ניסוי – נוהל תגובה לאירועי אבטחת מידע

1. רקע

אבטחת המידע בטכניון נועדה למנוע ככל הניתן פגיעה במידע, במאגריו ובמערכות התקשוב של הטכניון ומתוך כך לצמצם את סיכוני הפגיעה בתפעולו הסדיר. בנוסף, להעלות את המודעות והאחריות האישית של האוכלוסיות השונות הנמצאות בבית הטכניון.
דרישות לאבטחת מידע ייקבעו על פי דרישות החוקים והתקנים בנושא.

 

2. מטרה

מסמך זה מגדיר את גישת הטכניון לניהול אירועי אבטחת מידע ואת סדר הפעולות הנדרש בכדי להתכונן אל ולהתמודד עם אירועי אבטחת מידע בעת התרחשותם.

 

3. הגדרות
   • מידע – נתונים, סימנים, מושגים או הוראות למעט תוכנה, המאוחסנים במחשב או אמצעי אחסון אחר (דיסק חיצוני, דיסק נייד וכדומה).
   • בעל מידע – המנהל אשר המידע שייך ליחידה שלו. חשוב להדגיש שהבעלים בדרך כלל אינו המנהל או המחזיק את המידע במובן הטכנולוגי.
   • חיסיון – הבטחת נגישותו של מידע רק לגורמים מורשים.
   • כלילות – שמירת הדיוק והשלימות של מידע ושל שיטות עיבוד.
   • זמינות – הבטחה שמשתמשים מורשים יוכלו לגשת למידע ולמשאבים לפי הצורך.
   • אבטחת מידע– שמירת חיסיון, כלילות וזמינות של מידע.
   • פורום אבטחת המידע – פורום הכולל את מהנדסי המחשוב הפקולטים הממונים על ידי הנהלת הטכניון, אנשי אגף מחשוב ומערכות מידע וקצין בטחון, אשר מטרתו לעלות נושאים רלוונטיים, בעיות ודרישות אבטחת מידע שונות בטכניון ולספק המלצות, הנחיות ו/או פתרונות אופרטיביים.
   • ממונה אבטחת מידע – מנחה מקצועי בהובלת תחום אבטחת המידע בטכניון המנחיל ויוזם דרכים למימוש החלטות ההנהלה בנושא.
   • נאמן אבטחת מידע – איש הקשר ביחידה לנושאי אבטחת המידע
   • טכניון רבתי – הטכניון, מכון טכנולוגי לישראל ומוסד הטכניון למחקר ופיתוח בע”מ.
   • עובדים – חוקרים, משתלמים, סטודנטים, עובדי הטכניון רבתי, עובדי קבלן, אורחים
     וכל מי שנמצא ברחבי הטכניון רבתי.
   • מערכת אורחת – מערכת ממוחשבת אשר מתחברת לתשתית התקשוב של הטכניון ואינה באחריותו.
   • משתמש – כל מי שמשתמש במשאבי המחשב של הטכניון.
   • סקר סיכוני אבטחת המידע – תהליך אשר מאפשר לקבל תמונת מצב עדכנית המשקפת את מצב אבטחת המידע בתשתיות המחשוב של הארגון.
   • אירוע אבטחת מידע – כל אירוע חריג העלול להוביל לפגיעה בהיבטי סודיות, שלמות ו/או זמינות המידע או מערכת מידע של הטכניון.
   • איום – גורם פוטנציאלי לאירוע בלתי רצוי המנצל חולשה כלשהי בטכניון ומערכות המידע שלו כדי להשפיע על סודיות, שלמות ו/או זמינות המידע.
   • חשיפה – חולשה באחד מנכסי המידע של הטכניון הניתנת לניצול לרעה על ידי איום.
   • נזק – התוצאה של אירוע בלתי רצוי.
   • מתקפה – סדרת פעולות על ידי גורם זדוני בלתי מורשה הנועדות להשיג תוצאה המנוגדת לאינטרסים של הטכניון.
   • השבתת שירות – השבתה או חסימה מכוונת של מערכת מחשב, שירות מחשובי או רשת תקשורת של הטכניון.
   • חשיפת מידע – הנגשת מידע שאינו ציבורי של הטכניון לגורמים שאינם מורשים אליו.
   • עריכת מידע – שינוי בלתי מורשה לתוכן או מאפייני מידע של הטכניון.

 

4. סמכות ואחריות
   • הנהלת הטכניון
     • באחריות הנהלת הטכניון לקדם את נושא אבטחת המידע בטכניון רבתי.
     • ראשי יחידות יישאו באחריות כוללת ליישום נהלי אבטחת המידע בתחומי סמכותם, לפעילות הולמת של אנשי היחידה בהיבטי אבטחת המידע וכן לטיפול באירועי אבטחת מידע בשיתוף עם נאמן אבטחת המידע ביחידה וממונה אבטחת המידע הטכניוני.
     • ראש יחידה יגדיר נאמן אבטחת מידע, אשר יהיה אחראי על אבטחת מידע של כל נכס ממוחשב (חומרה, תוכנה, יישום או נתונים) ביחידתו.
   • ממונה אבטחת מידע (בהיעדרו – ממלא מקום ממונה אבטחת מידע)
     • ממונה אבטחת מידע אחראי להקמת תשתית אבטחת המידע בטכניון ולקיומם של סטנדרטים, נהלים והנחיות טכניות אשר יתמכו בתהליך זה.
     • ממונה אבטחת מידע יזום פעילות שוטפת של ניטור ובדיקה על מנת לוודא את אבטחתם של מערכות התקשוב הטכניוניות.
     • ממונה אבטחת מידע אחראי למתן יעוץ והכוונה לנאמני אבטחת מידע, מהנדסים פקולטים וכלל משתמשי מערכות התקשוב של הטכניון.
   • נאמן אבטחת מידע
     • לידע את כל משתמשי המחשוב ביחידתו על נהלי אבטחת המידע כפי שפורסמו או נמסרו לו ע”י ממונה אבטחת המידע בטכניון.
     • לטפל במערכות המחשוב שבהן ימצאו כשלי אבטחת מידע באופן ישיר או ע”י העברת הטיפול לגורמים הרלוונטיים ביחידתו.
     • לידע את ממונה אבטחת המידע בטכניון על כל אירוע אבטחת המידע ביחידתו ולטפל בו עפ”י ההנחיות שיקבל.
     • ביחידות בהן נאמן אבטחת המידע אינו מהנדס המחשוב של הפקולטה, יישום הנוהל ייקבע בין מהנדס המחשוב של הפקולטה לבין נאמן אבטחת המידע בפקולטה.
   • משתמשים

כל משתמש אחראי באופן אישי לכלל המידע המצוי בחזקתו, לרבות כזה אשר נשלח או הועבר אליו. כמו כן, האחריות לקיום הנחיות ומדיניות אבטחת המידע של הטכניון מוטלת על כל משתמש ומשתמש בארגון.

• פורום אבטחת מידע

הפורום אחראי לספק המלצות, פתרונות וכלים שונים לשיפור אבטחת המידע בטכניון.

• גורמים נוספים באגף מערכות המידע המעורבים בתגובה לאירועי אבטחת מידע
  • מחלקת אתרי Web

קבלנים ואנשי מערכות Web שבמקרה אירוע אבטחת מידע יידרשו להיות מעורבים בטיפול באירוע.

• מחלקת ליבה

מחלקת ליבה אחראית על ביצוע גיבויים ושחזורים ובמקרה של אירוע אבטחת מידע יידרשו להיות מעורבים בתהליכי התגובה והשחזורים ככל שיידרשו.

• מחלקת Windows

מחלקת Windows אחראית על מערכות משתמשי הקצה ויידרשו להיות מעורבים בתגובה הראשונה והשניה במקרה של אירועי אבטחת מידע.

• מחלקת תקשורת

מחלקת התקשורת תסייע בכל הקשור לציוד התקשורת ובידוד איורעים ככל הניתן ברמת ציודי התקשורת השונים הפרוסים בטכניון.

• מוקד תמיכה כלל טכניון

מוקד התמיכה עובד בין השעות 7:00 עד 19:00 ונמצא בחזית התקשורת מול משתמשי הקצה והסטודנטים בטכניון. ככזה מוקד התמיכה יהיה מעורב באירועי אבטחת המידע מראשיתם ועד סיכומם.

 

5. שיטה
   • מודעות והדרכה בנושאי אבטחת המידע
     • הממונה על אבטחת המידע בשיתוף עם אגף משאבי אנוש יבנו תוכנית הדרכות וריענון בנושאי אבטחת מידע לכלל אוכלוסיית הטכניון.
     • הדרכה בנושאי אבטחת המידע תיכלל בתהליך הגיוס של העובדים החדשים לטכניון.
   • אבטחה פיזית

ממונה אבטחת המידע של הטכניון בשיתוף פעולה עם קצין הביטחון ינחו את נאמני    אבטחת המידע ביחידות השונות בכל הנושאים הקשורים לאבטחה פיזית.

• ניהול אירועי אבטחת מידע

אירועי אבטחת המידע המאותרים על-ידי גורמי הטכניון או אחרים, ידווחו לממונה   אבטחת המידע (ciso@technion.ac.il) וינוהלו על פי נוהל תגובה לאירועי אבטחת מידע (נוהל זה).

 

6. אירועי אבטחת מידע
   • האחריות להגדרת אירועי אבטחת מידע, איתור, מעקב, ניטור ובקרה, דיווח, תיעוד והגדרת נהלי תגובה חלה על הממונה על אבטחת המידע.
   • יחד עם זאת באירועי אבטחת מידע חמורים יוגדרו מנהל אירוע – ממונה אבטחת המידע בטכניון, ומנהל אקדמי עם ניראות מול גורמי האקדמיה (לדוגמא: סגן משנה בכיר לענייני מחשוב ומערכות מידע).
   • בטכניון ישנם מאגרי מידע הרשומים ברשות להגנת הפרטיות. אירועים הקשורים למאגרי מידע אלה יחשבו לאירועים חמורים בהגדרתם ללא קשר לנזק ו/או כל קריטריון אחר.
   • באחריות כל משתמש קצה להתריע מיידית על כל אירוע אבטחה או חשד לאירוע אבטחה.
   • האחריות לביצוע עבודה שוטפת בנושא אירועי אבטחה בניהולו ועל פי הנחיותיו של הממונה על אבטחת המידע חלה על אגף מחשוב ומערכות מידע.
   • האחריות לטיפול בהיבטים משמעתיים לגבי חריגות עובדים הינה על הנהלת הטכניון בהתאם לחומרת האירוע.
   • האחריות ליישום נוהל זה חלה על כלל העובדים בטכניון.
   • עדכון הנוהל הנו באחריות הממונה על אבטחת המידע.

 

7. גילוי וזיהוי של אירועי אבטחה

ניתן להבחין ולזהות אירועי אבטחה במספר דרכים:

• זיהוי ע”י משתמשי קצה
  • ניצול לרעה של סמכויות עובדים לצורך עדכון/שיבוש/ שינוי מידע ותהליכים עסקיים.
  • משתמש קצה, המבחין באי סדירות או אירועים חשודים בסביבת העבודה שלו.
  • משתמש המבחין באי סדירות של תהליכים או אירועים בסביבת העבודה שלו.
  • משתמש המבחין בחריגה מנהלי העבודה התקינים והמקובלים בטכניון.
• זיהוי ע”י אנשי אגף מחשוב ומערכות מידע / צוות המחשוב בפקולטה
  • כלים/ מנגנונים ייעודיים ואוטומטיים לאבחון והתראה, כגון קבצי לוג, IDS/IPS וכו’.
  • הודעות ועדכונים מגופים חיצוניים כדוגמת: ספקי תוכנות האנטי וירוס, ספקי מערכות, ספקי מודיעין סייבר, מערך הגנת הסייבר של מדינת ישראל וכד’.
  • התראות המיוצרות על ידי מערכות המחשוב (אזהרות מערכת או הודאות שגיאה).

 

8. דיווח על אירועי אבטחה

משתמשי קצה ידווחו על כל אירוע אבטחה, פעילות חשודה או פעילות שאינה רגילה בחשבונות שלהם וסביבת העבודה שלהם לממונה על אבטחת המידע או לנאמן אבטחת המידע הרלוונטי.

• דיווח על אירועים

בעת אירוע הגורמים הבאים יקבלו דיווח על פי המפורט בטבלה בנספח א’ לנוהל זה:

• מנהל המחשוב שאחראי על אותו אזור/פקולטה
• מנהל אגף המחשוב
• הממונה האקדמי / סמנכ”ל מחשוב
• בעל היחידה העסקית הרלוונטית בטכניון
• גופים רגולטוריים: המחלקה משפטית, הרשות להגנת הפרטיות
• יחידת המכרזים לצורך דיווח לחברת ביטוח הסייבר
• דוברות הטכניון
• מחב”א
• משתמשים רלוונטיים

 

להלן מספר דוגמאות לאירועים עליהם ידווחו העובדים:

• הפרה של נוהלי אבטחת מידע על ידי העובד או על ידי עובדים אחרים.
• קיום או חשד לפרצה/חשיפה באבטחת המידע באחת המערכות.
• חשד שמידע נפגע או עלול להיפגע (נחשף , שונה או נמחק).
• נעילה פתאומית של החשבון.
• זמן כניסה אחרון לא הגיוני (במערכות המאפשרות את הדבר).
• סימנים לפעילות לא ידועה (לדוגמא: קבצים מוצפנים, קבצים חדשים , שינוי בשולחן העבודה וכו’).
• ניסיונות (מוצלחים או כושלים) להשגת גישה לא מאושרת למערכת או המידע האגור בה.
• חוסר זמינות בשירות.
• שינוי בחומרת או תוכנת מערכת ללא אישור בעל המערכת.

 

בנוסף, על הגורמים הטכנולוגיים להיות ערניים לאירועים חשודים במערכות המידע בטכניון כדוגמת:

• תהליכים, או אפליקציות לא רגילות.
• חיבורי רשת לא מוכרים ובכלל כך קיומן של רשתות אל-חוטיות.
• ניסיונות כניסה כושלים החוזרים על עצמם.
• קבצים שהושחתו.
• פעילות מרובה/ לא מוכרת ברשת המחשוב.

• התרעות אבטחה
  • אגף מחשוב ומערכות מידע ישתמש במגוון רחב של כלים על מנת לנטר ולגלות פעילות לא מורשית אשר מתרחשת ברשת המחשוב של הטכניון או בציוד הקשור לרשת (לדוגמא מערכות הפעלה, שרתי רשת, אפליקציות וכו’).
  • על הכלים לכלול מערכות לגילוי חדירות (לדוגמא רשתות אלחוטיות) וכן רישום וניתוח של קבצי ה- Log, שינותחו על פי צורך.
  • התרעות המיוצרות על ידי מקורות אלו יופנו ישירות לאגף מחשוב ומערכות מידע ולידיעת הממונה על אבטחת המידע אשר יהיו זמינים לטיפול בהתרעות אלו בהקדם ובכל עת שידרשו.

 

• הליך דיווח על אירועי אבטחה על ידי משתמש קצה
  • באחריות כל משתמשי הקצה לדווח מיידית על כל חשד לאירוע אבטחת מידע.
  • משתמשי קצה יכולים להתייעץ עם אגף מחשוב ומערכות מידע לפני דיווח על אירוע.
  • משתמש הקצה, או אגף מחשוב ומערכות מידע ידווח על האירוע לממונה על אבטחת המידע:
    • אירוע הנמצא בעיצומו ידווח באמצעות טלפון לממונה אבטחת המידע ו/או למוקד תמיכת המשתמשים בטלפון פנימי: 5600, חיצוני: 077-8875600.
    • אירוע שהסתיים ידווח באמצעות טלפון ו/או הודעת דואר אלקטרוני ciso@technion.ac.il.
  • אגף מחשוב ומערכות מידע יערוך ניתוח ראשוני של האירוע וינחה את משתמש הקצה כיצד לפעול.
  • הממונה על אבטחת המידע ינהל את כל הפעילויות הדרושות על מנת לתת מענה לאירוע אבטחת מידע.
  • כאשר התגובה הנדרשת כוללת נקיטת פעולות אשר משפיעות על התפקוד הסדיר של מערכות המידע (לדוגמא השבתה של מערכת) או פגיעה בסודיות מידע כגון מידע פרטי רגיש, הממונה על אבטחת המידע יערב את אגף מחשוב ומערכות מידע בהליך הטיפול באירוע, כמפורט בנספח ב’: סדר פעולות לטיפול ותגובה בעת אירוע אבטחת מידע.
  • באחריות אגף מחשוב ומערכות מידע הגשת דוח אירוע לממונה על אבטחת המידע אשר יכלול את הפרטים הבאים:
    • פרטי המשתמש
    • פרטי מנהל המערכת
    • תאריך וזמן האירוע
    • תיאור מפורט של האירוע
    • תיאור של פעולות שננקטו בתגובה, במידה וננקטו
    • זמן הדיווח
  • הממונה על אבטחת המידע ידווח על אירועים אשר גרמו נזק ממשי או מערבים הפרה של נהלים על ידי עובדי הטכניון להנהלת הטכניון.
  • במקרה הצורך ולפי שיקול דעתו המקצועית, ימנה ממונה אבטחת המידע גורם צד ג’ חיצוני לטכניון ועצמאי לטובת חקירה פורנזית של האירוע.
  • את ממצאי החקירה יציג ממונה אבטחת המידע להנהלת הטכניון.

 

9. תגובה לאירוע אבטחה

אירוע אבטחה יכול לכלול טיפול שונה  בהסתמך על מקורו והנזק הפוטנציאלי, עם זאת התהליך הכללי של תגובה לאירוע אבטחה יכלול את השלבים הבאים:

• ניתוח ראשוני איסוף מידע ותיעוד

שלב זה יתבצע לאורך כל התהליך עד לסיום האירוע ויכלול איסוף של כל המידע הידוע אודות האירוע. המידע ייאסף ע”י הממונה על אבטחת המידע מגורמים פנימיים (לדוגמא משתמשים, אגף מחשוב ומערכות מידע  וכו’) וכן ממקורות חיצוניים (לדוגמא: אינטרנט, מאגרי מידע ציבוריים, מומחים חיצוניים, יועצים וכו’). כל החומר הרלוונטי לאירוע יתועד וישמר על פי הנחית הממונה על אבטחת המידע.

• הסמכות להכריז על אירוע אבטחת מידע היא תחת אחריותו של ממונה אבטחת המידע ו/או מנהל אגף המחשוב, ו/או סמנכ”ל המחשוב ו/או מנכ”ל הטכניון, ובכללם להתחיל בחקירה פורנזית ואיסוף נתונים אודות האירוע.
• במידה ומקור האירוע מהפרת נהלים ו/או עבירה על החוק על ידי אחד מעובדי הטכניון או במידה והאירוע עשוי לדרוש פעולה משפטית כנגד גורם כלשהו יש לאסוף ולתעד ראיות בקפדנות.
• חשוב לשמור על שלמות ומהימנות הראיות על מנת לנקוט באמצעים המשפטיים הנדרשים. היועץ המשפטי, או מי מטעמו, ייעץ לממונה על אבטחת המידע בנושא איסוף הראיות ותיעודן.

• תגובה מיידית
  • במידה והאירוע עדיין לא הסתיים הממונה על אבטחת המידע (תוך סיוע של אגף מחשוב ומערכות מידע) ינקוט צעדים מיידיים על מנת לסיימו בהקדם ולמנוע נזק נוסף.
• ניתוח
  • במידה והוגדר אירוע אבטחת מידע, בסמכותו של ממונה אבטחת המידע להגדיר כל בעל תפקיד בטכניון כנדרש לטיפול ותגובה לאירוע, וגורמים אלו יפנו מזמנם ויתנו עדיפות עליונה בכדי לסייע לממונה אבטחת המידע ולטכניון בטיפול וניתוח האירוע.
  • הממונה על אבטחת המידע ינתח את האירוע על פי המידע שנאסף ויזהה את הגורמים הבאים:
    • מקור האירוע
    • המערכות המעורבות באירוע (יש לכלול את המערכות שנפגעו וכן מערכות שעלולות להיפגע).
    • ההשפעה הפוטנציאלית של האירוע על מערכות המידע, שלמותן, סודיותן וזמינותן.
    • המצב הנוכחי של האירוע (גמר טיפול, מתמשך וכו’).
  • תגובה
    • בשיקול דעתו של הממונה על אבטחת המידע האם להוריד את המערכת מסביבת הייצור.
    • סריקת המערכת תתבצע על מנת לבדוק האם נשארו חולשות ו/או כל פגיעה שהשפיעה על תפקוד המערכת למרות עבודת התגובה המיידית שבוצעה.
    • לפני מעבר חזרה לייצור, המערכת המתאוששת תופעל מול מספר מצומצם של משתמשים לבדיקה מקדימה.
    • יתבצעו בדיקות תפעוליות על ידי אנשי אגף המחשוב ומערכות מידע, למספר משתמשים נבחר, ורק אז המערכת תושב לעבודה בסביבת הייצור מול כלל המשתמשים.
    • אגף המחשוב ומערכות מידע ימשיך לנטר את המערכת בכדי לאתר חריגות תפעוליות שניתן לזהות.
  • דרגות חומרה לאירועי אבטחת מידע
    • אירועי אבטחת המידע יוגדרו תחת 2 דרגות חומרה:
      • דרגת חומרה רגילה

יוגדרו אירועים אשר בוצעו בשוגג בידי עובדי הטכניון ולא פגעו  בזמינות סודיות ואמינות המידע.

• דרגת חומרה חמורה

יוגדרו כלל האירועים אשר בוצעו בידי גורמים חיצוניים ו/או אשר בוצעו במזיד, ו/או אשר גרמו לפגיעה בזמינות, סודיות ושלימות המידע.

• זמני התגובה לאירועים מדרגת חומרה חמורה יהיו מידיים ויקבלו עדיפות עליונה על שאר המשימות העומדות בפני המדווח והמטפל באירוע באותו הזמן.
• זמני התגובה לאירועים מדרגת חומרה רגילה יהיו מהירים ככל האפשר.

• הסקת מסקנות
  • לאחר סיום האירוע על הממונה על אבטחת המידע ללמוד את האירוע במטרה לזהות ולהבין את הפרצות והליקויים שיאפשרו את קיום האירוע ולהגדיר את הצעדים שיש לנקוט על מנת למנוע הישנות של אירועים אלו בעתיד.
• דוח מסכם
  • הממונה על אבטחת המידע יכתוב דו”ח מסכם של האירוע אשר יכלול את הפרטים הבאים:
    • פרטי מקור הדיווח על האירוע
    • זמן הדיווח
    • תאריך וזמן האירוע
    • תיאור מפורט של האירוע
    • תיאור של פעולות שננקטו בתגובה, במידה וננקטו
    • דו”ח זה יופץ להנהלת הטכניון ולכל הגורמים הרלוונטיים לטיפול באירועים דומים הכולל הטעמה של צעדי מניעה ותיקון.
  • הטמעה של צעדי מניעה ותיקון
    • שלב זה יכלול את הפעילויות הבאות:
      • תיקון הנזק שלא תוקן בזמן הטיפול באירוע.
      • התקנה של תיקוני ועדכוני תוכנה רלוונטיים.
      • הטמעה של אמצעי פקוח נוספים.
      • ביצוע עדכונים רלוונטיים בנהלי אבטחת מידע.
      • יידוע העובדים הרלוונטיים אודות האירוע ותוצאותיו.
      • תרגול שינויים שבוצעו בנוהל התגובה.
      • נקיטת צעדים משמעתיים כנגד גורמים רלוונטיים.
      • נקיטת פעולות משפטיות כנגד מפגעים חיצוניים ו/או פנימיים.
    • טיפול משמעתי
      • הטיפול המשמעתי יבוצע על ידי הנהלת הטכניון. חומרת הצעדים תיקבע בהסתמכות על הפרמטרים הבאים:
        • האם הפרת הנהלים בוצעה מתוך כוונה או כתוצאה מרשלנות.
        • הנזק שנגרם.
        • עבירות אבטחה / משמעת קודמות של העובד.

 

10. בקרה
    • הממונה על אבטחת המידע ייזום מבדקים ותרגילים לבחינת יישום נוהל התגובה לארועי אבטחת המידע בטכניון לכל הפחות אחת לשנה. תוצאות מבדקים ותרגילים אלו יתועדו ומסקנות ייושמו תוך פרק זמן סביר.
    • הממונה על אבטחת המידע ייזום הדרכות תקופתיות למעורבים בתהליך התגובה לאירועי אבטחת מידע לכל הפחות אחת לשנה במסגרת תוכנית המוכנות של הטכניון לאירועי אבטחת מידע.

 

11. אכיפה
    • כל המשתמש בציוד מחשוב/במידע הנמצא בבעלות הטכניון ו/או באחריותו חייב לפעול לפי נוהל זה. נוהל זה הוא חלק בלתי נפרד ממדיניות הטכניון. הפרה של נוהל זה תגרום לשלילת הגישה ו/או העמדה לדין משמעתי ו/או אזרחי לפי החוק.

 

12. תחולה ותוקף
    • נוהל זה חל על:
      • העובדים בכל יחידות הטכניון רבתי או המשתמשים במערכות אורחות.
      • נוהל זה תקף מיום פרסומו.

 

פרופ’ זלמן פלמור מנכ”ל הטכניון

 

 

 

 

 

13. נספח א’ – דגשים לטיפול באירועי אבטחה ספציפיים

נספח זה מפרט דגשים במהלך הטיפול באירועי אבטחת המידע המפורטים. בכל אירוע יש לפעול על פי הוראות הנוהל המלא תוך וידוא כי הדגשים המפורטים להלן מבוצעים.

אירוע	חומרה	מדווחים	תגובה
התרעה על סימני פריצה ברכיבי תקשורת ו/או בקבצי מערכת (לוגים של המערכת, שינויים בלתי מוסברים בקבצי מערכת ו/או בקבצי אבטחה ו/או בקבצי קונפיגורציית מערכת)	חמורה	§  ממונה אבטחת המידע. §  ראש המחלקה שרכיב ה-IT הרלוונטי  ו/או השירות העסקי הרלוונטי שנפגעו נמצאים באחריותה.	§  יש ליידע את הממונה על אבטחת המידע ואת ראש המחלקה שרכיב ה-IT הרלוונטי נמצא באחריותה §  אגף מחשוב ומערכות מידע  יפעל לגילוי מקור הניסיונות, לגילוי מידת הנזק שנגרמה. הצוות יחליט על צעדי מנע שניתן לנקוט במערכת, על מנת למנוע הישנות התופעה.במידה ושירות עסקי כלשהו נפגע, באחריות ראש אגף מחשוב ומערכות מידע לדווח גם לבעלי היחידה העסקית. §  סמנכ”ל המחשוב ישקול עדכון הנהלת הטכניון ועירוב גורמי חוק במידת הצורך.
התרעה על סימני פריצה או פגיעה בנתונים ו/או בקבצי משתמשים (בדוגמת וירוס כופר, גניבת ציוד מחשוב, אובדן של ציוד אכסון נתונים) (פגיעה בסודיות / שלמות / זמינות).	חמורה	§  ממונה אבטחת המידע. §  מנהל אגף מחשוב ומערכות מידע. §  ראש המחלקה שרכיב ה-IT הרלוונטי  ו/או השירות העסקי הרלוונטי שנפגעו נמצאים באחריותה.	§  יש ליידע את הממונה על אבטחת המידע ואת ראש המחלקה שאכסון הנתונים נמצא באחריותה. §  אגף מחשוב ומערכות מידע  יפעל על פי ההנחיות בנספח ב’ – פירוט הצעדים הנדרשים לתגובה וטיפול באירועי אבטחת מידע, לגילוי מידת הנזק שנגרמה. הצוות יחליט על צעדי מנע שניתן לנקוט במערכת, על מנת למנוע הישנות התופעה. §  במידה ושירות עסקי כלשהו נפגע, באחריות ראש אגף מחשוב ומערכות מידע לדווח גם לבעלי היחידה העסקית. §  במידה וקיים חשש לדלף מידע, יש לפעול על פי הנחיות הרגולציה הרלוונטיות להגנת הפרטיות. §  סמנכ”ל המחשוב ישקול עדכון הנהלת הטכניון ועירוב גורמי חוק במידת הצורך.
אירועי התקפה מסוג Denial Of Service , נפילות בלתי מוסברות ו/או שיבוש שירות של שרתים. (פגיעה בזמינות).	חמורה	§  ממונה אבטחת המידע. §  מנהל אגף מחשוב ומערכות מידע. §  ראש המחלקה שרכיב ה-IT הרלוונטי  ו/או השירות העסקי הרלוונטי שנפגעו נמצאים באחריותה.	§  אגף מחשוב ומערכות מידע  יידע את הממונה על אבטחת המידע. §  אגף מחשוב ומערכות מידע  יפעל לחקירת האירועים – מקורם ומאפייניהם. §  אגף מחשוב ומערכות מידע  יחקור אפשרויות להעלאת רמת האבטחה של המערכת. §  סמנכ”ל המחשוב יבצע אסקלציה לגורמי הנהלת הטכניון, במידת הצורך.
אירוע התקפה על אתרי ו/או שרתי אינטרנט/Web של הטכניון.	חמורה	§  ממונה אבטחת המידע. §  בעל האתר ו/או השרת הרלוונטיים.	§  יש לדווח לממונה על אבטחת המידע. §  ממונה אבטחת המידע יידע את בעל האתר ו/או השרת הרלוונטיים. §  ממונה אבטחת המידע ידווח לראש אגף מחשוב ומערכות מידע. §  ממונה אבטחת המידע יחליט האם קיים צורך בחסימה עד לביצוע התאוששות האתר ו/או השרת הרלוונטיים וייידע את ראש אגף מחשוב ומערכות מידע בדבר החלטתו.
עובד הרשה ביודעין לגורם זר לפעול תחת “זיהוי המשתמש” שלו (פגיעה בסודיות / שלמות / זמינות).	חמורה	§  ממונה אבטחת המידע. סמנכ”ל המחשוב. §  הממונה הישיר על העובד. §  סמנכ”ל משאבי אנוש.	§  חסימת חשבון העובד באופן מיידי על ידי אגף המחשוב. §  דיווח מיידי על ידי סמנכ”ל המחשוב לממונה הישיר על העובד, אשר ישקול יחדיו עם סמנכ”ל המחשוב נקיטת צעדים משמעתיים נוספים כנגד העובד.
ניצול חשבון גישה למערכות המחשב של עובד על ידי עובד אחר שלא בידיעתו ו/או שלא ברשותו.	רגילה	§  ממונה אבטחת המידע. §  סמנכ”ל המחשוב. §  הממונה הישיר על העובד. §  סמנכ”ל משאבי אנוש.	§  תוחלף הסיסמא בחשבון הגישה. §         דיווח מיידי על ידי סמנכ”ל המחשוב לממונה הישיר של כל אחד מהעובדים הרלוונטיים, אשר ישקלו יחדיו עם סמנכ”ל המחשוב נקיטת צעדים משמעתיים נוספים כנגד העובדים.

 

 

14. נספח ב’ – פירוט הצעדים הנדרשים לתגובה וטיפול באירועי אבטחת מידע

נספח זה מפרט את הצעדים הנדרשים לתגובה וטיפול באירועי אבטחת המידע מכל אחד מהגורמים הטכנולוגיים המעורבים כמפורט בנוהל זה.

• מחלקת אתרי WEB
  • באירועי אבטחת מידע הקשורים לאתרי אינטרנט (לדוגמא: Defacement, השחתה, שתילת קוד, ניצול האתר למשלוח הודעות ספאם, העתקת תכנים המוגנים בזכויות יוצרים, שכפול האתר על ידי גורם חיצוני לטכניון, וכד’) מחלקת אתרי WEB תגיב בהתאם לפעולות הבאות:
    • במקרים של השחתה ו/או Defacement ממונה אבטחת המידע יורה על הורדת האתר הרלוונטי מרשת האינטרנט (ביצוע חסימה מול רשת האינטרנט).
    • לאחר הורדת האתר מרשת האינטרנט, תבצע מחלקת אתרי WEB שימור של המצב הקיים של האתר הפגוע וזאת בכדי לתמוך בחקירה פורנזית ככל שתידרש בהמשך.
    • הממונה על אבטחת המידע יורה למנהל מחלקת WEB על העלאת האתר בעותק חדש בסביבת בדיקות, אשר במידת הצורך יפעיל את הקבלן הרלוונטי לאותו אתר ו/או גורמים נוספים כמו מחלקת ליבה, גורמי חוץ וכד’. על העותק החדש בסביבת הבדיקות יבצועו בדיקות אבטחת מידע ככל שיורה עליהן ממונה אבטחת המידע.
    • בסיום מוצלח של שלב הבדיקות ועל פי אישור של ממונה אבטחת המידע, יעלה האתר בחזרה לסביבת הייצור של הטכניון.
    • באחריות ממונה אבטחת המידע ועל פי שיקול דעתו לבצע חקירת סיבת השורש לאירוע (Root Cause Analysis), ולשתף את הגורמים הרלוונטיים בתוך ומחוץ לטכניון, בממצאי החקירה ולבצע את השינויים הנדרשים ככל העולה מדוח החקירה.

 

• מחלקת ליבה/Windows/תמיכת משתמשים
  • באירועי אבטחת מידע הקשורים למערכות Windows ו-Linux/Unix (לדוגמא: התווספו חשבונות Admin חדשים ולא מוכרים, בוצעו העלאת הרשאות למשתמש שלא ברשות, נוספו תיקיות שלא ברשות, וכד’) תגיב מחלקת ליבה/Windows בהתאם לפעולות הבאות:
    • מחלקת ליבה/Windows בשיתוף עם ממונה אבטחת המידע תקבל החלטה האם להשבית שירותים כלשהם (חשבונות משתמש, אפליקציה לדוגמא), או לחילופין לטפל באירוע ללא השבתה.
    • לאחר השבתת השירות, תבצע מחלקת ליבה/Windows שימור של המצב הקיים של השרת הפגוע וזאת בכדי לתמוך בחקירה פורנזית ככל שתידרש בהמשך.
    • הממונה על אבטחת המידע יורה למנהל מחלקת ליבה/Windows על העלאת השרת בעותק חדש בסביבת בדיקות. על העותק החדש בסביבת הבדיקות יבצועו בדיקות אבטחת מידע ככל שיורה עליהן ממונה אבטחת המידע.
    • בסיום מוצלח של שלב הבדיקות ועל פי אישור של ממונה אבטחת המידע, יעלה השרת בחזרה לסביבת הייצור של הטכניון.
    • באחריות ממונה אבטחת המידע ועל פי שיקול דעתו לבצע חקירת סיבת השורש לאירוע (Root Cause Analysis), ולשתף את הגורמים הרלוונטיים בתוך ומחוץ לטכניון, בממצאי החקירה ולבצע את השינויים הנדרשים ככל העולה מדוח החקירה.

 

• מחלקת תקשורת
  • באירועי אבטחת מידע הקשורים למערכות תקשורת (לדוגמא: שינוי קונפיגורציה של התקן תקשורת, תקיפת מניעת שירות פנימית או חיצונית לטכניון, הוספת רכיבי תקשורת לא מנוהלים ו/או לא מאושרים, הוספת חשבונות Admin לציוד תקשורת קיים, וכד’) תגיב מחלקת תקשורת בהתאם לפעולות הבאות:
    • מחלקת תקשורת בשיתוף עם ממונה אבטחת המידע תקבל החלטה האם להשבית שירותים כלשהם, או לחילופין לטפל באירוע ללא השבתה.
    • לאחר השבתת השירות, תבצע מחלקת תקשורת שימור של המצב הקיים של הציוד הפגוע וזאת בכדי לתמוך בחקירה פורנזית ככל שתידרש בהמשך.
    • הממונה על אבטחת המידע יורה למנהל מחלקת תקשורת על העלאת הציוד בעותק קונפיגורציה חדש בסביבה נפרדת ועצמאית. ככל שיתאפשר יבודצעו הבדיקות על רכיב היתר של הסביבה הפגועה או לחילופין תנותב התקשורת לרכיב היתר והחקירה תתבצע על הרכיב הפגוע.
    • בסיום מוצלח של שלב החקירה ועל פי אישור של ממונה אבטחת המידע, יעלה הציוד בחזרה לסביבת הייצור של הטכניון.
    • באחריות ממונה אבטחת המידע ועל פי שיקול דעתו לבצע חקירת סיבת השורש לאירוע (Root Cause Analysis), ולשתף את הגורמים הרלוונטיים בתוך ומחוץ לטכניון, בממצאי החקירה ולבצע את השינויים הנדרשים ככל העולה מדוח החקירה.
  • מוקד תמיכה כלל טכניוני
    • בכל אירועי אבטחת מידע המשפיעים ישירות על משתמשי הקצה (לדוגמא: פגיעה במודול במערכת SAP, השבתת אתר אינטרנט, השבתת שירות קריטי ו/או נרחב למשתמש) באחריות ממונה אבטחת המידע ליידע את מוקד התמיכה.