תוכנית חדשה של מערך הסייבר הלאומי תעניק “תו תקן” סייבר לחברות אחסון אתרים

בחודש מאי 2020 נפגעו בו זמנית אלפי אתרי אינטרנט בישראל במתקפת השחתת אתרים שהציגה מסרי תעמולה אנטי-ישראליים.  בדיקת מערך הסייבר הלאומי (במשרד ראש הממשלה) בזמנו העלתה כי דרך חברת אחסון אתרים אחת הצליחו התוקפים להשחית אלפי אתרים אשר אוחסנו בשרתיה.

כדי למנוע מקרים דומים, יזם המערך תוכנית חדשה המייצרת סטנדרט אחיד להגנה של חברות אחסון אתרים במספר רמות – כסף, זהב ופלטינה – לחברות שיעמדו בבקרות אבטחה שהוגדרו על ידי המערך.

בהודעת מערך הסייבר נאמר כי מטרת התוכנית היא לחזק את רמת ההגנה הכללית במשק של אתרי אינטרנט וכן לאפשר לבעלי האתרים לבצע בחירה מושכלת לאחסון האתר שלהם גם על פי סטנדרט הגנת סייבר.

לדברי מערך הסייבר הלאומי, ענף שירותי אחסון אתרים נמצא במגמת עלייה מתמדת: השירות זמין, חוסך משאבים וקל לתפעול, לכן ארגונים רבים משתמשים ובישראל קיימות כיום עשרות חברות המציעות שירות זה. עם זאת, השירותים מהווים יעד מועדף לתקיפות סייבר, בין היתר, בשל היכולת להגיע בו זמנית לארגונים רבים דרך תקיפה של יעד אחד, וכן בשל הנתונים הרגישים והמידע הרב המוחזק בהם.

לדברי מיטל אריק ראש אגף הכוונה ואסדרה במערך, “התוכנית החדשה של המערך מספקת מענה לצורך הגובר באספקת שירותים מוגנים בסייבר, לצד יצירת מוטיבציה כלכלית עבור הספקים. מטרתה להעלות את רמת ההגנה של ספקים אלו, להעניק ללקוחות יכולת לשפוט את רמת ההגנה בשרות המסופק להם ולבצע בחירה חכמה על בסיס זה”.

ענת גולדיאן ראש תחום התעדה ואסדרה במערך אמרה כי “התוכנית מייצרת מאגר ספקים מאושרים על ידי המערך ומסייעת לארגונים לקבל החלטה מושכלת בהתקשרות עם ספקי אחסון בעלי יתרון יחסי בהיבטי רמת ההגנה המוצעת. המהלך מסדיר את השונות הגבוהה בתחום, מחזק חוליה מהותית בשרשרת האספקה המהווה יעד תקיפה אטרקטיבי ומפחית עבור בעלי האתרים את עלויות השימוש בטכנולוגיות הגנת הסייבר. במקביל, התוכנית טומנת בחובה פוטנציאל לרווח כלכלי לספקיות האחסון הראשונות שייבחרו ליישמה”.

כדי לקבל הכרה לאומית ב”תו התקן”, כל ספק יצטרך להוכיח עמידה בסידרה של בקרות שאותן קבע המערך להתקשרות עם ספקים בתחום אחסון האתרים. בכלל זאת, בקרת גישה, הגנה על עמדות קצה ושרתים, הגנה היקפית, ניטור ובקרה, פיתוח מאובטח וענן להגנה על סביבת המידע של הלקוח. לאחר עמידה מלאה בבקרות אלו, ייבדק הספק ע”י בודק ספקים מוסמך על ידי המערך, ויוכל להגיש באופן מאובטח את המידע לאשרור באחד מגופי ההסמכה – מכון התקנים הישראלי או IQC (המכון לבקרה ואיכות). אם המידע שהוגש יימצא תקין ויעמוד ברף המקצועי להגנה שקבע המערך, תונפק לספקית אירוח האתרים תעודה המאשרת כי רמת הגנת הסייבר לשירות אחסון אתרים עומד ברף שנקבע על ידי המערך.

האישור יהיה תקף לשנה עם אפשרות לתיקוף למשך שנה נוספת.