למרות הפרסומים אודות מכירת ספינות מלחמה ליוון על ידי ארה״ב, בצרפת טוענים שהם אלו שימכרו ליוון את הספינות - למרות ההצהרות האמריקאיות REUTERS/Kevin Lamarque בספטמבר האחרון הודיעה אוסטרליה כי היא מבטלת את פרוייקט הצוללות שלה עם Naval Group הצרפתית ומתחילה בפרוייקט צוללות חדש, לרכש צוללות גרעיניות, מול בריטניה וארצות הברית, במסגרת הסכם אסטרטגי, שנחתם בין שלוש המדינות.  הנשיא הצרפתי, עמנואל מקרון, לא נותר שקט, ופתח במערכה מדינית מול אוסטרליה, בריטניה וארצות הברית, והאשימן במגוון האשמות, מבלי לקחת את האחריות על התנהלותה של Naval Group בפרוייקט, העיכובים שגרמה ואי-השלמתן של אבני דרך רבות בפרוייקט. יש לציין, שהממשל הצרפתי, יחד עם משרד ההגנה ושירותי המודיעין של צרפת, תומכים בתעשיות הביטחוניות המקומיות, ועושים מאמצים רבים, על מנת שאלו יזכו במכרזים בינלאומיים. מקרון, הנאבק על כהונה נוספת ונמצא במהלכה של שנת בחירות קשה, מיהר לפנות מאמציו אל עבר השוק היווני.  באוקטובר האחרון, כשבועיים לאחר ההודעה הדרמטית של אוסטרליה, יצאו הנשיא הצרפתי וראש הממשלה היווני, כי שתי הממשלות הגיעו להבנות על רכש של שלוש או ארבע פריגטות עבור חיל הים היווני ממספנות Naval Group.  אך וושינגטון לא מוותרת בתחרות ההולכת וגוברת בממד הימי. בסוף השבוע האחרון הודיעה הסוכנות שיתוף הביטחוני האמריקאי, ה- Defense Security Cooperation Agency, כי היא מאשרת לחברת Lockheed Martin מכירתן של ארבע פריגטות רב-משימתיות מתקדמות ליוון בפרוייקט המוערך בכ- 6.9 מיליארד דולר, בנוסף אושר פרוייקט נוסף לשדרוגן של אוניות הצי היווני מדגם Meko ושילוב מערכות לחימה בהן, בכ- 2.5 מיליארד דולר. הצרפתים לא נותרו אדישים להכרזה האמריקאית, ומשרד ההגנה הצרפתי מיהר להכריז באותו היום כי אין כל עניין ממשי בהצהרות האמריקאיות, שכן הפרוייקט עם Naval Group כבר סוכם, ופרטיו ייחתמו בשבוע הקרוב.  Naval Group תספק לצי היווני ארבע פריגטות צרפתיות, כשהראשונה בהן תסופק כבר ב- 2024, מיהר נציג משרד ההגנה הצרפתי לעדכן. Naval Group כמו בכל פרוייקט שלה בשנים האחרונות, מספקת לוחות זמנים לא הגיוניים וקונה את לקוחותיה בהבטחות על אספקות מהירות ובמחירים שוברי שוק. כך אגב היה גם בצ'ילה, ברזיל והודו. בכל הפרוייקטים בשנים האחרונות חרגה החברה הצרפתית לפחות בשנתיים בזמני האספקה שלה ובתקציבי הפרוייקט. כשברקע מקרון מאבד מיכולתו לסייע לתעשיות הצרפתיות מעצם עיסוקו בתהליך הבחירות ומכיוון שכבר איבד קרדיט רב בפרשת הצוללות האוסטרלית מחד. מאידך, ההתעצמות האדירה של הצי הטורקי המאיים על יוון, המהלך האמריקאי עשוי בהחלט להטות את מאזניי ההחלטה ביוון, לטובת האוניות האמריקאיות, מערכות הלחימה שלהן, המשולבות במערך של נאט"ו, ושדרוג האוניות הוותיקות של הצי היווני.  

אפליקציות אלו מציעות למשתמשים לבצע מעקב אחר שגרת אימוניהם הגופניים, מעקב אחר הרגלי התזונה, הרגלי השינה ועוד. הן אוספות עלינו נתונים בזמן אמת ואף משדרות נתונים אלו לשרתים של צד שלישי bigstock הרשות להגנת הפרטיות מפרסמת סדרת המלצות לציבור בשימוש באמצעים טכנולוגיים ואפליקציות העוקבות אחר שגרת אימונים, הרגלי תזונה, שינה ועוד. הרשות ניתחה את מסמכי מדיניות הפרטיות של אפליקציות נפוצות לבריאות וכושר ושל מכשירים לבישים למטרות ספורט ובריאות ומציגה לציבור את הסיכונים העיקריים ואת ההמלצות המרכזיות לשימוש בטוח ומאוזן, תוך שמירה על פרטיות המשתמשים בהם. בשנים האחרונות גובר השימוש באמצעים טכנולוגיים לצרכי בריאות וספורט הכוללים מגוון גדול מאוד של אפליקציות המציעות למשתמשים לבצע מעקב אחר שגרת אימוניהם הגופניים, מעקב אחר הרגלי התזונה, הרגלי השינה ועוד. אפליקציות אלו אוספות עלינו נתונים בזמן אמת ואף משדרות נתונים אלו לשרתים של צד שלישי, ובכך מהוות איום על פרטיות המשתמשים. אמצעים אלה כוללים גם מכשירים לבישים האוספים נתונים אישיים כגון מידע פיזיולוגי כמו לחץ דם, ספירת צעדים באמצעות חיישנים מיוחדים ובכך גדל הסיכון לפרטיות המשתמשים בהם. אמצעים אלה קלים להורדה והשימוש בהן ידידותי ונוח. על אף יתרונותיהם הרבים, אמצעים אלה אוספים בד"כ מידע רגיש רב, כהגדרתו בחוק הגנת הפרטיות. החשש הוא שאבטחת מידע לא מספקת, או העברת המידע לצדדים שלישיים המעוניינים בו, עלולה להביא לפגיעה בפרטיות המשתמשים. יתרה מזאת, נתונים שנאספו של ידי אמצעים אלה יכולים להיות מוצלבים עם מידע אישי ממקורות אחרים, כמו חברות תרופות, וגם בכך להביא לפגיעה בפרטיות המשתמשים. לאחר שניתחה את מסמכי מדיניות הפרטיות של אפליקציות בריאות וכושר מרכזיות, הפועלות כיום, ושל מכשירים לבישים למטרות ספורט ובריאות, מפרסמת הרשות לציבור שני מסמכים בנושא שסוקרים את מגוון השימושים הנפוצים באמצעים טכנולוגיים לצרכי בריאות וספורט, מציגה את הסיכונים העיקריים לפרטיות המשתמשים ומספקת המלצות להתנהלות נכונה לשם צמצום הפגיעה בפרטיות בעת שימוש בהם. להלן עיקר המלצות הרשות להגנת הפרטיות לציבור 1.       בעת התקנת האפליקציה - בדקו את אמינות האפליקציה ואת רמת אבטחת המידע שלה, נסו להעריך את האיכות והתוכן של האפליקציה באתר של מפתח היישום. לשם כך, חפשו ביקורות משתמשים באמצעות חנות האפליקציות או ברחבי הרשת. 2.       השתדלו להוריד אפליקציות רק מחנויות אפליקציות רשמיות של מערכות ההפעלה הגדולות. קראו בעיון את מדיניות הפרטיות של האפליקציה (אם קיימת כזו). שימו לב! אם אין לאפליקציה אתר אינטרנט, ייתכן שלא תהיה לה מדיניות פרטיות. מצאו את כל הפרטים הרלוונטיים ליצירת קשר ובמידת הצורך פנו למפתח עם שאלות. 3.       הגבלת הרשאות של האפליקציה - הגבילו את כמות המידע האישי שאתם מוסרים במסגרת השימוש באפליקציה. חלק מן האפליקציות מאפשרות לנסות את היישומים שלהן מבלי להזין פרטים אישיים. נצלו את ההזדמנות הזו כאשר היא מוצעת כדי להחליט אם ברצונכם להמשיך להשתמש באפליקציה. 4.       שיתוף במידע מהאפליקציה - בחנו האם בכוונתכם לשתף את המידע ברשתות חברתיות. אפליקציות רבות מאפשרות ואף מעודדות משתמשים לשתף מידע רגיש באמצעות הרשתות החברתיות. שימו לב, כי מרגע שהחלטתם לשתף את המידע, הוא יהיה נגיש לעיני כל (בהתאם להגדרות הפרטיות שלכם ברשתות החברתיות), ולמעשה ייצא משליטתכם. 5.       במהלך השימוש באפליקציה - הקפידו להטמיע עדכוני אבטחה שמפרסם מפעיל האפליקציה, כדי להבטיח שהיא תהיה מוגנת מפני סיכוני אבטחה חדשים. השתדלו לעקוב אחר הרשאות הגישה של האפליקציה, גם בעת הורדת עדכוני תוכנה. אם הורחבו ההרשאות במידה המנוגדת לרצונכם - שקלו למחוק את חשבון המשתמש ואת האפליקציה. 6.       סיום שימוש באפליקציה - הפסקתם להשתמש באפליקציה? מחקו אותה. רק כך תבטיחו כי האפליקציה הפסיקה לבצע פעולות כמו לשדר את המיקום שלכם או לקיים אינטראקציה עם יישומים אחרים במכשיר. 7.       שימו לב כי באפליקציות רבות המידע שלכם נשמר גם לאחר מחיקת החשבון. אם חדלתם להשתמש ביישום, בדקו אם באפשרותכם למחוק הן את הפרופיל האישי שלכם והן את ארכיון הנתונים שיצרתם באמצעות היישום. אם ברצונכם לשמור בנפרד נתונים שכבר הזנתם, אפליקציות רבות מציעות את האפשרות להוריד את הנתונים שלכם ולשמור אותם כקובץ. 8.       אתרו את הגדרות הפרטיות במספר מיקומים - אל תסתפקו בבדיקת הגדרות הפרטיות במכשיר עצמו. לרוב, הגדרות הפרטיות יופיעו בשלושה מקומות: במכשיר עצמו, באפליקציה המקושרת למכשיר בטלפון שלכם וכל פורטל אינטרנטי שעשוי להיות מקושר לשירות. כמו כן, מומלץ לבדוק את ההגדרות בכל פלטפורמות מדיה חברתית או בעת יצירת חשבונות חדשים. 9.       בדקו את הגדרות הפרטיות במכשיר הלביש - כאשר אנו מקבלים מכשיר חדש, הנטייה היא לעבור את תהליך ההתקנה במהירות המרבית, ולדלג על שלבים, כדי להתחיל להשתמש בו מיד. עברו בקפידה על כל שלבי ההתקנה, שכן קבלת הגדרות ברירת המחדל לפרטיות במכשיר עלולה לפגוע בפרטיותכם. למשל, חשוב לבדוק האם המכשיר אוסף ומשתף את הנתונים הסטטיסטיים והמיקומים שלכם. במקרים מסוימים מכשירים לבישים מחוברים לרשתות חברתיות. על כן שימו לב האם המכשיר משתף את הנתונים הרפואיים שלכם עם אחרים, משתף באופן ציבורי, משתף עם "חברים" בלבד, או שאינו משתף כלל. שקלו היטב האם לאפשר לאחרים לדעת את מסלול הריצה שלכם או את הזמנים שבהם אתם נמצאים במקומות מסוימים. 10.   שקלו להשבית מעקב אחר מיקום - רוב המכשירים הלבישים מבצעים מעקב מיקום גאוגרפי, בין אם על המכשיר או על האפליקציה המשויכת למכשיר. הדרך הקלה ביותר להגן על עצמכם עשויה להיות פשוט לבטל מעקב אחר מיקום גיאוגרפי במכשיר. 11.   היו פרואקטיביים בהגנה על המידע האישי שלכם - מומלץ לקיים מדי פעם בדיקת עדכונים למדיניות הפרטיות של מכשירים לבישים ובדיקה קבועה של עדכון אבטחת המכשיר. כיצד להקטין את איסוף המידע?  בחרו הגדרות פרטיות חזקות שיאפשרו לצמצם את הנתונים הזמינים לגורמים נוספים. כבו את המכשיר בסיום השימוש. בעת שהמכשיר כבוי לא ייאסף מידע. מחקו מידע לצמיתות - אם אינכם זקוקים יותר למכשיר, ודאו שכל המידע האישי הוסר לצמיתות. שימו לב כי הדבר עשוי לכלול יותר מאשר איפוס מכשיר להגדרות היצרן. שקלו האם לשתף מידע אודותיכם - אם בכוונתכם לשתף את המידע ברשתות חברתיות או בפורומים מקוונים של משתמשי המכשיר, שימוש לב כי המידע יהיה נגיש לעיני אנשים רבים (בהתאם להגדרות הפרטיות שלכם ברשתות החברתיות), ולמעשה אתם עשויים לאבד שליטה על המידע.

