בקרת רשת, בקרי אבטחה Incident handling וחברות וקטנות

בעלי עסקים קטנים המבינים כי ארועי אבטחה עלולים ליצר תקריות גם בארגונים שלהם, כהתקפות מחוץ אך המסוכן ביותר מבפנים, מבקשים ממני לא פעם לייעץ להם על מערכות לא יקרות איתם יוכלו לייצר בקרות שיסייעו להם בעת ניתוח תקרית או אירוע של אבטחת מידע.
ובכן מצאתי אתר המעלה 8 תוכנות שבשילוב של כמה מהם ניתן לייצר בקרות דיי טובות ובייחוד מערכות המייצרות לוגים להבנת תקרית או אירוע.

האתר מצוי בכתובת זו: לחצו כאן.

חשוב לדעת: חלק מהמערכות המוצאות הינם יצרניות לוגים שעלולות להתפרש כמערכות עיכוב המעלות את סוגיית פרטיות המידע. לפני שמבצעים התקנה, חשוב לרענן את העובדים בדבר המערכות הפועלות (פעולה העוזרת גם ביצירת התראה) וכן להחתים את העובדים על מסמך משפטי המגדיר כי ידוע להם שבמערכות המחשב של הארגון מצויות מערכות לתיעוד ואיתור מידע ואבחון אירועי אבטחת מידע.

לכל יעוץ מקצועי או ליווי הכנה הטמעה וביצוע רענון ומסמכים משפטיים - יש לפנות אלינו באמצעות האתר

מאגר ביומטרי במדינת ישראל - עדכון

בעתירה שהוגשה על ידי האגודה לזכויות האזרח, התנועה לזכויות דיגיטליות, פרופסור קרין נהון, חברת סגל בבית הספר למידע באוניברסיטת וושינגטון והאוניברסיטה העברית ודורון אופק - מומחה לאבטחת מידע ולתוכנה חופשית נטען כי אין מחלוקת באשר לתעודות הזהות החכמות עצמן והעתירה נוגעת להקמת המאגר ולפיילוט שהוא בעייתי בעיניהם ולא באמת בודק את הנחיצות של המאגר.
שופטי בית המשפט העליון נדרשו לעתירה כנגד המאגר הביומטרי והפיילוט שיקדים אותו - העתירה נדחתה בדיון, אך נקבע כי המדינה תשנה את האופי של הפיילוט שיתקיים בשנתיים הקרובות, ותפקידו יהיה לקבוע את נחיצות המאגרלכתבה שפורסמה ב Ynet

הרגולטור הממשלתי מפרסם מסמך תקנות אבטחת מידע

רמו"ט ומחלקת ייעוץ וחקיקה ממשרד המשפטים, מפרסמות מסמך טיוטה המגדירה תקנות אבטחת מידע על פי חוק הגנת הפרטיות לעיון הציבור ובקשה להערות אם יש. התקנות מגיעות בעקבות הפקת לקחים של שתי פרשיות חשבוות בם עסקו אנשי רמו"ט והם: פרשת הפצת מרשם האוכלוסין הידוע בעיקר בשם "אגרון" וכן פרשת "ההאקר הסעודי".
נבצר ממני מדוע אין הרשות מפרסמת בשלב זה גם טיוטה לתקנה חשובה לא פחות, המתבססת על איסוף מידע למאגר, ומה יש למנוע מבעלי מאגר ברשת האינטרנת לדרוש מלקחות מזדמנים (לפרטים נוספים קראו פוסט זה). כדוגמא לסיכום ישיבת ועדת המדע והטכנולוגיה בעניין הגנת הסייבר, שבאה לאחר אירוע האקר הסעודי. האמת היא שלא פניתי אליהם בשאלה זו, ייתכן וגם אני נדבקתי בשעננות בכל הקשור לפעולות המדינה.

לאלו המעוניינים להתעמק בתקנות לחצו כאן

הצעת תיקון חוק המחשבים - האם מישהו באמת חשב על כך

הוזמנתי לועדת החוקה בכנסת...
במטרה להשתתף בדיון הנוגע להצבעה בקריאה ראשונה של הצעת תיקון לחוק המחשבים 1995 ביוזמת ח"כ רוחמה אברהם.
חברי קהילת ה- IT ואבטחת המידע מסכימים עימי שכבר מזמן החוק דורש מספר התאמות ועידכונים.
הצעה זו נוסחה ע"י יועצים משפטים ממשרד המשפטים, הפרקליטות והיועצת המשפטית של הוועדה.

כמובן כמו בהרבה דיונים אחרים בכנסת, כשאין מצלמות או שידורים חיים, חברי הועדה אינם מופיעים, במקרה זה גם יוזמת ההצעה לא נכחה בדיון או בהצבעה.
מי כן נכח, נציגי משרד המשפטים, נציגי הפרקליטות והמשטרה, נציג איגוד ISCA  "דורון רונן", וכן אנוכי ניר פסי בשבתי כמומחה עבירות מחשב ונציג איגוד, היועצת המשפטית לעבירות מחשב הדי רביב, עו"ד פיני עזריה החבר גם בועדה בלשכת עורכי הדין, עו"ד, איש מחשבים לשעבר עמוס תלם, וכבוד יו"ר הועדה ח"כ דוד רותם ביחד עם מזכירות הועדה.
הדיון נסב סביב שתי נושאים שהועלו לשינוי: הגדרת המונח "מחשב" כפי שמופיע בחוק, וכן סעיף 6 בחוק המדבר על קבצים מזיקים להוסיף את ענין האזנת סתר.

