לפני קצת יותר מחודש החלטתי שאני מקים גדר סביב הבית. השכנים החדשים נכנסים בקרוב ופרטיות זה דבר חשוב.

מאותו יום התחלתי לתכנן את הגדר שאני רוצה. ראיתי עשרות גדרות, חשבתי על המון אופציות: עץ לאורך, עץ לרוחב, עמודים מעץ, עמודים מברזל, אולי גדר אלומניום או אולי גדר מפלסטיק דמוי עץ שמחזיק המון זמן ולא דורש תחזוקה (האופציה האחרונה נשמעת טוב אך יקרה מאוד…).

בכל מקרה, לאחר שהחלטתי הלכתי וקניתי את העץ המתאים העמודים המתאימים הברגים המתאימים והצבע המתאים (יותר נכון שמן עץ). הובילו אלי את הכל והתחלתי להתקין. זה היה לא קל אבל בסוף יצא בדיוק כמו שרציתי - מושלם ואני לא משוחד

כשחזרתי לחנות ממנה קניתי, שאל אותי המוכר: אם הברגתי את השלבים העליונים לברזל? שאלתי: למה צריך? והוא ענה: אתה רוצה שיגנבו לך את העץ? אתה רוצה שילדים יפרקו לך את כל הגדר? היום זה ל"ג בעומר. אמרתי לו: על מה אתה מדבר מי גונב עץ מגדר? לא שמעתי על אף מקרה של גניבת גדר…

בהערכת הסיכונים שאני ביצעתי הסיכוי לגניבת העץ מהגדר היא כל כך קטנה שלקחתי החלטה שלא לאבטח את הגדר שלי עם ברגים. על פי נסיוני זה לא קרה אף פעם ביישוב שלי או בכלל ואין סיכוי שזה יקרה אצלי. בקיצור לוקח על עצמי את הסיכון.

למה אני מספר לכם את הסיפור המסעיר הזה? הרי לא מדובר כאן באתר של הום סנטר. ובכן החוויה הזו מאוד הזכירה לי את מה שקורה כיום בתחום אבטחת המידע.

לקוחות בכלל ואלו המתכננים פרויקטים חדשים בפרט משקיעים המון משאבים: בתכנון, ארכיטקטורה, רכישה, אינטגרציה, הטמעה, הדרכה….. ואת "הבורג" האחרון הנדרש לאבטחה הם לא טורחים להבריג. מדוע? כי בהערכת הסיכונים של ארגונים, הסיכון שארוע אבטחת מידע יתקיים, יסכן ויחשוף אותם הוא נמוך מאוד ובגדול הם צודקים, אלא מה? שיש הבדל מהותי בין הערכת הסיכונים שאני עשיתי עם הגדר להערכת הסיכונים של אותם ארגונים.

בהערכת הסיכונים שלי -  אם יגנבו לי את הגדר היחיד שיפגע הוא אני.

בהערכת הסיכונים של ארגון -  אם יתקיים ארוע אבטחת מידע, עלולים הרבה מאוד גורמים להפגע: מוניטין החברה, ערך המניה, הכנסות החברה ועוד ולראיה עיינו בערך ענת קם, אתי אלון ועוד עשרות אלפי מקרים שארעו בשנים האחרונות, לארגונים, שהיו בטוחים ומשוכנעים שלהם זה לא יקרה.

העניין נכון גם לעניין הרגולציות השונות.

הרי ידוע לכולנו שרגולציות כמו PCI , SOX ואחרות נולדו לעולם בעקבות ארועי אבטחת מידע או אי סדרים פיננסיים שגרמו נזק כלכלי אדיר. רגולציות אלו הם תוצר של ועדות חקירה מיוחדות שבחנו את המקרים לעומק, תוך נסיון לספק כלים לארגונים דומים פר תעשיה, על מנת למנוע את השנות המקרים או לפחות למזער את הסיכונים שרק הולכים ומתגברים ואני לא מרגיש צורך לחזור שוב על הסטטיסטיקות המטרידות.

