ארגון יכול להשקיע בכלי הגנה מתקדמים, אך בלי בחינה שיטתית של מצב האבטחה בפועל קשה לדעת עד כמה ההגנה עמידה באמת. בדיקות אבטחת מידע נועדו בדיוק לשם כך, לחשוף חולשות לפני שהתוקפים מוצאים אותן, ולתת לארגון תמונת מצב אמינה על הפערים שיש לסגור. מדובר בתהליך משמעותי מבחינה משפטית, עסקית וטכנולוגית, שהפך בשנים האחרונות גם לדרישה רגולטורית מפורשת עבור מאגרי מידע רבים בישראל.
במקום להסתמך על הנחות לגבי חוזק ההגנה, הארגון מקבל בסיס עובדתי לקבלת החלטות ולתעדוף ההשקעה במקומות הנכונים. חשוב להבין שהגנה שנראית מצוינת על הנייר אינה בהכרח עומדת במבחן המציאות, ורק בדיקה מעשית חושפת את הפער בין התכנון לבין הביצוע בפועל. ארגון שמבצע בדיקות באופן שיטתי הופך את ניהול הסיכונים מתחום מעורפל לתהליך מדיד, שבו ניתן לעקוב אחר שיפור לאורך זמן ולהוכיח עמידה בדרישות מול לקוחות ורגולטורים.
מדוע בדיקות אבטחת מידע הן חובה עסקית ורגולטורית
ביום 9 במאי 2024 פרסמה הרשות להגנת הפרטיות את עמדתה בנוגע לביצוע סקר סיכונים ומבדקי חדירות במאגרי מידע. החובה לבצע אותם קבועה בתקנות הגנת הפרטיות ביחס למאגרי מידע שחלה עליהם רמת אבטחה גבוהה, אך בפועל אלה פרקטיקות רצויות בכל ארגון וביחס לכל מאגר מידע אישי. בנוסף, תיקון 13 לחוק הגנת הפרטיות מדגיש את הצורך בבדיקות תקופתיות כדי לוודא שהמערכות מגנות על המידע באופן אופטימלי.
בדיקות אבטחת מידע מסייעות לארגון לעמוד בדרישות החוק, אך חשוב מכך, הן מספקות לו הבנה מדויקת של הסיכונים שאיתם הוא מתמודד ושל הבקרות שעליו ליישם כדי לצמצם אותם. הרשות להגנת הפרטיות הבהירה כי מדובר בשלבים חיוניים מבחינה משפטית, עסקית וטכנולוגית, וכי ראוי לבצע אותם גם בארגון שמחזיק מאגר ברמת אבטחה בינונית או בסיסית. במילים אחרות, גם כאשר אין חובה חוקית מפורשת, מדובר בפרקטיקה שמגנה על הארגון מפני נזק, ולכן היא משתלמת בכל מקרה. הימנעות מבדיקות אינה חוסכת עלות אלא דוחה אותה למועד פחות נוח, לרוב אחרי שהנזק כבר נגרם.
סוגי הבדיקות המרכזיות
למרחב הבדיקות יש כמה רכיבים משלימים. סקר סיכונים בוחן באופן יסודי את נכסי הארגון ואת האיומים עליהם, מבדק חדירות מדמה תוקף אמיתי כדי לאתר פרצות שניתן לנצל, סריקת פגיעויות מזהה חולשות ידועות במערכות, ובדיקות של מודעות העובדים בוחנות עד כמה הצוות מזהה ניסיונות תקיפה. כל אחת מהבדיקות בוחנת זווית אחרת של מערך ההגנה, ורק שילוב ביניהן נותן תמונה שלמה. התהליך אינו חד פעמי אלא חלק ממחזור מתמשך של בחינה ושיפור, שבו כל בדיקה מזינה את הבאה אחריה ומאפשרת לארגון להתקדם באופן מובנה. בחירת סוגי הבדיקה המתאימים תלויה ברמת הסיכון של הארגון ובאופי המידע שהוא מנהל. ארגון שמחזיק מידע רגיש רב יידרש לתמהיל בדיקות מקיף יותר, בעוד ארגון קטן יכול להתחיל בסקר סיכונים בסיסי ובסריקת פגיעויות ולהרחיב בהמשך. המשותף לכל הבדיקות הוא שהן אינן מסתיימות בעצם הביצוע, אלא בהפקת מסקנות ובתוכנית פעולה מסודרת לסגירת הפערים שהתגלו.
- Risk assessment for a thorough analysis of organizational risks
- מבדק חדירות לאיתור פרצות שניתן לנצל
- סריקת פגיעויות לזיהוי חולשות ידועות
- בדיקת מודעות עובדים מול ניסיונות תקיפה
- בחינה חוזרת לוודא שהפערים אכן נסגרו
שלבי הביצוע של סקר סיכונים
סקר סיכונים מקיף בנוי משלבים ברורים. תחילה מגדירים את נכסי הארגון, לאחר מכן מזהים ומנתחים את האיומים עליהם, ולאחר מכן מאתרים חולשות ופגיעויות שעלולות לחשוף את הארגון לסיכון. בשלב הבא מעריכים את מידת ההשפעה של התממשות כל סיכון על הארגון, ממפים את הבקרות הקיימות מול אלו שראוי ליישם לצורך מזעור הסבירות להתממשות הסיכון, ולבסוף מבצעים הערכת מצב חוזרת כדי לוודא שכל מרכיבי הסיכון טופלו. תהליך מסודר כזה הופך רשימת ממצאים לתוכנית עבודה מעשית. ליווי מקצועי לאורך התהליך, כמו זה שמציעים Ofek Dist's Information Security Experts, מסייע לוודא שבדיקות אבטחת מידע מבוצעות בצורה מסודרת ומניבות תוצאות מעשיות ולא רק דוח שנשאר על המדף. חשוב לזכור שגם לאחר סיום הסקר, טיפול בסיכון שהתגלה אינו תלוי בהמתנה למחזור הבדיקה הבא, אלא מתבצע מיד עם גילויו.
מתי וכמה תדיר לבצע את הבדיקות
מומלץ לערוך את סקר הסיכונים המקיף מיד בסמוך להפעלת המאגר והקמת המערכות, שכן במועד זה נוצרים ומתגבשים הסיכונים שעימם הארגון אמור להתמודד. על פי התקנות יש לבחון את הסיכונים לפחות אחת לשמונה עשרה חודשים, אך זו רק תדירות המינימום. ארגון שהתוודע לסיכון אבטחה חדש או לשינוי במיפוי הסיכונים שלו חייב לפעול מיידית למזעורו ולא להמתין לחלוף התקופה, שכן טיפול בסיכון אינו תלוי בעריכת הסקר התקופתי. במובן הזה בדיקות אבטחת מידע אינן אירוע בודד אלא הרגל ניהולי שמתעדכן עם כל שינוי בסביבה הטכנולוגית ועם כל התפתחות באיומים. הוספת מערכת חדשה, מעבר לספק ענן אחר או שינוי מהותי בתהליכי העבודה הם כולם רגעים שבהם כדאי לבחון מחדש את מצב האבטחה, גם אם טרם חלפו שמונה עשרה חודשים מהבדיקה הקודמת. גישה כזו הופכת את הבדיקות לחלק טבעי ממחזור החיים של המערכות בארגון, ומבטיחה שההגנה תתפתח יחד עם הסביבה שאותה היא אמורה לשמור.
ביצוע נכון של הבדיקות דורש ידע וכלים מתאימים. אופק דיסט מלווה ארגונים בעריכת סקר סיכונים ומספקת לצידו סריקת פגיעויות, כדי לתת לארגון נקודת פתיחה ברורה להבנת מצב האבטחה שלו ולסגירת הפערים המשמעותיים ביותר, כך שבחינה שיטתית משמשת נקודת מוצא לכל תוכנית הגנה ולכל החלטת השקעה במשאבי אבטחה.
בדיקות אבטחת מידע כהרגל ניהולי
בדיקות אבטחת מידע הן הכלי שמאפשר לארגון לדעת עד כמה ההגנה שלו עמידה באמת. התהליך כולל סקר סיכונים, מבדק חדירות, סריקת פגיעויות ובדיקת מודעות עובדים. הרגולציה בישראל מחייבת בדיקות אלו במאגרים ברמת אבטחה גבוהה וממליצה עליהן בכל ארגון, ורצוי לבצען מיד עם הקמת המערכות, לחזור עליהן באופן תקופתי ולעדכנן בכל שינוי מהותי בסביבה. תהליך מסודר וליווי מקצועי הופכים את הבדיקות לכלי ניהול ולא לפעולה טכנית חד פעמית, ומאפשרים לארגון לתעדף נכון את משאבי ההגנה שלו. אופק דיסט מלווה ארגונים בעריכת סקר סיכונים וסריקת פגיעויות כחלק מתהליך זה.
Frequently Asked Questions
מי חייב לבצע בדיקות אבטחת מידע על פי החוק?
החובה על פי התקנות חלה על מאגרי מידע שחלה עליהם רמת אבטחה גבוהה, אך מומלץ לבצע את הבדיקות בכל ארגון וביחס לכל מאגר מידע אישי, גם ברמות אבטחה נמוכות יותר.
How often should a risk assessment be performed?
לפחות אחת לשמונה עשרה חודשים על פי התקנות, וכן מיד עם הקמת המאגר. עם זאת, כאשר מתגלה סיכון חדש יש לפעול לטיפול בו מיידית ולא להמתין.
מה ההבדל בין סקר סיכונים למבדק חדירות?
סקר סיכונים בוחן באופן יסודי את הנכסים והאיומים ואת הבקרות הנדרשות, בעוד מבדק חדירות מדמה תוקף אמיתי כדי לאתר פרצות שניתן לנצל בפועל. השניים משלימים זה את זה.
For more details: 073-2200123