a88b7ad3-14e5-4ec1-9c3c-2109ad02f798.png

Cybersecurity Brief

 

דו״ח סייבר שבועי

עדכון שבועי 04.06.2020 

עיקרי הדברים

  1. חברת CheckPoint תיעדה עלייה של 30% במתקפות סייבר הקשורות בנגיף הקורונה בתחילת חודש מאי

  2. אזהרה: עלייה במתקפות פישינג ממוקדות לחטיפת חשבונות אינסטגרם של ידוענים בישראל

  3. בעיות אבטחה באתר הרשמי של  משרד המשפטים

  4. Google: ידיעות בנושאי מתקפות מגובות ממשלתית והפצת דיסאינפורמציה ברשת

  5. הפורום הכלכלי העולמי מפרסם דו״ח הפקת לקחים ממשבר הקורונה - כדי למנוע משבר סייבר גלובלי עתידי 

  6. אנחנו ממליצים לעדכן את התוכנות הבאות: 

    1. דפדפנים - Google Chrome, Mozilla Firefox and Mozilla ESR

    2. מכשירי אפל Apple- אייפון (iOS), מחשבים ניידים (MacOS), מכשירי iPad, Apple TV, Apple Watch. 

    3. מכשירים ניידים עם מערכת הפעלה מסוג Android 

הציטוט השבועי

״זה היה מכוון באופן ספציפי לגרום לנזק במרחב הפיזי של החיים באמצעות מערכות בקרה ושליטה. זו הפעם הראשונה שראינו משהו כזה שמכוון לגרום נזק למרחב הפיזי, בהשוואה למתקפות שמכוונות לפגיעה בנתונים, שגם הן חמורות בפני עצמן בעולם המודרני.״ 

יגאל אונא
ראש מערך הסייבר הלאומי 
מתייחס להתקפת הסייבר על תשתיות המים והביוב בישראל

תוכן עניינים

איפה אפשר לקרוא את הדוחות

התרעות

עלייה במתקפות פישינג ממוקדות לחטיפת חשבונות אינסטגרם של ידוענים
אתרים מוכרים רבים מבצעים סריקה של פורטים פתוחים במחשבי המבקרים באתר
CISA מזהירה מפני הונאות לאור תחילת עונת ההוריקנים
Google: ידיעות בנושאי מתקפות מגובות ממשלתית והפצת דיסאינפורמציה ברשת
החברות Cybercrime ו- Google מעריכות גניבה של כ 2 מיליארד דולר בשנת 2020 ונותנות המלצות להתגוננות
בעיית אבטחה בסיסית נמצאה באתר הרשמי של  משרד המשפטים
מכון המוכנות לסייבר ומחלקת אבטחת המולדת האמריקאית של ארה״ב בשיתוף פעולה

שיתוף פעולה חדש בין מכון המוכנות לסייבר (CRI), מחלקת אבטחת המולדת האמריקאית של ארה״ב, ו-CISA

התקפות

מידע על כ-2,700 משתמשים דלף עקב תצורה לקויה של AWS
3,671 כתובות מייל דלפו משירות אחסון האתרים ״Daniel's Hosting״
תוכנה זדונית מנצלת את פלטפורמת GitHub במטרה להפיץ פוגען
״הדלפת המיליונים״: פרטים של כ-69 מיליון משתמשי חברת LeadHunter, המספקת שירותי פרסום, דלפו לרשת
לכאורה פרצה  ל-NASA  דרך ספקית ה-IT וההגנת הסייבר ע״י קבוצת כופרה

סייבר וקורונה

הפקת לקחים ממשבר הקורונה - כדי למנוע משבר סייבר גלובלי עתידי
קמפייני הונאות SMS רבים מנצלים את נגיף הקורונה לצורך גניבת מידע פיננסי
עלייה משמעותית בתקיפות הסייבר ברבעון הראשון של 2020 עקב התפרצות נגיף הקורונה
חברת CheckPoint תיעדה עלייה של 30% במתקפות סייבר הקשורות בנגיף הקורונה בתחילת חודש מאי

חולשות חדשות ואמצעי הקשחה

עדכוני אבטחה קריטיים למוצרים של Apple
עדכוני אבטחה ברמת חומרה גבוהה לדפדפן Mozilla Firefox:
גוגל מאפשרת שימוש ב-Google Advanced Protection במוצר האבטחה הביתי, Nest
גוגל מאפשר שימוש במפתחות אבטחה פיזיים במכשירי iOS כחלק ממנגנון הזדהות כפול
גוגל שחרר עדכוני אבטחה למערכת הפעלת אנדרואיד ברמת קריטיות גבוהה

סייבר בישראל

השקת מערכת יוב״ל - מודול תורת ההגנה
מערך הסייבר הלאומי פועל לגיבוש פתרון למתקפות כופרה
גרסה חדשה לשאלון ספקים לחיזוק שרשרת האספקה
מערך הסייבר הלאומי פרסם 10 טיפים ליצירת סיסמאות בטוחות

סייבר ופרטיות - רגולציה ותקינה

יישום ה-GDPR ב-2019 נבחן בדו"ח שנתי של ה-European Data Protection Board
"חבר מביא חבר" - רק בהסכמה
משרד איכות הסביבה בישראל פרסם גרסה חדשה של מדריך לעמידה בתנאים של היתר רעלים בתחום הסייבר בתעשייה
ארגון NIST בארה"ב מקדם הגנת הסייבר של שירותי GPS ו-PNT
תקנים 2035 - תוכנית התקינה הלאומית של סין
דו״ח בנושא הגנת הפרטיות בקרב מכונים רפואיים ומעבדות רפואיות בשנים 2018-2019
סקירת הרשות להגנת הפרטיות בנושא ניטור דיגיטלי בעידן הקורונה
הגנת פרטיות בתחבורה חכמה

כנסים

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

התרעות

עלייה במתקפות פישינג ממוקדות לחטיפת חשבונות אינסטגרם של ידוענים

לאחרונה נצפתה עליה בכמות תקיפות הפישינג שמטרתן לקבל אחיזה בחשבונות האינסטגרם של משתמשים, גם בקרב סלבריטאים אחריהם עוקבים אלפים רבים. התקיפות מתבצעות באמצעות מייל הזדוני, המועבר כביכול מעובדי Instagram, ומשדר דחיפות ודרישה לתגובה מיידית. לדוגמא: מייל שמודיע למשתמש על כך שחשבונו נחסם. בתוך הודעה זו מצורף לינק זדוני, אשר לחיצה עליו תפנה את המשתמש לאתר מתחזה של אינסטגרם על מנת לגנוב את פרטי ההתקשרות שלו, או לחלופין תגרום להורדה של קובץ זדוני.

שימו לב שיש קושי לשחרר חשבונות אלו לאחר שהם נפרצים, לכן מומלץ להגדיר מנגנון אימות כפול על אותם חשבונות בהקדם האפשרי, ולא לענות למיילים חשודים המבקשים פרטי הזהות.

אתרים מוכרים רבים מבצעים סריקה של פורטים פתוחים במחשבי המבקרים באתר
מבדיקה של חברת Bleepingcomputer עולה כי אתרים רבים העושים שימוש במערכות
Fraud Protection של ThreatMetrix, אשר מספקות הגנה למערכות מחשוב, מבצעים סריקת פורטים פתוחים במחשב האורח לבדיקת תקשורת Remote Access Programs . פעולה זו מבוצעת במקביל לייעוד מערכת ההגנה על האתר מפני הונאות ובעלת פוטנציאל לחשוף מחשבים עליהם ניתן לבצע פעולות שליטה מרחוק בעת זליגת מידע. החדשות הטובות הן שניתן באמצעות פעולות הדפדפן לבצע חסימה של סריקה זו.

CISA מזהירה מפני הונאות לאור תחילת עונת ההוריקנים

הסוכנות לאבטחת סייבר ותשתיות בארצות הברית (CISA) פרסמה התרעה עם תחילתה הרשמית של עונת ההוריקנים השבוע, אשר מזהירה מפני הונאות סייבר ממוקדות בקורבנות האסון ו/או תורמי/ארגוני צדקה לנפגיעי הוריקנים, ומפצירה בציבור להגביר ערנות מפניהן. כמו כן, הסוכנות צופה כי ההונאות יכללו תכתובות דואר אלקטרוני מזויפות המכילות קבצים זדוניים ו/או קישורים לאתרים זדוניים, הונאות בהודעות SMS, קמפיינים מזויפים במדיות החברתיות, קמפיינים מזוייפים מדלת-לדלת, ועוד.

 

Google: ידיעות בנושאי מתקפות מגובות ממשלתית והפצת דיסאינפורמציה ברשת

בחודש אפריל נשלחו מטעם גוגל 1,755 אזהרות בנושא חשבונות שטורגטו על ידי תוקפים מגובי ממשלות, תקיפות רבות מיועדות למוסדות רפואיים ועובדי ארגון הבריאות העולמי.  

בנוסף, מציינים בגוגל כי עדיין יש כמות גדולה של תקיפות פישינג הקשורות בנגיף הקורונה. בתמונה הבאה ניתן לראות את אחד האתרים המזויפים שהופצו באמצעות קמפייני הפישינג.

החברות Cybercrime ו- Google מעריכות גניבה של כ 2 מיליארד דולר בשנת 2020 ונותנות המלצות להתגוננות

החברות Google ו- Cybercrime מעריכות כי במהלך שנת 2020, יגנבו כ-20 מליארד דולרים בהונאות באינטרנט. החברות מפרסמות שלושה ״חוקי זהב״ כדי להימנע מהתקפה מוצלחת: 
א. התייחסו בזהירות למסרים המשדרים מיידיות ודחיפות, וקחו את הזמן לשאול שאלות טרם תגובה. 
ב. בצעו בדיקה כפולה על הפרטים המוצגים בפניכם - במידה וקיבלתם שיחת טלפון לא צפויה, או מייל שלא ציפיתם לו עצרו את התקשורת וודאו ישירות מול הגורם הרשמי על נכונות הדיווח. 
ג.לעולם אל תבצעו פעולות תשלום במקום ובאמצעים לא שגרתיים. שום אדם או גורם רשמי לא תבקש יבקש מכם תשלום במקום באמצעים לא גשרתיים כמו כרטיסי מתנה וכו׳.

בעיית אבטחה בסיסית נמצאה באתר הרשמי של  משרד המשפטים

התקלה נמצאה בשירות התגובות לתיקוני חוקים, הודעות שסומנו כפרטיות, היו למעשה חשופות לכל. אפשרות הגשת תגובה פרטית הניתנות לצפייה רק ע״י המשרד הממשלתי של יוזם החוק, קיימת על מנת להגן על המגיב ועל פרטיותו במקרה שהוא רוצה לשמור עליה. למשל, איש מקצוע שמתנגד או תומך בחוק אך חושב שמעסיקו לא יהיה מרוצה מכך שהוא מביע את דעתו בעניין, או חיילים בצבא שאסור להם להביע דעה פומבית על פוליטיקה. בהמשך לבעיה אין צורך בניסוי ותהיה ידני לצורך איתור תגובות הגולשים אלא ניתן לבצע באמצעות פעילות אוטומטית (Script) מאחר ואין כל חסימה באתר לפעולות אוטומטית.

שיתוף פעולה חדש בין מכון המוכנות לסייבר (CRI), מחלקת אבטחת המולדת האמריקאית של ארה״ב, ו-CISA

מטרת שיתוף הפעולה בין הגופים, הוא שיפור רמת אבטחת המידע והגברת היציבות בעסקים קטנים ובינוניים (SMBs), ע״י פרסום קווים מנחים. במסגרת שיתוף הפעולה צפויות להתפרסם שש ״ערכות כלים״, המהוות את יסודות אבטחת המידע הדרושים לארגון.

התקפות

Joomla: מידע על כ-2,700 משתמשים דלף עקב תצורה לקויה של AWS
Joomla חברה לניהול תוכן באתרי אינטרנט (CMS) דיווחה השבוע על דליפת מידע שהתרחשה לאחר שאחד מאנשי  הצוות, השאיר גיבוי לא מוצפן של אתר החברה בתוך AWS S3 Bucket, הגיבוי הכיל בתוכו מידע של כ- 2,700 משתמשים. בין פרטי המידע  שנחשפו: שם מלא, אימייל עסקי, כתובת IP, סיסמה מוצפנת ועוד.

3,671 כתובות מייל דלפו משירות אחסון האתרים ״Daniel's Hosting״

בנובמבר 2018, שירות איחסון האתרים Daniel's Hosting, אשר מאחסן אתרים ברשת האפלה (Dark Web),
סבל ממתקפה אשר השביתה כ-6,500 אתרים. מאז הצליחה החברה להעלות בחזרה לאוויר את כל האתרים.
במרץ האחרון חוותה החברה מתקפה נוספת שגם ממנה היה נדמה כי התאוששה, עד שלאחרונה התגלה כי האקר בשם KingNull העלה את כל פרטי לקוחות החברה לרשת.
אותו האקר (KingNull) פרסם: 3,671 כתובות אימייל, 7,205 סיסמאות של משתמשי אתר החברה, ו - 8,580 מפתחות פרטיים לדומיינים ברשת האפלה.

תוכנה זדונית מנצלת את פלטפורמת GitHub במטרה להפיץ פוגען

בתחילת חודש מרץ חוקר אבטחה עידכן את אתר GitHub כי מצא מספר פרויקטי קוד פתוח המכילים בתוכם תוכנה זדונית (Malware). לאחר בדיקה, ביום חמישי האחרון עידכנו GitHub כי הם מצאו כ-26 פרויקטי קוד פתוח אשר נדבקו בתוכנה זדונית היוצרת דלת אחורית (Backdoor), ומשמשים להפצתה. כל משתמש אשר עשה שימוש באותם קודים פתוחים ככל הנראה הדביק את המחשב שלו באותה תוכנה זדונית, אשר זכתה לשם Octopus Scanner.

״הדלפת המיליונים״: פרטים של כ-69 מיליון משתמשי חברת LeadHunter, המספקת שירותי פרסום, דלפו לרשת

במרץ 2020 dehashed.com העבירו לאתר ״Have I Been Pwned״ מידע של כ-69 מיליון משתמשים של חברת LeadHunter, לאחר שנמצא חשוף על שרת Elasticsearch פומבי. הנתונים התפרסו על פני 110 מיליון שורות נתונים, וכללו מידע אישי הכולל שמות, מספרי טלפון, מגדרים וכתובות פיזיות. אתר ״Have I Been Pwned״ פרסם השבוע את המידע על מנת לאפשר למשתמשים לבדוק אם גם המידע שלהם דלף.

לכאורה,  קבוצת כופרה פרצה  ל-NASA  דרך ספקית ה-IT והגנת הסייבר של הארגון

ידיעון ZDNET פרסם כי קבוצת האקרים 'DopplePaymer ransomware', פרצה למערכות חברת  NASA באמצעות ספק חיצוני (שרשרת אספקה)  המספק שירותי מערכות מידע (IT) לחברות רבות ביניהן נמצאת NASA.
לא ברור עדיין כיצד בוצע הפרצה ואיזה מידע נמצא בידי קבוצת ההאקרים אך לצורך הוכחת הטענה קבוצת ההאקרים פרסמו 20  קבצים המכילים מידע אודות החברה  ב-Darkweb.

סייבר וקורונה

הפקת לקחים ממשבר הקורונה - כדי למנוע משבר סייבר גלובלי עתידי

בתחילת יוני פרסם ה-World Economic Forum מאמר שקורא להיערכות ל-"מגיפת סייבר גלובלית" (global cyber pandemic) על מנת למנוע השלכות כלכליות קשות והרסניות מאלה הנגרמות כעת בעקבות התפשטות COVID-19. המחברים מציגים תסריט לפיו התוצאות הכלכליות של משבר סייבר שמתפשט גלובלית, כמו מגיפת הקורונה, עלולות להיות קשות הרבה יותר מתוצאותיו של המשבר הנוכחי. ניתן לראות כעת שרוב מדינות העולם אינן ערוכות למשברים בסדר גודל נחרב כל כך, כולל משברי סייבר, אך יתכן מאוד שמצבי משבר כאלה ימשיכו לפקוד אותנו בעתיד. ישנן מספר תובנות ולקחים שניתן להפיק מהתקופה הנוכחית: (1) קצב ההתפשטות של משבר סייבר גלובלי עלול להיות מהיר מזה של COVID-19 (על סמך נסיון עבר בפריצות כמו WannaCry וסטוקסנט); (2) האימפקט הכלכלי של משבר סייבר גלובלי עלול לגרור נזק של מיליארדי דולרים ולהיות הרסני מזה של הקורונה, בשל השפעתו על מערכות דיגיטליות ופיזיות המאופיינות ברמה גבוהה של תלות הדדית; (3) תהליך ההתאוששות ממשבר סייבר גלובלי יהיה מאתגר מאוד, גם מבחינת תהליכי patching ותיקונים אחרים של הפונקציונליות של מחשבים, טלפונים וניידים; וגם מבחינת הצורך להחליף ציוד שניזוק באופן משמעותי. דוגמה לכך היא תהליך ההתאוששות של חברת Maersk מאירועי NotPetya בשנת 2017. ה-WEF מציע למדינות ולארגונים לאמץ תהליך של תכנון אסטרטגי, על מנת להיערך למשברים עתידיים אפשריים, ומדגיש את החשיבות של מנגנוני שיתוף פעולה בינלאומי בהקשר זה. מאמר נוסף של ה-WEF מציע צעדים קונקרטיים להיערכות.

קמפייני הונאות SMS רבים מנצלים את נגיף הקורונה לצורך גניבת מידע פיננסי

מחקר של חברת Symantec מצא כי 1 מתוך 20 הודעות SMS שנשלחו בנושא הקורונה הינו הודעת פישינג (Phishing SMS - Smishing) או מכיל תוכן אחר ברמת סיכון גבוהה. מבין הקמפיינים שזוהו בחודשים האחרונים: הודעות SMS שנשלחות למכשירים בעלי מערכת הפעלה מסוג iOS מטעם scotiabank לצורך מתן הטבות פיננסיות, הודעות שנשלחות למכשירים בעלי מערכת הפעלה מסוג iOS המתחזות לממשלת בריטניה בנושא של תשלום שיש להסדיר עקב מגפת הקורונה.

עלייה משמעותית בתקיפות הסייבר ברבעון הראשון של 2020 עקב התפרצות נגיף הקורונה

הדו״ח הרבעוני של צוות המחקר של חברת Malwarebytes מתאר את התקיפות המרכזיות המנצלות את בהלת הקורונה וסטטיסטיקות על עליית התקיפות בחודשים אלו. מבין התקיפות שהוצגו בדו״ח נראתה עליה של 110 אחוזים בהתפשטות של פוגען ״AveMaria״, פוגען זה מאפשר לתוקף גישה מרוחקת למחשב הקורבן ולמצלמות רשת עם יכולות נוספות של גניבת סיסמאות.

חברת CheckPoint תיעדה עלייה של 30% במתקפות סייבר הקשורות בנגיף הקורונה בתחילת חודש מאי

מחקר של חברת CheckPoint מצביע על עליה של 30% במתקפות סייבר הקשורות בקורונה במהלך השבועיים הראשונים של חודש מאי. מבין סוגי התקיפה הנפוצים שתועדו במהלך תקופת הקורונה הוא (BEC (Business Email Compromise, תקיפה אשר מטרגטת עסקים ויחידים שמטרתה להעביר כספים מחשבונות הקורבן לתוקפים. לרוב התקיפה מאופיינת באחת משלוש הדרכים הבאות: זיוף כתובת מייל על ידי התוקף ושימוש בשרתי SMTP חשופים או כתובות מייל פרוצות, שליחת מיילים מטעם החשבון המקורי של הקורבן באמצעות השגת שליטה על חשבונות מייל קיימים, שליחת מיילים מכתובת דומה לכתובת הקורבן אך עם שינוי (לדוגמה gocgle במקום google).

חולשות חדשות ואמצעי הקשחה

עדכוני אבטחה קריטיים למוצרים של Apple

חברת Apple שחררה ביום שני (1.6) עדכונים לחולשות במספר מערכות הפעלה. על אף שחלק מהחולשות אשר מכוסות בעדכונים אלו הינן קריטיות, אנו ממליצים לעדכן את מערכות ההפעלה לגסתן העדכנית ביותר, משום שאי עדכון של מערכות הפעלה אלו משאירות אתכם חשופים למתקפות שונות בהן יכולים התוקפים להריץ קוד זדוני על המכשירים המדוברים. להלן הרשימה המעודכנת יחד עם הגרסאות העדכניות ביותר אליהן עליכם לעדכן:
        iOS - 13.5.1
        (10.13.6) MacOS: Catalina (10.15.5), and High Sierra
        6.2.6  - WatchOS
        tvOS -13.4.6
אנחנו ממליצים להיכנס לדף העדכונים של אפל כדי לברר את דגמי המכשירים של apple אשר זקוקים לעדכון.

עדכוני אבטחה ברמת חומרה גבוהה לדפדפן Mozilla Firefo

חברת Mozilla Foundation שיחררה ביום רביעי (3.6) עדכוני אבטחה לדפדפן החברה, Mozilla Firefox, אשר מכסים 77 חולשות חדשות, מתוכן 4 מוגדרות ברמת חומרה גבוהה. הגרסה העדכנית ביותר של הדפדפן היא Firefox 77.
ארבעת החולשות אשר מדורגות ברמת חומרה גבוהה יכולות להיות מנוצלות כדי להקריס את המערכת ואף להריץ קוד זדוני בה מותקנת התוכנה.

גוגל מאפשרת שימוש ב-Google Advanced Protection במוצר האבטחה הביתי, Nest

חברת Google שיחררה ביום שני (1.6) תמיכה של Google Advanced protection במוצר האבטחה הביתי שלה. Google Nest כוללת מנגנון אזעקה, אופציה לחיבור מצלמות אבטחה וסנסורים לדלתות וחלונות. עד כה, התחברות למערכת ה Google Nest התבצעה דרך חשבון ה Google של המשתמשים, או דרך אפליקציה ייעודית אשר מותקנת על הפלאפון. החידוש הינו בכך ש- Google כעת מאפשרת Google Advanced Protection גם על חשבונות Google שאיתם מערכת ה - Nest מבצעת את החיבור. 
למי שטרם הכיר, Google Advanced protection הינה תוכנית הגנה חינמית על חשבונות Google ו - G Suite אשר Google מציעה לכל לקוחותיה. התכנית מאפשרת הפעלת הזדהות של שני מפתחות פיזיים לחשבון Google, הגנה משמעותית יותר כנגד מתקפות Phishing, מניעת יכולת של האקרים להזדהות לחשבון המוגן ושמירה על המידע שבחשבון על ידי הגבלת אפליקציות צד שלישי המתקשרות עם החשבון.

גוגל מאפשר שימוש במפתחות אבטחה פיזיים במכשירי iOS כחלק ממנגנון הזדהות כפול

לאחרונה הודיעה גוגל שהם מאפשרים שימוש במפתחות אבטחה פיזיים כאמצעי הגנה נוסף ביישום W3C WebAuthn במכשירי Apple המריצים גרסה iOS 13.3 ומעלה. המשמעות היא שניתן להשתמש במפתח אבטחה עם USB או NFC ישירות במכשיר iOS, מבלי להתקין את אפליקציית Google Smart Lock.

גוגל שחרר עדכוני אבטחה למערכת הפעלת אנדרואיד ברמת קריטיות גבוהה

ביום שני (1.6) גוגל שחררה את עדכוני האבטחה החודשיים למערכת ההפעלה אנדרואיד. מערכת ההפעלה אנדרואיד הינה מערכת הפעלה מבוססת קוד פתוח (Open-source) שנוצרה על ידי Google ומוטמעת במכשירים ניידים רבים.  בעדכוני האבטחה האחרונים, Google נתנה מענה  לארבע חולשות קריטיות ועוד עשרות חולשות ברמת חומרה גבוהה.

סייבר בישראל

השקת מערכת יוב״ל - מודול תורת ההגנה
מערכת יוב"ל הנה פלטפורמה חדשנית מבית היוצר של מערך הסייבר הלאומי, המוגשת כשירות לציבור באתר המערך. מטרת המערכת לסייע לארגונים ליישם מתודולוגיות והמלצות הגנה של מערך הסייבר הלאומי בצורה יעילה. המודול הראשון שהושק במערכת הינו מודול שרשרת אספקה, המסייע לארגונים לבצע הערכה של רמת ההגנה של הספקים שלהם ביעילות. ב-10.6.2020, יום ד׳ הקרוב, יושק המודול השני במערכת - מודול תורת ההגנה, אשר מטרתו לאפשר לארגונים לבצע סקר סיכונים בקלות ובמהירות, תוך תאימות לתקנים מקומיים ובינלאומיים, כמו גם להשיג דוחות וגרפים שונים על מצב אבטחת המידע שלהם.  
מקור: מערך הסייבר הלאומי.

מערך הסייבר הלאומי פועל לגיבוש פתרון למתקפות כופרה

מערך הסייבר הלאומי פרסם השבוע קול קורא לציבור הישראלי, כדי שהציבור ישתתף באופן פעיל בפורום מקצועי ייעודי שמטרתו גיבוש מענה לאומי להתמודדות עם תקיפות כופרה אשר נפוצות מאוד בימים אלו בארץ ובעולם. הציבור מוזמן להגיש למערך רעיונות לפתרונות בנושא התמודדות מיטבית של המשק עם איום הכופרה כמו גם בקשה להצטרף לקבוצת עבודה (Working group) ייעודית בנושא ואף הצגת אתגרים נוספים איתם מתמודדים ארגונים בעת היערכותם להתמודדות עם איום הכופרה.

גרסה חדשה לשאלון ספקים לחיזוק שרשרת האספקה

מערך הסייבר הלאומי פרסם לפני כמספר שבועות גרסה חדשה לשאלון ספקים לחיזוק שרשרת האספקה, אשר עודכן בהתאם להתייחסויות המשק. מטרת מתודת שרשרת האספקה היא לסייע לספקים להבין מהן הדרישות המצופות מהם הנוגעות לעמידה ברמת הגנת סייבר מספקת. ניהול אבטחת מידע בשרשרת האספקה הוא חלק אינטגרלי במודל הגנת הסייבר הארגוני שכן ספקים חיצוניים חושפים את הארגון לאיומי סייבר רבים. 

מערך הסייבר הלאומי פרסם 10 טיפים ליצירת סיסמאות בטוחות

סיסמה היא המפתח להשגת גישה על נכסי המשתמש, ככל שסיסמא חזקה יותר לתוקף הפוטנציאלי יהיה מורכב יותר לפרוץ אותה באמצעים פשוטים. על כן, מערך הסייבר פרסם 100 טיפים ליצירת סיסמה חזקה וזכירה. מבין הטיפים שפרסמו: אורך סיסמה מינימלי מומלץ הוא 8 תווים המורכבים מאותיות גדולות וקטנות, מספרים וסימנים, יש להימנע משימוש בסיסמאות נפוצות (123456, QWERTY וכו׳), יש להימנע מהכנסת פרטים אישיים כמו תאריך לידה ושמות חיות מחמד. לטיפים נוספים לחצו כאן.

סייבר ופרטיות - רגולציה ותקינה

יישום ה-GDPR ב-2019 נבחן בדו"ח שנתי של ה-European Data Protection Board

ה-EDPR, רגולטור-העל האירופי בתחום הגנת הפרטיות של מידע אישי פרסם דו"ח שנתי על פעילות היישום והאכיפה של ה-GDPR לשנת 2019.  הדו"ח מסכם כי אומצו חמש הנחיות מחייבות חדשות במהלך השנה: קביעת Codes of Conduct לאומיים ומגזריים ליישום היבטים שונים של ה-GDPR; עיבוד מידע אישי במסגרת הענקת שירותים מסחריים אונליין ודרך שירותי וידאו; הנחיות בנוגע ל-Data Protection by Design and by Default; והזכות להישכח במנועי חיפוש. בנוסף, הדו"ח  סוקר את יעדי ה-EDPR שנקבעו לשנת 2020, הכוללות הנחיות יותר מפורטות ל-controllers and processors; הבהרת סוגיות בנוגע לזכויותהים של נשואי מידע; והגדרה יותר מעמיקה של המושג "אינטרס לגיטימי" של ארגון לעיבוד מידע. ה-EDPB גם יעסוק בהגנת מידע אישי בהקשר של פיתוח טכנולוגיות חדשות (מכוניות אוטונומיות, בלוקצ'יין, בינה מלאכותית) ובמסגרת המאבק נגד ההתפשטות של COVID -19.

"חבר מביא חבר" - רק בהסכמה

ה-Data Protection Authority בבלגיה הטיל קנס של 50,000 יורו על אתר המדיה החברתית "W", שנהג לפנות לאנשים על סמך הסכמת החברים ה-"ממליצים" שלהם שכבר השתתפו באתר - תופעה שכיחה בהרבה אתרים מסוג זה שאינה עומדת בדרישות ה-GDPR של הסכמת נשוא המידע עצמו. עיבוד המידע האישי של אדם שלא נתן לכך הסכמה מפורשת (ושלא מתבצע על סמך בסיס לגיטימי אחר של עיבוד המידע האישי שלו, כמו ביצוע התחייבויות חוזיות של הארגון המעבד) מפיר אחת מהדרישות הבסיסיות של ה-GDPR. ההחלטה של ה-DPA הבלגי תואמה עם עוד 23 DPAs ב- 16 מדינות אירופיות.

משרד איכות הסביבה בישראל פרסם גרסה חדשה של מדריך לעמידה בתנאים של היתר רעלים בתחום הסייבר בתעשייה

ביום 17.5.2020 משרד איכות הסביבה עדכן את מדריך לגירסה 1.3, שיחול על מפעלים שקיבלו אישור מהמשרד לטפל בחומרים רעילים. המדריך, שנכתב ע"י יחידת הסייבר במשרד, מותאם לפעילות בתעשייה המכילה חומרים מסוכנים ומהווה כלי המסייע בידי העסקים המחזיקים בהיתר רעלים לקיים את דרישות הרגולטוריות של "תוספת הסייבר" להיתר הרעלים. מטרתו למנוע או להפחית פגיעה בסביבה שעלולה להיגרם כתוצאה מדליפת חומרים מסוכנים כתוצאה של אירוע סייבר שמשפיע על מערכות ממוחשבות שמטפלות בחומרים אלה. 


ארגון NIST בארה"ב מקדם הגנת הסייבר של שירותי GPS ו-PNT

בסוף חודש מאי פרסם NIST בקשה להתייחסות ציבורית לקראת גיבוש "פרופיל" שמאפיין את השימוש הציבורי של שירותי מיקום וזימון (GPS ו-PNT), על מנת לשפר את רמת הגנת הסייבר שלהם. הסוגיה של הגנת סייבר לשירותים אלה קודם בחודש פברואר השנה על ידי צו נשיאותי (Presidential Order) שקבע ששירותי GPS הם קריטיים לאיתנות הלאומית 
(national resilience) של ארה"ב. הציבור מוזמן להגיש התייחסות עד לתאריך 13.7.2020. 

תקנים 2035 - תוכנית התקינה הלאומית של סין

סין מגבשת תוכנית לאומית אסטרטגית לקידום תקינה בתחומי הייטק, ביניהם רשתות 5G, אינטרנט של חפצים (IoT),  מערכות טלפונים סלולריים, בינה מלאכותית ועוד. התוכנית משתלבת עם דרישות שנקבעו בחוק הסייבר של סין משנת 2016. בין השאר, תוכנית China Standards 2035 מציבה יעדים לאומיים לגיבוש פיתוחים טכנולוגיים בראייה לטווח ארוך, שישפיעו בוודאות גם במישור הבינלאומי. לפרטים בנושא יישום תקן לאומי ספציפי בתקופת הקורונה - התקן של אספקת שירותי 5G, ראו פירוט כאן.

 

דו״ח בנושא הגנת הפרטיות בקרב מכונים רפואיים ומעבדות רפואיות בשנים 2018-20

הרשות להגנת הפרטיות פרסמה בתחילת חודש מאי דו״ח הסוקר את רמת הגנת הפרטיות במכונים רפואיים ומעבדות רפואיות לשנת 2018-2019. הדו״ח מתייחס לארבעה תחומים מרכזיים: בקרה ארגונית וממשל תאגידי, ניהול מאגרי מידע, אבטחת מידע ועיבוד מידע אישי על ידי מיקור חוץ.

 

סקירת הרשות להגנת הפרטיות בנושא ניטור דיגיטלי בעידן הקורונה

בשבועות האחרונים הרשות להגנת הפרטיות פרסמה מספר מסמכים בעלי היבטים רגולטורית, במיוחד בהקשר של הגנת מידע אישי בתקופות ההתמודדות עם COVID-19. סוגיות שמאפיינות את הצורך להבהרות רגולטוריות בנוגע להגנת מידע אישי כוללות, לדוגמה, הכניסה של עובדים ואורחים למקומות עבודה תחת הוראות משרד הבריאות למדוד את חום הגוף של כל אדם; ניהול מידע אישי שמועבר כחלק מעבודה מרחוק ומחוץ למערכות המידע הרגילות של הארגון; והניטור והשימוש במידע אישי בריאותי על ידי מוסדות ציבוריים.  
במסמך שפורסם במהלך השבוע שעבר סוקרת הרשות להגנת הפרטיות כיצד איסוף נתוני מיקום, אותו מבצעות מדינות רבות ברחבי העולם לניטור חולי קורונה והערכת התפשטות המחלה באוכלוסיה, משפיע על השמירה על הפרטיות. כמו כן, הרשות סוקרת שיטות טכנולוגיות שונות ומודלים אפשריים לניטור דיגיטלי ואיסוף נתונים הנהוגים במדינות שונות בעולם, מציגה אמצעים לאיתור קרבה לחולי קורונה אשר אינם מבוססים על נתוני מיקום, וסוקרת את הרגולציות (אסדרתיות) השונות הננקטות על ידי מדינות שונות בנושא ניטור דיגיטלי למיגור הקורונה. 

הגנת פרטיות בתחבורה חכמה

הרשות להגנת הפרטיות פרסמה ב-21.05.2020 מסמך להתייחסות הציבור בנושא אתגרי הפרטיות בתחבורה חכמה. המסמך מפרט את אתגרי הפרטיות הכרוכים בהטמעת תחבורה ציבורית, ואף פרטית, חכמה. כמו כן, סוקר המסמך עקרונות הגנת פרטיות אשר רצוי שגופי התחבורה יפעלו על פיהם בעת הטמעת טכנולוגיות חדשות ומציע כלים לשימוש נכון במצלמות, נתוני עתק- Data Big, ועוד. את ההערות ניתן להעביר עד ליום א', ה- 14.6.2020.

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: שרון פישר, אלי שמי, רוני עזורי, עמית מוזס, רז ראש, רונה פורמצ׳נקו, רם לוי, דב האוסן-כוריאל, אלי זילברמן כספי.