גיק-על-אחד: שחר מאור, אנליסט אבטחת מידע

שחר מאור מביע את דעתו ביחס לפרשת פריצת ה-SSL שנחשפה לאחרונה, פרשת DigiNotar ועוד נושאים מעניינים בתחום אבטחת המידע

שחר מאור, מקור: יח"צ

תפסנו את שחר מאור לשיחה בנוגע לתחום אבטחת המידע בארץ, להיכן עתיד להתפתח ומהם הטיפים המומלצים למשתמשים פרטיים ולמנהלי חברות על מנת לשמור על רשת המידע שלהם בטוחה לשימוש.

מאור הינו סגן הנשיא ואנליסט בכיר בתחום שירותי תשתיות בחברת STKI, העוסקת בניתוח אסטרטגיה ומחקרי שוק בתחום תשתיות יישומי ושירותי IT בישראל.

במסגרת עבודתו מתמקד מאור בשלושה תחומים עיקריים, תחום התקשורת ובו, בין היתר: VOIP, CC, תקשורת אחודה, תקשורת פאסיבית ועוד; תחום אבטחת המידע הכולל: SIEM/SOC, ניהול זהויות והרשאות (IDM/IAM), NAC, חבילות אבטחה ועוד; תחום ה Green IS או מערכות מידע ירוקות: ייעול עבודת מרכז הנתונים (Data Center), ייעול מערך ההדפסה בארגון, הורדת צריכת החשמל בציוד מחשב ונושאים אחרים שמתחילים להעסיק את הארגונים בעולם ובארץ בהיבט הסביבתי.

כיצד הגעת לתחום אבטחת המידע?

למדתי כלכלה ומנהל עסקים באוניברסיטה העברית. לאחר עבודה כרפרנט במשרד האוצר, קרוב משפחה אמר לי שמחפשים מישהו בחברה קטנה בתחום מערכות המידע. הגעתי לראיון. ג’ימי, הבוס, שאל אותי מה אני יודע על התחום ומה הרקע שלי. אמרתי לו שאין לי רקע ולא היה לי מושג שאנשים אשכרה מתפרנסים ממשהו שנקרא “מערכות מידע” – הוא אמר לי שהתקבלתי. התחלתי כעוזר לאנליסטים ולאט לאט למדתי את המשמעות של כל הקיצורים הנפוצים: מה זה ERPCRMSOA. בשלב מסויים אחד האנליסטים החליט שהוא עוזב. ג’ימי שאל אותי אם ארצה לטפל באבטחת מידע וככה בעצם התחלתי להתעסק בתחום.

מהי דעתך אודות פרשת פריצת ה-SSL שנחשפה לאחרונה?

ארגון שעושה שימוש במערכות מבוססות הצפנת SSL עלול בתיאוריה להמצא בבעיה קשה, אולם עדיין מדובר באמצעי אבטחה חיוני. הסכנות שאורבות ללא שימוש במנגנון זה עדיין גדולות יותר. שימוש בהצפנת SSL מוריד את הסיכון של הארגון, אך הבעיה האמיתית כיום היא כניסה של גורמים מוסדיים ומדיניים למרחב הקיברנטי – בהקשר הזה זהו נשק “שובר שויון” ואין לאף ארגון, או אפילו למדינה, יכולת לעמוד בצורה מוחצת מול התקפות בסדרי הגודל הללו. כל ארוע כזה אמור לגרום לפעמון לצלצל מעל מיטתו של מטה הסייבר הישראלי שהוקם זה לא מכבר ולזרז את עבודת המטה.

מהי דעתך אודות פרשת DigiNotar? האם לדעתך חברות צריכות להודיע זאת לציבור הרחב במידה ונפרצו?

בפירוש כן. ראינו מה קרה לחברה זו בגלל שלא הזדרזו להודיע. ראינו גם ש-RSA גימגמו לאחר הארוע שפקד אותם, אלמלא פעולה מאסיבית לאחר מכן על ידי המנכ”ל שלהם, לרבות מכתב פתוח שהודה בטעות ותוכנית שיקום מפורטת ללקוחות SecureID, גם הם היו משלמים מחיר כבד עוד יותר. בעידן של מיחשוב ענן, החשיבות בשקיפות של ספקי השירותים גדולה מעין כמוה – תארו לעצמכם מצב שהמידע הארגוני שלכם נחשף לגורם לא מורשה, כיום אין שום תקן או רגולציה המחייבת את הספק להודיע לכם על כך. זה מצב שמחייב שיפור.

