מקור: Unsplash
מדי פעם חווים אתרים ישראליים מתקפות שנגמרות במקרה הטוב בהשחתה (defacement) ו-DDoS או גניבת פרטים והזרקות קוד זדוני במקרה הפחות נחמד. הפעם האחרונה, שמתקפה כזו ארעה בקנה מידה גדול, היתה בחודש מאי 2020 אז נפגעו בו זמנית אלפי אתרי אינטרנט בישראל במתקפת השחתת אתרים שהציגה מסרי תעמולה אנטי-ישראליים. חקירה של מערך הסייבר הלאומי העלתה אז כי נקודת התורפה של האתרים הללו היתה חברת אחסון האתרים.
היום (ד’) מודיע מערך הסייבר הלאומי על תקן אחיד להגנה של חברות אחסון אתרים. התקן יהיה זמין במספר רמות – כסף, זהב ופלטינה – ויוענק לחברות שיעמדו בבקרות אבטחה שהוגדרו על ידי המערך. על פי המערך, המטרה של התקן החדש היא לחזק את רמת ההגנה הכללית במשק של אתרי אינטרנט וכן לאפשר לבעלי האתרים לבצע בחירה מושכלת לאחסון האתר שלהם גם על פי סטנדרט האבטחה.
כדי לקבל הכרה לאומית ב”תו התקן”, כל ספק יצטרך להוכיח עמידה בסידרה של בקרות שאותן קבע המערך להתקשרות עם ספקים בתחום אחסון האתרים. בין היתר כוללות הדרישות בקרת גישה, הגנה על עמדות קצה ושרתים, הגנה היקפית, ניטור ובקרה, פיתוח מאובטח וענן להגנה על סביבת המידע של הלקוח. לאחר עמידה מלאה בבקרות אלו, ייבדק הספק ע”י בודק ספקים מוסמך על ידי המערך, ויוכל להגיש באופן מאובטח את המידע לאשרור באחד מגופי ההסמכה – מכון התקנים הישראלי או IQC (המכון לבקרה ואיכות). אם המידע שהוגש יימצא תקין ויעמוד ברף המקצועי להגנה שקבע המערך, תונפק לספקית אירוח האתרים תעודה המאשרת כי רמת הגנת הסייבר לשירות אחסון אתרים עומד ברף שנקבע על ידי המערך. האישור יהיה תקף לשנה עם אפשרות לתיקוף למשך שנה נוספת.
ענת גולדיאן, ראש תחום התעדה ואסדרה במערך, אמרה בתגובה לתו החדש: “התוכנית מייצרת מאגר ספקים מאושרים על ידי המערך ומסייעת לארגונים לקבל החלטה מושכלת בהתקשרות עם ספקי אחסון בעלי יתרון יחסי בהיבטי רמת ההגנה המוצעת. המהלך מסדיר את השונות הגבוהה בתחום, מחזק חוליה מהותית בשרשרת האספקה המהווה יעד תקיפה אטרקטיבי ומפחית עבור בעלי האתרים את עלויות השימוש בטכנולוגיות הגנת הסייבר. במקביל, התוכנית טומנת בחובה פוטנציאל לרווח כלכלי לספקיות האחסון הראשונות שייבחרו ליישמה”.