מדוע נדרש שינוי
המונח" מחשב" מוגדר בחוק המחשבים כמכשיר הפועל באמצעות תוכנה לעיבוד אריתמטי או לוגי של נתונים, לרבות ציודו ההיקפי, לרבות מערכת מחשבים, אך למעט מחשב עזר.  בבימ"ש מתעוררות מדי פעם סוגיות הנוגעות למכשירים הנכנסים להגדרת מחשב ואילו שיש ספק לגביהם, בסוגיות אלו נדרשים השופטים להחליט בגדר פרשנות שלהם לחוק.
בעיקר עולה הסוגיה של מכשיר טלפון, האם נכלל בהגדרת מחשב ע"פ חוק זה או לא.
ככלל כל טלפון דיגיטלי מעבד מידע באמצעות תוכנה ע"י עיבוד מידע, פיענוח וקידוד של אותות דיגיטלים והמרתם לvoice ולהיפך בשעת שיחה, כמו גם כל פעילות אחרת בטלפונים מסוג סמארטפונים הינם עיבוד מידע ולכן כולם נכללים בהגדרת מחשב, ע"פ חוק המחשבים. ההצעה של רוחמה אברהם היתה להוסיף מכשיר טלפון, לדידי הדבר מיותר, משום שטלפונים באשר הם, נכנסים להגדרה הקיימת ולכן אין כאן בעיה. ברם, עצם ההגדרה ניתנת להרחבה כך שלא תאפשר ספקות מיותרות, וכדאי להוסיף, כל מכשיר אשר מעבד מידע. אין יותר כללי מזה להגדיר כל אמצעי מחשוב ומין הראוי כי זה יכנס לחוק.
קיימת עוד סוגיה לדידי שיש לשים לה לב והיא המילה פועל., ההגדרה בחוק מופיע בזו הלשון: "מחשב" - מכשיר הפועל באמצעות תוכנה לעיבוד אריתמטי או לוגי של נתונים, לרבות ציודו ההיקפי, לרבות מערכת מחשבים... אך למעט מחשב עזר.  
כשאנו מתייחסים למילה הפועל יש לשים לב כי מחשב שאינו פועל, באם ניתפס ע"י צד אזרחי או ע"י המשטרה בצו ע"פ חוק המחשבים, אין התפיסה חוקית משום היותו במצב שאינו פועל וכך לא נופל להגדרתו כמחשב בחוק המחשבים כי אם להגדרת חפץ ע"פ סדר הדין. לשתי הסוגיות האלו החליטה הוועדה ונציגי משרד המשפטים והפרקליטות לא להתייחס, לכן ירד תיקון ההגדרה מההצבעה להצעת החוק.
נשארנו אם תיקון סעיף 6 לחוק (המדבר על נוזקות במחשב), בו ביקשה ח"כ רוחמה אברהם להוסיף את לעבירות המופעיות בסעיפים 4,5,ו-6 התייחסות לתוכנה אשר סוגלה לביצוע האזנת סתר ולהפנות לחוק האזנת סתר, פעולת ההפניה לחוק האזנות סתר היא במקומה, רק השאלה הנשאלת האם כל פעולת האזנה שתוכנה מבצעת נכללת בחוק האזנות סתר?

מה מגדיר חוק האזנות סתר כ"האזנה"?
ע"פ ההגדרות בחוק האזנת סתר 1979, " האזנה - האזנה לשיחת הזולת, קליטה או העתקה של שיחת הזולת והכל באמצעות מכשיר ". עוד מגדיר החוק " האזנת סתר - האזנה ללא הסכמה של אף אחד מבעלי השיחה ". כמדומני ביקשתי הבהרה מנציגי משרד המשפטים מדוע ההפניה ניתנת רק לחוק האזנות סתר ולא מרחיבים את ההגדרה, נדרשתי לדוגמא ונתתי (היום כל כמעת כל אפליקציה חוקית שאנו מורידים מבצעת האזנה למידע הקיים במכשיר הסמאטפון או הטאבלט הנוגע למשל למידע לגבי מיקום שלנו, בשל כך לא ניתן להאשים אדם המקבל מידע על מיקומך מבלי שרצית זאת, גם סוס טרויאני היושב במחשב ומדי פעם מבצע צילומי מסך פשוט שולח מדי כמה דקות תמונה בקובץ של פלט המסך למחשב מרוחק, גם זה לא נכלל בחוק האזנות סתר ולכן לא ניתן להחיל עליו את הדין בגלל שחוק האזנות סתר אינו מטפל בפעולות שאינם שיחה.

בנקודהזו קיבלתי מבט מזוגג ועיניים טועות מפרקליטות המדינה ומשרד המשפטים שלא הבינו כלל על מה אני מדבר, בעוד שחברי לדיון, עו"ד פיני עזריה ואחרים ניסו להסביר את העמדה לנציגי המדינה אך גם יו"ר הועדה שאינו מבין דבר בענין והיועצת המשפטית של הועדה החליטו לא להתייחס לסוגיה, בסופו של דבר אושרה ההצעה בקריאה ראשונה ("יו"ר הועדה ח"כ רותם וח"כ מקלב שנכנס רק לשם ההצבעה),  יחד הצביעו ברוב קולות, כדברי היו"ר וההצעה עברה.

מסקנות
אם ביצעו אצלכם חיפוש ותפסו מחשבים או טלפונים שאינם פועלים, תצהירו על כך בפני מבצעי הצו ואח"כ תטענו כי התפיסה לא היתה חוקית אם אושרה על פי חוק המחשבים והמידע שהוצע ממחשבים שאינם פועלים הינו בגדר הגדרת חפץ ואינו עונה להגדרה של מחשב על פי חוק המחשבים.

הכל על פתרונות MDM או Mobile Device Managment

סיכונים רבים הנוגעים לאבטחה והגנת המידע אצל משתמשי הקצה במערכות הארגון גדלו והתרחבו בשנים האחרונות באופן משמעותי, חלק מהם מצביעים באופן מדויק על מגמות שינוי התנהגותיות בארגון ועל כיווני ההתמודדות של ה-IT הארגוני. האסטרטגיה הארגונית הנוגעת להגנה על מערכת משתמשי הקצה הורחבה בשנים האחרונות עד למכשירים הניידים, שכל עובד מחזיק עימו בארגון ומחוצה לו, גם אם מדובר במכשיר סלולרי פרטי, טלפון אישי , או מכשיר טאבלט שהעובד הביא מהבית.
לתקופת זמן מסויימת ארגונים נתנו אמונם במכשירי ה- Blackberry של חברת RIM הקנדית, שתדמיתם כמכשירים מאובטחים עלתה בעולם וסיפקה לארגון את השקט גם בפני רגולציות קפדניות.
הבעיה שבשנים האחרונות הפופלאריות של מכשירי Blackberry בקרב משתמשי הטלפון ירדה, בעוד המנצחים בתחום הפופלאריות הם מכשירי הסמארטפון והטאבלט.
כמעט כל עובד בחברה מסתובב עם מכשיר כזה ומבקש להתחבר לארגון עימו.
לפיכך נותרו ארגונים שלמים ללא פתרונות כנגד ריבוי הסיכונים העומדים בפני משתמשים אלו.

מה זה MDM
מערכות MDM או מערכות Mobile Device Management, הינן מערכות ניהול מכשירים ניידים (סמארטפונים וטאבלטים). מערכות ניהול אלו מאפשרות לקיים מסגרות חוקים המוכלות על כלל מכשירי הסלולאר הארגוניים, כך ליצור בקרות ויכולות ניהול ארגוניים על המכשירים הניידים מתוך קונסולת ניהול אחת, המופעלת באמצעות יחידת אבטחת המידע הארגונית או באמצעות ה-IT.
פתרונות אלו לא פסחו על שווקים קטנים יותר כדוגמת ה SMB  (עסקים קטנים ובינוניים) ומציאים פתרונות אלו בפלטפורמת ניהול מהענן software as a service SAAS , או כאופציה של מערכת המוטמעת ומותקנת בארגון בד"כ בין ה Exchange server ל FW.

איזה סוג פתרון יאפשר לארגון להגן על הסמארטפונים של המשתמשים?
את הפתרון ניתן לסווג לשתי קבוצות, הגנה על כל המכשיר או הגנה על המידע העסקי בלבד במכשיר.
מבנה הפתרון אינו חשוב כרגע, לכל יצרן ישנם מאפיינים דומים וגם שונים כדי להוכיח ייחודיות שלו בתחום.
אך מה שחשוב לקחת בחשבון לפני כל דבר אחר, הוא:
1. האם הפתרון מאפשר למנהל מערך ההגנה לראות מידע פרטי או לעשות בקרה על מידע פרטי של
    המשתמש, כי אז צריך לשקול התייעצות עם יועץ משפטי בעיקר משום העובדה כי המימד של פתרון זה, 
    מאפשר לפגוע בזכות הפרט, זכות העובד, חוק יסוד כבוד האדם וחרותו, שלהם משקל רב מבחינה משפטית
    ותדמיתי לארגון.
2. האם הפתרון מגן אך ורק במידע הארגוני, שהוא קניינו של הארגון ולעובד אין חזקה עליו.
3. תת קבוצה זו הינה אופציה המורכבת מרמת האבטחה וההגנה שמבקשים לקבל ונוגעת בבסיס הפתרון, האם המידע מוצפן או שלא.

כשניגשים לפרויקט איתור פתרון MDM המתאים לארגון, יש לבחור באחת מתוך שתי הקבוצות שהוסברו מעלה, כי להם משקל רב בבחירת הפתרון ההולם את הארגון ומגן על המידע.
ארחיב מעט כדי שהשיקולים יהיו ברורים.
ישנם פתרונות בשוק הפועלים על כל המכשיר אם באמצעות Agent היושב על המכשיר ואוכף את הכללים והחוקים של מנהל האבטחה בארגון, ויש גם אילו הפועלות ללא Agent במכשיר, אך פותחות את כלל המכשיר הכולל מידע פרטי של המשתמש כספר פתוח מול הארגון, וישנם פתרונות היוצרות ממשק ניפרד על גבי המכשיר לחלק הפרטי וקונסולה לחלק העסקי, אכיפת הארגון מבוצעת רק בקונסולה זו. מערכת זו (השניה) בד"כ תעבוד על בסיס הצפנת נתונים, כך שהמידע הארגוני מוצפן ומוגן בתוך המכשיר.

שאלתם מה יותר נוח?
הרוחות נושבות לכאן ולכאן, יש מי שיטען שברגע שמנהלים את כל המכשיר אזי כל פעולה על המכשיר מחייבת הכנסת סיסמה ואם מנהל האבטחה קובע מדיניות סיסמאות מוקשחת אז צפוי לו להתקל בחומה של משתמשים שיתנגדו לדבר, בעוד שמשתמשי קונסולה עיסקית מוצפנת, יצטרכו להכניס סיסמא רק כאשר הם רוצים או נדרשים לעבוד על המידע הארגוני. ויש מי שיטען ההפך.

אז מה באמת כדאי?
אם קראתם הכל על MDM ועכשיו אתם בפני בחירת פתרון, צרו עימי קשר, אשמח להעניק את הניסיון שלנו בתחום זה, לעבור אתכם על מגוון הפתרונות הקיימים בשוק, ולייעץ על אילו שהכי כדאי לכם להטמיע בארגון - בהצלחה!

מפעילי רב קו אוספים מידע רגיש מנוסעים - עכשיו ההנחיות

מפעילי כרטיס הרב קו אספו ועודם אוספים מידע רגיש של ציבור השמתמשים בכרטיס במאגר מידע לא מוגן כשהוא בגדר "מידע רגיש".
למרות רגישות המידע המצוי בחזקתם לא קיימו מפעילי הרב קו והחברות העושות בו שימוש כולל משרד התחבורה כל רישום של המאגר והכל תחת החסות של משרד התחבורה, הברון הבלתי מעורער של שימוש במידע פרטי השייך לתושבי מדינת ישראל. החוק אגב, מורה לרשום את מאגר המידע בפנקס מאגרי המידע ולעמוד בתנאים המוגדרים ע"י הרגולטור.

המפעילים לא הסתפקו רק במידע הרגיש אותו אישר להם משרד התחבורה לאסוף ואספו גם נתונים נוספים בהם מין, שם מוסד לימודים וכתובת מוסד לימודים, מצב בריאותי, מצב כלכלי, נתוני שימוש בכרטיס, מספר הקו שנעשה בו שימוש, מספר כלי התחבורה בו בוצעה הנסיעה, תחנת העלייה על אמצעי התחבורה, שעת העלייה עליו והמיקומים בהם היה.

בעקבות תלונות הציבור ופניות של הורים החרדים לתופעה, הפיץ הרמו"ט - הרשות למשפט מידע וטכנולוגיה של משרד המשפטים, הנחיות ביניים עד שיחוקק חוק לעניין זה.
את ההנחיה תוכלו לקרוא בדף זה

תקציר ההנחיות להלן:

1. אין לעשות שימוש בידע רגיש.
2. יש לקבל מהנוסע הסכמה לצורך איסוף מידע אודות הנוסע ואודות השימוש בכרטיס החכם.
3. אין לאסוף מידע רגיש כדוגמת מס' ת.ז. בשבב הכרטיס, כדי שלא יעובד באמצעים מחשוביים.
4. מותר לאסוף פרטי קשר של נוסע. אולם פרטי קשר אלה צריכים להיות בהיקף המינימלי ביותר הנדרש, יש להבהיר ללקוח כי הפרטים נדרשים לשם יצירת קשר, לכן זכותו למסור פרטים בהיקף מצומצם בלבד. הוא (הנוסע) רשאי לבחור למסור אחד או יותר מאלה: כתובת, מספר טלפון, מספר טלפון נייד, או כתובת דואר אלקטרוני, ואינו חייב למסור פרטים נוספים.
5. אם כרטיס נרכש על-ידי מעסיק ניתן לרשום את פרטי המעסיק.
6. יודגש כי ככל שמפעיל תחבורה ציבורית מעוניין להקים מועדון לקוחות או לבצע פעולות שיווקיות אחרות הקשורות באיסוף מידע מהציבור, חל איסור לקשור בין איסוף זה לבין איסוף לצרכי הרב קו.
7. הקמת חלופה לכרטיס החכם הרב-קו, שתהווה חלופה אנונימית לכרטיס.
8. חובה לקבל אישור על בסיס הסכמה מדעת של הלקוח, ובהתאם להוראות סעיף  11 לחוק ולפקודת התעבורה, עליו להציג בפני הנוסע, במעמד ההנפקה, את חלופת הכרטיס האנונימי העומדת לרשות הנוסעים.
9. ביחס לנוסע שהוא קטין, ההסכמה מדעת לאיסוף המידע והשימוש בו יכולה להינתן רק על ידי מי שהוא האפוטרופוס של הקטין.