בעקבות העלייה בכוח המחשוב בתחום הסמארטפונים וכמות המידע העוברת דרכם, כיצד לדעתך זה ישפיע על אבטחת המידע של המשתמשים?

מהפכת המיחשוב האישי החלה בארבע השנים האחרונות, לאחר כניסת סמארטפונים כדוגמת ה-iPhone גם לרשת הארגונית. תחום ההגנה והשליטה על סמארטפונים הוא התחום החם ביותר בשוק הישראלי ב-2011 ובשוק הקטן והביצתי שלנו לבדו זמינים כיום לא פחות מ-18 פתרונות שונים ומשונים להגנה ושליטה על מכשירי סמארטפון או טאבלטים. ההערכה של STKI היא שלמעלה מ-50 אחוזים מכלל הארגונים הגדולים בישראל, הכוללים מעל ל-1000 עובדים, מבצעים או ביצעו לפחות POC אחד בתחום מתחילת השנה. מצד שני, קיימת בעית בשלות לחלק לא קטן מהפתרונות הזמינים. הבערה בתחום מעידה על כך שיש צורך אמיתי בפיתרון הגנה ו\או ניהול של עמדות הקצה החדשות הללו.

מהם שלושת הטיפים העיקריים שאתה ממליץ למשתמשים פרטיים ליישם בנושא אבטחת המידע?

שחר מאור, מקור: יח"צ

המשתמש הפרטי לא רואה, בלשון המעטה, את נושא אבטחת המידע בראש מעייניו. אם לצמצם את הטיפול בנושא ל”מינימום האולימפי” הייתי ממליץ לכל אחד להקפיד על שלושת העקרונות הללו:

  • הגנה טכנולוגית – שימוש בתוכנת Antivirus\PFW סבירה ומעודכנת.
  • מדיניות סיסמאות – הקפדה על שימוש בסיסמאות חזקות מספיק בכל הקשור בגלישה ברשת, בעיקר ברשתות חברתיות. Facebook ו-Gmail הן כר הפעולה הפורה ביותר להונאות והתקפות באינטרנט. איך יודעים מתי הסיסמא מספיק חזקה? ישנם מגוון אתרים שיכולים לעזור לכם בכך, כגון http://howsecureismypassword.net/ או אתרים דומים.
  • מודעות – העלאת המודעות לגלישה בטוחה בקרב גולשים עשוייה להוריד את הסיכון. עקרונות פשוטים כמו: לא להכניס למחשב האישי התקן USB מגניב שמצאתי בחניה של הבניין ולא לגלוש לחלק המאובטח באתר הבנק, כשלשוניות אחרות בדפדפן פתוחות, הם לא עניין מסובך לזכור. צריך רק למצוא מנגנון ממשלתי או התנדבותי שידאג לטפטף את זה לציבור. אגב, לדעתי, חלק מהמנדט של מטה הסייבר הלאומי צריך להיות העלאת החינוך והמודעות לגלישה בטוחה בקרב כלל הציבור.

מהם שלושת הטיפים העיקריים שאתה ממליץ למנהלים ליישם בנושא אבטחת המידע?

  • הביעו התעניינות באבטחת מידע! מעבר לחשיבות העצומה של התחום ולעובדה שפרוייקטים בארגון קשורים קשר הדוק לסוגיות אבטחת מידע שונות, אסור שהידע ישאר אצל מנהלי אבטחת המידע בלבד. בגלל שמדובר בתחום “אפלולי” ולא מעניין – לפי דעתו של הרוב, מנהלים רבים מעדיפים להתרחק מההתעסקות בנושאי אבטחת מידע ולהשאירם לדרגים המקצועיים. צלילה פנימה עד כמה שניתן עשויה בהחלט לתרום להתייעלות של העסק ולקידומו התפעולי.
  • העדיפו מתודולוגיה על פני טכנולוגיה. בשוק שלנו יש נטיה לפתור את רוב הבעיות על ידי “הטמעה של פיתרון טכנולוגי”. במקרים רבים ניתן לפתור חלק מהבעיות על ידי שינוי פרסונאלי, שיפור תהליכי עבודה או אפילו תיעוד מסודר של שינויים. כך לדוגמא, מימוש מתודולוגיות כדוגמת ITIL יכול להוריד את הסיכונים התפעוליים הרבה לפני השימוש בטכנולוגיות.
  • תנו צ’אנס לטכנולוגיה ישראלית. הידע הטכנולוגי בתחום אבטחת המידע בישראל הוא עצום בכל קנה מידה, אין כמעט נושא אבטחתי שאיזשהו “סטארט-אפ מיוקנעם” לא מצא לו פיתרון חדשני. נצלו את הידע הזה, תנו לסטארטאפיסטים הזדמנות – ככה אתם תרוויחו פיתרון מעולה בחצי חינם ותמיד תוכלו לספר לנכדים שנתתם לגיל שוויד את הצ’אנס הראשון.

