27
דצמ
10

המלך הוא עירום

בעבר הרחוק, ארגונים פיננסיים לא היו מחויבים להגן על עצמם מבחינת אבטחת מידע, בדומה למגזרים אחרים במשק. גם לאחר שנחקק חוק הגנת הפרטיות, מעטים הטמיעו מנגנוני אבטחת מידע.

כאשר  אירעו דליפות מידע, עורכי דין עטו על טרפם כמוצאי שלל והגישו תביעות.

בשנות האלפיים, גופים שונים תקננו רגולציות בתחום, בעיקר על המגזר הפיננסי. בנקים, חברות ביטוח, חברות השקעות, חברות אשראי, הבורסה ועוד – כולם חייבים לעמוד היום בתקנות אבטחת מידע שונות. גם ארגונים לא פיננסיים צריכים לעמוד בתקנות שונות.

ועדיין, במקרה של דליפת מידע, כמו במקרים אחרים שאינם קשורים לאבטחת מידע, עורכי הדין יוצאים לקרב. הם ישחיזו סכינים בהנאה רבה, ישלפו חרבות ויריחו את הכסף, ירוצו לבית המשפט ויחפשו כותרות בעיתון.

כיוון שוויקיליקס נהיה טרנד, אז עכשיו הדביקו כותרת כזו למלך. ולא מפתיע לגלות שהמלך הוא עירום. תחשבו איזה מידע עורכי דין שומרים עליכם במשרדם. מידע הקשור בהליכי גירושין, פרטים רפואיים הקשורים בתביעות, הון פיננסי, הסכמי ממון וירושה ועוד. וכיצד זה שלשכת עורכי הדין לא השיתה על עורכי הדין רגולציה בתחום אבטחת מידע? כיצד עורכי דין מעיזים שלא להגן על הרשת שלהם כיאות? לשכור יועץ אבטחת מידע?

מבלי להכיר את הנתונים, אני מעריך שרשתות התקשורת ברוב המשרדים אינן מאובטחות כיאות. שהם פוטרים את זה במשפט כגון: עזבו אותי משטויות (=הוצאות 'מיותרות').

ובטח גם כאן, יצוץ עורך דין זריז שיתבע 'בשם מרשו' את שני משרדי עורכי הדין המסכנים האלה שפרצו להם. 😦

מודעות פרסומת

6 Responses to “המלך הוא עירום”


  1. 28/12/2010 ב- 7:50

    אמן CISO.
    אתה צודק לחלוטין.
    אין לי ספק שרגולציה גם תגיע אליהם, השאלה היא כמה זמן (וכמה הדלפות בדרך) …

  2. 2 גיא לוי
    29/12/2010 ב- 0:10

    בסופו של יום מה שקובע זה הכסף. משרד עו"ד הוא בדיוק כמו כל ארגון אחר ואם הוא נלחם על השקל ואתה בא ומדבר איתו על הוצאות נוספות אז אם זה לא ממש ממש ממש הכרחי מצידו הוא לא ישלם על כך שקל.
    באופן כללי המודעות לאבטחת מידע, לא רק אצל עורכי הדין, היא נמוכה מאוד ויש לכך המון סיבות.
    סיבה אחת טובה היא שהתחושה של האדם הפשוט היא שהשקעה בסיסית באבטחה לא מספקת אבטחה בכלל ומאידך אבטחה ממשית באבטחה זה דבר יקר. so why bother in the first place ?
    מה יעזור רגולציה ? תתקין תקנה שמחייבת אותם להצפין את הרשת? אז תמיד יש איזושהיא backdoor
    והאמת היא שאם אתה לא יושב בארגון ואחראי על המחשבים אז אין סיכוי לאבטחה אמיתית. כל מה שצריך זה שמנהלת המשרד (שאצלה יושב ה DB עם מספרי האשראי של הלקוחות) תתקין כל מני תוכנות הזויות שהבטיחו שהן מספקות SMS בחינם וזהו > אתה בפנים (ומי שניהל שיחה עם פקידה/מנהלת משרד יודע עד כמה זה פשוט לשכנע אותה להתקין שטויות על המחשב).
    ראיתי בזמנו ראיון מאוד מעניין עם מומחה אבטחת מידע שאמר שמה שנגרם עם כל בעיות אבטחת המידע בדור האחרון הוא שמצופה מכל אדם עם מחשב להיות בעל ידע בסיסי באבטחת מידע, הנדסה חברתית וכו'…
    מדובר לדעתי בדרישה לא שפויה שנכפתה על הציבור.
    ואז מגיעים אנשי אבטחת המידע when the fit hits the shen ואומרים "אמרנו לכם". אבל ת'כלס אין הרבה מה לעשות עם זה. לצעוק כל היום על זקנות בנות 80 שגולשות באינטרנט להחליף את ie6 לא יעזור כלום.
    הסיטואציה בעייתית ואין לה פתרון מיידי.

