מבקר לשכת עורכי הדין בישראל - דוח שנתי 2024

30

3 . הארגון מיישם פרקטיקות רבות לאבטחת מידע, כגון, מינוי ממונה אבטחת מידע, סקירת מערכות אבטחת מידע, הגבלות גישה והרשאות למשתמשים, הקפדה על גיבויים, עבודה דרך טרמינלים בחיבור מרחוק ועוד. יחד עם זאת, במהלך הביקורת עלו פערי אבטחת מידע שונים.

4 . הממצאים שעלו נוגעים, בעיקר להגדרות תצורה שגויה (misconfiguration) של מערכות, היעדר הפרדה בין סביבות משתמשים ושרתים )סגמנטציה( והיעדר בקרות מספקות למניעת זליגת מידע.

5 . קיימים מספר מעגלי אבטחה, המורידים את רמת הסבירות להתממשות הסיכון, אך סיכונים אלו קיימים, ולכן חשוב לנהלם בהתאם. הממצאים חושפים את הארגון לסיכוני סייבר ואבטחת מידע מסוגים שונים. 6 . יישום חלק ניכר מההמלצות, שניתנו בדוח הקודם, צמצמו את הסיכונים שנמצאו והורידו את רמת הסיכון בהתאם. לאור זאת, עלה הציון מ - 50% 2.5) מ 5 - ( ל - 70% 3.5) מ 5 - .( יישום מלא של ההמלצות יכול, לדעת הביקורת, לסייע במניעת סוגי מתקפות רבים ויאפשר בסבירות גבוהה התאוששות בפחות משלושה ימים.

.7 רמת השיפור בתחומים השונים:

א. שיפור משמעותי: שרתים, עמדות קצה וסלולר; ניטור ובקרה. ב. שיפור מסויים: רשת ארגונית; רשת חיצונית; מידע; ג. היעדר שיפור: המשכיות עסקית )ראה דוח נפרד(; מדיניות;

ריכוז המלצות

1 . מומלץ לבצע סגמנטציה והקשחת התעבורה ב - Firewall בין הרשתות השונות )משתמשים, שרתים, מצלמות, מדפסות(.

2 . מומלץ להטמיע מערכת ניהול גישה לרשת NAC (Network Access Control) לצורך ניהול ובקרת חיבורים ברשת הפנימית.

3 . מומלץ לבצע את הגבלת הגישה לרשת לפי מאפיינים ייחודים הקיימים רק במחשבי הלשכה ולא על סמך כתובות MAC )כתובת פיזית של כרטיס רשת הניתנת לזיוף יחסית בקלות(. 4 . מומלץ להקים אתר DR מלא, לבצע תרגול DR יזום ע"מ כדי לבחון את יכולות הלשכה במעבר ל DR- .

5 . מומלץ לגבש תוכנית להתאוששות מאסון ) DRP ( ותוכנית להמשכיות עיסקית ) BCP .(

6 . מומלץ לבחור מתודולוגית פיתוח מאובטח ולשל בה בתהליכי הפיתוח בלשכה ) כדוגמת OWASP .(

.7 מומלץ לבצע בדיקות ידניות ) SAST ( מגובות בכלי אבטחה אוטומטיים . (IAST/DAST)