tag:blogger.com,1999:blog-19552259892535768102012-01-10T10:33:38.425+02:00הבלוג נועד לכתיבה על נושאי אבטחת מידע או ניהול סיכוני טכנולוגיית המידע, כפי שנהוג לקרוא לאבטחת מידע בימינו, ימי ניהול הסיכונים. בנושאים שברומו של עולם האבטחה: אסטרטגיות וטקטיקות שונות, כמו גם מהיום יום של עולם האבטחה בארץ ובעולם.יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.comBlogger431100tag:blogger.com,1999:blog-1955225989253576810.post-22503402835581803602012-01-10T10:12:00.002+02:002012-01-10T10:33:38.441+02:00

בוקר טוב,בעקבות אירועי חשיפת פרטי כרטיסי אשראי מועלה נושא שקיפות אירועי אבטחת המידע בהתייחס ליידוע קורבנות החשיפה ומדובר על החוק הקליפורני.שתי הערות:1. בארה"ב במגזר הבריאות קיימת חקיקה פדרלית:(Health Information Technology for Economic and Clinical Health (HITECH) המחייבת ארגון שחל עליו חוק ה-HIPAA ושותפיו העסקיים (והחשיבות לשותפים עסקיים הינה משמעותית, שכן לדוגמה ארגון המספק שירותי גיבוי לארגון

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com0tag:blogger.com,1999:blog-1955225989253576810.post-29108189275142915442012-01-04T20:51:00.002+02:002012-01-04T20:58:58.990+02:00

במסגרת פורטל השירותים והמידע הממשלתי, פורסמה כתבה קצרה אשר בפתיחתה ישנם הקישורים לשלושת חברות כרטיסי האשראי (לאומי קארד, ויזה וישראכרט) המספקות אפשרות לבדוק באינטרנט (כל אחת לכרטיסיה היא) האם כרטיס מצוי ברשימה של הכרטיסים שנחשפו. כמו כן מצוי בכתבה זו מידע תמציתי וחשוב לאזרח כיצד להתגונן בעת פעילותו ברשת האינטרנט.קישור לאתר הממשלתי: http://www.checkfraud.gov.il/קישור נוסף: http://www.gov.il/

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com0tag:blogger.com,1999:blog-1955225989253576810.post-80672802570158226032012-01-04T15:41:00.004+02:002012-01-04T16:43:57.023+02:00

מדינת ישראל כמרקחה. כווווווולם מתראיינים, כותבים והכותרות זועקות "הפריצה של ההאקרים הסעודיים היא תחילתה של מלחמת סייבר", "מאות אלפי אזרחי המדינה בסכנה"... ועוד כהנה וכהנה.איפה נעוצה הבעיה האמיתית?הבעיה היא שאנחנו כאזרחים מרמים את עצמנו. נוח לנו שהטכנולוגיות החדישות זמינות, זולות, לא דורשות לימוד מעמיק והכל עובד והכל נגיש בפשטות, והכל עומד לרשותנו. פשוט ככה בלי כל עיה. נכון?אז זהו שזה בחלקו בלוף.

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com2tag:blogger.com,1999:blog-1955225989253576810.post-50775056035078570542011-12-14T10:03:00.002+02:002011-12-14T11:55:04.099+02:00

הייתי אתמול בכנס בנושא CyberSecurity. הכנס התקיים ביהוד במרכז הכנסים של העמותה להנצחת חללי חיל הקשר והתקשוב. על הכנס עצמו, ייתכן ואתייחס בפוסט נפרד.הבניין שבו ביקרתי כבר מספר פעמים כולל פריטים ותצלומים מההיסטוריה של חיל הקשר והתקשוב, אשר בתקופה שאני שירתתי בו נקרא: חיל הקשר והאלקטרוניקה, ובקיצור חי"ק.והנה רואות עיני תצוגה יחסית חדשה של ויטרינות ובראשונה דגם קטן של מכם הקשת.אני שירתתי כמוכם קשת

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com0tag:blogger.com,1999:blog-1955225989253576810.post-75141117350477941292011-12-08T10:24:00.004+02:002011-12-08T15:54:17.126+02:00

הפוסט השלישי יתחלק לשלושה חלקים:בחלק הראשון ננסה להבין מה זה בכלל ניהול אבטחת מידע. את מה בדיוק מנהל מנהל אבטחת המידע.בחלק השני, אחרי שנבין את מה מנהל מנהל אבטחת המידע ננסה לענות על שתי שאלות:1. מהו הידע הנדרש לבצוע המשימה? האם נדרש ידע טכנולוגי, יכולות ניהוליות, מה חשוב יותר?2. מה קשת המשימות שמנהל אבטחת המידע נדרש לבצע במסגרת התהליך הניהולי. האפשרויות הינן: הנחייה בלבד, הנחייה ובקרה בלבד,