התרגיל מתקיים בשיתוף כ-150 חברות, בנקים, משרדי ממשלה, רשויות מקומיות וגופי ביטחון. כ-20 ארגונים שלחו הודעות פישינג מתחזות ליותר מ-80 אלף עובדים וחיילים במצטבר bigstock במסגרת שבוע הגנת הסייבר, התקיים אתמול תרגיל נרחב בהובלת מערך הסייבר הלאומי ובהשתתפות כ-20 ארגונים ששלחו הודעות פישינג מתחזות ליותר מ-80 אלף עובדים וחיילים במצטבר. עובדים וחיילים שלחצו על הקישור המתחזה, קיבלו הודעה שמדובר בתרגיל להגברת המודעות לנושא הודעות פישינג עם המלצות התגוננות. קרוב ל-40% מהמשתתפים, מצה"ל, מהמשטרה ומחברות גדולות במשק, לחצו על הקישור, מה שמצביע על הקלות שבה ניתן לדוג פרטים אישיים והחשיבות שבהגברת המודעות לנושא. לרגל השבוע שלח ראש הממשלה נפתלי בנט מסר מצולם לאזרחים ובו אמר בין היתר: "הדיגיטציה מאפשרת להמשיך ככל הניתן בשגרת החיים הרגילה, במקום העבודה, בלימודים ובמסחר. ראינו במיוחד בתקופת הקורונה איך כולם עובדים מרחוק. ״ישראל חזקה בסייבר ואנחנו הולכים ומתחזקים. אבל צריך לדעת - גם האיומים כלפי ישראל הולכים וגוברים כל העת וגם ברמה הלאומית. צריך להיות עירניים כי מנסים לדלות את הפרטים האישיים של אזרחי ישראל". מתקפות פישינג הן בין המתקפות הנפוצות בשימוש תוקפים בעולם הסייבר. רק בשנה האחרונה התקבלו במערך הסייבר הלאומי יותר מ-2,500 דיווחים בנושא, כאשר כל דיווח מצביע על בין עשרות למאות אלפי הודעות שנשלחו. במסגרת השבוע מוביל מערך הסייבר הלאומי מגוון אירועים וקמפיין הסברה שמטרתם להעלות את המודעות של הציבור לתופעה שרבים עדיין נוטים ליפול בה. השבוע מתקיים בשיתוף כ-150 חברות, בנקים, משרדי ממשלה ורשויות מקומיות. בין השותפים השונים לשבוע: משרד ראש הממשלה, המשרד לביטחון פנים, משרד החוץ, משרד החינוך, בנקים, משטרת ישראל, הלשכה המרכזית לסטטיסטיקה, חברת החשמל, מתקן ההתפלה שורק, גב ים נגב, פרטנר, הפניקס,ARMOR IT & SECURITY LTD , CyberArk, MAX, ביטוח ישיר ועוד. תגובת דובר צה״ל ״השבוע נפתח שבוע ההגנה הלאומי בסייבר. השבוע, המתקיים בהובלת מערך הסייבר הלאומי ובשיתוף אגף התקשוב וההגנה בסב״ר ומערך ביטחון המידע של צה״ל, יצוין עד ה-16 בדצמבר״, כותבים בתגובה של צה״ל.  ״מטרות השבוע הינן הגברת המודעות בקרב המשרתים לאירוע סייבר וחיזוק ההגנה במרחב הרשתי תוך הנעה להפעלת כלים בסיסיים לבטיחות ברשת. במהלך השבוע יופצו תכנים יעודיים שונים כחלק מהעלאת המודעות לסוגיות ההגנה בסייבר. ״בתרגיל שנערך בשיתוף מערך הסייבר הלאומי והוא מסרון שהופץ במסגרת תרגיל פתע המדמה תקיפת 'פישינג'. מטרתו הייתה לתרגל ולחזק את המודעות לאיומי הסייבר וזאת במטרה לשפר את חסינות צה"ל מפני איום זה. על הקישור לחצו כ-30% מכל מי שנשלח אליו המסרון. התרגיל הופנה למפקדים האמונים על ההסברה לחייליהם.״

תמונת לווין מאיראן מראות על שיגור לווין קרוב? מומחים טוענים כי ייתכן ומדובר בעבודות תחזוקה שגרתיות או הכנות לשיגור בינואר-פברואר https://en.irna.ir/news/84207634/Iran-launches-Zuljanah-Satellite-carrie... בימים האחרונים עולה טענה המבוססת על תמונת לווין מאיראן, כי הממשל בטהרן רוצה "לעשות שרירים" באמצעות שיגור לווין לחלל על רקע שיחות הגרעין בווינה.  ובכן, לא כולם תמימי דעים סביב הנחה זו. אמנם ניתן לפרק את תמונת הלווין כתיעוד של פעילות מקדימה לשיגור לווין, אך מסקנה ממנה כי השיגור קרוב, מהולה בהרבה אי וודאות.  טל ענבר, מומחה ישראלי לחלל, טילים וכטב״מ, טוען בציוץ בטוויטר כי ייתכן ומדובר בעבודות תחזוקה שגרתיות או בהכנות לשיגור בינואר או פברואר.  ההנחה כי האיראנים מחפשים שיגור לווין מיידי נובעת מהכותרות סביב השיחות בווינה. אלו, לכאורה, הגיעו למבוי סתום כאשר כל צד מתחפר בעמדה שלו.  תחת נרטיב זה, הטענה היא כי האיראנים רוצים ללחוץ על ארה"ב ואירופה להתגמש - באמצעות שימוש בשיגור לווין שיכול להתפרש כפעולה תמימה בטכנולוגיה דואלית שיכולה לשמש גם לצורך טק״ק.  עם זאת, איראן כבר חשפה בעבר טק״ק לטווחים של אלפי ק״מ ואף עשתה בחלק מהדגמים שימוש מבצעי, כך ששיגור לווין כעת לא צפוי לשנות כלום בהיבט יכולות הטק״ק של איראן.  זאת ועוד, שיגור לווין חלל אינו אקט אסור על פי משטר הסנקציות של האו״ם או מלחמתי. כי אם מדובר בפעולה למטרה מדעית.      

מדברי ראש הממשלה, נפתלי בנט: "אני מעריך את האירוח החם שלכם. זו קבלת פנים נפלאה״ סטילס: חיים צח/ לע"מ ראש הממשלה, נפתלי בנט, נחת לביקור רשמי ראשון של מנהיג ישראלי במדינה. רה"מ התקבל במשמר כבוד ע"י שר החוץ של איחוד האמירויות, ברקע דגלי ישראל והאמירויות במתחם קבלת הפנים ראש הממשלה, נפתלי בנט, נחת לפני זמן קצר בשדה התעופה המלכותי באבו דאבי, שם התקבל על ידי שר החוץ של איחוד האמירויות, שייח' עבדאללה בן זאיד, במשמר כבוד. מדברי ראש הממשלה, נפתלי בנט: "אני מעריך את האירוח החם שלכם. זו קבלת פנים נפלאה. אני מאוד נרגש להיות כאן, בביקור רשמי ראשון של מנהיג ישראלי כאן. אנחנו מצפים לחזק את מערכת היחסים בין המדינות".

גארי סורנטינו מזום, מסביר ומדגים מדוע חייבים לאמץ שלושה עקרונות מפתח: גישה של אפס אמון, התאמה אישית של הגנת מידע וחיזוק הכשרה מעשית  קרדיט: זום כוח העבודה ההיברידי הוא כבר מזמן לא רק מושג, הוא מציאות. כוח העבודה ההיברידי גם הביא עימו שלושה סוגים של עובדים שצוותי IT בארגונים ובחברות צריכים לקחת בחשבון: חלקם הולכים לעבודה כל יום, חלקם עובדים מרחוק וחלקם עובדים בשילוב של שניהם - כנראה הקבוצה המורכבת ביותר. עם הקבוצה האחרונה, העבודה יכולה להיות מכל מקום – בתים פרטיים, מרכזי עבודה שיתופיים, נמלי תעופה, מלונות ועוד רבים אחרים. נקודות החשיפה האפשריות לסיכונים מבחוץ הופכות במקרה הזה לאקספוננציאליות, ומחלקות ה-IT יצטרכו להתכונן למערך מגוון של סביבות לאבטחה ולבקרה. וזה מעלה את השאלה: איך מנהלים בהצלחה את זרימת העבודה של העובדים, עם מידע שנכנס ויוצא ממשרדים, שדות תעופה, חללי עבודה שיתופיים, בתי קפה וספריות? אצלנו בזום, החברה שהפכה לשחקנית מרכזית במעבר לעולם ההיברידי, החלטנו לחקור דרכים יעילות שבהן ארגונים יכולים ליצור אסטרטגיית אבטחה המושרשת בשונות של כוח העבודה ההיברידי. רצינו לבנות אסטרטגיה שפוגשת עובדים במקום שבו הם נמצאים ועוזרת להם ללמוד את התפקיד שהם ממלאים באבטחת מודל העבודה החדש הזה. האסטרטגיה הזו בנויה סביב שלושה עקרונות מפתח: אימוץ גישה של אפס אמון, התאמה אישית של הגנת מידע וחיזוק הכשרה מעשית. אפס אמון המשתמשים של היום מתמודדים עם איומים מורכבים יותר ויצירתיים יותר מאי פעם. היו מי שניצלו את המגיפה ושלחו  מייל פישינג מזויף לבדיקת קורונה, הודעות טקסט שהחבילה התעכבה, או שיחת טלפון לאיתור איש קשר. בימים אלה, התקפות הדיוג (phishing) מותאמות אישית יותר, תוכנות זדוניות הפכו לחמקניות יותר ותוכנות ransomware ממשיכות לשגשג. למעשה, על פי IBM 2021 X-Force Threat Intelligence Index, תוכנות אלה היו סוג האיומים המוביל - הן היוו 23% מההתקפות. תוכנת Sodinokibi (REvil) לבדה קצרה - באומדן שמרני - 123 מיליון דולר. עם התפתחות איומי האבטחה במקביל להתפתחות כוח העבודה ההיברידי, מדיניות ה-IT חייבת להתפתח אף היא. בתקופות של טרום מגיפה, ארגונים עדיין פרסו אבטחה היקפית, כאשר ההתמקדות הייתה בהקמת רשת לאבטחת נתונים ומשאבים. גישה זו מסתמכת על מערכות כמו חומות אש ומערכות בידוד דפדפן, ומתמקדת בזיהוי איומים, זיהוי מעקב וניתוח דפוסים. אבל הגישה הזו הפכה לחסרת תועלת מול משבר הקורונה ותהיה לא יעילה עם כוח העבודה ההיברידי. כשעובדים מסתובבים במשרד ומחוצה לו עם המחשבים שלהם, ה-IT צריך מודל אפס אמון. אנחנו כבר לא רק מגנים על ארבעת הקירות של העסק – המודל חייב לכלול את כל ארבעה הקירות אצל כל עובד באשר הוא.  מודל אפס אמון הוא המסלול היחיד שיכול להיות בר-קיימא עבור כוח העבודה ההיברידי. זוהי גישת מיקרו-פילוח, העוקבת אחר משתמשים, מיקומם ונתונים אחרים כדי לקבוע אם לסמוך על משתמש, מכונה או אפליקציה המבקשים גישה לנתונים מסוימים. אפס אמון מסתמך על טכנולוגיות כמו אימות רב-גורמי, ניהול זהויות וגישה (IAM), הצפנה, הרשאות ניקוד ומערכת קבצים וגורמים נוספים. חלק מהטכניקות הללו עשויות להרגיש צפויות לעובדים, בעוד שאחרות עשויות לדרוש הסבר מדוע הן חשובות והכרחיות. כדי לאפשר אימוץ קל של גישת אפס אמון, צריך להסביר לעובדים את הרלוונטיות המצבית במונחים של הדיוטות כדי להראות לעובדים את הכוח וההשלכות האפשריות של הפעולה שלהם - לדוגמה, ׳אנו דורשים single sign-on מכיוון שהסיסמה שלך היא עדיין שם הכלב שלך׳, או ׳פשוט לשנות מספר בסיסמה שלך׳ לא יספיק.  בנוסף, עלינו להכשיר את המשתמשים לפעול בצורה מינימליסטית - הם צריכים תמיד לנסות לבצע משימה עם כמות הגישה המינימלית האפשרית לנכסי הארגון. האם אתה באמת צריך להדפיס את המסמך הזה בבית? האם אתה חייב לבצע את שיחת הטלפון החסויה מבית קפה? צריך לגרום למשתמשים להיות מודעים לעצמם לגבי האבטחה שלהם, ולתת להם השראה להפוך לקציני אבטחת המידע (CISO) של חייהם.  התאמה אישית בעוד שאבטחת נתונים התמקדה תמיד יותר בפרצות אבטחה גדולות, ה-IT צריך כעת להתמקד באבטחת נקודות קצה קונטקסטואלית, כדי להיות מסוגל להרחיב את הגנת הנתונים כדי לענות על הצרכים של כוח עבודה בכל מקום. יש לקבוע עקרונות ותוצאות מוגדרים עבור אופן הטיפול בנתונים לפי סוג סביבה - כל סוג של סביבה שאתה חושב שעובד עשוי לעבוד ממנה. לדוגמה, הטיפול בנתונים שונה כאשר העובדים נמצאים בתרחיש מבוקר של משרד או בבית לעומת בית קפה. מעבר לכך, צוותי IT צריכים לפרוס תוכניות שיאבטחו כל מכשיר בכל מופע, כמו אסטרטגיית ניהול מכשירים ניידים (MDM). תכנית MDM מקיפה מקימה בסיס יציב ומוגן. יש לעבוד עם ספק מהימן כדי לפרוס יישומים ותצורות במכשיר, מדיניות ותעודות ארגוניות ותשתית עורפית כדי לפשט את ניהול המכשירים וליצור נראות לתוך אבטחת נקודות הקצה. עם זאת, צוותי IT חייבים לאזן בין השימוש בהגנת MDM לבין השימוש האישי של העובדים במכשירים.  מכיוון שהמכשירים של העובדים יתקיימו ברשתות ארגוניות ואישיות כאחד, צוותי IT צריכים לזכור גם שהגנה על שני סוגי הרשתות היא הכרח לאבטחת מידע. בכל הנוגע לרשתות אישיות, ה-IT צריך ללמד את העובדים כיצד לאבטח את הרשתות הביתיות שלהם ולעודד אותם לפעול לפי שיטות עבודה מומלצות פשוטות, כגון שינוי סיסמאות ברירת מחדל ושמירה על עדכניות הקושחה. ה-IT חייב גם להבטיח שאופציה של רשת וירטואלית פרטית (VPN) היא סטנדרט עבור כל העובדים, אבל במיוחד עבור אלה שקופצים הלוך ושוב בין המשרד לבית ונמצאים כל הזמן בדרכים.  כדי להגן על עובדים במשרד, צוותי IT צריכים לפרוס פתרונות רשת זריזים המציעים ניטור בזמן אמת, זיהוי חריגות, מיקרו-פילוח ורשתות בהסגר. אין לאפשר שימוש במכשירים לא רשומים ברשתות ארגוניות. ניטור וזיהוי צריכים להיות נתמכים על ידי מרכז פעולות אבטחה (SOC) המיועד גם לכוח העבודה החדש הזה. בעוד שרבים פנו ל-SOC וירטואלי בעידן הקורונה, צוותי IT של ארגונים גדולים יותר עם תקציבים גמישים צריכים לשקול לאמץ סוג חדש של SOC שמאפשר להם להתרחב כפי שעושה כוח העבודה. SOC היברידי משלב פעולות פנימיות עם פעולות וירטואליות במיקור חוץ. כאשר חלק מחברי ארגון ה-IT מטפלים בתחומי מיקוד מרכזיים בעוד שאחרים מספקים סוג מסוים של תמיכה נוספת. SOC היברידי יכול לסייע בכיסוי חוץ-משרדי, 24/7 וגלובלי, כמו גם לאפשר ל-IT פנימי להתמקד במשימות אסטרטגיות יותר בזמן שהחברים במיקור חוץ מטפלים בתיקון בעיות. חיזוק הכשרה מעשית הטבע האנושי הוא החוליה החלשה ביותר בכל אסטרטגיית אבטחה. מדד IBM 2021 X-Force Threat Intelligence4 מדווח כי 95% מפרצות אבטחת הסייבר נובעות מטעויות אנוש. לכן הכשרה, בדיקות ומודעות לאבטחה ימשיכו לשחק תפקיד מרכזי. הדרכה ולמידה מתמשכת עוזרים לעובדים להבין את התפקיד שממלא משתמשי הקצה בתנוחת האבטחה הכוללת של ארגון. זה יוצר תחושת אחריות. הכשרה ומודעות גם יוצרים תרבות של אבטחה, שבה כל הצדדים מרגישים מושקעים ואחראים בהגנה הכוללת של ארגון, גם אם הם מנותקים ממקום פיזי." הכשרה בסיסית כבר לא יכולה להיות האופציה היחידה להילחם באיומים המתקדמים של היום - היא צריכה להשתפר מאוד. הדרכת אבטחה משופרת חייבת להיות בעדיפות ראשונה עבור כל החברות בעתיד. לא רק שהעובדים זקוקים ללמידה מתמשכת על שיטות עבודה מומלצות לאיתור איומים והגנה על נתונים, אלא גם להדרכה על כל טכנולוגיה שנכנסת לתשתית העסק. אנחנו צריכים להבטיח שכל טכנולוגיה שאנו מביאים היא פלטפורמה ידידותית למשתמש שיש לה בקרות נאותות שהגיוניות לאנשים שמנהלים ומשתמשים בטכנולוגיה מדי יום. יש לשלב את היישום עם הדרכות ייעודיות והדרכות מעשיות על התוכנה. ההדרכה צריכה להיות מבוססת דוגמאות עם תרחישים אמיתיים ובלתי צפויים, כך שהשיעורים ירגישו ישימים לחיי המשתמשים. צריך ליצור חוויה בלתי נשכחת לעומת משימה רבעונית שהעובדים מרגישים מחויבים להשתתף בה.   המשתנה האנושי     המשתנה האנושי של כוח העבודה ההיברידי יכול להיות האיום הגדול ביותר או היתרון התחרותי הגדול ביותר לארגונים. ההצלחה בנוף המורכב של היום תיקבע על ידי האופן שבו ארגונים בונים את האסטרטגיה שלהם סביב המשתנה הזה. מנהיגים במגזר האבטחה יכולים לחשוש מהטבע הבלתי צפוי של כוח העבודה ההיברידי או לרתום את כוחו של הפוטנציאל האנושי כדי להחדיר ביטחון למרקם הארגון שלהם. בני אדם עושים לעתים קרובות מה שנוח או מרתק; אבטחה יכולה להיות גם וגם. בעוד שכוח העבודה ההיברידי פירושו יותר נקודות קצה ויותר סביבות עבודה, זה גם פותח הזדמנויות למנהיגים להחדיר את נושא האבטחה כמרכיב יסוד בתרבות החברה.  מאת: גארי סורנטינו, סגן CIO גלובלי בזום

300 רכבים מוגני מיקוש מסוג קוגר בשווי 27.5 מיליון דולרים יסופקו ברבעון הראשון של שנת 2022   Cougar serving US Marines in Iraq. Photo: US Marine Corps via Wikimedia commons פולין וארה"ב חתמו בשבוע שעבר על חוזה לאספקת 300 רכבים משוריינים מוגני מיקוש (MRAP) מסוג קוגר (Cougar) בשווי של 27.5 מיליון דולרים. הרכבים יסופקו במהלך הרבעון הראשון של שנת 2022. כך על פי הודעת טוויטר של מנהל הרכש הצבאי הפולני. הקוגר הנו רכב שפותח בתחילת שנות האלפיים על ידי חברת Force Protection שנרכשה על ידי ג'נרל דיינמיקס ומבוסס על תכנון הרכב הדרום אפריקאי MRV. הראשונים לקבל רכב זה היה חיל הנחתים האמריקאי באמצע חודש אפריל 2004 והוא שימש עבורם כרכב נושא צוותי סילוק פצצות. בהמשך, גופים נוספים כצבא האמריקאי גילו עניין ברכב זה והצבא הבריטי רכש 600 רכבים כאלו בתצורות 4X4 ו-6X6. לקוגר מנוע בן 330 כוחות סוס המייצר מהירות של 88-105 קמ"ש וטווח פעולה של 670 ק"מ. הרכב במשקל כולל של 12.7 טונות עם יכולת נשיאה של 2.7 טונות ויכול לשאת 4 חיילים בנוסף לשני אנשי צוות. בסוף שנת 2008 ותחילת שנת 2009, קיבל כוח המשימה הפולני באפגניסטאן 40 רכבי קוגר 4x4 ממלאי חיל הנחתים האמריקאי. רכבים אלו החליפו את רכבי  HMMWV שנרכשו לפני כן. 

גארי סורנטינו מזום, מסביר ומדגים מדוע חייבים לאמץ שלושה עקרונות מפתח: גישה של אפס אמון, התאמה אישית של הגנת מידע וחיזוק הכשרה מעשית  קרדיט: זום כוח העבודה ההיברידי הוא כבר מזמן לא רק מושג, הוא מציאות. כוח העבודה ההיברידי גם הביא עימו שלושה סוגים של עובדים שצוותי IT בארגונים ובחברות צריכים לקחת בחשבון: חלקם הולכים לעבודה כל יום, חלקם עובדים מרחוק וחלקם עובדים בשילוב של שניהם - כנראה הקבוצה המורכבת ביותר. עם הקבוצה האחרונה, העבודה יכולה להיות מכל מקום – בתים פרטיים, מרכזי עבודה שיתופיים, נמלי תעופה, מלונות ועוד רבים אחרים. נקודות החשיפה האפשריות לסיכונים מבחוץ הופכות במקרה הזה לאקספוננציאליות, ומחלקות ה-IT יצטרכו להתכונן למערך מגוון של סביבות לאבטחה ולבקרה. וזה מעלה את השאלה: איך מנהלים בהצלחה את זרימת העבודה של העובדים, עם מידע שנכנס ויוצא ממשרדים, שדות תעופה, חללי עבודה שיתופיים, בתי קפה וספריות? אצלנו בזום, החברה שהפכה לשחקנית מרכזית במעבר לעולם ההיברידי, החלטנו לחקור דרכים יעילות שבהן ארגונים יכולים ליצור אסטרטגיית אבטחה המושרשת בשונות של כוח העבודה ההיברידי. רצינו לבנות אסטרטגיה שפוגשת עובדים במקום שבו הם נמצאים ועוזרת להם ללמוד את התפקיד שהם ממלאים באבטחת מודל העבודה החדש הזה. האסטרטגיה הזו בנויה סביב שלושה עקרונות מפתח: אימוץ גישה של אפס אמון, התאמה אישית של הגנת מידע וחיזוק הכשרה מעשית. אפס אמון המשתמשים של היום מתמודדים עם איומים מורכבים יותר ויצירתיים יותר מאי פעם. היו מי שניצלו את המגיפה ושלחו  מייל פישינג מזויף לבדיקת קורונה, הודעות טקסט שהחבילה התעכבה, או שיחת טלפון לאיתור איש קשר. בימים אלה, התקפות הדיוג (phishing) מותאמות אישית יותר, תוכנות זדוניות הפכו לחמקניות יותר ותוכנות ransomware ממשיכות לשגשג. למעשה, על פי IBM 2021 X-Force Threat Intelligence Index, תוכנות אלה היו סוג האיומים המוביל - הן היוו 23% מההתקפות. תוכנת Sodinokibi (REvil) לבדה קצרה - באומדן שמרני - 123 מיליון דולר. עם התפתחות איומי האבטחה במקביל להתפתחות כוח העבודה ההיברידי, מדיניות ה-IT חייבת להתפתח אף היא. בתקופות של טרום מגיפה, ארגונים עדיין פרסו אבטחה היקפית, כאשר ההתמקדות הייתה בהקמת רשת לאבטחת נתונים ומשאבים. גישה זו מסתמכת על מערכות כמו חומות אש ומערכות בידוד דפדפן, ומתמקדת בזיהוי איומים, זיהוי מעקב וניתוח דפוסים. אבל הגישה הזו הפכה לחסרת תועלת מול משבר הקורונה ותהיה לא יעילה עם כוח העבודה ההיברידי. כשעובדים מסתובבים במשרד ומחוצה לו עם המחשבים שלהם, ה-IT צריך מודל אפס אמון. אנחנו כבר לא רק מגנים על ארבעת הקירות של העסק – המודל חייב לכלול את כל ארבעה הקירות אצל כל עובד באשר הוא.  מודל אפס אמון הוא המסלול היחיד שיכול להיות בר-קיימא עבור כוח העבודה ההיברידי. זוהי גישת מיקרו-פילוח, העוקבת אחר משתמשים, מיקומם ונתונים אחרים כדי לקבוע אם לסמוך על משתמש, מכונה או אפליקציה המבקשים גישה לנתונים מסוימים. אפס אמון מסתמך על טכנולוגיות כמו אימות רב-גורמי, ניהול זהויות וגישה (IAM), הצפנה, הרשאות ניקוד ומערכת קבצים וגורמים נוספים. חלק מהטכניקות הללו עשויות להרגיש צפויות לעובדים, בעוד שאחרות עשויות לדרוש הסבר מדוע הן חשובות והכרחיות. כדי לאפשר אימוץ קל של גישת אפס אמון, צריך להסביר לעובדים את הרלוונטיות המצבית במונחים של הדיוטות כדי להראות לעובדים את הכוח וההשלכות האפשריות של הפעולה שלהם - לדוגמה, ׳אנו דורשים single sign-on מכיוון שהסיסמה שלך היא עדיין שם הכלב שלך׳, או ׳פשוט לשנות מספר בסיסמה שלך׳ לא יספיק.  בנוסף, עלינו להכשיר את המשתמשים לפעול בצורה מינימליסטית - הם צריכים תמיד לנסות לבצע משימה עם כמות הגישה המינימלית האפשרית לנכסי הארגון. האם אתה באמת צריך להדפיס את המסמך הזה בבית? האם אתה חייב לבצע את שיחת הטלפון החסויה מבית קפה? צריך לגרום למשתמשים להיות מודעים לעצמם לגבי האבטחה שלהם, ולתת להם השראה להפוך לקציני אבטחת המידע (CISO) של חייהם.  התאמה אישית בעוד שאבטחת נתונים התמקדה תמיד יותר בפרצות אבטחה גדולות, ה-IT צריך כעת להתמקד באבטחת נקודות קצה קונטקסטואלית, כדי להיות מסוגל להרחיב את הגנת הנתונים כדי לענות על הצרכים של כוח עבודה בכל מקום. יש לקבוע עקרונות ותוצאות מוגדרים עבור אופן הטיפול בנתונים לפי סוג סביבה - כל סוג של סביבה שאתה חושב שעובד עשוי לעבוד ממנה. לדוגמה, הטיפול בנתונים שונה כאשר העובדים נמצאים בתרחיש מבוקר של משרד או בבית לעומת בית קפה. מעבר לכך, צוותי IT צריכים לפרוס תוכניות שיאבטחו כל מכשיר בכל מופע, כמו אסטרטגיית ניהול מכשירים ניידים (MDM). תכנית MDM מקיפה מקימה בסיס יציב ומוגן. יש לעבוד עם ספק מהימן כדי לפרוס יישומים ותצורות במכשיר, מדיניות ותעודות ארגוניות ותשתית עורפית כדי לפשט את ניהול המכשירים וליצור נראות לתוך אבטחת נקודות הקצה. עם זאת, צוותי IT חייבים לאזן בין השימוש בהגנת MDM לבין השימוש האישי של העובדים במכשירים.  מכיוון שהמכשירים של העובדים יתקיימו ברשתות ארגוניות ואישיות כאחד, צוותי IT צריכים לזכור גם שהגנה על שני סוגי הרשתות היא הכרח לאבטחת מידע. בכל הנוגע לרשתות אישיות, ה-IT צריך ללמד את העובדים כיצד לאבטח את הרשתות הביתיות שלהם ולעודד אותם לפעול לפי שיטות עבודה מומלצות פשוטות, כגון שינוי סיסמאות ברירת מחדל ושמירה על עדכניות הקושחה. ה-IT חייב גם להבטיח שאופציה של רשת וירטואלית פרטית (VPN) היא סטנדרט עבור כל העובדים, אבל במיוחד עבור אלה שקופצים הלוך ושוב בין המשרד לבית ונמצאים כל הזמן בדרכים.  כדי להגן על עובדים במשרד, צוותי IT צריכים לפרוס פתרונות רשת זריזים המציעים ניטור בזמן אמת, זיהוי חריגות, מיקרו-פילוח ורשתות בהסגר. אין לאפשר שימוש במכשירים לא רשומים ברשתות ארגוניות. ניטור וזיהוי צריכים להיות נתמכים על ידי מרכז פעולות אבטחה (SOC) המיועד גם לכוח העבודה החדש הזה. בעוד שרבים פנו ל-SOC וירטואלי בעידן הקורונה, צוותי IT של ארגונים גדולים יותר עם תקציבים גמישים צריכים לשקול לאמץ סוג חדש של SOC שמאפשר להם להתרחב כפי שעושה כוח העבודה. SOC היברידי משלב פעולות פנימיות עם פעולות וירטואליות במיקור חוץ. כאשר חלק מחברי ארגון ה-IT מטפלים בתחומי מיקוד מרכזיים בעוד שאחרים מספקים סוג מסוים של תמיכה נוספת. SOC היברידי יכול לסייע בכיסוי חוץ-משרדי, 24/7 וגלובלי, כמו גם לאפשר ל-IT פנימי להתמקד במשימות אסטרטגיות יותר בזמן שהחברים במיקור חוץ מטפלים בתיקון בעיות. חיזוק הכשרה מעשית הטבע האנושי הוא החוליה החלשה ביותר בכל אסטרטגיית אבטחה. מדד IBM 2021 X-Force Threat Intelligence4 מדווח כי 95% מפרצות אבטחת הסייבר נובעות מטעויות אנוש. לכן הכשרה, בדיקות ומודעות לאבטחה ימשיכו לשחק תפקיד מרכזי. הדרכה ולמידה מתמשכת עוזרים לעובדים להבין את התפקיד שממלא משתמשי הקצה בתנוחת האבטחה הכוללת של ארגון. זה יוצר תחושת אחריות. הכשרה ומודעות גם יוצרים תרבות של אבטחה, שבה כל הצדדים מרגישים מושקעים ואחראים בהגנה הכוללת של ארגון, גם אם הם מנותקים ממקום פיזי." הכשרה בסיסית כבר לא יכולה להיות האופציה היחידה להילחם באיומים המתקדמים של היום - היא צריכה להשתפר מאוד. הדרכת אבטחה משופרת חייבת להיות בעדיפות ראשונה עבור כל החברות בעתיד. לא רק שהעובדים זקוקים ללמידה מתמשכת על שיטות עבודה מומלצות לאיתור איומים והגנה על נתונים, אלא גם להדרכה על כל טכנולוגיה שנכנסת לתשתית העסק. אנחנו צריכים להבטיח שכל טכנולוגיה שאנו מביאים היא פלטפורמה ידידותית למשתמש שיש לה בקרות נאותות שהגיוניות לאנשים שמנהלים ומשתמשים בטכנולוגיה מדי יום. יש לשלב את היישום עם הדרכות ייעודיות והדרכות מעשיות על התוכנה. ההדרכה צריכה להיות מבוססת דוגמאות עם תרחישים אמיתיים ובלתי צפויים, כך שהשיעורים ירגישו ישימים לחיי המשתמשים. צריך ליצור חוויה בלתי נשכחת לעומת משימה רבעונית שהעובדים מרגישים מחויבים להשתתף בה.   המשתנה האנושי     המשתנה האנושי של כוח העבודה ההיברידי יכול להיות האיום הגדול ביותר או היתרון התחרותי הגדול ביותר לארגונים. ההצלחה בנוף המורכב של היום תיקבע על ידי האופן שבו ארגונים בונים את האסטרטגיה שלהם סביב המשתנה הזה. מנהיגים במגזר האבטחה יכולים לחשוש מהטבע הבלתי צפוי של כוח העבודה ההיברידי או לרתום את כוחו של הפוטנציאל האנושי כדי להחדיר ביטחון למרקם הארגון שלהם. בני אדם עושים לעתים קרובות מה שנוח או מרתק; אבטחה יכולה להיות גם וגם. בעוד שכוח העבודה ההיברידי פירושו יותר נקודות קצה ויותר סביבות עבודה, זה גם פותח הזדמנויות למנהיגים להחדיר את נושא האבטחה כמרכיב יסוד בתרבות החברה.  מאת: גארי סורנטינו, סגן CIO גלובלי בזום