WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 16.07.2020

עיקרי הדברים

  1.  חולשות קריטיות במחשבי ובשרתי Windows מתוכן חולשה קריטית בת 17 שנה עם יכולות התפשטות ברשת. 

  2.  בית המשפט העליון של האיחוד האירופי מגביל העברות נתונים אישיים לארה"ב ומביע חשש של מעקב אחר אזרחים.

  3.  גרמניה מקדמת יישום תקדימי של סנקציות סייבר מטעם ה-EU: רוסיה על הכוונת.

  4.  חברות ענק דורשות מעובדיהן להסיר את אפליקציית TikTok ממכשיריהן.

  5.  פריצה לחשבונות הטוויטר של ביל גייטס, קניה ווסט, אלון מאסק, ג'ו ביידן, ברק אובמה ועוד. 

  6.  אנו ממליצים לעדכן באופן מיידי את התוכנות והמוצרים הבאים: שרתים ומערכות הפעלה של Windows, מצלמות אבטחה של TP Link Kasa, שרתי SAP Netweaver, מוצרים של חברת Oracle, מוצרים של Adobe, שרתי Apache Tomcat, מוצרים של Apple ותוכנת ZOOM.

תוכן עניינים

הציטוט השבועי
Konfidas בתקשורת
חולשות חדשות

חולשות קריטיות במחשבי ובשרתי Windows
חולשת Zero-day חדשה ב-ZOOM
חולשת אבטחת התגלתה במצלמות של  TP-Link Kasa
חולשה קריטית בשרתי SAP Netweaver
מאות חולשות נתגלו בעשרות מוצרים של חברת Oracle
עדכון אבטחה לדפדפן Google Chrome
עדכון אבטחה למספר מוצרים של Adobe
עדכון אבטחה קריטי לשרתי Apache Tomcat
עדכון אבטחה למספר מוצרים של Apple

התקפות ואיומים

מחקר חדש מצביע על ניהול לקוי של ראוטרים ביתיים
נפרצו חשבונות ה-Twitter של אילון מאסק, ג׳ו ביידן, ביל גייטס ואחרים
בתי הדין לערעורים בטקסס מצויים בתהליכי התאוששות מתקדמים לאחר מתקפת כופר

סייבר בישראל

היזהרו! מתקפת פישינג כנגד אזרחים ישראליים
מערך הסייבר הישראלי מפרסם טכניקות של קבוצות תקיפה לצורך צמצום סיכויי החשיפה ובלימה של מתקפות
הרשות להגנת הפרטיות קובעת מדיניות לגבי יישומוני התחבורה הציבורית
כשסייבר ומודיעין נפגשים: הצעה למודל ניתוח

סייבר בעולם

חברות ענק דורשות מעובדיהן להסיר את אפליקציית TikTok ממכשיריהם
האקר רוסי החשוד בביצוע מספר מתקפות סייבר רחבות היקף נשפט ל-12 שנות מאסר בארה״ב
ה-FTC מפרסמת טיפים להגנת סייבר בארגונים קטנים
ג׳ו ביידן שוכר מנהל הגנת סייבר לצורך הגנה על קמפיין הבחירות
SANS מפרסמת קווים מנחים לשיפור הגנת הסייבר באמצעות MITRE ATT&CK Framework

סייבר ופרטיות - רגולציה ותקינה

גרמניה קוראת ליישום תקדימי של סנקציות סייבר מטעם ה-EU: רוסיה על הכוונת
ממשלת בריטניה מודיעה על חסימת יבוא ציוד 5G של Huawei
דובאי מאמצת כללי הגנת מידע אישי המותאמים ל-GDPR, כדי לקדם סחר עם המערב
חוקי הפרטיות החדשים של ניו זילנד ושל דרום אפריקה מצטרפים לשורה של חקיקות חדשות להגנת מידע אישי ברמה הגלובלית
עדכון מסגרת עבודה של NIST לפיתוח כוח אדם להגנת סייבר

כנסים

הציטוט השבועי

״ברור כי ארה״ב חייבת לערוך שינוי משמעותי בדיני הניטור שלה, אם חברות אמריקאיות רוצות להמשיך לשחק תפקיד בשוק האירופי.״ 