  3. 29/12/2010 ב- 9:08

    שלום גיא,
    בניגוד למגזרים אחרים, עורכי דין יצייתו לדרישות רגולציה, במידה והם יהיו כפופים לכזאת. הרבה פעמים עורכי דין הם אלה שמבצעים ביקורות ומייצגים גופים בפני דרישות חוק.
    אבטחת מידע עולה כסף, זה חלק מעלות העסק. אם התקנות יהיו טובות, עורכי דין יוכלו להגן על עצמם בעלויות נמוכות. כמה כבר עולה ליישם מדיניות סיסמאות ברשת? לחסום תקשורת לא מורשית מהאינטרנט (מספיק נתב ביתי מתקדם עם FW מובנה, לא חייבים FW ארגוני יקר)? להתקין תוכנת AV (אפילו חינמית)? לכתוב שניים-שלושה נהלים בסיסיים לעובדי המשרד?
    וכן, גם אמצעים שעולים כסף להתחברות מאובטחת מרחוק ועוד.

    • 4 גיא לוי
      02/01/2011 ב- 11:14

      אני לא יודע אם אתה מודע לכך אבל בחלק (לא קטן מהמשרדים) יש מערכת הפעלה שהורדה מאימיול.
      עכשיו תשב על כסא,
      במשרד לא רחוק ממקום מגוריי יש עו"ד שהפקידה שלו עובדת על מחשב עם חלונות 98.
      אני מכיר משרד עו"ד שהיה מקבל שירותים קבועים מטכנאי אינטרנט (מקורב לפקידה כמובן) שהתקין על מספר מחשבים מערכות הפעלה פרוצות ועליהן תוכנות פרוצות. שאמרתי לו שמדובר בבעיה הוא השיב שאני מדבר שטויות והאנטי וירוס מטפל בזה.
      זה עוד לא קצה הקרחון. אני יכול לכתוב פה ספר שלם של מקרים.

      • 02/01/2011 ב- 18:44

        כולנו נשמח לקרוא ספר שלם על מקרים כאלה. תכתוב 🙂

        בטח גם לא תתפלא לגלות במשדרים האלה VNC (ודומיו) מותקנים על המחשבים שמאפשרים לטכנאים קטנים להתחבר (מהבית שלהם) למחשבי המשרד. וחלק מהם לא יהיו מוגנים עם סיסמא או מחייבים אישור משתמש להשתלטות.

  4. 6 OBSciso12
    30/12/2010 ב- 11:35

    קודם כל יופי של בלוג!
    קדימה חברות ייעוץ אבטחת מידע – שוק חדש בדרך 🙂


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s


דצמבר 2010
א ב ג ד ה ו ש
« נוב   ינו »
 1234
567891011
12131415161718
19202122232425
262728293031  
מודעות פרסומת

%d בלוגרים אהבו את זה: