24 במאי 2024 0:57

לאחרונה הציג חוקר הסייבר אור יאיר מחברת סייפבריצ' את "דור ה-Wiper הבא" לדבריו.

Wiper הוא כינוי לנוזקה המוחדרת למערכות המותקף ומטרתה מחיקת קבצים והשמדתם, השבתת מערכות, ובקיצור – מחיקת מידע לצמיתות. החידוש בנוזקה דנן היא הצורה שבה היא פועלת:

מדובר ב-Wiper שגורם למערכות אבטחת המידע לראות את קבצי המידע עליהם הם מגינים כקבצים עוינים ולמחוק אותם בעצמם. כך לטענת אור יאיר, הנוזקה כלל לא מתגלה על ידי המערכות.

פרסום זה הוא עוד חלק מהמרוץ ללא קו סיום נראה לעין שבין 'White hat hackers" וה-"Black hat hackers", ואם הנוזקה המדוברת באמת תגיע לידיים זדוניות – מדובר בנזק פוטנציאלי עצום לקורבנות התקיפות. על כן, עולה וחוזרת חשיבותה של מערכת גיבוי התואמת את דרישות הארגון וכן את תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 (להלן "התקנות").

על ארגון לנהל מערכת גיבוי מידע, המגבה הן את המידע והן את התיעוד הלוגי העומד מאחוריו. על פי הדרישות בתקנות 17 ו-18 לתקנות, יש לגבות נתוני לוג מסוגים שונים, אירועי אבטחת מידע רלוונטיים וביקורות תקופתיות. אנו מבקשים לשים את הדגש בידיעה זו על הצורך בגיבוי המידע עצמו, ולהרחיב את יריעת התיעוד הלוגי למידע שבמאגרים שבבעלות הארגון, באופן שתואם את דרישת שחזור הנתונים הנכונה לארגון בהתייחס לפרקי הזמן הנדרשים (RTO/RPO). את ה"איך" קשה להגדיר מראש היות ויש פתרונות רבים היום בשוק – החל מאכסון פיזי ועד לשרותי ענן, על כלל השילובים שביניהם. מבלי קשר לאופן הביצוע – למותר לציין כי הפרסום הנ"ל רק מחזק את הדרישה לגיבוי הקיימת והבועטת מתמיד.

ביצירת מערכות גיבוי מידע, על אחת כמה וכמה בפתרונות ה-Old school שלא עבד עליהם הכלח, יש לתת את הדעת על ניהול המידע העודף והיבטים של פגיעה בפרטיות. כך למשל, שמירת מידע בגיבוי שאינו נדרש לארגון, מציב את הארגון בעמדה הסותרת את הוראות החוק, התקנות והנחיות הרשות להגנת הפרטיות, מעבר להיעדר סנכרון בין המנוהל בפועל על ידי הארגון לבין המידע שיעלה בעת שחזור מגיבוי.

על כן, נמליץ להיוועץ באנשי פרטיות בעת שלבי התכנון המקדים (PbD) של מערכת הגיבוי, וכן ביצירת נוהל פרקטי שיגן על הארגון. הן בהיבט שחזור המידע והן בהיבטי דיני הפרטיות.

שתפו את הפוסט:

Facebook
Twitter
LinkedIn

הכנסת – מושב הקיץ 2024: תיקון 14 לחוק הגנת הפרטיות על הפרק

אם לא יחולו הפתעות כמו הכרזה על בחירות ופיזור הכנסת או אירוע דומה אחר, תיקון מספר 14 לחוק הגנת הפרטיות צפוי לעבור במהלך מושב הקיץ ...

דירוג האיכות של Dun's 100 לשנת 2024: משרד דן חי ושות' דורג שוב בקבוצת האיכות הראשונה בתחום הסייבר

דירוג האיכות של מדריך dun’s 100 פרסם את דירוג משרדי עורכי הדין לשנת 2024. בתחום הסייבר המדריך דירג, את משרד דן חי ושות', שוב, תחת ...

הרשות להגנת הפרטיות פרסמה גילוי דעת בנושא איסוף מספרי תעודות זהות וצילום תעודות זהות

בעת האחרונה ישנה מגמה גוברת של בתי עסק הדורשים מהלקוח למסור מספר תעודת זהות לצורך מתן שירות, ולעיתים אף דורשים למסור צילום של תעודת הזהות ...

טיוטת מסמך מדיניות חדשה בנושא איסוף ושימוש במידע ביומטרי במקום העבודה

על רקע המגמה הגוברת בשימוש טכנולוגיות לזיהוי ביומטרי אשר נעשה על ידי ארגונים לצרכי בקרת נוכחות עובדיהם, הרשות להגנת הפרטיות פרסמה לאחרונה (15.02.2024) מסמך מדיניות ...
דילוג לתוכן