מקס שרמס, עו״ד אוסטרי שעמד בראש התביעה בבית הדין האירופי שגרמה לביטול הסכם Privacy Shield על ידי בית הדין האירופי לזכויות האדם

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

Konfidas בתקשורת

חולשות חדשות 

חולשות קריטיות במחשבי ובשרתי Windows

חברת Microsoft פרסמה 123 עדכוני אבטחה לחודש יולי, הרלוונטי למערכות הפעלה Windows 7, 8.1 ,10 ולשרתי Windows בגרסאות 2003 עד 2019. מבין מאות החולשות שכוסו על ידי עדכוני האבטחה, עשרות היו קריטיות. אחת מהחולשות הקריטיות הינה חולשה שקיימת 17 שנים התגלתה על ידי אגף המחקר של Checkpoint. ניצולה הפשוט שם לה את ציון הסיכון הגבוה ביותר (CVSS 10). החולשה קיימת בשירות ה-DNS בשרתי Windows וניצולה מתאפשר באמצעות חלופות DNS בין שרת הקורבן לשרת התוקף שבסופו של דבר יאפשר לתוקף להשתלט על שרת לא מעודכן. כמו כן, החולשה מאפשרת החדרת ״תולעת״ לשרת, דבר אשר יאפשר לתוקף להגדיל את אחיזתו בארגון. 
אנו ממליצים לעדכן באופן מיידי את גרסאות ההפעלה של מחשבי ושרתי Windows אשר ברשותכם. במידה ואין באפשרותכם לבצע עידכון מיידי, תוכלו למצוא הוראות למימוש פתרון זמני בלינק הבא.


חולשת Zero-day חדשה ב-ZOOM

חולשה חדשה מסוג Zero-day נחשפה ב-Zoom Client על ידי חברת 0Patch אשר מותקן במחשבים בעלי מערכת מערכות ההפעלה  Windows7 או ישנות יותר. החולשה מאפשרת לתוקף להריץ קוד על המחשבים ולבצע פעולות זדוניות על מחשב הקורבן. המלצת החברה היא להטמיע micropatch שהם פיתחו לצורך טיפול בחולשה זו ועדכון לגרסה 5.1.3.


חולשת אבטחת התגלתה במצלמות של  TP-Link Kasa

החולשה, שקיומה פורסם השבוע, חושפת מידע בתקשורת מול המצלמה, באופן שעשוי לאפשר את ניחוש פרטי ההתחברות למצלמה. מקור החולשה הוא בכך שהמידע הועבר בין הרכיבים ב-Base64 ולא הוצפן היטב, עובדה שהופכת את הסרת ההצפנה לפשוטה למדי. זאת ועוד, בעת ניסיון התחברות לא מוצלח למערכת, קיים תיעוד לסיבת הכישלון, למשל סיסמה ו/או שם משתמש שגויים, דבר המקל על התוקף בניסיון הפריצה. על מנת להתגבר על החולשה, הוציאה TP-Link, חברת האם של Kasa, עדכון אבטחה המכסה את מרבית החולשות שהתגלו. החברה אף הבטיחה שתתקן את נושא שם המשתמש והסיסמה. 


חולשה קריטית בשרתי SAP Netweaver

חולשת האבטחה הקריטית, המדורגת ברמת החומרה הגבוהה ביותר (CVSS 10.0), מאפשרת למשתמש שלא ביצע אימות של זהותו להשתלט על מערכות SAP כולל יצירת משתמשי אדמין.
אנו ממליצים לארגונים להתקין באופן מיידי את עדכון האבטחה שפרסמה החברה.

 

מאות חולשות נתגלו בעשרות מוצרים של חברת Oracle 

בעדכון החודשי שהוציאה החברה כוסו 433 חולשות בעשרות ממוצריה, בהם MySQL, המשמש חברות רבות כפלטפורמה למאגרי נתונים. הסיכון שגלום בחלק מהחולשות שכוסו, הוא השתלטות תוקף על על שרתים או מחשבים עליהם מותקנת תוכנה שאינה מעודכנת. 
אנו ממליצים לבעלי תוכנות או שירותים של חברת Oracle לבחון האם הרכיב שברשותם הינו חשוף לחולשות אלו, ואם כן - לעדכנם.

