באתר זה נעשה שימוש בקבצי cookies. המשך גלישתך באתר מהווה הסכמה לשימוש זה. למידע נוסף עיין בתנאי השימוש ופרטיות

ואצאפ
כפתור הקפץ למעלה
02 מבוא ותקצירים

תקציר פרק: בקרות הגנה על נתונים ומידע

בקרות טכניות כמו: אבטחת רשת: אמצעי הגנה כגון חומות אש, תוכנות אנטי-וירוס ו-VPN, אמצעי הגנה כגון אימות רב-גורמי וניהול זכויות גישה.

בקרות ארגוניות כמו מדיניות אבטחת מידע, הכשרת עובדים ועוד.

בקרות משפטיות כמו תקנות הגנת הפרטיות, הסכמי סודיות (NDA) ועוד.

הבקרות הללו משרתות גם מטרות נוספות, ולכן נדון בהן בפרקים שונים.

השימוש בשילוב של בקרות הגנה הוא הדרך הטובה ביותר להגן על נתונים ומידע.

אנחנו נדון במסגרת פרק זה בהצפנה ובמניעת דלף מידע.

הצפנה וקריפטוגרפיה

הצפנה היא תהליך של קידוד מידע, שממיר את הייצוג המקורי של המידע, (שנקרא: טקסט גלוי) לצורה חלופית, המכונה טקסט מוצפן. מידע שהוצפן ניתן לאחזור לצורתו השימושית המקורית על ידי משתמש מורשה המחזיק במפתח הקריפטוגרפי, דרך תהליך הפענוח. קריפטוגרפיה משמשת בהגנת סייבר כדי להגן על מידע מפני גילוי בלתי מורשה או מקרי בזמן שהמידע במעבר (אלקטרונית או פיזית) ובזמן שהמידע מאוחסן.

סביבת הצפנה עושה שימוש באבני בניין מבוססות הצפנה כגון צופן סימטרי, צופן זרם, מפתח פומבי, פונקציות גיבוב, קוד אימות מסרים, מחולל פסבדו אקראי וכדומה. נכיר בהמשך את המונחים.

זהו פרק "שונה" בנוף הגנת הסייבר. לא נדרוש "נטייה חזקה למתימטיקה", לא במדעי המחשב  ואפילו לא יותר מדי חשיבה לוגית. 

דלף מידע

טכנולוגיות DLP (Data Leakage Prevention), יכולות למנוע להוציא, להעלות, להעביר, או אפילו להדפיס מידע קריטי בצורה לא בטוחה. הן מזהות, מנטרות, ומאבטחות מידע המועבר בתקשורת או מצוי במאגרי מידע וביחידות הקצה, באמצעות כלי לניהול מרכזי, בהתאם למדיניות וחוקים שנקבעו מראש. 

דלף מידע יכול להיות פנימי - כאשר עובדים בתוך הארגון מדליפים מידע רגיש, חיצוני, כאשר אנשים או קבוצות מחוץ לארגון משיגים גישה למידע הארגוני באופן לא מורשה, לעיתים בטעות, ולעיתים במכוון.

דליפת מידע יכולה להיווצר ממידע העובר ברשת, או מידע "חונה" בעמדת קצה. 

כדי לייצר מניעת דלף (DLP) יעילה, יש לתכנן ולכתוב מדיניות ברורה, ולגבש באמצעותה תהליכים ונהלים ארגוניים.

קיימות תוכנות DLP לרשתות ארגוניות, או לנקודות קצה, או לנתונים במנוחה, או לנתונים בתנועה. יש לדעת לבחור בפתרון הנכון לפי סוג הבעיה העיקרי בארגון.

הערה: קיימים מנגנונים נוספים של הגנה על המידע, בפרט מנגנוני הגנה על אמינות (Integrity) המידע, חתימה דיגיטלית ומניעת התכחשות (NON REPUDIATION) אשר יידונו בהמשך הספר.