במכון התקנים הישראלי טוענים כי כל החברות שנפגעו מפרשת הסוס הטרויאני, ובהן צ'מפיון מוטורס, מי עדן, אייס, גלובס, הוט, שלמור-אבנון-עמיחי, שטראוס-עלית, קבוצת מל"ם ושקם אלקטריק, לא היו בעלות תקן לאבטחת מידע של מכון התקנים הישראלי.
שוקי פרייס, מרכז תחום אבטחת מידע במכון התקנים: "אף אחת מהחברות המעורבות בפרשת הסוס הטרויאני אינה בעלת תקן לאבטחת מידע. החברות שעומדות בתקן - לא נפגעו". מדינת ישראל אינה מחייבת חברות להשתמש בתקן הזה, וכל חברה רשאית להחליט אם היא רוצה לרכוש אותו ולעמוד בו.
תקן אבטחת המידע נקרא ISO 17799, והוא מספק את הכלים להקמתה של מערכת אבטחת מידע ארגונית ולניהולה. פרייס טוען כי בכל הארגונים שנבדקו במבדק מקדים בנושא אבטחת מידע על ידי המכון נמצא כי אמצעי אבטחת המידע הקיימים נותנים הגנות נקודתית או אזוריות בתחומים מוגדרים, אך לא לכל האיומים שהארגון חשוף אליהם.
טכנולוגיה היא אמנם המפתח למניעת חדירה לא חוקית לרשת, אולם התקנת מוצרי הגנה - מתוחכמים ככל שיהיו - אינה מספיקה. לרוב חסרה נקודת המבט הכוללת, הכוללת גם תורת אבטחת מידע ושיטות פעולה משלימות למניעת חדירות, לתגובה ולהתאוששות באופן שיתאים לארגון. "תקן לאבטחת מידע איננו 'עוד תקן' - הוא כורח המציאות", אומר פרייס.
לטענת מכון התקנים, התקן נותן את המענה ההולם לכל מרכיבי הסיכון הקיימים. תשובה הולמת צריכה להגדיר שיטה שתשאיר את מערכת אבטחת המידע תקפה ומעודכנת תמיד,
ותאמת את תקפותה בצורה מקצועית ובלתי תלויה. כל העקרונות הללו גלומים במבנה התקן הבריטי BS 7799, אשר אומץ על ידי ארגון ISO העולמי כתקן ISO 17799.
התקן מגדיר עקרונות להקמה, ניהול ועדכון שוטף של מערכת אבטחת מידע, ומפרט את שיטת האימות של התאמת המערכת לדרישות. 22 ארגונים אושרו עד היום על ידי מכון התקנים הישראלי כעומדים בדרישות התקן, 45 ארגונים רשומים לתהליך, ועוד עשרות רבות רכשו את התקן ומשדרגים את מערכות אבטחת המידע שלהם במטרה להתאימן לדרישות. בקבוצה זו נכללים גם כל משרדי הממשלה.
בין הגופים הגדולים במשק שרכשו את התקן ניתן למצוא את בזק בינלאומי, בזק זהב, גולדנט שירותי תקשורת, תנובה, קסלמן וקסלמן PWC והתעשייה האווירית.
מכון התקנים: לחברות שנפגעו מהסוס הטרויאני לא היה תקן אבטחת מידע של המכון
גלית ימיני
31.5.2005 / 11:35