מה קורה בפועל? במקום שארגונים יאמצו את הרגולציות וימנפו אותם לטובת הארגון תוך שיפור רמות האבטחה. קורה דבר די מדהים, ארגונים מתייחסים לרגולציה כעול ועושים את המינימום הנדרש בכדי לקבל את ההסמכה. מדוע? כי העלויות למימוש הרגולציה גבוהות מדי, כי בהערכת הסיכונים הסיכוי לאירוע אבטחת מידע תמיד יהיה נמוך, כי בכל ארגון אומרים פחות או יותר את אותו דבר: אני סומך על העובדים שלי, הם עברו סיווג, אני מכיר אותם שנים…  וכי תחושת ה"לי זה לא יקרה" חזקה מאתנו.

בשורה התחתונה אני חשוב שהגיע הזמן שארגונים יתחילו להבריג. זה יקח קצת זמן, זו עבודה קשה, זה עולה כסף אבל הרבה מאוד אנשים וגורמים תלויים בכך, שלא כמו במקרה שלי.

תחשבו על זה

עכשיו זה בדוק, Database Vault  קיבל הסמכה EAL4  מטעם Common Criteria Security Evaluation המעידה כי DBV מספק את ההגנה הטובה ביותר לבסיס הנתונים של אורקל מפני איומים פנימיים ואחרים המבקשים לגשת ולחשוף מידע ארגוני רגיש.

Common Criteria  הנו גוף תקינה בנלאומי מוביל אשר בוחן בין היתר: האם טענות ה VENDOR לגבי פונקציונאליות ויכולות המערכת אכן מסופקים, תוך בחינתם אל מול סטנדרטים של ניהול IT ואבטחת מידע. תהליך הבחינה מתבצע בתנאי מעבדה תוך הרצת Scenarios שונים בכפוף לסטנדרטים המחמירים ביותר.

למען הסר ספק, DBV הוא המוצר הראשון והיחיד שזוכה לסרטפיקציה זו.

למידע נוסף אתם מוזמנים להכנס ללינק הבא:

http://www.oracle.com/newsletters/information-indepth/database-insider/jan-10/criteria.html

פרטים נוספים על פתרון ה Database Vault ניתן למצוא כאן:

http://www.oracle.com/database/database-vault/index.html

אולי זה בגלל רוח החג, התחפושות ובעיקר המסכות שהחלטתי סוף סוף לכתוב משהו על נושא ה MASKING.

עוד יום משעמם חושב לו דני, ומריץ בדיקות פונקציונאליות חוזרות ונשנות על הגרסה החדשה שעומדת להשתחרר בעוד יומיים לייצור. את הבדיקות, לאפליקציית ה CRM החדשה, הוא מריץ על נתוני אמת שהועתקו מסביבת הייצור . מתוך שעמום הוא מציץ בנתונים ומגלה להפתעתו שמשה, השכן הבלתי נסבל שלו, הוא לקוח של החברה בה הוא עובד (אתר למבוגרים בלבד…). סקרונותו הגוברת מעירה אותו ברגע ומובילה אותו להיכנס לכרטיס הלקוח של משה. דני, שמחזיק כעת בפרטי כרטיס האשראי של שכנו הנשוי, שוקל ומתכנן את נקמתו….

סצנה מעט הזויה אני מודה אבל היא באה להדגיש את בעיית אבטחת המידע הקיימת בסביבות ה QA, הטסט והפיתוח הנשענים עפ"י רוב על נתוני ייצור הכוללים מידע רגיש כגון פרטי כרטיס אשראי שמות, כתובות וכ"ו..

נשאלת השאלה כיצד ניתן לעבוד בסביבות הפיתוח השונות, הדורשות מידע מלא ואמיתי בפורמטים מקובלים של כרטיסי אשראי, ת.ז ועוד מבלי לוותר על רמה נאותה ומקובלת של אבטחת מידע?

והתשובה היא Oracle Enterprise Manager - Data masking pack שהנו פתרון שלם וכולל לערבול נתונים המאפשר בין היתר:

1. זיהוי וגילוי השדות שברצוננו לערבל כגון פרטי כרטיס אשראי. תתפלאו כמה  לקוחות הופתעו למצוא כרטיסי אשראי במקומות בלתי צפויים.
2. ערבולהנתונים עפ"י פורמטים מוסכמים של כרטיסי אשראי, ת.ז ועוד באמצעות WIZARDS מוכנים מראש.
3. בדיקה שהערבול התבצע בהתאם למצופה תוך שמירה על הקשרים בין השדות.

בשל קוצר היריעה אני כמובן מאוד מפשט אז במידה ואתם מעוניינים לללמוד עוד אתם מוזמנים להכנס ל:

 http://www.oracle.com/technology/products/oem/pdf/ds_datamasking.pdf

חג פורים שמח

לפני כמעט חצי שנה במרץ האחרון יזמתי את הכנס הראשון בארץ (מטעם ספק תוכנה) בנושא PCI DSS. במסגרת הכנס הצגנו את התקן ומשמעותו הסברנו על התהליך שיש לעבור על מנת לקבל אישור של עמידה בתקן מטעם חברות האשראי וסיפרנו על פתרונות אורקל התחום זה.

תקן ה PCI DSS - Payment Card Industry Data Security Standard נוצר בכדי להגן על המידע של כרטיסי האשראי מפני גורמים עבריינים וטרוריסטיים במטרה לצמצם למינימום את תופעת גניבת הזהות והונאות האשראי המתעצמת מדי שנה ומייצרת נזק כלכלי אדיר המוערך ב 50 מיליארד דולר לשנה. התקן, על 12 סעיפיו, הנו פרי יוזמה משותפת של חברות האשראי המובילות  ונוצר על בסיס לקחים שנלמדו בדרך הקשה ממס' רב של אירועי הונאה שהסבו נזק כלכלי כבד לבתי העסק ולתעשיית כרטיסי האשראי. אחת הדוגמאות הבולטות ביותר לנזק הכלכלי הפוטנציאלי העלול להיגרם כתוצאה מאי שמירה על פרטי כרטיס האשראי, שייכת לחברת TJX האמריקאית ששילמה 216,000,000 $ בעבור הוצאות משפטיות ואחרות בעקבות דליפת הפרטים של 90,000,000 כרטיסי אשראי. דוגמה נוספת, הגיעה מבריטניה הגדולה ולפיה, מידע המכיל את פרטיהם של 25,000,000 בריטיים דלף בעקבות רשלנות שהביאה להתפטרות ראש שלטונות המס ולנזק כלכלי אדיר בסך 250,000,000 לירות שטרלינג.

 במסגרת התקן מפורטים כללי התנהגות והנחיות לטיפול, אחסון ושמירה על נתוני האשראי ע"י: הצפנת המידע - בין אם המידע מאוחסן בבסיס הנתונים, בדיסק, בגיבוי או בכל אמצעי אחסון אחר, הצפנת רשת התקשורת, הגבלת הגישה למידע על בסיס צורך עסקי בלבד (need to know basis ) , חיזוק מערכת בקרת גישה, ניטור תקופתי של רמות ה- Security בארגון, מעקב אחר פעילות המשתמשים וגישתם למידע, התקנת Firewall, Antivirus ועוד. חשוב לציין, כי התקן הנו תקן מחייב החל על כל הגורמים הקשורים למערכת התשלומים בכרטיסי האשראי וכי אי עמידה בו עלולה להוביל לקנסות כספיים מצד חברות האשראי

חברת אורקל שנושא אבטחת בסיסי הנתונים והמידע הארגוני זורם בעורקיה עוד מיום הקמתה פיתחה פתרון כולל הלוקח בחשבון מגוון איומים ומספק מענה הוליסטי להגנה מלאה על מידע רגיש בכל מקום בו הם נמצא (בסיסי נתונים, דיסקים, רשת, אפליקציות, מסמכים ועוד) עם התייחסות ספציפית לסעיפי PCI DSS. פתרונות Oracle (הותיקים והחדשים)  הנם פתרונות מובילים ומוכחים המיושמים על ידי מאות ארגונים בארץ ובעולם עוד בטרם יצא תקן PCI  הראשון בשנת 2005.  רוב הלקוחות המשתמשים בפתרונות אלו הנם מהמגזר הפיננסי והביטחוני שמורגלים לרמות אבטחה גבוהות ולתפיסת עולם פרנואידית (בהיבט החיובי של המילה).

נכון להיום, אורקל סייעה למאות לקוחות לעמוד בתקן PCI DSS מאז הוכרז לראשונה לפני 4 שנים.

מידע נוסף על פתרונות אורקל בתחום זה תוכלו למצוא כאן