 

עדכון אבטחה לדפדפן Google Chrome

עדכון האבטחה שהוציאה Google לדפדפן מכסה 26 חולשות, מתוכן אחת קריטית ועוד שש מסווגות ברמת חומרה גבוהה. חלק מהחולשות עלולות לאפשר לתוקף להשתלט על מחשב בו מותקנת תוכנה לא מעודכנת. 
אנו ממליצים לבעלי התוכנה לעדכן אותה לגרסה האחרונה.

 

עדכון אבטחה למספר מוצרים של Adobe

החברה פרסמה עדכוני אבטחה לכמה ממוצריה: Download Manager, Cold Fusion, Genuine Service, Media Encoder ו-Creative Cloud Desktop Applications. החולשות האמורות מאפשרות העלאת הרשאות משתמש, הרצת קוד מרחוק, דלף מידע ויצירת קבצי מערכת. 
אנו ממליצים לבעלי התוכנות הללו לעדכן אותן לגרסתן האחרונה.

 

עדכון אבטחה קריטי לשרתי Apache Tomcat

ארגון התוכנות Apache פרסם עדכון אבטחה לשרתים מסוג Tomcat. החולשות, אחת מהן ברמת חומרה גבוהה, המאפשרת לתוקף לחולל מתקפת מניעת שירות מבוזרת על השרת הלא מעודכן. 
אנו ממליצים לבעלי שרתים מסוג זה לקרוא את הפרסום, על מנת לוודא שהחולשה אינה רלוונטית לשרתיהם. במידה ויתגלה שהחולשה אכן רלוונטית, יש לעדכן את השרתים לגרסה המצוינת בפרסום האבטחה. לנוחיותכם, הקישורים לפרסומים מצויים כאן וכאן.


עדכון אבטחה למספר מוצרים של Apple

החברה פרסמה עדכוני אבטחה למוצרים macOS Catalina 10.15.5, watchOS, tvOS, iOS 12.4.8, Safari ועוד. החולשות שהתגלו בגרסאות הקודמות עלולות לאפשר לתוקף להריץ קוד זדוני בליבת מערכת ההפעלה, לגרום לקריסת אפליקציות, למנוע אכיפה של פוליסות אבטחת תוכן ועוד. אנו ממליצים לבעלי המוצרים והתוכנות הללו לעדכנם לגרסאות העדכניות, המופיעות בעדכוני האבטחה.

התקפות ואיומים

הרוגלה המוכרת בשם Joker חוזרת בגרסה חדשה ומתחזה לאפליקציות לגיטימיות

במחקר שביצעה חברת Checkpoint הישראלית, נמצא בחנות האפליקציות של Google Play אפליקציות המתחזות לאפליקציות לגיטימיות אך הינן למעשה וריאנט חדש של הרוגלה המוכרת בשם Joker. הנוזקה תוכננה ועוצבה בסביבת Android, במטרה לגנוב הודעות SMS, רשימות אנשי קשר ומידע אחר מהמכשיר. זאת ועוד, נמצא שהאפליקציות הנושאות את הרוגלה רושמות את המשתמש לשירותי פרימיום ללא ידיעת המשתמש. 


מחקר חדש מצביע על ניהול לקוי של ראוטרים ביתיים

המחקר, שבדק מאות דגמי ראוטרים של יצרנים שונים, מצא בהם מאות חולשות הרלוונטיות לביצוע תקיפה נגדם, וזאת משום שיותר מ-90% מהראוטרים הללו מתבססים על מערכת ההפעלה Linux. מערכת ההפעלה Linux היא מערכת קוד פתוח, אשר מדי שבוע מתגלות בה חולשות חדשות. לכן, אם לא מבוצעים עדכוני אבטחה תכופים, יהיו הראוטרים חשופים לתקיפות. ממצא מדאיג נוסף שעלה מהמחקר הוא שבשליש מהראוטרים נמצאו גרסאות הפעלה הרלוונטיות ל-2011. מכיוון שהראוטרים מחוברים לאינטרנט 24 שעות ביממה, מדובר בחשיפה משמעותית לסוגים שונים של תקיפות, לרבות השתלטות על רכיבים ברשת הראוטר והאזנה לתעבורת הרשת העוברת דרכו. 
המלצתנו היא לקיים שגרת תחזוקה לנתבים הביתיים, על אחת כמה וכמה כאשר יש עלייה בהיקף העבודה מהבית. 

 

142  מיליון רשומות של אורחים במלונות MGM GRAND מוצעות למכירה ברשת האפלה

לאחר שבפברואר האחרון פורסמו ברשת האפלה פרטים של 10.6 מיליון אנשים שהתארחו ברשת המלונות, ביניהם שמות, כתובות מגורים, מספרי טלפון, כתובות אימייל ותאריכי לידה, השבוע הועמדו למכירה מעל 142 מיליון רשומות מאותו מאגר מידע, בסכום מגוחך של 2,939$. החברה טוענת כי בקיץ הקודם היא חשפה גישה לא מורשית לשרת ענן, שהכיל כמות מוגבלת של מידע אודות מספר אורחים, אך לטענתה, לא נחשפו, באופן ודאי, מידע בנוגע לכרטיסי אשראי או סיסמאות הקשורות לאורחים.


נפרצו חשבונות ה-Twitter של אילון מאסק, ג׳ו ביידן, ביל גייטס ואחרים

היום (16.7) הבחינה חברת Twitter במספר פוסטים חשודים שצויצו בחשבונות מאומתים של כמה משתמשים, בהם אלה של אילון מאסק, ג׳ו ביידן, ביל גייטס וברק אובמה. הפעילות החשודה הובחנה כעבור כשעתיים והביאה את Twitter לנקוט בצעד דרסטי של חסימת כל פוסט שינסה לעלות משתמש מאומת ונעילת חשבונות שזוהתה בהם פריצה. זאת ועוד, החברה דיווחה כי אותרה פריצה לכלי פנימי, בו נעשה שימוש בתקיפה. בתגובה לכך חסמה החברה גישה למערכות וכלים פנימיים, עד שיוכלו לחזור לשימוש באופן בטוח.


יותר מ-1300 מתקפות פישינג מוכנות מוצעות למכירה בפורום האקרים

באתר ניתן לרכוש קמפיינים מוכנים בשפות תכנות שונות (PHP, HTML, CSS, JavaScript) להוצאה לפועל של תקיפות פישינג המשתמשים בשמות מוצרים וחברות שונות, לרבות PayPal, Dropbox, Amazon, Office365, Gmail, Netflix, Facebook, Bank of America ועוד. על אף הכמות הגדולה של הקמפיינים המוצעים למכירה, ההערכה היא שמדובר בקמפיינים באיכות ירודה, שכן ביחס למחיר השוק המקובל עבור מתקפת פישינג, העומד על 300$, במקרה הנוכחי מדובר על כ-25$ למתקפה (הסכום הכולל המבוקש הוא 32,500$). נתון זה יכול גם להצביע על שכיחות קמפייני הפישינג בעת האחרונה.

צילום של מודעת המכירה ברשת האפלה  של כלי התקיפה


בתי הדין לערעורים בטקסס מצויים בתהליכי התאוששות מתקדמים לאחר מתקפת כופרה 

חודשיים לאחר שחוו מתקפת כופרה (ransomware) ששיתקה אותם, בתי הדין מצליחים להתאושש ולחזור לפעילות תקינה. עד כה נרשמה הצלחה בשחזור מרבית הקבצים שהיו ברשות בתי הדין טרם המתקפה, ועד השבוע הבא מתוכנן לשוב לאוויר האתר של בתי הדין.

סייבר בישראל

היזהרו! מתקפת פישינג כנגד אזרחים ישראליים

לאלפי ישראלים נשלחו הודעות SMS מזויפות (Smishing) המתריעות, כביכול, על בעיה בחשבון ה-Paypal. המדובר הוא בקמפיין דיוג, אשר מטרתו גניבת פרטי חשבונות Paypal של ישראלים, במסווה של עדכון פרטי הלקוח. בבדיקה של ynet נמצא כי מאחורי המתקפה עומדת קבוצה ערבית, או גורם המסווה עצמו כקבוצה ערבית, אשר הצליח לשים את ידיו על אלפי מספרי טלפון של ישראלים. שימו לב - אם קיבלתם הודעה זו, אין ללחוץ על הקישור המצורף לה, ויש לדווח עליה כהודעת ספאם.


 

מערך הסייבר הישראלי מפרסם טכניקות של קבוצות תקיפה לצורך צמצום סיכויי החשיפה ובלימה של מתקפות

 בין הטכניקות הנפוצות: נטרול מוצרי אבטחה באמצעות התקנת מנהל התקן זדוני בליבת מערכת ההפעלה, אשר בולם תוכנות אנטי וירוס; ״הריגת״ תהליכים של מוצרי אבטחה לפני תחילת פעולתו של הקוד הזדוני; הרצת מתקפות באמצעות בניית מכונה וירטואלית במחשב הקורבן כדרך להתחמק ממוצרי הגנה ועוד. על מנת להתמודד עם חדירה ראשונית לארגון, מומלץ לנטר פעילות של כלים בעלי ייעוד כפול ברשת הארגונית, ולהגדיר הרשאות להפעלת אפליקציות וקבצים (Application Whitelist).


הרשות להגנת הפרטיות קובעת מדיניות לגבי יישומוני התחבורה הציבורית

ב-9 ביולי פרסמה הרשות מסמך מדיניות בנוגע ל"היבטי הגנת הפרטיות במסגרת שימוש ביישומונים לתשלום ולתיקוף השימוש בשירותי תחבורה ציבורית". מסמך המדיניות, המתייחס לנושא הסדרת ה-e-ticketing, בוחן את רמת החשיפה של תושבי ישראל לזכויותיהם בנוגע לפרטיות המידע האישי, נוכח היותם "קהל שבוי" בזמן השימוש ביישומונים שדרכם מתבצע התשלום לתחבורה הציבורית בארץ. התחבורה הציבורית מהווה תשתית קריטית, בה עושים שימוש מיליוני ישראלים, ועמדת הרשות היא שהשימוש ביישומונים הרלוונטיים אינו פסול כשלעצמו, אך עליו להתבצע "...בצורה סבירה, שקופה והמאזנת כראוי בין הצורך להשתמש במידע על אודות משתמשים לבין ההגנה על פרטיותם." הרשות מדגישה במיוחד את הצורך בקבלת הסכמתם של נשואי המידע לשימוש במידע זה, כמו גם את החשיבות של מתן האפשרות לשימוש אנונימי ביישומוני התשלום. 


כשסייבר ומודיעין נפגשים: הצעה למודל ניתוח

במאמר העוסק במודיעין סייבר, אל"מ (מיל.) שי שבתאי מחבר בין ניתוח האתגרים של המודיעין הלאומי לבין פירוט שלבי המענה לאירוע סייבר. שבתאי יוצר מודל המאפשר לנתח את האתגרים בפניהם ניצב מודיעין הסייבר של ארגון, בבואו להיערך לאירוע סייבר ולמתן מענה במהלכו. המסקנות הראשוניות העולות מן המודל הן שהמודיעין יכול לשמש רכיב מפתח בתמיכה בקבלת ההחלטות של ההנהלה ובמהלכים פרואקטיביים שיינקטו במהלך ניהול האירוע. לשם כך, על הארגון להערך מראש בכל הנוגע לשיטות פעולה רלוונטיות ולבסיסי מידע, שיאפשרו לו להסתגל במהירות לקצב ההתפתחויות.

סייבר בעולם 

חברות ענק דורשות מעובדיהן להסיר את אפליקציית TikTok ממכשיריהם

עקב החשש מהגדרות הפרטיות והאבטחה של אפליקציית TikTok, הנמצאת ברשות סין, חברת Wells Fargo דרשה מעובדיה למחוק את האפליקציה ממכשיריהם הניידים המצויים בבעלות הארגון. הפעולה הגיעה על רקע קולות שהושמעו על ידי חברי קונגרס ונשיא ארה״ב דונלד טראמפ, המביעים את חששם מפני האפליקציה ואף שוקלים להחרימה עקב החשד שהיא משתפת מידע עם הממשלה בבייג׳ינג. זאת ועוד, ממשלת הודו מצטרפת אף היא לרשימת המדינות שחוסמות את האפליקציה. דבר אשר גרם לרבים מאזרחי המדינה, שלא קיבלו את הגזרה בשוויון נפש, לחפש אחר דרכים לעקוף את החלטת הממשלה. ואולם, ניסיונותיהם להשתמש באפליקציה בדרכים שאינן לגיטימיות פתחו בפני האקרים פתח לניצול המצב למתקפות פישינג באמצעות הודעות SMS ו-WhatsApp. ההאקרים מזמינים את המשתמשים לחזור ולהשתמש ב-TikTok באמצעות אפליקציה המכונה "TikTok Pro". לאחר התקנתה, מופיעה על מסך המכשיר אפליקציה דומה ל-TikTok, המבקשת מהמשתמש הרשאות גישה למצלמה, למיקרופון ולגלריית התמונות של מכשירו. לאחר קבלת האישור, האפליקציה אינה עושה דבר, מלבד גניבת פרטי הגישה של המשתמשים. ממשלת הודו פרסמה התראה מפני המתקפה והזהירה את אזרחיה שלא להוריד אפליקציות המתחזות ל-TikTok או לכל שירות אחר שנחסם על ידי הממשלה, מאחר ואלה עלולות להוות מקור לנוזקות. בהמשך לחששות של חברות, מדינות וגופים רבים בנוגע למידע הנאסף על ידי TikTok, חוקר אבטחת מידע חקר את האפליקציה וגילה במדויק איזה מידע נאסף על ידה. המדובר הוא במידע על חומרת המכשיר הסלולרי, על אפליקציות נוספות המותקנות עליו, כולל כאלה שנמחקו זה מכבר, מידע נרחב על רשת התקשורת בה נעשה שימוש, מידע על מיקום ועוד.

 

 

 

 

 

 

 

 

 

 

 

צילום של הודעת ה-SMS הזדונית. לחיצה על הלינק מובילה להורדת נוזקה אל המכשיר. 

האקר רוסי החשוד בביצוע מספר מתקפות סייבר רחבות היקף נשפט ל-12 שנות מאסר בארה״ב

יבגני ניקולין הוא ההאקר החשוד בביצוע שלוש פריצות ענק ל-Linkedin, Dropbox ו-Formspring, במהלכן נגנבו כ-100 מיליון פרטי הזדהות של משתמשים. הנתיב בו התגלה ניקולין התבסס על שלושה חשבונות שנפרצו: תחילה פרץ ההאקר לחשבון מהנדס ב-Linkedin, שדרכו הצליח לקבל גישה למסד הנתונים של עובדי החברה ולפרוץ לחשבון Dropbox של משתמש אחר. בכך נחשף ההאקר למאגר סיסמאות המאוחסן באותו חשבון Dropbox, מה שאפשר לו לפרוץ לחשבון Formspring של משתמש נוסף. בכך נחשף ההאקר למסד נתונים ענק של סיסמאות. כל התקיפות היו משויכות לכתובת אימייל אחת, המנוהלת על ידי ניקולין וכך למעשה החוקרים עלו על עיקבותיו ושייכו אותו לפריצות האמורות. 

ה-FTC מפרסמת טיפים להגנת סייבר בארגונים קטנים

על מנת להדגיש את המשמעות ואת הקושי של חברות קטנות בהגנת הסייבר שלהן, יצרה רשות הסחר הפדרלית (FTC) האמריקאית קבוצת סרטונים המנגישים טיפים ועצות לביצוע בזמן עירוע סייבר וכן עצות לצעדים משמעותיים שיסייעו לעסקים קטנים לשמור על המידע שלהם ולמנוע מתקפות סייבר.

ג׳ו ביידן שוכר מנהל הגנת סייבר לצורך הגנה על קמפיין הבחירות

ההחלטה נובעת מחששו הגדול של ביידן מפני הימצאות בסיטואציה דומה לזו שהתקיימה בבחירות 2016, בהן התערבה ממשלת רוסיה לשם הטיית הבחירות לטובת טראמפ. ה-CISO של קמפיין הבחירות, כריס דרושה, ינהל את  אבטחת המידע של הקמפיין. דרושה היה יועץ אבטחת מידע בבית הלבן ומילא מספר תפקידי אבטחת מידע בכירים במחלקת הגנת המולדת (DHS) בזמן כהונתו של אובמה.

SANS מפרסמת קווים מנחים לשיפור הגנת הסייבר באמצעות MITRE ATT&CK Framework

הפרסום מיועד להעשרת אנשי מקצוע וצוותי אבטחה בתחום הסייבר, על מנת שיוכלו להשתמש בצורה הטובה ביותר ב- MITRE ATT&CK Framework לצורך שיפור מצב אבטחת המידע של ארגונים ואיסוף מודיעין סייבר רלוונטי. 

סייבר ופרטיות - רגולציה ותקינה

בית הדין האירופי לזכויות אדם פסל את הסדר הגנת המידע בין ארה"ב וה-EU (ה-Privacy Shield)

בפסק דין של בית הדין האירופי לזכויות אדם שניתן ב-16 ביולי, נפסל ההסדר הקיים בין ארה"ב ומדינות ה-EU, שאיפשר העברת מידע אישי ביניהן. ההסדר, המכונה Privacy Shield, קבע שחברות בארה"ב הפועלות במסגרתו רשאיות לעבד מידע אישי של תושבי מדינות ה-EU, דבר אשר היווה תמיכה קריטית בסחר בין שני הגושים, המסתכם כעת ב-7.1 טריליון דולר בשנה. במקרה הנדון, מקס שרמס, עורך דין אוסטרי שכבר הגיש בעבר תביעות דומות, תבע את נציב פרטיות המידע של אירלנד בגין העברת מידע אישי שלו ושל תושבים אירופאים נוספים לחברות אמריקאיות (פייסבוק). חברות אלה כפופות לחקיקה בארה"ב המאפשרת שימוש במידע אישי שאינו עומד בדרישות הרגולטוריות של ה-EU, ובאופן ספציפי של ה-GDPR. בית הדין עודד יישום של פתרון אחר שקובע ה-GDPR: שימוש של חברות בסעיפי חוזים סטנדרטיים (standard contractual clauses), המשריינים רמת הגנה מספקת של המידע האישי של נשואי מידע תושבי ה-EU.  ההשלכות של פסק הדין מורכבות ועשויות להשפיע על הסטנדרטים הגלובליים להעברת מידע אישי בשנים הקרובות.   


גרמניה קוראת ליישום תקדימי של סנקציות סייבר מטעם ה-EU: רוסיה על הכוונת

ממשלת גרמניה מבקשת להטיל סנקציות על רוסיה במסגרת רגולציה אירופית מ- 2017, המאפשרת נקיטת צעדים נגד מדינות האחראיות לפריצות סייבר. המנגנון, שנקבע כחלק מה-EU Cyber Diplomacy Toolbox, משתלב במדיניות החוץ והביטחון המשותפת של האיחוד וקובע מנעד של אמצעים להטלת סנקציות על מדינות, כגון הקפאת כספים, מגבלות על כניסה למדינות ה-EU ואיסור על העברת כספים מתוך ה-EU לגורם המהווה איום. בקשתה של גרמניה מגיעה על רקע מתקפת הסייבר שבוצעה ב-2015 נגד בית הנבחרים הפדרלי שלה, הבונדסטאג, במהלכה נפרצו 16 גיגה בייט של מידע, בהם מסמכים ומיילים, אלפים מהם ממשרדה של הקנצלרית אנגלה מרקל. במאי האחרון הגיש היועץ המשפטי של גרמניה צו מעצר נגד אזרח רוסי החשוד במתקפה, וקיימים חשדות נוספים בנוגע לאזרחים רוסים אחרים.  


ממשלת בריטניה מודיעה על חסימת יבוא ציוד 5G של Huawei 

ב-14 ביולי הודיעה ממשלת בריטניה על מספר צעדים שנועדו לחסום יבוא של מוצרי החברה הסינית. החלטה זו הופכת את המדיניות בה נהגה בריטניה עד כה, ויש בה משום תמיכה מוצהרת בעמדת ממשל טראמפ בסוגיית יבוא ציוד טכנולוגי סיני למדינות המערב וביוזמה האמריקאית נגד שילוב של ציוד סיני במערכות הסייבר והתקשורת במערב. אירוע זה מלבה את מתח הגובר בין ארה"ב לסין, בכל הנוגע להשפעת שתי המדינות על טכנולוגיות קריטיות במרחב הסייבר. באופן מעשי, ההחלטה הבריטית אוסרת על יבוא ציוד מתוצרת Hauwei החל מה-31.12.2020, מחייבת הסרת ציוד זה ממערכות 5G ברחבי המדינה עד 2027 ומשריינת את האיסור הקיים על התקנת הציוד בחלקי ליבה של רשתות 5G בבריטניה. בתגובה למהלך טוענות בייג'ינג ו-Huawei שחסימת ציוד ה-5G המתקדם של החברה יאט משמעותית את קצב ההתפשטות של תקשורת 5G בבריטניה


דובאי מאמצת כללי הגנת מידע אישי המותאמים ל-GDPR, כדי לקדם סחר עם המערב

ב-1 ביולי נכנס לתוקפו חוק הגנת המידע האישי של המרכז הפיננסי בדובאי. החוק החדש מקדם עמידה ברמת הגנת מידע המתאימה לדרישות ה-GDPR, וזאת על מנת לקבל החלטת adequacy על פי סעיף 45 של הרגולציה האירופית, שתאפשר לדובאי להחליף מידע באופן שוטף עם 27 מדינות ה-EU ומדינות נוספות. זאת ועוד, מרכיבים מסוימים של חוק הגנת המידע הצרכני של מדינת קליפורניה (ה-California Consumer Privacy Act of 2018) אומצו בחוק החדש שקבעה דובאי.  בחודשים הקרובים ימונה בדובאי נציב (Commissioner) שיהיה אחראי על היבטי היישום של החוק החדש.


חוקי הפרטיות החדשים של ניו זילנד ושל דרום אפריקה מצטרפים לשורה של חקיקות חדשות להגנת מידע אישי ברמה הגלובלית

בתחילת יולי נכנסו לתוקף חוק הפרטיות החדש של ניו זילנד, שייושם החל מדצמבר 2020, וחוק הגנת המידע של דרום אפריקה. חוקים אלה מעניקים הגנה למידע האישי של תושבים (כולל במקרים בהם המידע מעובד על ידי ארגונים מחוץ לגבולות המדינה), מחייבים ארגונים לדווח על פריצות סייבר הפוגעות במידע אישי ומגבילים העברת מידע אישי למדינות אחרות, שעומדות בהגנות דומות. זאת ועוד, החוק הניו זילנדי קובע קנסות בסכומים של עד 10,000 NZD בגין אי-קיום הוראותיו, ובדרום אפריקה - עד R10 מיליון. מדינות אחרות שקידמו השנה חקיקה בנושא הגנת הפרטיות של מידע אישי כוללות את הודו, ברזיל ותאילנד. המפה של DLA Piper המובאת להן מציגה את ההתפתחויות בדיני הגנת הפרטיות בכל העולם ומעידה על המגמה של שריון זכויותיהם של נשואי מידע במדינות שבהן הרגולציה מוגדרת "heavy". 

Source: DLA Piper, Data Protection Laws of the World


עדכון מסגרת עבודה של NIST לפיתוח כוח אדם להגנת סייבר

ב-15 ביולי ארגון התקינה של ארה"ב (National Institute of Standards and Technology) פרסם להערות הציבור גירסה מעודכנת של ה-Workforce Framework for Cybersecurity, המכונה גם ה-NICE Framework. המדובר הוא במסמך מדיניות מפורט, המאפשר הגדרה אחידה ומתכללת של מקצועות, תפקידים, הכשרות נדרשות ועוד, בתחום הגנת הסייבר. במסגרת מדיניות NICE מתאפשר תכנון כוח אדם במגזר הסייבר בארה״ב ברמה הארגונית, האזורית והלאומית, ובשנים האחרונות היא אף מיושמת במספר מדינות נוספות, בהן אוסטרליה וקנדה.

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: שרון פישר, אלי שמי, רוני עזורי, עמית מוזס, רז ראש, רונה פורמצ׳נקו, רם לוי, דב האוסן-כוריאל, אלי זילברמן כספי, גיא פינקלשטיין.