smartphone, city, network

אבטחת אתרים

מערך הסייבר השיק ”תו ירוק” לחברות איחסון אתרים

מערך הסייבר השיק ”תו ירוק” לחברות איחסון אתרים

כל אתר אינטרנט הוא בעצם תוכנה שמציגה גרפיקה וקבצים, אשר מותקנת על מחשב מרוחק.

המחשב המרוחק שייך לחברת אחסון תוכנות שכאלו (אחסון אתרים), וחברה זו מאפשרת ע”י רשת האינטרנט גישה לכל אחד בעולם לתוכנה שלכם, לצפות ולהוריד קבצים ממנה.

לכל תוכנה (אתר) יש מספר מספר סידורי (כתובת URL), וכאשר אתם מקישים בגוגל את המספר הסידורי של התוכנה – אתר שלכם, אתם יכולים לראות את התוכנה שלכם מכל מקום בעולם.

הבעיה מתחילה כשחברת אחסון האתרים שלכם לא מאובטחת מספיק, ולכן מערך הסייבר הישראלי משיק ‘תו ירוק’ לכל חברת אחסון אתרים, בכדי לוודא שהיא אכן מאובטחת כיאות.

מקור גיקטיים, מערך הסייבר הלאומי.

במערך הסייבר הלאומי רוצים להגביר את המודעות לאבטחה בקרב חברות אירוח האתרים, שמהוות לא פעם נקודת תורפה בשרשרת האבטחה. התקן החדש יכלול 3 רמות: כסף, זהב ופלטינה

מדי פעם חווים אתרים ישראליים מתקפות שנגמרות במקרה הטוב בהשחתה (defacement) ו-DDoS או גניבת פרטים והזרקות קוד זדוני במקרה הפחות נחמד. הפעם האחרונה, שמתקפה כזו ארעה בקנה מידה גדול, היתה בחודש מאי 2020 אז נפגעו בו זמנית אלפי אתרי אינטרנט בישראל במתקפת השחתת אתרים שהציגה מסרי תעמולה אנטי-ישראליים. חקירה של מערך הסייבר הלאומי העלתה אז כי נקודת התורפה של האתרים הללו היתה חברת אחסון האתרים.

היום (ד’) מודיע מערך הסייבר הלאומי על תקן אחיד להגנה של חברות אחסון אתרים. התקן יהיה זמין במספר רמות – כסף, זהב ופלטינה – ויוענק לחברות שיעמדו בבקרות אבטחה שהוגדרו על ידי המערך. על פי המערך, המטרה של התקן החדש היא לחזק את רמת ההגנה הכללית במשק של אתרי אינטרנט וכן לאפשר לבעלי האתרים לבצע בחירה מושכלת לאחסון האתר שלהם גם על פי סטנדרט האבטחה.

כדי לקבל הכרה לאומית ב”תו התקן”, כל ספק יצטרך להוכיח עמידה בסידרה של בקרות שאותן קבע המערך להתקשרות עם ספקים בתחום אחסון האתרים. בין היתר כוללות הדרישות בקרת גישה, הגנה על עמדות קצה ושרתים, הגנה היקפית, ניטור ובקרה, פיתוח מאובטח וענן להגנה על סביבת המידע של הלקוח. לאחר עמידה מלאה בבקרות אלו, ייבדק הספק ע”י בודק ספקים מוסמך על ידי המערך, ויוכל להגיש באופן מאובטח את המידע לאשרור באחד מגופי ההסמכה – מכון התקנים הישראלי או IQC (המכון לבקרה ואיכות). אם המידע שהוגש יימצא תקין ויעמוד ברף המקצועי להגנה שקבע המערך, תונפק לספקית אירוח האתרים תעודה המאשרת כי רמת הגנת הסייבר לשירות אחסון אתרים עומד ברף שנקבע על ידי המערך. האישור יהיה תקף לשנה עם אפשרות לתיקוף למשך שנה נוספת.

ענת גולדיאן, ראש תחום התעדה ואסדרה במערך, אמרה בתגובה לתו החדש: “התוכנית מייצרת מאגר ספקים מאושרים על ידי המערך ומסייעת לארגונים לקבל החלטה מושכלת בהתקשרות עם ספקי אחסון בעלי יתרון יחסי בהיבטי רמת ההגנה המוצעת. המהלך מסדיר את השונות הגבוהה בתחום, מחזק חוליה מהותית בשרשרת האספקה המהווה יעד תקיפה אטרקטיבי ומפחית עבור בעלי האתרים את עלויות השימוש בטכנולוגיות הגנת הסייבר. במקביל, התוכנית טומנת בחובה פוטנציאל לרווח כלכלי לספקיות האחסון הראשונות שייבחרו ליישמה”.

אחסון מאובטח – רגע לפני העברת המידע שלך לספק האחסון
תאריך פרסום
21.05.2020
מהו אחסון מאובטח? מהם הסיכונים וכיצד אדע מה עליי לבקש מהספק שבחרתי? כל מה שחשוב שתדעו על בחירת ספק אחסון ואירוח

כל עסק בוחר לעצמו את תחומי הליבה שלו ואת הספקים המתאימים כדי להשיג את המטרות. גם את או אתה, כבעלי עסק – תבחרו לא פעם לפנות לשירותי מיקור חוץ – אצל בעל עסק אחר אשר יסייע לך להתמקד במטרה. אבל האם באמת יצא לך לעצור ולחשוב רגע, האם העסק אליו הוצאת את הפעילות אכן שומר על הנכסים?

מהו אחסון מאובטח?
בין אם הנך בעל/ת עסק בתחום המזון, שירות לציבור, קמעונאות, ייבוא, ייצור או כל תחום אחר בתעשייה, סביר להניח שהנכסים היקרים לך ביותר הם לקוחותייך והמידע הרב שנמצא שברשותך.

נכסים אלו, נמצאים בין היתר, באתר האינטרנט שלך, במחשבים האישיים, במאגרי המידע, ברשתות החברתיות שלך ובמקומות נוספים. החברות אשר שומרות ומנהלות עבורך את הנכסים הללו, נקראות לעיתים ספקי אחסון או ספקי אירוח – Hosting.

הוסטינג- Web Hosting הינו שרות אירוח או אחסון של אתרים. חברות הוסטינג רבות מספקות לבעלי אתרים שירותי אירוח המאפשרים לחברה לתפעל את אתר האינטרנט ברשת, להעלות ולשמור קבצים, לנהל בסיסי נתונים ועוד – הכל נעשה על שרת האינטרנט של ספק ההוסטינג.
פגיעה באתר סחר או באתר תדמית, כמו גם חדירה למיילים ולתוכנות ארגוניות מקצועיות אחרות, עלולות להביא לפגיעה במוניטין העסק, עליו עמלת רבות, לגרום לנטישת לקוחות, לתביעות ולנזקים נוספים.

מדוע בעצם מישהו ירצה לפגוע באתר שלי או לקרוא את המיילים שלי?
ספקי איחסון או אירוח (הוסטינג), מהווים יעד מועדף לתקיפה. הסיבות לכך הן רבות. לעיתים, הדבר נובע מהרצון של גורמים עוינים לגשת למקום בו נמצא מידע אודות לקוחות רבים או נתונים רגישים, לעיתים הדבר נובע מרמת ההגנה של ספקי האחסון – אשר אינה נותנת מענה ברמה מספקת, ולעיתים הדבר אף עלול להתרחש ללא כוונת זדון. לדוגמה, במקרים בהם החבילה שנרכשה מספק האירוח לא מתאימה לדרישות הבסיסיות להגנה על מידע.

“לי זה לא יקרה”
הידעת: בשנים האחרונות חלה עליה משמעותית במתקפות DDoS בשרתי אירוח. העלייה חלה ברמת התחכום, המורכבות ומשך הזמן. לקריאה נוספת.

אינני איש טכני והחוזה מול ספק האחסון כולל מושגים שאינני מבין, כמו: שרתים, ענן, וירטואליזציה, CMS, רוחב פס, דומיין ועוד. עכשיו אני אמור להבין גם בסייבר?
אל דאגה… לא מדובר בלמידה של יותר מידי מושגים חדשים או טכנולוגיה חדשה. חשוב רק להכיר את היבטי הסייבר החשובים, בשפתו של נותן השירות. לשם כך, פיתחנו במערך הסייבר הלאומי “סולם” עבור המשק, אשר יהווה שפה אחודה, וזאת במטרה להקל על ההבנה ותיאום הציפיות בין ספק האחסון לבין לקוחותיו.

אם הנכם בעלי עסק קטן או בינוני (SMB), חשוב שתכירו את סוגי הסיכונים הנפוצים, וכיצד תוכלו להתמודד עימם. אל דאגה, בסיום הקריאה תוכלו להבין מהן ההשאלות הנכונות שכדאי לשאול את ספק האירוח שתבחרו.

 

אז מהם הסיכונים העיקריים ומה זה אומר מבחינתי?
DDOS – זוהי תקיפה, בה שולחים, בו זמנית, פניות מרובות לספק אחד, וזאת במטרה למנוע גישה למערכות. המתקפה פוגעת בזמינות של האתר. אתר אשר חווה מתקפה מסוג זה, איננו זמין ללקוחותיו.

השחתה – מתקפות מסוימות, מנצלות גישה לא מורשית לממשק הניהול או הגדרות לא נכונות של האתר לטובת שינוי המראה והתוכן של האתר. במקרים אלו, מבקרי האתר ייחשפו לתוכן אותו “שתל” התוקף במקום התוכן אותו התכוון בעל האתר להציג ללקוחותיו. לעיתים, מתקפות אלו אינן מציגות “תוכן חלופי” מביך, אלא משנות את נכונות הפרטים של אתר (לדוגמה, שינוי מחיר התעריפון, פרטי ההתקשרות עמך בעמוד יצירת קשר וכדומה).

גניבת מידע – במתקפות אלו, התוקף מנצל פרצות אבטחה והגדרות לא נכונות לטובת הוצאת מידע רגיש כגון פרטי לקוחות, פרטי כרטיסי אשראי ועוד.

 

כיצד אדע מה לבקש מהספק?
לצד הגדרת נפח האחסון הרצוי, משך זמן שמירת הגיבויים, שעות התמיכה ושאר הדרישות, חשוב לבקש מהספק מידע לגבי רמת האבטחה שלו בהתאם לשלושת הרמות הבאות: כסף, זהב, פלטינום.

לפני פנייה לספק אירוח, כדאי שתדעו שישנן שלוש רמות שונות של עומק יישום ההגנה המומלצת – בחרו את המתאימה לכם ביותר:

רמת הסמכה כסף

משמעות בעיני הספק: הספק מיישם את ההמלצות הבסיסיות ביותר אשר מהוות רף מקצועי מקובל במשק. מנכ”ל החברה מצהיר כי דרישות אלו מיושמות.
למי זה מתאים? עשוי להתאים לאתר תדמיתי, דף עסקי ברשת חברתית וכדומה.
פוטנציאל הנזק – אכוונה בבחירת הרמה הנדרשת – פגיעה באתרים אלו, תגרור לרוב לנזק של מוניטין.
דרישות מהספק – הספק מיישם דרישות הגנה בסיסיות של מערך הסייבר עבור גורמי מיקור חוץ. דרישות אלו, כוללות בין היתר את הצורך של הספק למנות גורם אחראי, לבצע בקרה תקופתית, למנוע גישה פיזית לגורמים שאינם מורשים ועוד דרישות מקובלות במשק ובעולם.
רמת הסמכה זהב

משמעות בעיני הספק: הספק מיישם את רמת האבטחה בהתאם להמלצות המתקדמות. צד שלישי חתום על נכונות ההצהרה של הספק על רמת ההגנה שלו.
למי זה מתאים? עשוי להתאים לאתר דינאמי שכולל רישום של משתמשים, מידע אישי וכדומה.
פוטנציאל הנזק – אכוונה בבחירת הרמה הנדרשת – פגיעה באתרים מסוג זה, עלולה להוביל לנזק תדמיתי כמו גם לפגיעה בפרטיות ולחשיפה לתביעות מצד לקוחות.
דרישות מהספק – הספק מיישם את דרישות ההגנה המתקדמות של מערך הסייבר עבור גורמי מיקור חוץ. דרישות אלו, כוללות בין היתר את הצורך לבצע פעילויות לאיתור פעילות חריגה במחשבים, שימוש ביכולות האבטחה הקיימות במוצרים, הצפנה של מידע רגיש ועוד.
רמת הסמכה פלטינה

משמעות בעיני הספק: הספק מיישם את ההמלצות המקצועית הנדרשות, עבור אתרים ואף מחזיק בתעודת הסמכה מתאימה.
למי זה מתאים? עשוי להתאים עבור אתרי מסחר מקוון, אתרים אשר פגיעה בהם תגרום לנזק כספי ולפגיעה במוניטין.
פוטנציאל הנזק – אכוונה בבחירת הרמה הנדרשת – פגיעה באתרים מסוג זה, עלולה להוביל לפגיעה חמורה במוניטין, פוטנציאל לתביעות משמעותיות מצד לקוחות ו/או לאובדן הכנסה כתוצאה מאי זמינות האתר.
דרישות מהספק – הספק מחזיק בתעודת הסמכה המוכרת על ידי מערך הסייבר על היותו ספק מאושר.תעודה זו, מעידה כי הספק נבדק על ידי גורם מקצועי אשר הוכיח כי הוא אכן מיישם את רמת ההגנה המתקדמת, כפי שזו הוגדרה על ידי מערך הסייבר הלאומי.

מה כדאי לי למכור?

שירותי בניית אתרים, תחזוקת מחשבים, משרדים, תוכנות תמיכה, מערכות טלפוניות, שרתים ורשתות, פרסום ברשת, קידום, שיווק מיתוג ועיצוב, גרפיקה, וכל עולם המדיה, כעת במקום אחד.

קרא עוד »

הי! אני בענן:)

שירותי בניית אתרים, תחזוקת מחשבים, משרדים, תוכנות תמיכה, מערכות טלפוניות, שרתים ורשתות, פרסום ברשת, קידום, שיווק מיתוג ועיצוב, גרפיקה, וכל עולם המדיה, כעת במקום אחד.

קרא עוד »

שכחתי את הסיסמא

שירותי בניית אתרים, תחזוקת מחשבים, משרדים, תוכנות תמיכה, מערכות טלפוניות, שרתים ורשתות, פרסום ברשת, קידום, שיווק מיתוג ועיצוב, גרפיקה, וכל עולם המדיה, כעת במקום אחד

קרא עוד »

חפשו אותנו בגוגל

שירותי בניית אתרים, תחזוקת מחשבים, משרדים, תוכנות תמיכה, מערכות טלפוניות, שרתים ורשתות, פרסום ברשת, קידום, שיווק מיתוג ועיצוב, גרפיקה, וכל עולם המדיה, כעת במקום אחד

קרא עוד »

מה חשוב למחשב שלך?

שירותי בניית אתרים, תחזוקת מחשבים, משרדים, תוכנות תמיכה, מערכות טלפוניות, שרתים ורשתות, פרסום ברשת, קידום, שיווק מיתוג ועיצוב, גרפיקה, וכל עולם המדיה, כעת במקום אחד.

קרא עוד »
he_ILHebrew
דילוג לתוכן