יום רביעי, 22 באפריל 2009

אבטחת מערכות מכשור רפואי צוברת תאוצה

אירועי הפגיעה בחודשים האחרונים במערכות מידע רפואיות ברחבי העולם (ווירוס ה-Conficker באנגליה ובאוסטריה ותולעת ה-Mytob בלונדון) מדגישים את הצורך להעלות את רמת האבטחה במכשור רפואי.
כצעד שמטרתו לספק מענה בדיוק לנושא זה, בחרה חברת Ortivus בפתרון של חברת SE46 AB כרכיב במערכות ה-MobiMed ו-CoroNet שמתוצרתה. בכך לדבריהם ביכולתם לספק ללקוח מערכות המחוסנות בפני כל קוד עויין.
מערכת MobiMed הנה מערכת eHealth הכוללת רכיבי תוכנה שונים כדוגמת: מערכת תומכת החלטות (רפואה למרחוק-טלהמדיסין, הנחיות, מרשמים מרוחקים, רשימות תיוג מסרים דו-כיווניים ועוד), נטור, תיעוד (רשומות רפואיות אלקטרוניות), תקשורת, שילוב עם מערכות אחרות, סטטיסטיקות ועוד.
מערכת CoroNet הנה מערכת אלחוטית לניטור לב המאפשרת לבי"ח להשתמש באותה המערכת בין אם הוא מועבר בין מחלקות או מהאמבולס לאלונקה כך שמתאפשרת זרימה שוטפת ובלתי מופרעת של נתונים.
בית התוכנה SE46 AB מתמקד בפתרונות אבטחת מידע פרואקטיביים עפ"י עיקרון "המניעה כברירת מחדל". שילוב גישה וותיקה זו עם טכנולוגיה חדישה של תעודות דיגטליות, מאפשרת להגדיר מחדש את המודל השמרני של הגנה מפני קוד עויין. במקום להתבסס על רשימה הכוללת אלפי חתימות של איומים ידועים (כפי שתוכנות אנטי ווירוס מקובלות מבצעות), מבוצעת השוואה לרשימה קצרה יותר של תוכנות מאושרות בתעודות דיגיטליות. בשיטה זו הפונקציונאליות של הציוד הרפואי איננה נפגעת, שכן אין כל צורך לקבל באופן קבוע עדכונים חיצוניים, כפי הנדרש בתוכנות אנטי ווירוס מקובלות.
כבר בחודש
מאי 2005, הכריזה חברת סימנס כי ברשותה פתרון אנטי ויירוס המותאם למכשור רפואי. בדצמבר 2007 מפרסמת סימנס הסבר מפורט יותר כיצד מותאם הפיתרון, אנטי וירוס של חברת טרנד מיקרו למכשור ההדמיה בביה"ח האוניברסיטאי בבזל, שוויץ.

אם כך, עולם הרפואה ובפרט בהתייחס למכשור הרפואי מתחיל לקבל התייחסות פרטנית על מנת לצמצם את הסיכון שבשימוש בפלטפורמות טכנולגיית מידע סטנדרטיות.

יום שלישי, 21 באפריל 2009

אם זה לא היה ברור קודם, אז עכשיו זה ברור. המשרד לביטחון המולדת (DHS) מחפש "פורצים ברשיון" על מנת לשפר את הגנת התשתיות החיוניות

עכשיו זה רשמי. הגישה שיש לשפר את האבטחה באמצעות שילוב חשיבת התוקף או בצורה יותר מדוייקת, פעילות התקפית "ע"י כוחותינו" הופכת להיות נחלת הכלל.
הנשיא הנבחר, ברק אובאמה, אדם המקושר היטב לעולם הטכנולוגי, הבין עוד טרם כניסתו לתפקידו כנשיא עד כמה הבעייה של הגנת התשתיות החיוניות בארה"ב חמורה, ומה רמת הפער בין הקיים לנדרש.
צוות שהוקם עפ"י הנחייתו אמור היה להגיש את המלצותיו בסוף השבוע. נראה שזו אחת ההמלצות שכבר החל יישומה "תוך כדי תנועה".
מה צופן העתיד? ימים יגידו.
ובנתיים, מתפרסמת לה בשעות אלו ידיעה על גניבת מידע צבאית:
האקרים פרצו למחשבים בהם הנתונים על תוכנית מטוס הקרב המשולב. התוכנית היקרה ביותר של הפנטגון מעולם: 300 מליארד דולר. הפורצים הצליחו לשים את ידם על מספר טרהבייטס של נתונים, בהם מידע על תכנון ומערכות אלקטרוניות. הגניבה עלולה להקל על התגוננות מפני כלי הטיס הזה.

