06
אפר
09

המערכת כבר מותקנת כאן ושם

את המשפט הזה אני שומע מידי פעם משתי אוכלוסיות שונות: ספקים ואנשי הארגון. לפעמים כאן זה ספק אינטרנט שבנק גדול אחסן אצלו את המערכת ולפעמים שם זה חברה גדולה. האם זה אומר שבמקרה כזה המערכת מאובטחת? ממש לא!

הנה דוגמא אמיתית. כמובן שכרגיל הפרטים שונו, השמות בדויים והתמונות הן אילוסטרציה בלבד…

אני יושב בישיבה עם חברת אינטגרציה ידועה שמציעה מערכת אינטרנטית. המערכת מותקנת אצל מספר חברות וחברה פיננסית אחת. לדברי הספק, המערכת מאוד מאובטחת. עובדה! זה מותקן בחברות הידועות האלה.
היה לי מאוד קשה להתמודד עם הלחצים מצד המשתמשים ומנהל הפרויקט במערכות המידע בארגון שלי. לא הצלחתי להביא טיעון מנצח אחד, אבל הרגשת הבטן…
ואז, בלי להבין מה הוא אומר, פלט מנהל המכירות שהמערכת עברה בדיקת חוסן באותו ארגון פיננסי. ביקשתי לראות את הממצאים. לישיבה הבאה הוא הגיע עם הדוח ושמח להציג שנמצאו עשרה ממצאים ושמונה תוקנו.
בחנתי את שני הממצאים שלא תוקנו ולא צפויים להיות מתוקנים בקרוב. המערכת חשופה ל – SQL Injection ול – XSS. זה היה מזמן.

עוד דוגמא. גם אצלי בארגון הותקנו, טרם זמני, מערכות שהיום אני יודע שאינן מאובטחות. במקרה אחד יצר איתי קשר נציג של חברה הבוחנת לרכוש את המערכת מאותו ספק. הספק סיפר לו שהמערכת מותקנת שם (אצלי) אז היא מאובטחת. עדכנתי בטלפון את המתקשר שהמערכת אינה מאובטחת ושטרם בדקתי אותה (למרות שאני כבר יודע שהיא לא מאובטחת).

אז אם אומרים לכם שהמערכת מותקנת כאן ושם, אל תסמכו שכאן מבינים אבטחת מידע או ששם ביצעו בדיקת אבטחת מידע.


0 Responses to “המערכת כבר מותקנת כאן ושם”



  1. להגיב

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל

אתה מגיב באמצעות חשבון Google שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s


אפריל 2009
א ב ג ד ה ו ש
« מרץ   מאי »
 1234
567891011
12131415161718
19202122232425
2627282930  

הרשומות הנצפות ביותר


%d בלוגרים אהבו את זה: