר מטריד מאוד ובו מרוכזים כמעט כל מקרי גניבת הזהויות שהתרחשו בארה"ב והנתונים מסתבר, מאוד חמורים: (www.privacyrights.org)

1. ב 2007 זוהו  8.4 מליון מקרים של גניבת זהות
2. הנזק הכלכלי כתוצאה מגניבת הזהויות נאמד ב 49.3 מיליארד דולר
3. הנזק הממוצע לאדם שנגנבה זהותו עומד על 5,720 $
4. כ 5000 התקפות Phishing (ניסיון גניבת זהות, מידע רגיש ברשת)  הופנו נגד אתר Ebay
5. ועוד…

בארץ התופעה ידועה פחות ועל אף שגופים בארץ לא מפרסמים נתונים בנושא, ניתן לראות בבירור כי תופעת ה Phishing מתפתחת וצוברת תאוצה בקצב מדאיג. כדוגמה לכך ניתן לספר על ניסיון ההונאה שבוצע מול לקוחות אחד הבנקים המובילים ממש לאחרונה. מסתבר שלקוחות הבנק קיבלו מייל פיקטיבי בו הם התבקשו, באמצעות לינק שהפנה אותם לאתר מזויף,  למלא פרטים רגישים כגון שם משתמש, סיסמה,   מס' חשבון, ת.ז ועוד…

לאחר שהבנתי שהפרנויה הפרטית שלי מגובה בנתונים מהשטח וכי הנושא מטריד את מנוחתם של רבים וטובים החלטתי להמשיך בבדיקה ולברר כיצד כלקוח אוכל להיות בטוח שאכן הגעתי לאתר הבנק שלי ולא לאתר מזויף המבקש לגנוב את פרטי הרגישים (ידוע בז'רגון המקצועי כ Pharming)

אחת הדרכים של הבנקים ושל רוב אתרי המסחר המקוון להוכיח לי כלקוח שאכן הגעתי לאתר הנכון מתבצעת ע"י בדיקת הימצאותה של צלמית מנעול המופיעה בתחתית מסך ה browser (Explorer, FireFox…(  לחיצה על הצלמית אמורה להציג תעודה שהונפקה לאתר לצורך אימות האתר ו וזיהויו. 

האם שיטה זו מבטיחה את מנוחתי? לא ממש, כי מעבר לעובדה שלא כולם מכירים או פועלים לפי כללים אלו מתברר כי גורמים עבריינים משכללים את האתרים המזויפים כך ששם המשתמש והסיסמה יגנבו כבר בעת הקלדתם (Keyboard Loggers ) בנוסף לכך, לקוח ממוצע שלא מקליק על צלמית המנעול כל פעם שהוא נכנס לאתר יכול שלא לזהות שצלמית "המנעול" שאמורה להעיד על אתר מאובטח היא בסך הכל תמונת GIF קטנה שאותם קרימינלים הדביקו לצורך הטעיה…

משיטוט במספר אתרים מקוונים מתברר שהדרך להתמודד עם תופעת ה Phishing וה Pharming כלקוח מתבססת ברובה על כללי התנהגות ועל ידע שאמורים לצמצם את הסיכון והחשיפה לתופעות אלו. ברוב האתרים בהם ביקרתי ניתן למצוא רשימה מכובדת של עצות וכללי התנהגות כגון:

1. יש לבדוק שאכן מופיעה צלמית של מנעול או של Verisign ואז יש להקיש עליה ולבדוק את תוכן התעודה שהונפקה לאתר לצורך אימות וזיהוי האתר כאתר החברה. 
2. יש לשמור על פרטי הזיהוי (שם משתמש וסיסמה) -  לא לשמור שם משתמש וסיסמה בקבצים על המחשב, לא להיכנס לאתר בנוכחות "גורמים לא מורשים"…
3. לא לענות למיילים המבקשים מידע אישי
4. ועוד…

בכל מקרה ועל אף כללי הזהירות , מסתבר שברוב המקרים המתועדים של גניבת זהות:

לחברות לא הייתה שום אפשרות לדעת שגנבו את זהות לקוחותיהם, וחמור מכך שרוב הקורבנות לא הבחינו שנגנבה זהותם אלא רק לאחר פרק זמן ממושך

כיצד אם כן, יכולות מפעילות האתרים המקוונים לוודא שמי שמקיש את שם המשתמש והסיסמה הוא אכן בעל שם המשתמש והסיסמה? כיצד ניתן להזדהות בצורה חזקה יותר? כיצד ניתן לדעת שנגנבה "זהותו" של אדם? מהי בכלל ההגדרה להזדהות חזקה?