לנוסע שהוא קטין, המידע אותו המפעיל רשאי לאסוף לצורך הנפקת כרטיס מזוהה לקטין הוא המידע הבא בלבד: שם הקטין, מספר

1. תעודת הזהות של האפוטרופוס נותן ההסכמה וכן תאריך סיום הזכאות לקטין (במקום תאריך הלידה של הקטין, הנדרש היום).

שימוש במידע על ידי המפעילים

1. שימוש במידע מזוהה ייעשה רק לשם מתן שירות לנוסע.
2. מידע על נתוני מיקום יימחק מיד לאחר ביצוע התחשבנות בין המפעילים.
3. חל איסור לקשור בין איסוף מידע לצורך שיווקי קריא מועדון לקוחות לבין איסוף לצרכי הרב קו.

 לפי חוק מאגרי מידע סעיף 17, על מפעילי כרטיס חכם חלה האחריות לאבטחת המידע במאגר המידע.

לשם כך עליהם לקיים היבטי אבטחה למידע הרגיש הנאסף, והם:

1. הפרדת מאגרי מידע אצל המפעיל
2. הפרדת מידע מזהה מנתונים
3. צמצום המידע המזהה אודות הנוסע הנכלל בשבב
4. הגבלת גישה וניטור

האמור בהנחיה זו ייכנס לתוקף בשני שלבים: הראשון 15.03.2012, השני 15.04.2012, עד למועד זה יעבירו המפעילים אל הרשם . נוהל אבטחת מידע בהתאם.
להרחבה..

מתקפת הסייבר האחרונה הוכיחה שהמלך הוא עירום - האומנם?

מסקנות מועדת המדע והטכנולגיה בנושא מתקפת סייבר

יו"ר ועדת המדע והטכנולוגיה

 אני חייב לציין כי שמחתי לתרום מהידע האישי ולהשתתף בועדת המדע והטכנולוגיה בראשות ח"כ רונית תירוש שעסקה במוכנות המדינה למתקפות סייבר.

1. אני מרוצה מבחירת הועדה ויושבת הראש שהחליטה לאמץ חלק מההמלצות שהוזכרו על ידי כדובר אחרון בדיון הועדה, ובעקבות כך ביקשה מעו"ד יורם הכהן ראש הרשות הרשות למשפט וטכנולוגיה (רמו"ט), להגדיר מהו מידע רגיש והאם אפשר לקבוע כי אתרים ישראלים לא ידרשו מספר תעודת זהות כמו אחיהם במדינות הנכר.
2. על הרצון להפוך את מקצוע אבטחת המידע למקצוע שיש ליצור לו רישוי לעיסוק, שיגדיר מיהו מומחה אבטחת מידע מוסמך.
3. על בחינת תקן PCI כרגולציה מחייבת בכל פעילות מסחר אלקטרוני, כך שיתקיימו בקרות כנגד כל עסקה וכל פרצה או דלף יאפשרו גם להיחקר ולהסיק מסקנות קונקרטיות כדי למנוע מעשים דומים בעתיד.

ביום 18.01.2012 התקיים דיון בכנסת שכינס יורם הכהן בעיקרו התקבלו החלטות לטיפול ע"פ הפעולות שהצעתי בדיון הועדה והוזכרו כאן - אני מנצל במה זו להודות ליורם הכהן ראש רשות משפט מידע וטכנולוגיה על כך לחץ כתבה
 
כמו כן לבקש כי בנק ישראל ילמד את שירותי עסקאות הרשת המאובטחות המקובלות היום כפי שקיים במערכות PayPal, ויבחן אפשרות לכפות על חברות האשראי לפעול באותו מישור כדי למנוע ממחזיקי האשראי מלהיחשף בפני בעלי אתרים שאינם מכירים.

 חמשת הדיברות לגלישה בטוחה
בהזדמנות זו ברצוני לציין מהן כללי ההתנהגות שעל ציבור גולשי האינטרנט לעשות בתרנזקציות פיננסיות ומסחר אינטרנטי:

1. לא להעביר מס' תעודת זהות לאתרים ברשת, זהו מידע רגיש שמי שמחזיק בו יכול להשתמש במידע לצורך פעילות לא חוקית או להוצאת כספים בשם בעל הזהות וללא אישורו או ידיעתו, מוכר יותר במושג "גניבת זהות".
2. אם אין ברירה, עדיף לרכוש באתרים מחוץ למדינת ישראל, שם לא מבקשים פרטים כמו תעודת זהות.
3. להשתמש בשירות שיטת תשלום בטוחה ואנונימית כדוגמת מערכת PayPal ודומיו. היתרון בשיטה זו הינה עקרון העבודה שלו אבטחה וריכוזיות. בשיטה זו אין האתר המסחרי מקבל את פרטי כרטיס האשראי שלכם או פרטים אישיים, פרטי כרטיס האשראי נשמרים רק במערכות PayPal ולא מופצים לצד ג', קרי אתר המסחר, זאת כדי למנוע מבעל האתר המסחרי לקיים או לשמור מידע אישי במאגר, דבר שעלול להיסתיים בדלף חמור, כפי שקרה לדוגמא באתר sale365. מדובר באתר גדול, ייחודי ומקצועי המשקיע הרבה משאבים לצורכי אבטחת עסקאאות ומידע של המשתמשים בשירות זה ברשת.
4.  לא להעביר מידע לגיטימי אישי, שאין יכולת לבטלו כמו מס' ת.ז. או דרכון. 
5. לא להישתתף בפעילויות הדורשות מכם לתת דגימה ביומטרית, מידע זה הוא בלתי הפיך וכשהוא נגנב או דולף אין יכולת לבטלו ולהחליפו, כפי שעשו חברות האשראי כדי למנוע נזק ללקוחותיהם בדלף האחרון. 

