סריקה – מותר או לא ?

אבטחת מידע

מספר עצום של אתרים באינטרנט מהעולם בכלל ומישראל בפרט, אינם מתעדכנים ונותרים חשופים ופגיעים להתקפה. דוגמה אופיינית היא מצב בו מנהל האתר מודע לנושא, אולם כשלוחות הזמנים לחוצים ויש מחסור במשאבים, האבטחה היא בדרך כלל אחד הנושאים הראשונים הנדחקים הצידה. מפתח מערכות מידע לומד במהרה לא לשאול “שאלות קיטבג“ בנושא אבטחה שכן אז תיפול העבודה והאחריות עליו ללא כל תמורה נראית לעין. בשוק תחרותי אין מספיק אינטרס לספקים להשקיע באבטחה שכן, ברוב המקרים, היא אינה תורמת למכירות. מצב שכזה לא ישתנה אלא אם הצרכנים יבהירו ליצרני התוכנה וספקי השירותים באינטרנט שהאבטחה ברשת חשובה להם. כידוע, כיום מקור המידע העיקרי של הצרכן, משתמש האינטרנט, הינו הצהרות עלומות של הספקים עצמם. המקור האלטרנטיבי למידע, נובע מפעילות יחידים וקבוצות בעלי ידע טכנולוגי הידועים גם כ-“האקרים“ במטרה למצוא ולהצביע על אותן בעיות אבטחה ברשת העלולות באופן ישיר ועקיף לפגוע בכולנו.

אותם האקרים משמשים גם כיועצים לחברות ואף ממשלות בכדי לשפר את ביטחון הגולשים באינטרנט מחד ושמירה על זכויות יסוד אחרות כגון חופש הביטוי והזכות לצנעת הפרט מאידך. בתקופה האחרונה נראה כי נושא אבטחת המידע באינטרנט נכנס למעין סטאטוס-קוו בניגוד מוחלט ל-hype שנראה לאחר התקפת וירוס האהבה והכנס הבינלאומי בצרפת בנושא ה-Cyber Crime, ובישראל ניתן לספור על כף יד אחת את כמות הפסיקה הקיימת בנושאים השונים שחוק המחשבים חולש עליהם. למרות זאת, ניכרת עליה בישראל בכמות החקירות שנפתחות נגד גורמים שונים בגין חדירות וסריקות בלתי מורשות למערכות מחשבים בישראל ובעולם.

מעצם הפוטנציאל הטמון באינטרנט עולה כי קיים ביקוש בלתי מסופק לאבטחת נתונים באינטרנט. כיום עוסקות חברות רבות במתן שירותי אבטחה, עם זאת ניכר כי נושא האבטחה באינטרנט עדיין לוקה בחסר ובעלי המידע עדיין חשופים לריגול עסקי, פגיעה במוניטין, ניצול משאבי המערכת, השבתת המערכת וכהנה וכהנה. לפיכך גובר הצורך בבעלי ידע שמסוגלים לתת את הפתרונות הדרושים שלב אחד לפני אלו הזוממים לבצע מעשה פסול במידע. בארץ קיימות מספר רב של חברות לאבטחת מידע כגון NetSec, DataSec, CompuSec אשר מספקות שירותי אבטחה באינטרנט. מצב האבטחה של אתרים באינטרנט, הפקת דו“ח מפורט והפניה מבעוד מועד לסכנות הקיימות מהווים עמוד השדרה של חברות אלה, אולם הצורך בחברות שמסוגלות לתת תמונה אמיתית בכל זמן נתון לגבי מצב האבטחה של אתרים באינטרנט הפכו בזמן האחרון לשירות מבוקש.

ניקח לדוגמא את אחת החברות הידועה בשם 2XS http://www.2xs.co.il וזאת לאור עיסוקה הייחודי, במידה מסוימת, בתחום אבטחת המידע. 2XS פיתחה טכנולוגית סריקה מהירה ודינמית המהווה, לטענתם, פריצת דרך בתחום אבטחת המידע וקונספט חדשני עבור ניתוח, בדיקה והגנה על מערכות מחשבים החשופות לרשת האינטרנט. הפיתוח הטכנולוגי של 2XS מבוסס על הניסיון והידע של צוות הפיתוח של החברה המורכב ממומחי אבטחת מידע מרחבי תבל, בעלי שם עולמי שמכירים את מכלול האינטרנט על קרביה ומקורבים לקהילת האקרים ולעולם אבטחת המידע. בתור אנקדוטה, ניהול הצוות הטכני המקצועי של 2XS מתבצע על ידי מיודענו מר אהוד טננבאום הידוע גם בכינויו ה“אנלייזר“. לדברי אהוד, כיום מדובר במתן שירותי אבטחה יותר מאשר מוצרי אבטחה, מגמה שניכר כי רק תגבר בהתאם להתפתחויות האחרונות בשוק.

2XS מתבססת על שירותי סריקה שונים המאפשרים לחברה לספק הגנה של 24 שעות ביממה, כאשר, לטענת 2XS, “היתרון בשירות מסוג שכזה ניכר בכך שאין כיום מוצר לאבטחת מידע שמסוגל לספק רמת עדכון תכופה מאחר שמוצרי הסריקה מעודכנים עד ליום רכישת המוצר, בעוד ששירות הסריקה סביב השעון באמצעות קוד טכנולוגי שמתעדכן על בסיס יומי מאפשר לשירות הסריקה להגן בפני שיטות פריצה חדשות שנוצרות מידי יום ומתאים לשינויים הדינמיים באינטרנט“.

לפיכך, ניתן ללמוד כי על חברות האבטחה לעסוק במחקר תמידי של רשת האינטרנט. במקרה של 2XS פותח מאגר מידע ייחודי לגבי בעיות אבטחה ובאגים שאינם ידועים, המתעדכן מידי יום ביומו, ומאפשר פיתוח טכנולוגיות הדור הבא של אבטחת המידע. נושא חוקיות פעילותן של חברות שכאלה, ביצוע פעולות סריקה והמשמעויות הטכניות והמשפטיות הנובעות מביצוע הסריקה אינן כה ברורות וניכר כי קיימים הבדלים ניכרים בין הגדרות החוק במדינות שונות בעולם וכן באופן יישום אותם חוקים. יש לזכור כי סריקות וחדירות באישור מתבצעות באופן תדיר ובאישור על מרכיביו החיוביים והשליליים. במאמר הבא תבחן סוגיית הסריקה בראי המשפט הישראלי והבין-לאומי והאם אכן קיים צורך באישור מראש ובאילו מקרים.

Send this to a friend