רוצים לדעת את התשובות? 

נסו את הלינקים הבאים:

המשך המאמר בלינק הזה

מידע מאתר אורקל בלינק הזה

שיטה "בדוקה" להונאה באינטרנט בסרטון שלהלן

6 מתוך 10 עובדים שעוזבים את מקום עבודתם, אם ביוזמתם ואם בגלל שפוטרו, יוציאו מתוך הארגון מסמכים וחומרים בעלי אופי רגיש כגון, מצגות, דוחות ומידע מסווג אחר, כך עולה מסקר שנערך לאחרונה בהשתתפות  כ 1,000 עובדים שעזבו את מקום עבודתם במהלך 12 החודשים האחרונים.

נתון זה אולי מפתיע חלק מכם ואולי לא, אך כפי שעולה ממקרים רבים,  מה שמפתיע יותר מכל היא הקלות הבלתי נסבלת של הוצאת מידע רגיש מארגונים כפי שנתן לגלות מהמקרים המפורטים להלן:

• בנובמבר 2007 מסר משרד האוצר הבריטי כי שני תקליטורים הכוללים את פרטיהם האישיים של 25 מיליון בריטיים המקבלים קצבאות ילדים אבדו ויתכן כי נחשפו לפעולות הונאה.
• בינואר 2008 דווח בכלי התקשורת כי קצין בכיר הודח מצה"ל לאחר שאיבד במכבסה זיכרון נייד שהכיל קבצים מסווגים אותם העתיק ממחשבו האישי בכדי להעבירם למחשבו הפרטי בבית.
• במרץ 2008 פורסמה הידיעה כי מידע סודי ביותר, של חיל האוויר האמריקאי, שכלל את מסלולי הטיסה העתידיים של ה AIRFORCE 1, תוכניות אימונים של חיל האוויר האמריקאי ומידע צבאי בעל אופי אסטרטגי מגוון דלף והגיע בטעות לתיבת הדואר הפרטי של מייסד אתר mildenhall.com לקידום התיירות בעיירה הציורית שבמחוז Suffolk באנגליה במקום למיילים שונים ב domain בסיס חיל האוויר האמריקאי mildenhall (www.mildenhall.af.mil).הממוקם באותה עיירה

מסקירת המקרים שלעיל וממקרים רבים נוספים עולה כי יש להעמיק את רמות האבטחה מעבר לגבולות המוכרים של הגנה על בסיסי נתונים, רשת ואפליקציה וזאת ע"י ניהול הדוק ופרטני יותר המאפשר הצפנה ומעקב אחר המידע בכל מקום בו הוא נמצא, שהרי מידע רגיש אינו "חי" בגבולות גזרה של רשת או בסיס נתונים  אלא זורם בכל רגע נתון במאות ואולי אלפי דוחות, מסמכים, גיליונות אלקטרוניים, מיילים, אפליקציות ומערכות Content Management הנמצאות בשימוש משתמשים פנימיים וחיצוניים כגון לקוחות, ספקים ומתחרים…

וכאן עולות מספר שאלות -  עד כמה חשוב להגן על נתונים מחוץ לבסיס הנתונים, האפליקציה, הרשת והגיבוי? כיצד ניתן להצפין מידע רגיש הנמצא במסמכים השונים,  במייל ובדוחות, המרכזים מידע רב ערך ממספר מקורות מידע? כיצד ניתן לנהל הרשאות ברמת המסמך והמייל (לספק ולשלול הרשאות באופן מיידי וריכוזי על בסיס צורך עסקי  גם שהמשתמש אינו מחובר למערכת)? כיצד ניתן לעקוב תנועת המסמכים והדוחות (כולל מידע לגבי מי פתח, מי ניסה להדפיס, להעתיק וכ"ו)  וכיצד ניתן לצמצם את תופעת דליפת המידע, הנגרמת לעיתים במזיד ולעיתים בתום לב, מתוך הארגון (80% מאירועי גניבת\דליפת מידע רגיש מקורם באיומים פנימיים שהתבצעו ע"י משתמשים התחברו למערכות מתוך הארגון).

חברת אורקל המובילה עולמית בתחום ניהול הזהויות, אבטחת בסיסי נתונים ואפליקציות מציעה מענה כולל להצפנת מסמכים, ניהול הרשאות ומעקב אחר תנועת המסמכים והגישה אליהם באמצעות פתרון ה  Information Rights Management (IRM) המאפשר ניהול מרכזי ומוכח המבוסס על Best practices Policies (אשר גובשו ונבנו במשך 5 שנים והמהווים חלק אינטגרלי מהפתרון ) המבטיחים פריסה ברמה הארגונית מול אלפי משתמשים. הפתרון, המשמש לקוחות בינלאומיים רבים, מבוסס על רכיב תוכנה המותקן על תחנות הקצה ועל שרת מרכזי המאפשר הגדרת הרשאות ומעקב אחר המסמכים המוצפנים. הרעיון הוא לאפשר הגנה ברמה יחידנית כך שהמידע יהיה מוגן בכל מקום בו הוא מאוחסן או מועבר בין אם במייל ואם באמצעי אחסון ניידים כגון Disk on Keys, CD's  ועוד בתוך הארגון ומחוצה לו

הצפנת המסמך מבוצעת כך ש:

• המידע מוצפן ויכול להיפתח רק למי שמחזיק במפתחות ההצפנה, ללא קשר לכמות ההעתקים הנוצרים והפעולות המבוצעות,.
• מוטמע לינק URL בלתי מחיק בתוך המסמך המוצפן כך שכל העתק יצביע על מיקומו מול השרת המרכזי
• חתימה דיגיטלית של המסמך תאפשר מעקב ומניעה של כל פעילות בלתי חוקית .
• תתאפשר שלילת הרשאה למסמכים כך שיהפכו לבלתי שמישים באופן גורף בכל מקום בו הם נמצאים בתוך ומחוץ לארגון.

הפתרון מספק בין היתר:

• מענה להגנה על מסמכים ממגוון פלטפורמות כגון: MS, PDF , Lotus Notes ,Outlook, Blackberry ,HTML, תמונות, סרטונים, תמיכה מובנית ב OFFICE XP, 2000, 2003, 2007 …
• Offline Support - הקצבת זמן עבודה על מסמכים מוצפנים גם כשאתה לא מחובר למערכת. חריגה מעבר לזמן ה Offline המוגדר במערכת תגרור חסימת הגישה למסמך המוצפן עד לחיבור מחודש לשרת המרכזי.
• שלילת הרשאות, ניהול ומעקב של מסמכים בתוך ומחוץ לארגון באמצעות קונסול השרת, כך שגם אם ניתנה הרשאה מסוימת למשתמש ניתן יהיה לשלול אותה לדוגמה: במקרים של פיטורין או עזיבת עובד, במקרים של הפצת גרסה חדשה למסמך ושלילת הרשאות גישה לגרסה ישנה (במערכות Content Management )

בשורה התחתונה, חשוב שנבדוק את תפקידנו כגופי אבטחת מידע. האם תפקידנו הוא להגן על כלי אחסון המידע על גבולותיו? או על המידע עצמו הנמצא בתוכו והזולג ממנו והלאה במגוון דרכים וצורות אל הדוחות והמסמכים השונים אשר מופצים, נשמרים, נצרבים, מאוחסנים ומגובים במגוון כלים ואמצעי אחסון. אין זה סוד שארגונים רבים מודעים לבעיה אך בוחרים שלא להתמודד עמה וזאת מכיוון שלתפיסתם או בגלל חוויותיהם בעבר מדובר בתהליך בעל מורכבות אוש"ית רבה מדי ברמה הארגונית .  חברת אורקל מספקת פתרון אמין, מוכח ופשוט להטמעה, המשמש מאות ארגונים בעולם, המיישמים את הפתרון ברמה הארגונית (בניגוד לרמה האישית, מחלקתית )  מול אלפי ועשרות אלפי משתמשים תוך הגנה על מגוון מסמכים ממגוון פלטפורמות כך שניתן יהיה לאבטח לא רק את הקונטיינר (אמצעי האחסון השונים בין אם בסיס נתונים, רשת, דיסק, CD …) אלא את המידע בכל מקום בוא הוא נמצא ומאוחסן.

מידע נוסף תוכלו למצוא כאן

או להציץ בדמו שלהלן