מאגר ביומטרי חדש של משרד החינוך - האח הגדול גרסת 2011

מה כבר לא נאמר על מאגרים ביומטרים, אלא שדמותו של שטרית משרה אווירה טובה על כולם ומאז שזה החליט על אפם וחמתם של אישי ציבור, מקצוע ואקדמיה, אזרחים ואחרים להקים מאגר ביומטרי, כך גם גופים עסקיים וממלכתיים החליטו כי טוב הדבר גם להם, האח הגדול גרסת נוב' 2011:

בזק בינלאומי תטמיע שעוני נוכחות ביומטריים בבתי ספר; היקף הזכייה עשרות מיליוני שקלים

למעלה מ-160 אלף מורים בכ-4,500 בתי ספר יחוייבו לדווח באמצעות המערכת. הדיווחים הביומטריים יישמרו בענן משרד החינוך.

מורים יקרים, אני קורה לכם כאיש מקצוע בתחום אבטחת המידע, להקים ועד ולמנוע מהדבר להתפשט הלאה, נתונים אלו הם מידע שקבוצות טרור, מדינות וגופים בטחוניים עומלים רבות כדי לקבלם, ואם אתם מתירים לבזק לשים את זה בענן, כלומר בשרת מחוץ לגבולות מדינת ישראל או בתוך בעל גישה מהאינטרנט כך שכמות התקיפות שיהיו עליו תהיה בלתי מוגבלת, זבש"כם אך מה יגידו ילדיכם עליכם.

צאו לרחובות ואימרו לא למאגר הביומטרי, לאח הגדול ולשלטון חסר רסן

 

קול קורא לעיצוב תוכנית לימודים בתחום הסיייבר סקיוריטי

להלן ההודעה החשובה מהמכון הלאומי לתקנים וטכנולוגיה (NIST) הנוגעת לעיצוב תוכניות לימוד והעשרה בתחום הסייבר סקיוריטי.

אני מעביר את הקריאה של פרופ' מיש קאביי מאוניברסיטת נורוויץ בארה"ב, הקורא לכל הקוראים להשתתף בתהליך הבדיקה. הניסיון של הקוראים והתובנות יוכלו לעצב את עתיד עולם אבטחת המידע על ידי הבטחה שתוכנית החינוך cybersecurity תותאם למוטו של תוכניות אבטחת מידע בעולם ובארה"ב.

מטה לאומי ללוחמה מקוונת ואבטחת מידע יוקם בישראל

כך הודיע היום רוה"מ בנימין נתניהו "ישראל חשופה להתקפות סייבר שיכולות לשתק מערכות שמפעילות את המדינה. אנחנו נערכים מבעוד מועד לאיום הזה", בשנים הקרובות תקצה ממשלת נתניהו מאות מיליוני שקלים להקמת והפעלת המטה.
לדברי נתניהו, התקפות הסייבר הן איום אסטרטגי לכל דבר ועניין ולכן יש לגבש מענה נאות לבעיה בדמות גוף מקצועי שילמד את הנושא, יפתח אותו ויפעיל כלי הגנה מתקדמים.
את תוכנית הפעולה של המטה החדש הגה פרופ' יצחק בן ישראל, יו"ר המועצה הלאומית למחקר ופיתוח ואלוף במילואים ועימו 80 מומחים מהאקדמיה ומהתעשיה.
הצפי לכך גידול בביקוש של עובדים מתחום אבטחת המידע ותשתיות, הקדימו להירשם וללמוד את מקצועות המחר, לפרטים לחצו כאן.
הכתבה התפרסמה באתר Ynet

מאגר ביומטרי - הקלות שבהכתבת דברים שנויים במחלוקת בתקופה קשה

בין עליות הדלק, עליות המיסים, עליות הארנונה, עליות תשלומי המעונות  והעליות הצפויות בתעריפי המים והחשמל, האם יש זמן טוב יותר להעלות שוב סוגיה  שנויה במחלוקת כמו המאגר הביומטרי?

מסתבר שכן, רוה"מ  בנימין (ביבי) נתניהו החל לגבש תוכניות להנעת התהליך לבנית המאגר הביומטרי בו ידרש כל אזרח לאחר תקופה וולנטרית לתת למדינה ולרשויות (שעד כה לא התברכו באמינותם ושמירה על המידע האישי שלנו), לעשות שימוש מלא במידע זה.
אם אתם חושבים "נו, עוד אחד שיוצר פניקה", דעו לכם שכבר היום משרד הפנים עושה שימוש בתמונות ביומטריות המצויות במשרד התחבורה כהשאלה בין משרדים, ללא נהלי אבטחה שפורסמו או אושרו ע"י מי מהגופים האמונים על הגנה על מידע זה.
אז קדימה חברים האם יהיה מישהו הפעם שירים את הכפפה ויעמוד לצד האזרחים, או שנדרשת כאן מהפכת TwitFacebook כמו במדינות השכנות?


לחצו להגדלה

כתבות נוספות בנושא:
-  השר מיכאל איתן: "יש לשתף את הציבור ביישום הפיילוט לחוק הביומטריה"
-  ניסויים מסוכנים
-  האגודה לזכויות האזרח: "המאגר הביומטרי נבנה כדי להפוך למאגר משטרתי"

מהם סיומות הדומיין הבטוחות ביותר לגלישה

דו"ח ה-Domain Names הכי מסוכנים לגלישה

הסיומת דומיין היפנית זוכה שנה שניה לבטוחה ביותר.

ויקיליקס חושף מידע צבאי רגיש

וירוס תולעת קונפיקר - מהווה איום ממשי של כ-10% מכלל האיומים הגלובליים

תמונה: tinypic.com

לאחרונה פרסמה חברת ESET יצרנית תוכנת האנטי וירוס המצליחה NOD, כי הצליחה לפתח כלי להסרת התוכנה הזדונית המפיצה עצמה באמצעות פירצת אבטחה במערכת ההפעלה של מייקרוסופט למחשבים רבים.

החדשות הטובות לרובכם הוא שהכלי עצמאי ואינו מחייב שימוש דרך תוכנת NOD גם אם אין כזו המותקנת במערכת.

להורדת הכלי בחינם

[קרדיט לחברה בישראל המייצגים את מוצרי חברת ESET שעזרו בפיתוח הכלי - חברת קומסקיור \comsecure]

לכתבה על התקפת הקונפיקר על מחשבי צ.ה.ל

חשוב לדעת: הגנה על הילדים ובקרת גלישה באינטרנט

הורים יקרים,
שמירה על ילדיכם באינטרנט יכולה להיות הליך מורכב ומסובך.
במיקרוסופט החליטו לעזור לכם ולהקל על תהליך ההגנה והשמירה, על כן הכניסו למערכת ההפעלה מערכת שנקראת 'בקרת הורים' או Windows Live Family Safety .
כך שאתוכלו לתת לילדכם מידה מסוימת של עצמאות.
בדרך זו תוכלו לשמור על הילדים שלכם, ולמנוע מהם להגיע לדפי אינטרנט שבהם אתם לא רוצה שהם יסתכלו.

אני ממליץ לכל הורה שיש ברשותו מערכת הפעלה ויסטה / ווינדוס 7 , להפעיל את שירות בקרת ההורים לחסימת אתרים שאינכם מעוניינים שילדכם יכנסו.
מצ"ב סרטון שמסביר על יכולת ההפעלה וצעדים להגדרת המערכת במחשב שלכם (הסרטון באנגלית)

לחצו כאן להתחלת הסרטון

כיצד למחוק חשבון במערכת המסרים Twitter

מערכת המסרים המיידיים טוויטר היא מערכת חברתית הגוררת לצורך שימוש בה פתיחת חשבון לכל משתמש.
לעיתים אני מוצא אנשים חוששים על מידע שפורסם בחשבון ומעוניינים במחיקתו, אתן לזה את הפתרון.
אם אין ברצונכם למחוק טוויטים אלא את כל החשבון, גם זאת ניתן לעשות ע"י הפעולות הבאות.

1. היכנס לחשבון שלךבדף www.twitter.com עם שם המשתמש והסיסמה שהגדרתה.
2. אתר את התפריט "settings" המצוי בפינה הימנית העליונה של דף האתר בו אתה נמצא. זוהי האפשרות הרביעית משמאל.
3. לחץ על האפשרות 'Deactivate my account'(בטל את החשבון שלי) המופיע כקישור בתחתית הדף של 'ניהול החשבון'.
4. לאחר הלחיצה על הקישור תועבר לדף אחר (בלחיצה על התמונה בדף זה תוכל לראות את הדף המדובר),
   המבקש ממך לאשר את המחיקה. לחץ על הכפתור בתחתית הדף  "Okay, Fine Deactivate My Account".
   לאחר מכן תועבר לדף הראשי וחשבונך ימחק.

חשוב: מידע שנשאר בחשבון טוויטר יהיה נגיש תמיד לאלו שעוקבים אחריכים בטוויטר ולכן כחלק מהליך אבטחת מידע, חשבון שאין בו שימוש, עדיף שיימחק.
בהצלחה!

