מערך הסייבר השיק ”תו ירוק” לחברות איחסון אתרים
במערך הסייבר הלאומי רוצים להגביר את המודעות לאבטחה בקרב חברות אירוח האתרים, שמהוות לא פעם נקודת תורפה בשרשרת האבטחה. התקן החדש יכלול 3 רמות: כסף, זהב ופלטינה
מקור: Unsplash
מדי פעם חווים אתרים ישראליים מתקפות שנגמרות במקרה הטוב בהשחתה (defacement) ו-DDoS או גניבת פרטים והזרקות קוד זדוני במקרה הפחות נחמד. הפעם האחרונה, שמתקפה כזו ארעה בקנה מידה גדול, היתה בחודש מאי 2020 אז נפגעו בו זמנית אלפי אתרי אינטרנט בישראל במתקפת השחתת אתרים שהציגה מסרי תעמולה אנטי-ישראליים. חקירה של מערך הסייבר הלאומי העלתה אז כי נקודת התורפה של האתרים הללו היתה חברת אחסון האתרים.
היום (ד’) מודיע מערך הסייבר הלאומי על תקן אחיד להגנה של חברות אחסון אתרים. התקן יהיה זמין במספר רמות – כסף, זהב ופלטינה – ויוענק לחברות שיעמדו בבקרות אבטחה שהוגדרו על ידי המערך. על פי המערך, המטרה של התקן החדש היא לחזק את רמת ההגנה הכללית במשק של אתרי אינטרנט וכן לאפשר לבעלי האתרים לבצע בחירה מושכלת לאחסון האתר שלהם גם על פי סטנדרט האבטחה.
כדי לקבל הכרה לאומית ב”תו התקן”, כל ספק יצטרך להוכיח עמידה בסידרה של בקרות שאותן קבע המערך להתקשרות עם ספקים בתחום אחסון האתרים. בין היתר כוללות הדרישות בקרת גישה, הגנה על עמדות קצה ושרתים, הגנה היקפית, ניטור ובקרה, פיתוח מאובטח וענן להגנה על סביבת המידע של הלקוח. לאחר עמידה מלאה בבקרות אלו, ייבדק הספק ע”י בודק ספקים מוסמך על ידי המערך, ויוכל להגיש באופן מאובטח את המידע לאשרור באחד מגופי ההסמכה – מכון התקנים הישראלי או IQC (המכון לבקרה ואיכות). אם המידע שהוגש יימצא תקין ויעמוד ברף המקצועי להגנה שקבע המערך, תונפק לספקית אירוח האתרים תעודה המאשרת כי רמת הגנת הסייבר לשירות אחסון אתרים עומד ברף שנקבע על ידי המערך. האישור יהיה תקף לשנה עם אפשרות לתיקוף למשך שנה נוספת.
ענת גולדיאן, ראש תחום התעדה ואסדרה במערך, אמרה בתגובה לתו החדש: “התוכנית מייצרת מאגר ספקים מאושרים על ידי המערך ומסייעת לארגונים לקבל החלטה מושכלת בהתקשרות עם ספקי אחסון בעלי יתרון יחסי בהיבטי רמת ההגנה המוצעת. המהלך מסדיר את השונות הגבוהה בתחום, מחזק חוליה מהותית בשרשרת האספקה המהווה יעד תקיפה אטרקטיבי ומפחית עבור בעלי האתרים את עלויות השימוש בטכנולוגיות הגנת הסייבר. במקביל, התוכנית טומנת בחובה פוטנציאל לרווח כלכלי לספקיות האחסון הראשונות שייבחרו ליישמה”.
יניב אביטל
עורך אתר גיקטיים. יש לכם רעיון לכתבה? טיפ סודי? הדלפה? מחכה לכם ב-yaneev@geektime.co.il
הגב
9 תגובות על "מערך הסייבר השיק ”תו ירוק” לחברות איחסון אתרים"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
קצת מזכיר תקן ISO. כקונספט זה רעיון מעולה. תקן אחיד שמחייב את כולם לעמוד בסעיפים שהוא מכתיב.
בפועל? הסוקר מגיע ב10 בבוקר, שותים קפה שעה וחצי, בודקים איזה כמה מסמכים או תהליכים, ארוחת צהריים שעתיים, קצת סמול טוק על פוליטיקה וכדורגל, עוד בדיקה של איזה חצי מסמך או תהליך, חותכים הביתה ב3 וחצי.
ISO זה מקביל לתעודת כשרות. זה רק מוכיח ששילמת.
בול!
כל היום סבב סביב ארוחת הצהריים שהוא הבהיר שאנחנו מזמינים לו…
נכון, אבל זה עדיין קצת יותר מאפס מודעות לאבטחה, זה צעד כלשהו בכיוון.
תלוי איזה קפה…
כי אם אנחנו מדברים על קפה עלית, נס או שחור, אז עדיף שלא יגיעו בכלל.
לעומת זאת – אם הם בכל זאת מגיעים וזה הקפה שהם מקבלים: אז מגיע להם כל גרוש (אגוֹרה) שהם מקבלים.
—
אז סגרנו את הסוגיה הזו.
בוא נדבר עכשיו על סמולטוק…
נשמע צעד נכון.
עד כה הייתה אפס מודעות לנושא.
עכשיו, תהיה לחברות ההוסטינג סיבה להתאמץ.
ולא כמו היום, שחברה מתרחשת, ולא משלמת על כך בלקוחות שלה.
אני מתנגד לזה… זה מאוד מזכיר לי את ICP של המפלגה הקומוניסטית הסינית.. שפועלת “למען האזרח” ובפועל מצנזרת אתרים
אין בעיה בצינזור אתרים.
השאלה מה הסיבה שעומדת מאחורה
כי אם זה בגלל שהאתר הזה פוגע באבטחה חובה לצנזר ויפה שעה אחת קודם
מערך הסייבר הלאומי זה חרטא בפיתה.
הכל אקדמיה… שום דבר שפוגש את המציאות.
הזויי
ב”ה
צעד נכון מאוד, הגיע הזמן לקבוע רמות אבטחה מסודרות
מקווה שזה יהיה בכלל תעשיית ההייטק שיחייבו סטנדרטים חזקים שיגנו על המשתמשים ולא רק על אחסון. אבל טוב שהתחילו
הנזקים האלו יכולים להרוס חיים ואפילו פגיעה ממשית בחיי אדם