כיצד אתה רואה את תחום אבטחת המידע מתפתח במהלך השנים הבאות?

מקור: אתר STKI

אבטחת מידע היא דוגמא למרדף חתול ועכבר. בדרך כלל, הצד המגן נמצא צעד אחד אחורה ולכן כל הזמן אנחנו עדים להתפתחויות מעניינות בתחום. האבולוציה של אבטחת המידע תלויה באבולוציה של עולם המיחשוב, אם עולם ה-IT הולך לכיוון של ענן ומובייל, אבטחת המידע תלך גם היא לשם. מימד נוסף הוא הגידול העצום בתלות של האנושות במערכות מידע ומיחשוב, תלות זו מהווה כר פורה להתפתחות הזירה הקיברנטית כשדה קרב לכל דבר. השימוש ביכולות קיברנטיות צפוי לעלות מאוד בשנים הקרובות, המושג “הגנה על העורף” צפוי לקבל טוויסט וירטואלי חריף מאוד בשנים הבאות.

מהן התכניות העתידיות שלך? להיכן תהיה מעוניין להתפתח מבחינה מקצועית?

אבטחת מידע כל הזמן מתפתחת ומשתנה. חייבים להשאר מעודכנים כדי לא לעבור את הגבול מ”רלוונטי” ל”פאטתי”. לי יש עוד כל כך הרבה ללמוד, כל עוד אאמין שאני צובר ידע ומצליח להעביר אותו הלאה, אנסה להמשיך בתחום.


פוסט בחסות GSECTRA


חברת GSECTRA מציעה מסלול לימודים להסמכת CISSP האורך 96 שעות וכולל את 10 תחומי אבטחת המידע שהוגדרו על ידי ה-ISC2 כחשובים ביותר לאנשי המקצוע. הקורס מועבר בעזרת מתודולוגיה הכוללת חומר ייחודי, בחינות תרגול וסדנאות הכנה למבחן ההסמכה. הההכשרה מועברת על ידי מרצים בכירים, בעלי ותק וניסיון המוסמכים על ידי ארגונים בינלאומיים: ISACA, BSI ועוד. GSECTRA היא מוסד הרשמי היחיד המוכר בישראל לצורך הסמכת CISSP. למידה במוסד מוכר מקנה לתלמיד את הביטחון לקבל את כל הכלים העומדים לזכותו על ידי מרצים מאושרים על ידי ISC בעלי גישה לחומרים של ISC המלאים. ערכות הלימוד של GSECTRA מכילות את חומרי הלימוד העדכניים והרלוונטיים ביותר של ISC, המכינים למבחן ההסמכה ומקנים זכאות מלאה להשתתף במבחן ההסמכה. בנוסף, התלמידים הלומדים במסלול, מקבלים מ-GSectra ‘תעודת ביטוח’ המקנה להם אפשרות תמידית להצטרף למסלול נוסף, במידה ולא עברו את בחינת ההסמכה הבין לאומית.

חן אידן

אוהבת גאדג'טים, אפליקציות ואת עולם הטכנולוגיה בכלל. שלל עיסוקיה כוללים הריסת מכשירים סלולריים לצרכי בדיקה, התעסקות בלתי פוסקת ברשתות חברתיות, סקירת אפליקציות חדשות, סטארטאפים מבטיחים והתנסות עם (כמעט) כל מוצר חדש שיוצא לשוק.

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: