פיגור בנושא אבטחת המידע בארגונים בארץ

הרחבה לכתבת משאבים, גיליון 145, 20 בינואר 1999

במרבית הארגונים קיים פיגור של שנת עבודה לפחות ברמת אבטחת המידע, אומר יגאל בצר, מנהל היחידה הממשלתית לביקורת ואבטחת מידע רגיש. בצר מתייחס בדבריו לארגונים ממלכתיים, אך סובר כי הדברים נכונים לגבי לא מעט ארגונים בשוק הפרטי. לעתים נעשית עבודה לאבטחת מידע בתחום צר וברמה גבוהה, אבל תחומים אחרים פרוצים, כמו התקנת פלדלת באוהל שאפשר להיכנס לתוכו מהצדדים. לפעמים ארגונים רוכשים מערכת זולה לאבטחת מידע, רק כדי לצאת ידי חובה. להערכתו, ארגונים בארץ ממעטים לפרסם מידע על פריצה למערכות המידע שלהם. מנתונים המתפרסמים בחו"ל אנחנו למדים על נזקים חמורים הנגרמים בחדירה למערכות, בדרך כלל דרך האינטרנט, ולעתים גם על-ידי עובדים לא מורשים מתוך הארגון עצמו, המקבלים על כך תשלום מגורם מתחרה.

המועצה לאבטחת מידע החליטה לחייב ארגונים ממלכתיים להשקיע ברכישת כלים לאבטחת מידע בסכום שאינו נופל מ- 5 אחוזים מתקציב יחידת מערכות המידע בארגון. וכן, הממשלה החליטה להקים ועדת היגוי למחשוב בכל משרד ומוסד ממשלתי, שבין יתר תפקידיה תטפל באבטחת המידע. עוד מסר בצר כי היחידה שהוא עומד בראשה גיבשה קווים מנחים לאבטחת מידע רגיש במשרדי ממשלה. (מידע רגיש הוא מידע שאינו בטחוני ויש לו רגישויות לניהול המשרדים, להגנת הפרטיות, למידע כלכלי ועוד).

הקווים המנחים כוללים, למשל, אבחנה של תפקידים וסמכויות. לדוגמה, הפרדה שלפיה הממונה על אבטחת המידע בארגון לא יהיה כפוף ליחידת מערכות המידע ולמנהל שלה, כדי לשמור על עצמאות עבודתו וביקורתו. "זה לא תמיד מיושם בארגונים, גם בשוק הפרטי, אלא קיימת כפיפות, ויש בזה ניגוד אינטרסים, כי תפקיד מנהל מערכות המידע הוא לחבר, לקשר, לפתוח, ותפקיד הממונה על אבטחת המידע הוא לעצור, להתריע".

הקישור הגובר והולך לרשתות תקשורת, לרבות האינטרנט, טומן בחובו גם סיכונים עצומים, כמו שתילת תוכנות שידחסו את הזיכרון, שיבוש ושיתוק מערכות מידע עד לקריסתן. התממשות הסכנות האלה, שכלל אינה דמיונית, עלולה לגרום בהמשך, כתופעת דומינו, לקריסת מערכות משקיות אחרות", אומר בצר.

קישורים נוספים שנמצאו בידי מנהיגים ברשת:

אתר הועדה הממשלתית לאינטרנט וטכנולוגיות מידע בהשתתפות משרד האוצר והחשב הכללי

מתוך: http://www.itpolicy.gov.il/