במכון התקנים הישראלי טוענים כי כל החברות שנפגעו מפרשת הסוס הטרויאני, ביניהן צ'מפיון מוטורס, מי עדן, אייס, "גלובס", הוט, שלמור-אבנון-עמיחי, שטראוס-עלית, קבוצת מל"ם ושקם אלקטריק, לא היו בעלות תקן לאבטחת מידע שאותו מוציא מכון התקנים הישראלי.
שוקי פרייס, מרכז תחום אבטחת מידע במכון התקנים: "אף אחת מהחברות המעורבות בפרשת הסוס הטרויאני, אינה בעלת תקן לאבטחת מידע. החברות שעומדות בתקן - לא נפגעו". מדינת ישראל אינה מחייבת חברות להשתמש בתקן הזה - זו בחירה של החברה להחליט אם היא רוצה לרכוש את התקן ולעמוד בו.
"תקן לאבטחת מידע איננו 'עוד תקן' - הוא כורח המציאות", אומר פרייס. מדובר בתקן ISO 17799 אשר מספק את הכלים להקמה וניהול מערכת אבטחת מידע ארגונית.
פרייס טוען כי בכל הארגונים שנבדקו במבדק מקדים לנושא אבטחת מידע ע"י מכון התקנים הישראלי, נמצא כי אמצעי אבטחת המידע הקיימים נותנים הגנות נקודתית או אזוריות לנושאים מוגדרים, אך לא לכל האיומים להם הארגון חשוף.
טכנולוגיה היא אמנם המפתח למניעת חדירה לא חוקית לרשת, אולם התקנת מוצרי הגנה מתוחכמים ככל שיהיו אינה מספיקה. לרוב, חסרה נקודת המבט הכוללת, המכילה גם תורת אבטחת מידע ושיטות פעולה משלימות למניעה, לתגובה ולהתאוששות - באופן שיתאים לארגון.
התקן נותן, לטענת מכון התקנים, את המענה ההולם לכל מרכיבי הסיכון הקיימים. תשובה הולמת צריכה להגדיר שיטה שתשאיר את מערכת אבטחת המידע תקפה ומעודכנת כל הזמן ולאמת את תקפותם בצורה מקצועית ובלתי תלויה. כל העקרונות הללו גלומים במבנה התקן הבריטי BS 7799, אשר אומץ ע"י ארגון ISO העולמי כתקן ISO 17799.
התקן מגדיר עקרונות להקמה, ניהול ועדכון שוטף של מערכת אבטחת המידע. בנוסף, התקן מפרט את שיטת אימות התאמת המערכת לדרישות. 22 ארגונים אושרו עד היום ע"י מכון התקנים הישראלי כעומדים בדרישות התקן. 45 ארגונים רשומים לתהליך ועוד עשרות רבות רכשו את התקן ומשדרגים את מערכות אבטחת המידע שלהם במטרה להתאימן לדרישות. בקבוצה זו נכללים גם כל משרדי הממשלה. בין הגופים הגדולים במשק שרכשו את התקן ניתן למצוא את בזק בינלאומי, בזק זהב, גולדנט שירותי תקשורת, תנובה, קסלמן וקסלמן PWC ותעשייה אווירית.
מכון התקנים: לחברות שנפגעו מהסוס הטרויאני לא היה תקן אבטחת מידע של המכון
גלית ימיני
30.5.2005 / 13:39