מתפרסם מאז שנת 1999
יישום המלצות חדשות של ה- CERT הלאומי (CERT-IL) צפוי להפחית את פגיעותם של ארגונים אזרחיים בשיעור של עד 85% בפני תקיפות סייבר
ה- CERT הלאומי פירסם ב- 24 ביוני 2015 המלצות חדשות שיישומן צפוי להפחית את פגיעותם של ארגונים אזרחיים בשיעור של עד 85% בפני תקיפות סייבר.
בהודעה של לשכת ראש הממשלה נאמר כי לאחר עבודת ניתוח מקיפה בחודשים האחרונים, ה- CERT הלאומי (CERT-IL) פירסם במסגרת כנס הסייבר הבינלאומי השנתי באוניברסיטת תל-אביב רשימת “בקרות” (Controls) מומלצות ומתועדפות עבור מערכות ארגוניות, בניסיון לצמצם ככל הניתן את פגיעותן בסייבר באמצעות זיהוי, שיבוש או מניעה של תקיפות שכיחות. זאת, במסגרת תפקידו של ה- CERT הלאומי לרכז, לעבד ולהפיץ המלצות, לקחים ותובנות לארגונים ציבוריים ופרטיים, לטובת הגברת חוסנם במרחב הסייבר.
ראש אגף בכיר למגזר האזרחי עמי שילה אמר כי “במציאות הנוכחית כבר הוכח כי מוסדות וחברות ברחבי העולם, שחלקם מצויים במוקד הפעילות הכלכלית במדינותיהם, מתקשים להתמודד באופן אפקטיבי עם תוקפים מתקדמים, בפרט כאלו הזוכים לתמיכה של מדינות או שבבעלותם יכולות שהיו בעבר נחלתן של מדינות בלבד. הגברת חוסנו של המשק בסייבר חיונית להבטחת הרציפות העסקית של חברות ישראליות ולכן גם של הכלכלה הישראלית”.
מדינות נדרשות להיערך לאתגר ההגנתי המתפתח במרחב הסייבר במספר צירי פעולה המשתלבים לכדי מענה לאומי שלם. אחד החשובים שבהם הוא כמובן גיבוש מנגנוני סיוע אפקטיביים להגברת חוסנו של המשק. במדינות מתקדמות הקשר הבלתי אמצעי השוטף מול המגזר האזרחי מרוכז בידי גוף ייעודי אשר אמון על חיזוק החוסן בסייבר של כלל המגזרים, הארגונים והאזרחים במדינה CERT (Cyber/Computer Event/Emergency Readiness/Response Team) .
מאמץ מרכזי של גופי CERT הינו ביסוס סטנדרטים מקצועיים שתכליתם העלאה שיטתית ורציפה של רמת ההגנה במדינה. במסגרת זו יש ערך רב בשיתוף בנהגים יישומיים מומלצים (Best Practices) להגנת הסייבר, לרבות “בקרות” מומלצות לאימוץ במערכות ארגוניות, במטרה להנגיש למשק מידע וידע הנשענים על ניסיון ומחקר, עבור ארגונים, בדגש על ארגונים קטנים ובינוניים שמשאביהם מוגבלים, כך שיוכלו להגן על עצמם טוב יותר בסייבר.
ייעוד ה”בקרות” שהוצגו הבוקר הינו לפגוע ביכולת הפוגען לחדור למחשב או לשרת – שלב קריטי ברוב התקיפות הנפוצות כיום. רוב הבקרות ברשימה מתמקדות בהגנה על תחנות הקצה של המשתמשים – החוליה החלשה במערך ההגנה בהיותן חשופות בעת גלישה באינטרנט, בעת קבלת דואר אלקטרוני ממקורות שונים, במהלך חיבור לרשתות חברתיות ובאמצעות פעילויות נוספות המבוססות על הנדסה חברתית. הבקרות מסייעות גם בשלבים נוספים של “וקטור התקיפה”, כמו התפשטות ברשת, תקשורת עם המפעיל והזלגת מידע. עם זאת, ברור כי טיפול מלא בשלבים הנוספים מחייב נקיטת צעדים שחורגים מרשימה זו.
רשימת הבקרות נשענת על מספר עקרונות מנחים: קביעת סדרי עדיפויות ברורים, פוטנציאל ליישום מהיר, מענה למרבית התקיפות הנפוצות כיום ובעתיד הקרוב, הטמעה בכל ישויות הארגון (תחנות, שרתים, משתמשים ורשת), שימוש בכלים קיימים ככל שניתן, קידום תפישה של מעבר לניטור רציף בתוך הארגון, וכן יצירת מסד לשיתוף מידע עם ה- CERT הלאומי. כל זאת, תוך הבנייה של שפה מקצועית משותפת. תהליך גיבוש המסמך התבסס על תהליכים דומים במדינות אחרות, דוגמת ארה”ב ואוסטרליה, תוך ביצוע התאמות ייחודיות למאפיינים והצרכים בישראל.
לפי מחקר של ארגון הסיגינט ואבטחת המידע האוסטרלי (ASD) שבמסגרתו נותחו אלפי פוגענים מהעולם, מוערך כי יישום 6 הבקרות הראשונות ברשימה שגובשה בישראל צפוי להפחית את סיכויי ההדבקה של מחשבי הארגון בשיעור של עד 85%. כמו כן, אותן בקרות ניתנות ליישום מהיר יחסית, שככלל אינו כרוך ברכש של תוכנות נוספות על אלו הקיימות במרבית הארגונים.
גורמים ב- CERT הלאומי הדגישו כי הטיפול בסיכונים שהבקרות נועדו לצמצם, צריך להתנהל במסגרת תפיסה הגנתית רחבה יותר של הארגון, העוסקת בין היתר גם בהגנות אפליקטיביות, הגנה על המידע, מניעת זליגת מידע, אבטחת רשת התקשורת וכיו”ב. כל זאת, במסגרת תהליך ניהול סיכונים עיתי, מותאם והוליסטי המתבצע בארגון. בנוסף, יישום הבקרות מחייב ביצוע על ידי איש מקצוע מתאים, תוך בחינת התאמתן לסביבת המחשוב של הארגון הספציפי והפעלת שיקול דעת מקצועי בהתאם לפרקטיקות עבודה מקובלות, ותוך נקיטת מכלול אמצעי הזהירות הנדרשים. המלצות ה-CERT הלאומי לא נועדו להחליף את מנגנוני האבטחה הקיימים או את עמידת הארגון ברגולציה הקיימת, אלא להתמקד בפוטנציאל ההידבקות של הארגון, באופן שיגביר את חוסנו, ובהינתן אימוץ נרחב של ההמלצות – יוביל להגברת ההגנה של המשק כולו. פעילות ה- CERT הלאומי אינה מסתכמת במתן המלצות, שכן ביסוד פעילותו ניצבת האחריות לסיוע בהתמודדות עם אירועי סייבר במרחב האזרחי, על ידי ריכוז ושיתוף מידע אופרטיבי.