הטכנולוגיה כעזרה לחוקרי מידע -MIT החוש השישי (Sixth Sense)

טכנולוגיה חדשה שתעזור לחוקרים או למחפשי מידע תוצע לכל דורש כבר בשנים הקרובות.
הטכנולוגיה שהוצגה ע"י בוגרי הMIT ,  זכתה לשם "החוש השישי".
הטכנולוגיה שהוצגה באתר  TED, נראית כאילו נלקחה מתוך הספר "דו"ח מיוחד Minority Report  שהוצג בסרט תחת אותו שם  של סטיבן ספילברג בשנת 2002 בכיכובו של טום קרוז.
טכנולוגיה זו הינה טכנולוגיה הנלבשת על הגוף ומאפשרת בעזרת מצלמה ומקרן זעירים וחיישני אצבעות לבצע כמו מתוך הולוגרמה חיפושי מידע מתוך רשת הענן ולסנן להגדיל והוציא מידע תוך זיהוי בזמן אמת של פרצוף, דמות , מסמך או מוצר.
הטכנולוגיה (אם תהיה זמינה לכל) תיצור אפשרות למידה מעמיקה של הסביבה המציאותית שלנו וגם תהפוך לכלי של הפרת פרטיות באופן בוטה.
השיקול כמו תמיד הוא של הציבור, דוגמא להפרות פרטיות שהפכו לנחלת הכלל היא באתר FaceBook שהיום אין חוקר נחשב שלא מכיר את רזי ליקוט המידע מכלי זה.
הכלים עדיין מצויים בשלבים אחרונים של פיתוח, תוצר זה רק מראה מהן מגמות ההתפתחות הבאות בעולם הוירטואלי הנכנס לתוך העולם המציאותי שלנו, וכן זה נראה מעניין.
לחצו על הוידאו לצפיה.

פיראטיות וחינוך

השבוע הודיע בכיר בחברת יוניברסל 'פרנסיס קלינג' למערכת ה-BBC את ההודעה הבאה: 
the world largest music company has admitted that piracy cannot be stopped.
תופעת הפיראטיות על יצירות כדוגמת מוסיקה וסרטים החלה לצבור תנופה משנת 1999 למעשה החלה עוד מרשית ימי האינטרנט המסחרי, זוהי בעיה סבוכה שחלק מהעוסקים בדבר טוענים כי החלטה בנושא זה תהלך איימים על קיום האינטרנט ככלי פתוח לכל. השיתוף החל לצבור תנופה בעיקר כאשר חברות גדולות חשבו שעצם יצירת הרתעה כנגד מספר מקרים בודדים, יצליחו ליצור פחד אצל משתפי הקבצים ולהפסיק את פעולות השיתוף, דבר שלא קרה.
מעבר לכך, הנושא עלה לסדר היום ומוחות קרימינלים בינלאומיים החלו לנצל את נושא הפיראטיות לטובת עשיית רווחים, כיום ניתן להבין כי בתחום המוסיקה והסרטים קיימים מספר אתרים מסגנון "עוקץ ניגרי" בהם נרשמים אנשים כביכול לקבל חומר צפיה או שמיעה אכותי, ומשלמים דמי מינוי שאח"כ מתבררים כהונאה.
החלק השני הוא בניצול גורמים מסחרים ומדינות לזרוע בתוך קבצי המוסיקה והסרטים קבצי backdoor ואו קבצים מזיקים לתעשיית האנטי וירוס, הבעיה העיקרית עימה צריכים להתמודד חוקרים היא בדרכי ההפצה המנצלים רשתות שיתוף לכלי הפצה של בוטנטים ו- Spywere . וזאת צריכה להיות הדאגה העיקרית של אנשים המורידים ומשתפים קבצים, כל עוד לא יבוצע חינוך שיעזור בהבנת הבעיה כך ימשכו להם ההפצות הפיראטיות מבלי להיפסק.

תקן PCI-DSS האים קיים תעדוף לאומי , מהו התקן, מנקודת ראות של בלוגר

PCI DSS - תקן אבטחת מידע על מאגרי כרטיסי אשראי שהוקם על ידי חברות האשראי הבנלאומיות - מתי הוחלט ליצור את התקן המחייב את כל חברות סליקת האשראי הבנלאומיות, האם התקן משפיע על חברות מקומיות. מה מידת ההתמעה של התקן בקרב חברות מקומיות כיום.

רוצים לקרוא עוד...

עץ משפחה ופרטיות המידע

טרנד חדש בפייסבוק בניית עצי משפחה.
הטרנד החדש למעשה משמש כווידג'ט שניתן להוסיפו ל-FACBOOK, הקלות המהממת בבנית עץ משפחה יכולה בהחלט לסחוף רבים לשימוש בכלי זה וניתן אף להיתחבר אליו דרך חשבון הפייסבוק.
בדף הרישום לאתר geni.com מפעילת השירות מופיע באנגלית הסבר הנוגע לפרטיות המידע.
"Geni is private and secure. Only the people in your family can see your tree", אכן המידע אמור להישמר אך ברגע שהוא פורסם באמצעות הפייסבוק, המידע שפרסמתם נגיש לכל.
בכניסה שביצעתי לדף של משתמש בפייסבוק שאינו נמנה על חבריי ובו פירסם את העץ המשפחתי שלו ניתן היה לצפות במידע שהוכנס פנימה.
אגב מי שינסה לבדוק מיהי החברה העומדת מאחורי האתר יגלה לתדהמתו כי המידע חסוי ואין מידע מפורט לגבי מחזיק הדומיין.

אנא בדקו את עצמכם לפני שאתם משתפים מידע עם אחרים, הרי אחת ממגמות הפשיעה הנמצאת בעליה מתמדת היא גניבת זהות - ראו הוזהרתם!!!