יום רביעי, 15 באפריל 2009

פורטל חדש לאבטחת מידע - הודעה על הרצאה בנושא הגנת הפרטיות

הידיעה הבאה מופיעה בפורטל חדש לאבטחת מידע seci.co.il
הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים (קישור לאתר ראה בידיעה המקורית) מקיימת הרצאה בנושא "חובת הודעה על כשל אבטחת מידע - מבט השוואתי".
ההרצאה תתקיים לקראת יישום המלצת הצוות לבחינת החקיקה בתחום מאגרי המידע (דו"ח שופמן) לאמץ את המודל הקליפורני לגבי חובת הודעה כאמור. הדובר בהרצאה הוא מר סטיוארט דרזנר, המוציא לאור והעורך של כתב העת Privacy Laws & Business (קישור לאתר ראה בידיעה המקורית). הדובר עוסק מאז שנת 1987 בייעוץ, השמה, ארגון כנסים והשתלמויות בנושא ההגנה על המידע האישי. ההרצאה תעסוק בחובת ההודעה על כשל אבטחת מידע שאומצה במדינת קליפורניה, הורחבה לרוב מדינות ארה"ב וכיום נשקל אימוצה באיחוד האירופי. קהל היעד להרצאה הוא מנהלים, משפטנים ואנשי אבטחת מידע - במגזר הציבורי ובשוק הפרטי - העוסקים בשימוש במידע אישי ובהגנה עליו, בניהול מאגרי מידע ובאבטחת מידע.
ההרצאה תתקיים ביום חמישי 16.4.2009, בשעה 14:00, בקריית הממשלה - דרך מנחם בגין 125, תל-אביב (קומה 1, חדר ישיבות 101). ההרצאה תינתן בשפה האנגלית וההשתתפות אינה כרורוכה בתשלום.
יש לאשר השתתפות למייל:(כתובת ראה בידיעה המקורית) או לטלפון:03-7634061.

יום ראשון, 12 באפריל 2009

בלוג המוקדש לתקן PCI-DSS

בלוג המוקדש כולו לתקן PCI-DSS.
מופעל כבלוג באתר של: The Treasury Institute for Higher Education.
גם הוספתי בבלוג זה תחת רשימת הבלוגים שלי
לידיעת המתעניינים בנושא.

