רגולציה והומלנד סקיוריטי
מי ישמור על השומרים?
השבוע נחשף בכל גדול מסמך החושף ליקויים באבטחת המידע של פרויקט הזיהוי הביומטרי של מדינת ישראל. המסמך, המהווה הערכת ביניים, אותו כתבה קומסק עבור הפרויקט, מזהה טווח רחב של חוסרים במערך ההגנה, ובמיוחד לצורך להתייחס להגנת הפרויקט כמערכת פתוחה לאינטרנט, ולא להסתמך על כך שהמערכת אמורה להיות סגורה. הדוח מציין כי מרבית ההתקפות מגיעות מרשתות פנימיות ולא לאינטרנט.
במיוחד מציין הדוח כי "בשנים האחרונות Certificate Authorities היוו מוקד להתקפות סייבר מתוחכמות (בעיקר ידועות המתקפות במהלך שנת 2011, בהן מספר CA נפרצו והונפקו תעודות מזויפות), ומשום שמערך ממיל"א הינו בסיס לעוגן האמון בתשתית PKI של מדינת ישראל.
בין התיקונים שהדוח מזהה, נמצא חוסר עדכון של מערכות במשך יותר משנה, וכי יש לכתוב נוהל עדכונים במסגרתו תתבצע בדיקה בסביבת מבחן. בנוסף מבקש הדוח להתקין מערכת IPS שתסייע לחסום התקפות, ואף חשוב מכך, לדווח על ניסיונות פריצה מתוך הרשת. הערה נוספת של הדוח נוגעת להצפנת בקשות להנפקת תעודות.
אך נראה שבעיה חמורה יותר מהליקויים הנ"ל היא דליפת דוח הליקויים עצמו. הדוח דלף בגלל שליחה של המסמך לנמענים לא נכונים בדואר אלקטרוני.
לגבי הליקויים במערך ההגנה הוזמנה קומספק לבצע הערכה ובחינה, והליקויים הללו יתוקנו מבעוד מועד. אך דליפת הדוח עצמה היא בעיה רוחבית של מחסור בניטור, סיווג והצפנה של מסמכים ומידע. אותה בעיה כנראה יכולה להתרחש בכל משרד ממשלתי וכמעט עבור כל דרג החשוף למידע רגיש.
לכן, בעוד השומרים עושים את העבודה שלהם, מי ישמור על השומרים?