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com1tag:blogger.com,1999:blog-1955225989253576810.post-11428376050255924992011-11-29T19:30:00.005+02:002011-12-04T14:58:09.163+02:00

המאמר השני מוקדש למציאות הישראלית הפורמאלית. ישנם שני חוקים ושתי רגולציות מרכזיות במדינת ישראל המחייבות מינוי של פונקציה ניהולית לעניין אבטחת מידע. אזהרה: זהו פוסט ארוך...הפוסט יסקור בקצרה את עיקרי הדרישות בחוקים וברגולציות, האם המשמעות היא מינוי של יותר ממנהל אבטחה אחד בארגון או שישנה חפיפה, ועוד נושאים שונים.הסקירה תתבסס על ציר הזמן, כך שהקורא יוכל לעקוב אחר ההתפתחות בנושא והאם הרגולטורים

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com0tag:blogger.com,1999:blog-1955225989253576810.post-7254393869665403262011-11-22T21:45:00.004+02:002011-11-22T21:57:29.237+02:00

לנושא ניהול אבטחת המידע בארגון היבטים רבים. סדרת הפוסטים הבאים תוקדש להם.1. נחזור צעד לאחור, ולפני שנעסוק בסוגיות הקשורות לניהול אבטחת מידע, נזכיר לעצמנו מהי הגדרת אבטחת המידע, מהי המשמעות הנגזרת מכך והיכן באופן טבעי מצוייה הפעילות העיקרית בכל אחד מהנושאים הכלולים בהגדרת אבטחת המידע בארגונים.2. נהול אבטחת המידע עפ"י חוק ורגולציה במדינת ישראל. החוקים: חוק הגנת הפרטיות והחוק להסדרת הביטחון בגופים

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com0tag:blogger.com,1999:blog-1955225989253576810.post-76987293238493291472011-11-15T20:30:00.003+02:002011-11-15T20:43:32.518+02:00

לאחר מספר חודשי יובש בכתיבה, (טוב היה קיץ...) חוזר ומקווה להתמיד בכתיבה.נושא זה הינו תורתי ועוסק באחד מאבני היסוד של אבטחת מידע.שני מרכיבי סיכון מהותיים תחת נושא אבטחת מידע הינם סודיות המידע במערכת (Confidentiality) וחשיבותה של המערכת להתנהלות היומיומית של הארגון (Criticality).האם אלו שני דברים שונים תכלית השינוי, או דווקא שני שני צדדים של אותה המטבע?אני חייב לציין שתקן ניהול אבטחת המידע 27001,

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com0tag:blogger.com,1999:blog-1955225989253576810.post-36798676304081710732011-06-19T08:39:00.003+03:002011-06-19T09:08:01.073+03:00

תקיפות מקוונות ניתנות לחלוקה לארבע קטגוריות עיקריות:1. תקיפות להשגת רווח כספי. אלו מבוצעות בעיקר ע"י פושעים (כולל פשע מאורגן) ויעדיהן אתרים פיננסיים כדוגמת בנקים או חברות סליקת כרטיסי אשראי, או אתרים שבהם מתבצעת פעילות כספית.2. תקיפות ע"י גורמי מדינה או סוכנויות ביון למטרות מגוונות. ביניהן ניתן למנות:א. איסוף מידע מודיעיני באמצעות שתילת קוד זדוני המשמש כאמצעי האזנה או דלף מידע באופן כלשהו,ב.

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com1tag:blogger.com,1999:blog-1955225989253576810.post-54868017096506247322011-06-12T16:19:00.003+03:002011-06-12T16:29:11.903+03:00

This post will be written in the English language as it will be used for a dual purpose:1.As an answer to Mr. William Beer, Director of PwC London and Leader of Pwc's OneSecurity Practice, who was one of the speakers in the Tel-Aviv University conference on "Cyber warfare – international, political and technological challenges" that took place on June 9th. The title of his talk was: "Cyber - New

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com0tag:blogger.com,1999:blog-1955225989253576810.post-7315156603114914742011-06-10T19:12:00.005+03:002011-06-12T09:59:08.877+03:00

הפוסט נכתב לאחר שאתמול ישבתי בכינוס המתוקשר ורב המשתתפים במסגרת סדנת יובל נאמן למדע טכנולוגיה וביטחון שכותרתו: "לוחמת סייבר – אתגרים בזירה העולמית, המדינית והטכנולוגית". הכינוס מתקיים שבועות ספורים לאחר הכרזתו של רוה"מ של הקמת "מטה הסייבר הלאומי" כחלק מיישום המלצות דוח הוועדה שמונתה על ידו ובראשה עמד פרופ' (אלוף מיל.) יצחק בן רפאל. חיכיתי בתור הארוך יותר משעה, בשמש הקופחת, כחלק מבדיקות הביטחון

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com0tag:blogger.com,1999:blog-1955225989253576810.post-86165912991375259952011-05-19T11:26:00.003+03:002011-05-19T11:30:37.124+03:00

למרות שבמקום מחבואו לא הייתה לו גישה לאינטרנט, אוסמה בן לאדן עשה שימוש נרחב בדוא"ל. הוא בנה תהליך מדוקדק וזהיר אשר שמר אותו צעד אחד לפני מיטב המצותתים של ממשלת ארה"ב.התהליך שתואר לכתב ה-AP ע"י גורם רשמי העוסק במלחמה בטרור וגורם נוסף שתודרך ע"י גורמי החקירה מטעם ממשלת ארה"ב, שימש אותו היטב במשך שנים תוך שהוא משאיר את גורמי המעקב אחריו מתוסכלים. התהליך איפשר לבן לאדן שהישאר בקשר עם שלוחיו ברחבי

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com1tag:blogger.com,1999:blog-1955225989253576810.post-81080470529580292322011-03-29T11:29:00.004+02:002011-03-29T13:30:17.054+02:00

I thought this subject to be interesting enough for the global IT & security community so I decided to write it in English instead Hebrew. The article will follow the evolving history of IT & IT security from the start point of IT security somewhere during the 60's of the 20th century till today, the beginning of the 2nd decade of the 21st century, about 50 years altogether. I'll not hide the

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com0tag:blogger.com,1999:blog-1955225989253576810.post-14063469054838164232011-03-27T10:56:00.005+02:002011-03-27T11:14:10.436+02:00

הסיבות: צירוף של צורך לשתף מידע בין מחלקת המדינה (מידע דיפלומטי) וסוכנויות ביון שונות, קושי ביישום עיקרון "הצורך לדעת" במערכות מודיעיניות והסתמכות על ההכשר הביטחוני ללא בקרה טכנולוגית על הוצאת חומר מסווג. המענה: מניעה ובקרה טכנולוגית על הוצאת מידע מסווג ושינויי חקיקה שמשמעותם איבוד פנסיה לעובד פדרלי בסוכנות ביון שידליף חומר ואפילו איננו מסווג.ב-8 במרץ התקיים שימוע בוועדת הסנט לביטחון וענייני

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com1tag:blogger.com,1999:blog-1955225989253576810.post-46164745765508343452011-03-23T16:44:00.005+02:002011-03-23T18:55:40.173+02:00

מאמר שזו כותרתו פורסם בדיוק לפני שנתיים, כאחד מהמאמרים הראשונים בבלוג.אם נתמצת את האמור בו תוך עדכון להיום, במשפטים הבאים:ניהול יעיל של אבטחת מידע בארגון יתבסס על יישום אבטחת מידע באופן יזום ע"י מנהל אבטחת המידע לפני שייאלץ לעשות זאת בגין רגולציה מגזרית או חובה חוקית לאומית או בינלאומית. בתהליך זה מומלץ להשתמש בתקן 27001/27002.היתרון הוא שבתהליך פרואקטיבי (יזום) ע"י מנהל אבטחת המידע יש סיכוי (

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com2tag:blogger.com,1999:blog-1955225989253576810.post-2343115436984404792011-02-10T11:06:00.002+02:002011-02-10T14:36:28.083+02:00

המאמר השלישי יעסוק בנושא הגנת פרטיות ואבטחת מידע.חשבתי שיהיה זה המאמר האחרון בסדרה זו, ובא פסק דין תקדימי של בית הדין לעבודה בענייןמה מותר ואסור לכם לעשות במחשב של העבודה :http://www.ynet.co.il/articles/0,7340,L-4026589,00.html וגרם לכך שבימים הקרובים תתווסף לה רשימה רביעית בסדרה זו. לכאורה אמירה תמוהה: הרי בחוק הגנת הפרטיות הישראלי, אבטחת מידע הינה אבן הראשה בכל הגנת הפרטיות.במאמר זה אני מנסה

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com0tag:blogger.com,1999:blog-1955225989253576810.post-81572662630267997722011-02-09T10:14:00.005+02:002011-02-09T10:25:14.582+02:00

המאמר השני בסדרה יעסוק בנושא של ציות לחוק. במקרה זה, ציות לחוק הגנת הפרטיות. במהלך כהונתי כמנהל אבטחת המידע של משרד הבריאות נשאלתי לא אחת ע"י מנהלי בתיה"ח הממשלתיים, מהן החובות שלו כמנהל מאגר המידע המרכזי של ביה"ח ובייחוד חובות שעל פניהן איננו יכול לעמוד בהן. דוגמה מובהקת הינו הסעיף הבא המגדיר את אחד מהמקרים המנויים בחוק לפגיעה בפרטיות, פרק א', סעיף 2, סעיף קטן 11:פרסומו של ענין הנוגע לצנעת חייו

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com0tag:blogger.com,1999:blog-1955225989253576810.post-58447125128279238172011-02-06T14:40:00.003+02:002011-02-06T14:51:37.215+02:00

בכוונתי לכתוב מספר מאמרים העוסקים בהגנת הפרטיות ובחוק הגנת הפרטיות, בהגנת הפרטיות ובאבטחת מידע. תחילת עיסוקי בנושא החלה כאשר התחלתי את עבודתי במשרד הבריאות בספטמבר 1993 כאחראי על אבטחת המידע במשרד. למאמר הראשון בסדרה קראתי בשם: חוק הגנת הפרטיות כ"חוק מחנך" .בשנים 1993 ועד 2000 שימשתי כמנהל אבטחת המידע של משרד הבריאות. במסגרת זו הייתי נציג משרד הבריאות בישיבותיה של וועדת החוקה חוק ומשפט של הכנסת

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com0tag:blogger.com,1999:blog-1955225989253576810.post-24562360023038418752011-01-30T19:42:00.004+02:002011-01-30T20:23:21.539+02:00

1. קצת על אוסטרליה אוסטרליה חוותה בשבועות האחרונים אסון טבע בקנה מידה שקשה לתאר אותו, שטחים בגודל של צרפת וגרמניה ביחד הוצפו, ביניהן העיר השלישית בגודלה באוסטרליה, בריסביין.יחד עם זאת, מספר הנפגעים בנפש יחסית קטן. עשרות בודדות. נכון, הרוב התרחש באיזורים לא מיושבים. גם אם ניקח את זה בחשבון, עדיין זה איננו מובן מאליו יחסית לכמות הבתים שנפגעו: עשרות אלפי בתים. כיצד זה קורה? האם זה נס?זה לא נס. זוהי

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com0tag:blogger.com,1999:blog-1955225989253576810.post-62357667502912962852011-01-26T09:13:00.002+02:002011-01-26T09:27:08.449+02:00

מספר נושאים עומדים על הפרק:בזמן יחסית קצר חווינו מספר אירועים מעניינים:1. חברת סלולר (סלקום) חוותה אי יכולת לספק שירות. הסיבה עדיין לא ידועה.2. שריפה בסדר גודל שלא היתה כמותה במדינת ישראל. הסיבה (ככל הנראה) צירוף של מספר נסיבות אך תחילתה בגחלים לוחשות.3. חברת התקשורת בזק חוותה אירוע של אי יכולת לספק שירות למליון מינויים.האם זה אומר משהו על ניהול סיכונים לאומי? לדעתי זה בהחלט אומר וייכתב על כך

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com2tag:blogger.com,1999:blog-1955225989253576810.post-84084422362084282042011-01-09T10:18:00.010+02:002011-01-16T15:26:16.577+02:00

שלום לכל קוראי הבלוג.זמן רב עבר מאז כתבתי לאחרונה.בסופ"ש שעבר כתבתי גרסה ראשונה של המאמר, בסופ"ש זה הכנתי גרסה שניה המתייחסת גם בקיצור נמרץ ליתרונות ולחסרונות של השיטה.במאמר קצר אקח את הקוראים למסע בזק בנבכי המחשבה המודיעינית ויישומה בעבר ובהווה.מהמשנה השניה של סון טסו:איזהו מצביא משכיל בהתקפה, שיריבו אינו יודע על מה יגן.איזהו מצביא משכיל בהגנה, שיריבו אינו יודע מה יתקיף.אז בואו נשנה אותה קצת:

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com0tag:blogger.com,1999:blog-1955225989253576810.post-60780613692243282982010-02-02T15:53:00.002+02:002010-02-02T15:57:44.786+02:00

