IIA ישראל איגוד מבקרים פנימייםבישראל IIA Israel - Institute of Internal Auditors in Israel D R דורוןרונן, רו"ח- יעוץ, בקרהוניהולסיכונים טל': 03.5733456, פקס: 03.5714180 דואל: doron-ronen@ronencpa.co.il סיכוני סייבר דורון רונן רו"ח, LLM,MA,CFE,CRISC,QAR,CRMA,CIA משנהלנשיאויו"רהוועדההמקצועית IIA ישראל נשיאשקדםוחברהנהלתISACA ישראל 1 IIA ישראל-כנסהביקורתהפנימיתעםהחברההערבית נצרת מושב 203 26.03.2018 דורון רונן, רו"ח יעוץ בקרהוניהול סיכונים רקע על המרצה: רו"ח דורון רונן מעל 35 שנה בתחומי: ניהול סיכונים, ביקורת פנימית, ביקורת,IT ביקורת חקירתית, ומתן עדות מומחה בבימ"ש. רו"ח MA (בהצטיינות) - ביקורת פנימית וציבורית LLM (בהצטיינות) משפטים (Certified Internal Auditor) CIA מבקר פנימי מוסמך (Certified in Risk Management Assurance) CRMA מבקר ניהול סיכונים מוסמך (Certified in Risk & Information Systems Control) CRISC מוסמך בסיכונים ובקרת מערכות מידע (CertifiedFraudExaminer) CFE מבקר הונאות מוסמך משנה לנשיא ויו"ר הוועדה המקצועית IIA ישראל איגוד מבקרים פנימיים בישראל נשיא שקדם וחבר הנהלה ISACA ישראל האיגוד הישראלי לביקורת ואבטחת מערכות מידע דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 2 1
IIA IIA ישראל-איגוד מבקרים פנימיים בישראל 200,000 חברים, ב- 180 מדינות תקניםמקצועייםבינ"ל- אומצו ע"י:,EU,OECD,UN INTOSAI,IFAC הסמכותבינ"למוכרות:,CRMA,CIA כנסיםוהשתלמויות כתבעת, מידעון, אתראינטרנט. קשרעםרגולטורים, לשכותאחיות. ישראל איגוד מבקרים פנימייםבישראלIIA IIA Israel - Institute of Internal Auditors in Israel...,CGAP - - - - - - דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 3 מיפוי סיכונים הסיכון החדש: מידע וסייבר CIO/CFO דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 4 2
פרשות כרטיסי האשראי ישראל 2012- "ההאקר הסעודי" :Ox0mar פריצה ל- 80 אתרי אינטרט ישראלים. גניבת עשרות אלפי פרטים: 14 אלף כ"א, והיתר פרטים אישיים/מזהים של אזרחים. ארה"ב 2007- אלברט גונזלס: פריצה למערכות מחשבים של חנויות ורשתות גדולות בארה"ב Maxx).(Barnes & Noble,BJ's Wholesale Club,T.J. גניבת פרטי 41 מיליון מספרי כ"א. דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 7 פרשת כרטיסי האשראי (ישראל) כרטיסי אשראי מידע: פרטים מזהים 8 דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 3
נתונים סטטיסטיים לפתיח... 1 האינטרפול (8.5.12): על ישראל 10,000 מתקפות בדקה. סימנטק (סקר ב 24 מדינות, 20 אלף משתמשי רשת): 14 איש בעולם חווים מתקפת סייבר מידי שניה. יותר ממיליון מידי יום. 431 מיליון איש נפגעו מפשע מקוון בשנת 2011. הסיכוי לגולש לחוות מתקפה מקוונת עומד על 1 ל- 2.27 [תאונת מטוס 1 ל- 10.7 מיליון, מוות ת"ד 1 ל- 6,279]. עלות פשעי הסייבר בשנה (נכון ל- 12/2017) מעל 450 מיליארד$ דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 9 סימנטק נתוניםסטטיסטיים לפתיח... 2 (סקר ב 24 מדינות, 20 אלף משתמשי רשת): פרק זמן למותקף לטפל בבעיית אבטחת המידע: 4 ימים עד שבועיים (ממוצע 10 ימים). הטיפול: פעילות מול הרשויות, עדכון פרטים, עבודה מול חברות אשראי וכד'. 39% מהמותקפים דיווחו שזו "הגדולה שבהטרדות" חייהם. רק 21% דיווחו למשטרה על המתקפה. 54% ניזוקו ממתקפות משולבות, נוזקות או וירוסים. 10% חוו מתקפות בטלפונים החכמים, כולל.Smishing דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 10 4
נתונים סטטיסטיים לפתיח... 3 בעולם הפיסי, לעומת מי סימנטק (סקר ב 24 מדינות, 20 אלף משתמשי רשת): נתון מעניין: למי שנפגע ממתקפת סייבר יש סיכוי גדול פי 2 לחוות פשע שלא חווה מתקפת סייבר. (בסקר לא צוינה הסיבה לכך). דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 11 תשתיות לאומיות 4/1982 ארה"ב נ' ברה"מ: צינור גז טרנס סיבירי. 2007 רוסיה נ' אסטוניה: אינטרנט. 6/2010 ארה"ב וישראל (?) נ' אירן: כור גרעיני. (?) 9/2013 נ' ישראל: מנהרות הכרמל [IOT] 5/2015 סין נ' ארה"ב: חשיפת זהות עובדי ממשל 7/2015 רוסיה (?) נ' ארה"ב: פנטגון דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 12 5
השפעתסיכוניהסייבר על 4 שחקנים חברות כרטיסי האשראי, המגזר הפיננסי העסקים הצרכנים: "גב' כהן מחדרה" המגזר הממשלתי, הרגולטור דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 13 השפעת סיכוני הסייבר על 1 חב' כרטיסי האשראי,המגזר הפיננסי ככלל, חברות כרטיסי האשראי יודעות לדאוג לעצמן גב' כהן מחדרה: ברור שהאחריות הראשונה הינה על חברות כרטיסי האשראי. לפני שחברת כרטיסי אשראי מאשרת עסקה היא תבדוק את מהימנות העסקה. דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 14 6
אבל שימו לב לנתונים הבאים השפעת סיכוני הסייבר על 1 המגזרהפיננסי (המשך) (מחקר של :(*PWC המגזר הפיננסי הינו המועדף על הפשע הכלכלי. פשע סייבר הינו הפשע הכלכלי השני הכי נפוץ. כשליש מעובדי המגזר הפיננסי לא קיבלו שום הכשרה באבטחת סייבר. *PWC: Global economic crime Survey 2011 דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 15 השפעת סיכוני הסייבר על 2 העסקים לפי נתוני חברות כרטיסי האשראי (כ"א): 80% מכל בתי העסק שעברו דליפת נתוני כ"א, חדלו להתקיים תוך שנה. מ 3 4 - לקוחות אמרו שלא יבקרו שוב בבית עסק שחווה דליפת כ"א. הצפנת נתוני כ"א זולה בממוצע פי 15 מההוצ' בעקבות דליפה דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 16 7
מוכר מוצר/שירות באמצעות האינטרנט?...ניהול השפעת סיכוני הסייבר על 2 העסקים (המשך) חובתך לוודא שהאתר שלך מאובטח: מוסרית, עסקית-כלכלית, חוקית? סיכונים: לא לשמור נתונים ללא צורך, ולא לדרוש נתון שאין בו צורך. שימוש באנשי מקצוע מומחי אבטחת מידע. היקף אבטחת מידע לפי גודל/מורכבות העסק דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 17 השפעת סיכוני הסייבר על 3 הצרכנים גב' כהןמחדרה מודעות: פרחים, קוד סודי, פרטים מזהים פיצה; כרטיס אשראי מול זהות בדיקה נוספת; מלון בפריס. לינק אמינות הספק לעומת אבטחת האתר (דלף מידע) דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 18 8
השפעת סיכוני הסייבר על 4 המגזרהממשלתי/הרגולטור בדבר הסמכת אתרים תקנה (7) 64 לתקנות שירות נתוני אשראי, 2004: חוו"ד מבקר "נאותות מערכות המידע, מערכות הבקרה ואמצעיהאבטחה..." דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 19 סיכוניסייבר פרשיותנוספות פרשת הסוס הטרויאני: אחריות דירקטורים ונושאי משרה (התוקפים, הנתקפים) פרשת רמי לוי. גניבת מידע ע"י עובדים (לשעבר). "דלף מידע "(DLP) דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 22 9
"ל? ומה לגבי עסקים עם חו"ל דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 23 עסקים עם חו"ל יפן, קנדה, וכן האירופי, אמנת בודפשט 2001. חתמו 54 מדינות [46 8]: + האיחוד דרא"פ, ארה"ב, ו...ישראל] השוואה בין מדינות: התייחסות לטרור/פשעי סייבר דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 24 10
השוואה בין מדינות: טרור/פשעי סייבר Identity Theft Hacking Computer Virus Spyware Phishing etc. הגדרת סוגי פשעי סייבר: דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 25 השוואה בין מדינות: טרור/פשעי סייבר Denial-of-service attacks, Codes, Worms, Malicious software ( malware ), Trojan horses, הגדרת,Cyber-attack כוללת: Or any other electronic attempt to undermine a computer system. דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 26 11
השוואה בין מדינות: טרור/פשעי סייבר טשטוש גבולות בין: פשעי סייבר, לוחמת סייבר, טרור סייבר. כל זאת בפרט בשל העובדה שמחאות אלקטרוניות נגד הממשל הפכו לאופנה. שאלה: מתי התערבות באמצעים אלקטרוניים (מחאה) הופכת לטרור סייבר? דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 33 השוואה בין מדינות: טרור/פשעי סייבר ולכן, טרור סייבר מוגדר כ: 1. מנ ע פוליטית או דתית או אידיאולוגית 2. מתוכנן להשפיע, ע"י איום, על אדם או ממשלה או ארגון בינלאומי 3. מתערב מאוד, או מפריע או הורס: שירות או מתקן או מערכת ממוחשבת/אלקטרונית. דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 34 12
אירועים מתוקשרים שהתרחשו לאחר פרשת כרטיסי אשראי וירוס ("חבילת תוכנה מורכבת") Flame (מאי 2012) דליפת 6.5m סיסמאות משתמשים ב- Linkedin (יוני 2012) דליפת 1.5m סיסמאות ופרטים אישיים ב- eharmony (כמו JDate )(יוני 2012) סיסמאות דואל (ואללה, נטוויז'ן, 012...) של מאות ישראלים הופצו בפייסבוק (1.7.2012). גניבת פרטי 2m כרטיסי אשראי לאומי-קארד (15.11.2014). סחיטה. דאעש פרצו למחשבי הפנטגון (12.1.2015 19:30). "סייברג'יהאד" האקרים פרצו לאתר אינטרנט (מידע רגיש) של ה- FBI, ולחשבון הדואל של סגן ראש ה-,FBI ופרסמו בטוויטר צילומי מסך מהתכתבויות פרטיות (7.11.2015) דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 41 הפעילות שנעשתה בשנת 2012 במדינת ישראל בעקבות הינה שנעשתה, הפעילות רוב ל (Ox0mar ועדת המדע והטכנולוגיה ועדת חוקה חוק ומשפט *** רמו"ט TV - ערוצים: הכנסת,(99),10 11 כנסים והשתלמויות ובעיקר: מדעות, מדעות, מדעות ***הערה לגבי סתירה ברגולציה פרשת כרטיסי האשראי (תודה דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 42 13
אבל הפעילות במדינת ישראל גדול): אבל (וזה מספיק, זהההה לאאאא לעשות... מהההה הרבה עוד ויש BYOD...IOT לדוגמה: דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 43 תוכנית התאוששות מאסון DRP אז מה עוד ניתן לעשות? [העסקים] תוכנית המשכיות עסקית - BCP תוכניות מגירה מפורטות שמוכנות מראש לאירועים שונים. מי עושה מה (אחריות) [דוג': מגדלי התאומים: #1 נפגע, #2 מתי איך דף קשר/טל' עדכני (להקפיד לעדכן כשמתחלפים) תרגול [היכן לשמור את התוכניות?] בחו"ל, מי זה #3?] דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 44 14
סיכום סיכום אין חסינות/הגנה מוחלטת בפני ד ל ף מידע חשוב שגב' כהן מחדרה תהיה מד ע ת לחייב עסקים להגנת אתריהם ולהיערך לסיכונים גוף ממשלתי יסמיך אתרים (אבטחת מידע) יש עוד הרבה מה לעשות בתחום הזה. דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 45 דורון רונן,רו"ח יעוץ בקרהוניהול סיכונים 46 15
תודה על ההקשבה יעוץ, דורון רונן, רו"ח בקרה וניהול סיכונים דורון רונן,רו"ח יעוץ בקרהוניהול סיכונים 47 D R דורוןרונן, רו"ח- יעוץ, בקרהוניהולסיכונים טל': 03.5733456, פקס: 03.5714180 דואל: doron-ronen@ronencpa.co.il שאלות? רו"ח דורון רונן doron-ronen@ronencpa.co.il דורוןרונן, רו"ח יעוץ בקרהוניהול סיכונים 48 16