"רק באמצעות שיתופי פעולה בינלאומיים ניתן להילחם בסייבר"

ארז תדהר, רמ"ח הנחיה ברשות הלאומית להגנת סייבר: "הרשות הלאומית להגנת סייבר עובדת בשיתוף פעולה מלא עם למעלה מ-30 מדינות"

"הרשות הלאומית להגנת הסייבר עובדת בשיתוף פעולה מלא עם למעלה מ-30 מדינות ברחבי העולם", כך אמר ארז תדהר, רמ"ח הנחיה ברשות הלאומית להגנת הסייבר. לדבריו, "רק באמצעות שיתוף פעולה בינלאומי, עם גופים רשמיים של מדינות ועם חברות העוסקות בהגנת סייבר, ניתן להילחם באירועי סייבר".

תדהר אמר את הדברים ב-CA World, הכנס השנתי של חברת CA Technologies, שנערך לאחרונה בלאס וגאס. תדהר הגיע לכנס כחלק ממשלחת של מומחי הגנת סייבר שכללה, בנוסף אליו, גם בכירים מהמשרד לביטחון פנים: שלומי בילגי – מנהל אגף ביטחון, מידע וסייבר, אילן יום טוב – רמ"ח הגנת סייבר, ומשה כהן – המנהל הטכנולוגי של המשרד.

תדהר ציין כי השתתפות בכנסים, דוגמת CA World, חשובה ביותר כדי להבין את המגמות העולמיות בתחום הגנת הסייבר. "חשוב להבין מה הטכנולוגיה של מחר כדי ליישם אותה כבר היום. הכנסים מאפשרים חשיבה מחוץ לקופסה וכן לראות ולבחון דברים שאולי לא חשבנו עליהם. השכל נמצא בשיתוף הפעולה בין כל החברות והארגונים הגדולים ובין המדינות".

"הרשות להגנת הסייבר פועלת להעלאת החוסן הקיברנטי של כל המשק הישראלי על ידי האגף להכוונת המשק, שהקים יחידות סייבר מגזריות במשרדי ממשלה רבים, כדוגמת היחידה המגזרית של המשרד לביטחון פנים", אמר תדהר, שהבהיר כי "ישראל היא המדינה הראשונה שמבצעת הגנת סייבר ברמה הלאומית, ולא רק בגופים ביטחוניים". הוא ציין כי כרגע נמצא בשלב של אישורים אחרונים תזכיר חוק הסייבר, שיחייב את המדינה לבצע פעולות שימנעו אירוע קטסטרופלי ברמה הקיברנטית.

מהות האגף להנחיית המשק היא מתן שירות וסיוע בהתמודדות עם אירועי סייבר ומוכנות לאירועים אלו, החל מהאזרח ברחוב ועד לארגונים גדולים אשר רוצים ומחויבים להעלות את החוסן הקיברנטי. ההנחיה נעשית ברוב המקרים בצורה עקיפה דרך הרגולטורים של משרדי הממשלה, ובמקרים מסוימים גם בהנחיה ישירה, אם קיים צורך.

תדהר הוסיף כי לפני מספר חודשים פרסמה הרשות הלאומית להגנת הסייבר את תורת ההגנה הארגונית, שכיום מפורסמת גם באתר הרשות, ובה יכול להיעזר כל אזרח או ארגון במשק בכדי להעלות את החוסן ולהתמודד טוב יותר עם מגוון איומי הסייבר.

"התנהגות מניעתית נכונה תמנע 90 אחוזים ממקרי הכופרה"

בהתייחסו לאירועי הכופרה, ציין תדהר כי ברחבי העולם נתפסים כיום פושעי כופרה לא מעטים, אם כי הדבר אינו זוכה לפרסום. "הלחימה בכופרה דורשת בראש וראשונה התנהגות מניעתית", הדגיש תדהר. "ישנם מספר חוקים בסיסיים בתחום זה שאותם הרשות שמחה לחלוק עם הציבור. התנהגות מניעתית נכונה תמנע 90 אחוזים ממקרי הכופרה".

אילן יום טוב, רמ"ח הגנת סייבר באגף הביטחון של המשרד לביטחון פנים, ציין כי בשנה האחרונה, בשיתוף פעולה עם הרשות להגנת הסייבר, הוביל המשרד לביטחון פנים סקרי סיכונים בכל הגופים הכפופים אליו, ונכון להיום יודע המשרד לזהות איזה פתרונות קיימים בעולם לבעיות אלו. "אנו למעשה הרגולטור של הסוכנויות והגופים הנמצאים תחת המשרד לביטחון פנים, כגון שירות בתי הסוהר, הרשות הארצית לכבאות והצלה, מד"א ועוד (משטרת ישראל היא גוף עצמאי מבחינה זו). בקרוב נתחיל לעבוד גם עם חברות אזרחיות המספקות שירותים למדינה, כגון חברות שמירה, מטווחים, וגופי אבטחה שונים", אמר יום טוב.

צביקה פליישמן, האחראי על תחום הממשלה בחטיבת CA-ישראל ב-NessPRO (קבוצת מוצרי התוכנה של נס), המפיצה את מוצרי CA Technologies בישראל, ציין כי "שיתוף הפעולה עם גופים דוגמת הרשות הלאומית להגנת סייבר והמשרד לביטחון פנים, נועד לחשוף אותם לטכנולוגיות ופתרונות שונים מצד אחד, ומצד שני לחבר אותם לגופי המחקר ב-CA. שיתוף פעולה זה מאפשר להתעדכן במה שקורה בעולם. NessPRO שמה לה למטרה להעלות את המודעות להגנת הסייבר ואת רמת האבטחה בישראל".

זוהר פרל, מנהל חטיבת CA-ישראל ב-NessPRO, ציין כי CA שמה דגש מרכזי על נושא ה-DevSecOps, כאשר כל היבטי אבטחת המידע משולבים כחלק מתהליכי הפיתוח במטרה לזהות חשיפות אבטחה בשלבי הפיתוח ובכך להגביר את אמינות המערכת ולקצר תהליכי מעבר לייצור.

תדהר הדגיש כי חלק גדול מהסיכונים שמזהה הרשות להגנת סייבר הם בעולמות הפיתוח, אפילו ברמת הקוד. "אחת המטרות בביקורנו בכנס של CA היא לבחון איזה כלים קיימים כדי למנוע פגיעויות בשלב הפיתוח" אמר.

CA Technologies הציגה סל מוצרים מורחב לתמיכה ב-DevSecOps

גישת ה-DevSecOps מאפשרת שילוב של כלים ותהליכים המעודדים שיתוף פעולה טוב יותר בין צוותי הפיתוח, התפעול ואבטחת המידע, ולאבטחה להפוך לחלק טבעי של הפיתוח והתפעול

CA Technologies הכריזה בכנס השנתי של החברה, CA World, שנערך בלאס וגאס, על סל מוצרים מורחב, שבזכותו יוכלו חברות לשלב אבטחת מידע בשלבים המוקדמים ביותר של הפיתוח ולאפשר אבטחת מידע בעת הפריסה. מדובר בפרקטיקה מתפתחת הידועה בשם DevSecOps.

NessPRO, קבוצת מוצרי התוכנה של נס, היא מפיצת מוצרי CA Technologies בישראל.

על פי גרטנר (Gartner), "המטרה של DevSecOps היא לשפר את אבטחת המידע הכוללת באמצעות תכנון מערך של בקרות משולבות בכדי לספק DevSecOps מבלי לערער את הזריזות והגמישות (agility) והיבטי שיתוף הפעולה של פילוסופיית ה-DevOps. יצירת שכבה של כלים ותהליכים סטנדרטיים לאבטחת מידע על גבי ה- DevOps לא תעבוד. בדיקות אבטחה, בקרות ובדיקות תוכנה (testing) צריכות להיות מיושמות באופן אוטומטי ושקוף ככל האפשר לאורך הפיתוח, האספקה והתפעול של אפליקציות".

שיפור המהירות מבלי להתפשר על אבטחת מידע

CA Continuous Delivery Director SaaS משלב את ה-toolchain של DevOps כדי לקבל נראות מלאה לגבי התכנון והטיפול בבעיות של פרויקטי פיתוח. זאת, תוך יכולת לאמוד את ההתקדמות והביצועים בפייפליין. הדבר מאפשר לצוותי DevOps למנוע תהליך ידני ומכביד בעת התכנון והניהול של שחרור התוכנה.

השילוב עם CA Veracode הופך את בדיקות אבטחת המידע באפליקציות למרכיב מרכזי בתהליך הפיתוח, באמצעות ביצוע בדיקות בכל הפייפליין של הפיתוח. שילוב נוסף עם CA Automic Application Release Automation מרחיב את יכולות הפריסה המהירה עם back end אוטומטי, זריז וגמיש, המספק שחרור מהימן יותר של קוד.

כל מפעל תוכנה מודרני שואף לבנות אפליקציות טובות יותר במהירות גבוהה יותר, אך דורש את הכלים והתהליכים הנכונים בכל שלבי מחזור החיים של פיתוח התוכנה (SDLC). באמצעות גישת ה-DevSecOps, השילוב של כלים ותהליכים המעודדים שיתוף פעולה טוב יותר בין צוותי הפיתוח, התפעול ואבטחת המידע הופך את האבטחה לחלק טבעי של הפיתוח והתפעול.

"חברות המאמצות DevSecOps מספקות תוכנה טובה יותר ומאובטחת יותר, בשל ההתמקדות בשיתוף פעולה ובתיאום בין הדיסציפלינות", אמר איימן סייד, נשיא ומנהל המוצרים הראשי של CA Technologies.

"בסביבת אבטחת המידע של ימינו, חשוב מאוד שאבטחת המידע תשולב בצורה חלקה לאורך כל מחזור החיים של פיתוח התוכנה. אנו שמחים על יכולתנו לספק ללקוחות CA כלים חדשים שעושים זאת בסלי המוצרים של CA Automic, CA Veracode ו-Continuous Delivery", הוסיף.

כפי שדווח אתמול (ב'), CA Technologies הציגה בכנס למעלה מעשרים חידושים בסל המוצרים שלה. פתרונות אלו מעניקים לחברות יכולת להגיב ולהסתגל לשינוי, וכן לפתח השקעות טכנולוגיות קיימות להצלחה עתידית.

הכותב הינו שליח "אנשים ומחשבים" לכנס.

 

צרו קשר

הנמר תמיד עונה (גם אם לפעמים זה לוקח יום-יומיים)