הסדרה עצמית של אבטחת מידע בארה"ב על פרשת דרכים

לקראת סוף מרץ/תחילת אפריל 2009 עומדת במרכז הבמה הסוגיה של עוצמתה וחולשתה של ההסדרה העצמית בתחום אבטחת המידע.
סקטור החשמל:
7 באפריל 2009:Michael Assante המשמש כ-Vice President and Chief Security Officer של ארגון NERC - North American Electric Reliability Corporation הארגון שקבע את תקן האבטחה לכל הסקטור בצפון יבשת אמריקה מוציא מכתב המופנה לכל העוסקים בנושא בסקטור זה בו הוא מברך על ההתקדמות ובה בעת מזהיר כי משהו בסיסי חסר, חסר מאד.
התקן הנו אסופת מסמכים: CIP-002-CIP-009. האותיות CIP הנם רשאי התיבות של: Critical Infrastructure Protection. התקן אושר ב-NERC במהלך קיץ 2006 ונקבעה תוכנית עבודה ליישום כל התקן עבור כל הישויות החייבות ביישומו עד ל-2010. הגורם הפדרלי FERC אשר עפ"י חוק החשמל בארה"ב הוא המאשר את התקן, הצביע על חולשות הקיימות בו אבל נאלץ לאשר אותו כמות שהוא. במו"מ שהתקיים, הסכימה NERC לשפר אותו כחלק מהעדכון ובתהליך של הסכמה כפי המקובל ב-NERC. במכתבו מצביע מיכאל אסנטה על בעיה בסיסית. המסמך הראשון בתקן CIP-002 עוסק באיתור הנכסים/נכסי המחשוב החיוניים עליהם צריך יהיה להפעיל את שאר התקן. באם לא יימצאו כאלו, אין לתקן משמעות.
קישור למסמך זה: http://www.nerc.com/files/CIP-002-1.pdf
סקר שערכה ה-NERC מצביע על כך שרק 31% מהישויות העצמאיות בסקטור שענו לסקר דיווחו שבבעלותם לפחות נכס אחד שהנו נכס חיוני, ורק 23% דיווחו שבבעלותם לפחות נכס מיחשוב חיוני אחד. מדובר בין היתר גם ביצרני ומוליכי חשמל. מספירם אלה נמוכים משמעותית מהמצופה
התקן השאיר חופש רב מדי לקבוע מהו נכס /נכס מחשוב חיוני, דבר שהוצבע עליו מלכתחילה ע"י המבקרים את התקן. כעת משהתוצאה הצפויה מראש הופכת למציאות, עולה כמובן השאלה: האם ה-NERC יוכל להתמודד לבדו או שהממשל הפדרלי יצטרך להתערב?
סקטור תשלומים באמצעות כרטיסי אשראי:
סקטור שני שבו מסתבר קיימת בעיה דומה הנו סקטור התשלומים באמצעות כרטיסי האשראי. תקן ה-PCI-DSS שעליו החליטו נציגי חמש חברות כרטיסי האשראי הגדולות ואותו הם מקדמים באמצעות פעילויות רחבות היקף מסוגים שונים (ראו קישור: http://www.pcisecuritystandards.org/), באמצעות גוף שהוקם למטרה זו:
Payment Card Industry (PCI) Security Standards Council - המועצה לתקני אבטחה של תעשיית התשלומים בכרטיסים (להלן בקיצור: המועצה), גם הוא מהווה למעשה תקן בהסדרה עצמית. למרות השיפור המאד משמעותי ברמת האבטחה של החברים בסקטור זה (סוחרים, חברות הסולקות כרטיסי אשראי), מסתבר שלאורך השנים מתגלות גם בו בעיות. פריצות שאירעו בשנים האחרונות לחברות הסולקות כרטיסי אשראי ואשר ממדי גניבת מספרי הכרטיסים בכל אחת נמדדים במליוני מספרי כרטיסים, הביאו את תת הוועדה לסיכונים מתהווים, אבטחת מידע ממוחשב, מדע וטכנולוגיה של הקונגרס לקיים דיון בנושא ב-31 לחודש מרץ.
כותרת הדיון: “?Do the Payment Card Industry Data Standards Reduce Cybercrime”
בדיון זה עלו כבר קולות ראשונים הטוענים שכל עוד הסדרה עצמית הנה שם המשחק בסקטור זה, לא תהיה בו יותר אבטחה מהקיימת היום, וזו איננה מספקת מענה הולם לאיומים ולסיכונים שבו הוא מצוי.
נראה שגם ויזה וגם המועצה הפנימו כבר שמשהו חסר והחלו החל מחודש ינואר בסדרת פעולות על מנת לשפר את אבטחת המידע בארגונים החייבים בציות עפ"י תקן זה. מטרתה המרכזית של סדרת פעולות אלו הנה לטפל בכשל המהותי שהתגלה והוא ציות מתמשך של 24x7x365 להנחיות התקן. אין זה נכון לציית לדרישות רק במועד בצוע סקר האבטחה השנתי. שכן לפחות בשניים מהמקרים החברה שבה אירעה פריצה הייתה מוסמכת ועמדה בדרישות התקן בעת ביצועו של הסקר השנתי. אלא שככל הנראה במהלך הזמן שבין שתי ביקורות השתבש לו משהו.
ובמאמר מוסגר, אין זו בעיה פרטית לתקן זה בלבד. מדובר בכל מי שמממש אבטחה באמצעות שיטה שבה אחת לתקופה מבוצעת בדיקה לעמידתו בתקן. ומה קורה בין שתי בדיקות? שיטה טובה להתמודדות תהיה בחירת מספר סביר של מרכיבים שייבדקו בתדירות גבוהה (מספר פעמים ביום, פעם ביום, פעם בשבוע וכד'). אם הבחירה נעשתה בצורה מושכלת, אזי ניתן לקבל תמונת מצב על פני סרגל הזמן מה מצב האבטחה ולנתח מגמות, ועל פיהן להניח הנחות סבירות באשר למצב האבטחה בכללותו.
מה אם כן ניתן לומר בנקודת הזמן הזו על ההסדרה העצמית של אבטחת המידע?
נראה שהנושא הגיע לפרשת דרכים. בארה"ב הודאה בכישלון הסדרה עצמית והליכה לחקיקה פדראלית איננה פופולרית, שכן זו הודאה בכישלון "כוחות השוק" להסדיר את עצמם.
יחד עם זאת, במצבה הנוכחי, הסדרה עצמית איננה מספקת מענה מספק.
מהירות, יעילות ומקצועיות השינוי הנדרש לבצוע ע"י הגורמים הרלוונטיים:
NERC בסקטור החשמל, וה-Payment Card Industry (PCI) Security Standards Council וחברת ויזה הניצבת בראש חברות האשראי בנושא האבטחה בסקטור התשלומים באמצעות כרטיסים, ייקבעו את עתידה.
מבקש לאחל לכל קוראי הבלוג חג פסח שמח וגם מאובטח

יום שני, 6 באפריל 2009

בדיקה פשוטה האם המחשב נגוע בוירוס Conficker

אכן מבחן פשוט ביותר.
אם מופיעה התמונה העליונה בקישור, אזי המחשב איננו נגוע.
אם חסר משהו, בחלק מהמצבים קיים חשד שהמחשב נגוע, בחלק אחר של המצבים המוצגים קיימות בעיות תפעוליות מסוגים שונים, אך לא מדובר בווירוס. הכל מוסבר בפשטות מדהימה.
ככל הזכור לי ואני בעסקי אבטחת מידע מזה למעלה מ-25 שנה, זו הפעם הראשונה שמשתמש רגיל ללא כל ידע בנפלאות המחשב יכול לדעת באמצעות בדיקה שהוא עצמו יכול לבצע אם מחשבו נגוע או נקי.
לדעתי זו עשויה להיות תחילתה של מהפיכה בנושא זה. אם משתמשים רגילים יוכלו לבדוק את מצב המחשב שלהם באמצעות כלים פשוטים נוכל לשפר את מודעותם לצורך שמחשבם יהיה נקי מתוכנות זדוניות. עוד דרך ארוכה לפנינו, אבל הצעד הראשון נעשה ואני מברך עליו.

יום רביעי, 1 באפריל 2009

הפרדת תפקידים וסמכויות - ככה מונעים הונאות ומעילות

ב-ynet פורסם הבוקר כי בכיר במנהל החינוך בעירייה, חשוד בהוצאת כספים במרמה. המנהל, אחראי בין היתר על עובדי קבלן חיצוני שקשור בחוזה עם העירייה. בכל סוף חודש הוא דיווח על מספר העובדים ששלח הקבלן ועל השעות שעבדו - ובהתאם לכך הוציאו בגזברות העירייה שיקים למשכורות.
אלא שבבדיקת המבקרת נמצא שלפחות שני עובדים היו רק "עובדים על הנייר", שהפסיקו עבודתם עבור העירייה מזה זמן. למרות זאת, המנהל המשיך לדווח עליהם, ואת השיקים שהוצאו עבור משכורתם כביכול - הפקיד בחשבונו.
עד כאן קטע מ-YNET הבוקר.
הפרדת תפקידים וסמכויות, בעיקר בכל הנוגע לתהליכים שבהם יש כסף (משכורות, רכש, "קופה קטנה" ועוד) הנה הבסיס למניעת מעילות והונאות. הרעיון הבסיסי הנו שאדם אחד איננו יכול לבצע בעצמו את כל הרצף של הפעילויות שתחילתן במשהו שיאפשר קבלת כסף וסיומו בקבלת הכסף עצמו. לדוגמה: אדם אחד איננו רשאי בעצמו להגדיר עובד, את התשלום עבורו ולאשר את התשלום.

התהליך הארגוני הנדרש הנו בן השלבים הבאים:

1. הגדרה ברורה של תפקידים באופן שמממש את הפרדת התפקידים והסמכויות. שלב זה איננו קשור כלל למערכות מידע. הוא חלק מתהליכים האמורים להתבצע באגף משאבי אנוש ובו מוגדרים התפקידים בארגון באופן שמממש (בין היתר) את חלוקת הסמכויות.

2. הגדרה אלו תפקידים אסורים בבצוע ע"י אותו אדם. זה שהתפקידים הוגדרו נכון, דהיינו, מומשה בהגדרתם תפישת הפרדת הסמכויות עלולה להיות מטורפדת בהמשך באם אדם אחד יקבל לידיו בצוע של שני תפקידים אשר בהיותם מבוצעים ע"י אדם אחד פוגעים באותה הפרדת סמכויות עצמה. גם פעילות זו איננה חלק מתהליך טכנולוגי, אלא אמורה להיות מוגדרת במסגרת פעולות האגף למשאבי אנוש.

3. רק בשלב השלישי מדובר על מימוש מה שנקבע בשני השלבים הראשונים במערכות טכנולוגיית המידע. וכאן קיימים שני תת שלבים:

א. הראשון, הענקה ראשונית של הרשאות, דהיינו, הצימוד הראשוני של העובד/ת לתפקיד/תפקידים אותם אמור/ה למלא.

ב. השני, מתמשך, בעת מתן הרשאות פרטניות מעת לעת במהלך העבודה בארגון. גם במצב זה יש לוודא כי כל הרשאה בדידה שניתנת לעובד/ת איננה פורצת את עיקרון הפרדת התפקידים והסמכויות.