ניהול סיכוני טכנולוגיית המידע הנו השם העדכני לתהליך שכונה בעבר "אבטחת מידע", "הגנת מידע" או "הגנת נכסי המידע" או צבר רב של שמות שכולם סביב המונח "הגנה".הגנה משמעותה התמקדות במגן ובמידע שעליו מגינים. ניהול סיכוני טכנולוגיית המידע מתמקד בשני מרכיבים בה בעת: מרכיב הניהול ומרכיב תוכן שהוא סיכוני טכנולוגיית המידע.במאמר סקירה מהי המשמעות של השינוי, כיצד על מנהל סיכוני טכנולוגיית המידע לנהוג בעידן החדש

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com4tag:blogger.com,1999:blog-1955225989253576810.post-9742837505110964612009-12-14T16:45:00.004+02:002009-12-14T17:23:16.949+02:00

משנה שניה:איזהו מצביא משכיל בהתקפה, שיריבו אינו יודע על מה יגן.איזהו מצביא משכיל בהגנה, שיריבו אינו יודע מה יתקיף.וזוהי כל תורת המלחמה על רגל אחת...מדברי סון טסו, בספרו אמנות המלחמה. מוערך שנכתב בסביבות 500 לפה"ס, כלומר לפני 2,500 שנה.במשנה הראשונה למדנו:הכר את האויב שלך והכר את עצמך. אפילו תילחם במאה קרבות, לעולם לא תובס.אם אינך מכיר את האויב, אבל אתה מכיר את עצמך, סיכוייך לנצח או להפסיד

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com2tag:blogger.com,1999:blog-1955225989253576810.post-32284515986838237912009-12-01T20:16:00.005+02:002009-12-02T09:08:26.182+02:00

חזרתי לאחר מספר חודשי "יובש".מתחיל בסדרת מאמרים קצרים המתייחסים להקבלה שבין אמנות המלחמה כפי שזו באה לידי ביטוי בדברי החכם הסיני, סון טסו ואבטחת מידע מודרנית במאה ה-21.פרק ראשון: מהי האסטרטגיה שעל מנהל אבטחת המידע לנקוט על מנת שלא יובס.המאמר כתוב בלשון זכר לנוחות בלבד, והכוונה למנהל אבטחת מידע ולמנהלת אבטחת המידע כאחד.מדברי סון טסו, בספרו אמנות המלחמה. מוערך שנכתב בסביבות 500 לפה"ס, כלומר לפני

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com2tag:blogger.com,1999:blog-1955225989253576810.post-90055480483226011362009-07-21T06:23:00.004+03:002009-07-21T06:44:11.925+03:00

במהלך שנועד לאפשר קידום הטיפול בנושא אבטחתן של מערכות תפעוליות, מפרסם הארגון (שלא למטרות רווח)לאירועי אבטחה (Security Incidents Organization) שהוקם לאחרונה, על נגישות הציבור למסד הנתונים הכולל את המידע על אירועי אבטחה שבמערכות אלו - Repository of Industrial Security Incidents (RISI). מסד הנתונים הנו רחב היקף ומיועד לאיסוף, חקירה, ניתוח ושיתוף מידע חיוני בהתייחס לאירועי אבטחה הפוגעים במערכות סקדה

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com0tag:blogger.com,1999:blog-1955225989253576810.post-92033103145646828782009-07-17T11:25:00.005+03:002009-08-03T17:48:08.235+03:00

תחום אבטחת מידע או בשמו המודרני יותר, ניהול סיכוני טכנולוגיית המידע מספק מענים לאיומים ולסיכונים בשימוש במידע ובטכנולוגיית המידע. אתייחס לשתי דוגמאות:1. מידע רגיש הנאגר על גבי מחשבים ניידים נחשף כיוון שמחשבים אלה נגנבים/נאבדים בהמוניהם (12,000 בשבוע בנמלי תעופה בארה"ב לבדה, עפ"י סקר של מכון Ponemon מיוני 2008):http://www.dell.com/downloads/global/services/dell_lost_laptop_study.pdfמה המענה? הצפנת

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com0tag:blogger.com,1999:blog-1955225989253576810.post-89682600186860889762009-07-01T15:25:00.009+03:002009-07-01T16:08:33.970+03:00

סוף סוף הסיפור האמיתי שכווווווולם מפחדים לדבר עליו. מהי עלות אמיתית לארגון של פגיעת ווירוס?בבריטניה, נשבר קשר השתיקה ואירוע תקיפת ווירוס הקונפיקר בעיריית מנצ'סטר בחודש פברואר מוצג עתה לציבור. משמעותו של אירוע במקרה הזה הייתה כספית בלבד. השאלה כמובן כמה זה עלה.העלות הישירה הייתה אובדן הכנסות של 43,000 שטרלינג (כספי דוחות שנהגים שנתפסו נוהגים במסלולים המיועדים רק לאוטובוסים שלא ניתן היה לגבות) אבל

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com0tag:blogger.com,1999:blog-1955225989253576810.post-78580091908756491872009-06-20T19:16:00.007+03:002009-07-03T10:47:06.899+03:00

שלשום בבוקר קראתי לי מסמכים שכתבתי לפני 4-5 שנים הכוללים תמצית של אירועי אבטחת מידע מאותן השנים. לפתע הבנתי שבעצם אין כל הבדל בין אז והיום, למעט אחד. אז האירועים היו גניבה של עשרות אלפי מספרי כרטיסי אשראי ועד מליונים בודדים של מספרי כרטיסי אשראי. בשנה האחרונה, אירועי הגניבה של מספרי כרטיסי אשראי מתחילים במאות אלפים, מליוני מספרים, עשרות מליוני מספרים, ואירוע אחד ייתכן ואף עבר את 100 מליון מספר

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com0tag:blogger.com,1999:blog-1955225989253576810.post-30890799925150894712009-05-31T11:39:00.007+03:002009-06-21T04:34:36.630+03:00

ב-29 במאי 2009, הנשיא ברק אובמה עושה הסטוריה.ממקם את נושא אבטחת המרחב המקוון (Protecting the Cyber space) כחיוני לאבטחת החיים האמריקניים.זה הקישור לסרט ב- Youtube. זה רק 16 דקות וממליץ להקשיב לו כולו.http://www.youtube.com/watch?v=wjfzyj4eyQM&fmt=22מלמד מיהוא הנשיא הזה. חי ונושם את העולם הדיגיטלי לא מפיהם של יועצים בלבד, אלא בעצמו, באופן אישי.מגלה כי במהלך מסע הבחירות שלו, מערכות המחשוב ששימשו

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com1tag:blogger.com,1999:blog-1955225989253576810.post-27165063354313534652009-04-22T21:11:00.003+03:002009-04-22T21:15:13.603+03:00

אירועי הפגיעה בחודשים האחרונים במערכות מידע רפואיות ברחבי העולם (ווירוס ה-Conficker באנגליה ובאוסטריה ותולעת ה-Mytob בלונדון) מדגישים את הצורך להעלות את רמת האבטחה במכשור רפואי.כצעד שמטרתו לספק מענה בדיוק לנושא זה, בחרה חברת Ortivus בפתרון של חברת SE46 AB כרכיב במערכות ה-MobiMed ו-CoroNet שמתוצרתה. בכך לדבריהם ביכולתם לספק ללקוח מערכות המחוסנות בפני כל קוד עויין.מערכת MobiMed הנה מערכת eHealth

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com0tag:blogger.com,1999:blog-1955225989253576810.post-89411628328914473532009-04-21T15:32:00.005+03:002009-04-21T16:18:20.636+03:00

עכשיו זה רשמי. הגישה שיש לשפר את האבטחה באמצעות שילוב חשיבת התוקף או בצורה יותר מדוייקת, פעילות התקפית "ע"י כוחותינו" הופכת להיות נחלת הכלל.הנשיא הנבחר, ברק אובאמה, אדם המקושר היטב לעולם הטכנולוגי, הבין עוד טרם כניסתו לתפקידו כנשיא עד כמה הבעייה של הגנת התשתיות החיוניות בארה"ב חמורה, ומה רמת הפער בין הקיים לנדרש.צוות שהוקם עפ"י הנחייתו אמור היה להגיש את המלצותיו בסוף השבוע. נראה שזו אחת ההמלצות

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com1tag:blogger.com,1999:blog-1955225989253576810.post-85910434732788585672009-04-15T13:01:00.008+03:002009-04-15T13:10:43.826+03:00

הידיעה הבאה מופיעה בפורטל חדש לאבטחת מידע seci.co.ilהרשות למשפט, טכנולוגיה ומידע במשרד המשפטים (קישור לאתר ראה בידיעה המקורית) מקיימת הרצאה בנושא "חובת הודעה על כשל אבטחת מידע - מבט השוואתי".ההרצאה תתקיים לקראת יישום המלצת הצוות לבחינת החקיקה בתחום מאגרי המידע (דו"ח שופמן) לאמץ את המודל הקליפורני לגבי חובת הודעה כאמור. הדובר בהרצאה הוא מר סטיוארט דרזנר, המוציא לאור והעורך של כתב העת Privacy Laws

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com2tag:blogger.com,1999:blog-1955225989253576810.post-71860016096721163162009-04-12T15:13:00.004+03:002009-04-12T15:17:33.657+03:00

בלוג המוקדש כולו לתקן PCI-DSS.מופעל כבלוג באתר של: The Treasury Institute for Higher Education.גם הוספתי בבלוג זה תחת רשימת הבלוגים שלילידיעת המתעניינים בנושא.

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com0tag:blogger.com,1999:blog-1955225989253576810.post-5323402927870625412009-04-12T09:20:00.015+03:002009-04-18T21:22:08.452+03:00

לקראת סוף מרץ/תחילת אפריל 2009 עומדת במרכז הבמה הסוגיה של עוצמתה וחולשתה של ההסדרה העצמית בתחום אבטחת המידע.סקטור החשמל:7 באפריל 2009:Michael Assante המשמש כ-Vice President and Chief Security Officer של ארגון NERC - North American Electric Reliability Corporation הארגון שקבע את תקן האבטחה לכל הסקטור בצפון יבשת אמריקה מוציא מכתב המופנה לכל העוסקים בנושא בסקטור זה בו הוא מברך על ההתקדמות ובה בעת

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com0tag:blogger.com,1999:blog-1955225989253576810.post-47320846882234773422009-04-06T05:22:00.007+03:002009-04-12T14:06:24.158+03:00

אכן מבחן פשוט ביותר.אם מופיעה התמונה העליונה בקישור, אזי המחשב איננו נגוע.אם חסר משהו, בחלק מהמצבים קיים חשד שהמחשב נגוע, בחלק אחר של המצבים המוצגים קיימות בעיות תפעוליות מסוגים שונים, אך לא מדובר בווירוס. הכל מוסבר בפשטות מדהימה.ככל הזכור לי ואני בעסקי אבטחת מידע מזה למעלה מ-25 שנה, זו הפעם הראשונה שמשתמש רגיל ללא כל ידע בנפלאות המחשב יכול לדעת באמצעות בדיקה שהוא עצמו יכול לבצע אם מחשבו נגוע או

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com0tag:blogger.com,1999:blog-1955225989253576810.post-91341532254435873202009-04-01T10:14:00.006+03:002009-04-12T14:07:09.714+03:00

ב-ynet פורסם הבוקר כי בכיר במנהל החינוך בעירייה, חשוד בהוצאת כספים במרמה. המנהל, אחראי בין היתר על עובדי קבלן חיצוני שקשור בחוזה עם העירייה. בכל סוף חודש הוא דיווח על מספר העובדים ששלח הקבלן ועל השעות שעבדו - ובהתאם לכך הוציאו בגזברות העירייה שיקים למשכורות.אלא שבבדיקת המבקרת נמצא שלפחות שני עובדים היו רק "עובדים על הנייר", שהפסיקו עבודתם עבור העירייה מזה זמן. למרות זאת, המנהל המשיך לדווח עליהם,

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com0tag:blogger.com,1999:blog-1955225989253576810.post-55265845970248596602009-03-31T08:51:00.004+03:002009-04-12T14:08:16.728+03:00

במרוץ נגד הזמן עד לתאריך ה-1 באפריל (וזו איננה בדיחה) הצליחו מומחי אבטחה ובראשם דן קמינסקי (אחד משלושה שהשיגו את אותה פריצת דרך) לגלות שהווירוס מותיר טביעת אצבע על מכונות נגועות שהנה קלה לזיהוי באמצעות מגוון סוקרי רשת זמינים.משמעות הגילוי הנה, שבפעם הראשונה מאז גילויו, למנהלני מערכת בכל העולם ישנם כלי איתור זמינים וקלים להפעלה על מנת לזהות באופן חד משמעי מחשבים נגועיםבווירוס זה ברשתותיהם. החל

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com2tag:blogger.com,1999:blog-1955225989253576810.post-68291989132091893582009-03-18T04:10:00.001+02:002009-04-12T14:14:00.635+03:00

ישנה בעיה שהולכת וגדלה. מסתבר שכמות המחשבים בעולם המזוהמים בקוד זדוני שנשלט ע"י גורמים עויינים מגיעה לממדים מפלצתיים. רשת עויינת שכזו הניתנת להפעלה בשליטה מרוחקת נקראת BOTNET. אלו עלולים להיות (גם בין היתר) המחשבים שבביתינו. כן כל אחד מאיתנו שיש לו מחשב ביתי עלול להיות לחלוטין שלא מרצונו "אוייב העולם".זה לא מפריע למחשב שלנו להיות כלי המשחק של הילדים, זה לא מפריע למחשב להיות כלי העבודה של המבוגרים

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com1tag:blogger.com,1999:blog-1955225989253576810.post-37809264367778078352009-03-17T18:22:00.001+02:002009-04-12T14:14:46.499+03:00

ידיעה ב-YNET:בן 55 נתפס נוהג אף שלא חידש רשיונו מאז מלחמת יום הכיפוריםתושב תל-אביב בן 55 נתפס בביקורת שגרתית בפתח-תקווה כשהוא נוהג במכונית, אף שמעולם לא הוציא רישיון נהיגה.הנהג סיפר לשוטרים כי החזיק ברישיון צבאי במלחמת יום הכיפורים, בעת שהיה חייל צה"ל בשירות סדיר, ומאז לא חידש את רשיונו. הנהג זומן לשיפוט מהיר, ומכוניתו הוחרמה לשלושים יום. מלחמת יום הכיפורים אוקטובר 1973. אנו היום בשנת 2009. זה לא

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com0tag:blogger.com,1999:blog-1955225989253576810.post-23706509502969031792009-03-10T15:55:00.001+02:002009-04-12T14:15:55.688+03:00

שלום לקוראי הבלוג,הוספתי בימים האחרונים מספר קישורים העוסקים בידיעות בעניין וירוס ה-conficker שאיננו מפסיק להפתיע.כמו כן תקיפת וירוס (עדיין לא ברור באם מדובר ב-conficker או בתולעת ה-mytob או קוד זדוני אחר) במספר בתי חולים בסקוטלנד.דרך אגב, השבתת מערכות מחשוב של בתי המשפט ביוסטון טקסס בתחילת פברואר שיוחסה ל-conficker מוטעית. מדובר בוירוס אחר, VIRUT.מן העבר השני שתי ידיעות מעניינות בנושא אבטחה:האחת

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com0tag:blogger.com,1999:blog-1955225989253576810.post-62908430222909084312009-02-23T06:42:00.002+02:002009-04-12T14:16:59.034+03:00

בהתקרב סיומו של העשור הראשון של המאה ה-21 מוצאים עצמם ארגונים רבים במדינת ישראל נאבקים בסיוט חדש: חובת הציות לערב רב של חוקים ודרישות רגולטוריות שבדרך זו או אחרת משפיעים על מערכות המידע בארגון.לציית כמובן צריך. הסיכון שבאי ציות הנו העמדה לדין, שבסיומו עלול למצוא עצמו הארגון משלם קנס בן מאות אלפי ש"ח, סכום שבעתות הידוק החגורה עלול להיות מכה קשה וכואבת ובעיקר מיותרת.אבל תהליך ההכנה של הארגון עלול

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com0tag:blogger.com,1999:blog-1955225989253576810.post-53967473693469528792009-02-14T22:20:00.000+02:002009-02-14T22:25:34.554+02:00

שלום לכולם,לבלוג שתי מטרות עיקריות.האחת, הצגת דעות ורעיונות בתחומים שונים של אבטחת המידע או כפי השם העדכני: ניהול סיכוני טכנולוגיית המידע.השניה, להציג באמצעות קישורים חדשות חשובות בתחום האבטחה. נושא זה יתחלק לשניים:חלק אחד יעסוק בנושא אחד מרכזי, אשר בעיני נראה חשוב ובעל עדיפות על פני כל היתר. נכון לחודשיים הראשונים של שנת 2009 מדובר בווירוס ה-Conficker אשר מעסיק את עולם טכנולוגיית המידע כבר

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com0tag:blogger.com,1999:blog-1955225989253576810.post-9286810833606456922009-02-07T22:05:00.002+02:002009-04-12T14:17:37.605+03:00

לאן פניה של אבטחת המידע?כל תחילת שנה אותן הכותרות: יותר מודעות, יותר מנהלי אבטחת מידע, יותר כלי אבטחת מידע, יותר מהכל. כן, גם יותר פריצות, יותר איומים, יותר צרות. האם זה הגיוני, או שמשהו מאד, אבל מאד לא מתאים פה.אבטחת מידע אמיתית נמצאת ככל הנראה במקום אחר:1. אבטחה משולבת בתהליך פיתוח המוצר.2. אבטחה המשלבת את גישת התוקף באופן אינטגראלי בתהליך, לאורך כל מחזור החיים.שני אלו אינם מבוצעים הלכה למעשה

יאיר רודיאקובhttp://www.blogger.com/profile/04855190641907859691noreply@blogger.com5