אבטחת מידע בעולם העסקי החדש (4/4)

במפעל הפיס לא מהמרים כאשר מדובר באבטחת מידע. שם, מטבע הדברים, הרגישות לחסיון נתונים ולאבטחת מידע היא גבוהה מאוד. אבטחת המידע בארגון שכזה, המבוסס באופן מלא ומוחלט על מערכות תיקשוב שחייבות להיות אמינות וזמינות, הינה קריטית. נכון אפילו לומר שבמקרה של מפעל הפיס, אם הארגון מוגן ב-99% – הוא פרוץ ב-100%.

ואכן, מדיניות אבטחת המידע של מפעל הפיס מבוססת על תקינה ורגולציה ויישומה מורכב מאבטחת מידע פנים ארגונית, אבטחת מידע היקפית, מערכות ניהול ובקרה ותהליכי אבטחת מידע שוטפים. "כפועל יוצא ממדיניות מפעל הפיס, חטיבת המיחשוב יזמה והטמיעה יישום של מספר תקני אבטחת מידע. תקנים אלו תרמו להעלאה מיידית של רמת אבטחת המידע במערכות המחשב בארגון, להעלאת מודעות העובדים לנושא ומתן תחושת אמינות ובקרה גבוהה יותר בקרב לקוחות מפעל הפיס", אומר צבי אמיתי – סמנכ"ל מערכות המידע בארגון.

על מנת לסבר את האוזן: מפעל הפיס מוכר בכ-4.8 מיליארד שקלים בשנה, כשסכום זה מורכב ממאות אלפי טרנזקציות שמקורן באלפי נקודות מכירה בכל רחבי הארץ. פעולות המכירה ותשלום הזכיות מחייבות קשר רציף, אמין ומאובטח בין מערכות המיחשוב המרכזיות של מפעל הפיס, לבין כל נקודת מכירה. כך, הזמינות של נקודות המכירה למכירת כרטיסי השתתפות בהגרלות ולפדיון זכיות, נושקת ל-100%.

מערכות המיחשוב של מפעל הפיס כוללות מערכות מכירה ייעודיות ויישומים פנים ארגוניים סטנדרטיים, כגון ERP, בילינג, CRM, מערכות בינה עסקית, מערכות ניהוליות מבוססות סמארטפונים, ניהול משאבי אנוש, אתר אינטרנט פעיל במיוחד ועוד. תשתיות המפעל העיקריות מורכבות מאות שרתי לינוקס (Linux) וחלונות (Windows) – רובם וירטואליים מבוססי VMware, אלפי קווי תקשורת, מסדי נתונים – db2, אורקל (Oracle) ו-SQL Server, מערכות תקשורת מבוססות סיסקו (Cisco), גישה מרחוק מאובטחת, מערכות שליטה ובקרה מרכזית ומערכות גיבוי ואחסון מרכזי. למפעל יש DRP מלא למערכות המכירה, למערכות תומכות מכירה ולמערכות המידע העיקריות.

מפעל הפיס הינו אחד הארגונים הראשונים בישראל שמימש את תקן PCI-DSS, תוך עמידה בתנאים הנוקשים של ביקורת מטעם סוקר חיצוני מורשה. מפעל הפיס אוכף בכל המערכות שלו את הוראות חוק הגנת הפרטיות ונמצא בהליכים מתקדמים לקבלת תקן ISO-27001.
מרכיבי אבטחת המידע הפנים ארגונית במפעל הפיס כוללים ניהול משתמשים ארגוני, מידור מערכות ומשתמשים באמצעות מספר רב של מערכות firewall, מערכות להפצת עדכוני אבטחת מידע לשרתים ולתחנות עבודה, מערכות אנטי וירוס ברמות שונות, ניטור והגנה על מסדי נתונים באמצעות מערכת ייעודית לסינון הפעילויות המורשות, בקרת גישה ושלמות לקובצי מערכת חשובים, חתימה אלקטרונית על מסמכי אופיס (Office) המשולבים בתהליכי SharePoint וחתימה אלקטרונית על קבצי מערכת קריטיים באמצעות HSM.

אמיתי מוסיף ואומר: "אבטחת המידע ההיקפית כוללת קישור מאובטח לאינטרנט, קישור עובדים וספקים מרחוק,  קישור למכשירי סלולר של עובדים וקישורים לרשתות תקשורת וזאת בעיקר למסופים בנקודות המכירה. הקישור המאובטח לאינטרנט מושג באמצעות Firewall, מערכות סינון, אנטי ספאם ובדיקת וירוסים לדואר אלקטרוני, בקרת הגלישה באינטרנט והגנה על אתרי אינטרנט באמצעות Application Firewall. קישור עובדים וספקים מרוחקים מתבצע באמצעות הזדהות חזקה (Radius Server), התחברות מאובטחת (SSL VPN) וחשיפת יישומים פנימיים בצורה מאובטחת על ידי מערכת להמרת פרוטוקולים".

אבטחת הקישור למכשירי סלולר של עובדי הארגון מושגת תוך שימוש ברשת פרטית של ספק הסלולר ומידור באמצעות מערכת gateway ייעודית. קישור מסופים בנקודות המכירה לרשתות תקשורת מבוצע בעזרת מידור דרך Firewall והצפנת קווי התקשורת. מערכות ניהול ובקרה לתשתיות אבטחת מידע כוללות מערכת לצבירת אירועי אבטחת מידע, איתור חריגות וביצוע אסקלציה, מערכת  לבקרת שינויים על חוקי ה-Firewalls, ומערכת בקרת הקשחות שרתים ותחנות עבודה.

אמיתי מציין, שמפעל הפיס מבצע באופן שוטף בדיקות אבטחת מידע למערכות חדשות, בדיקות חדירה לכלל המערכות, הקשחות שרתים ומסדי נתונים, עדכוני אבטחת מידע לשרתים ומחשבים אישיים, תפעול מערכות אבטחת המידע וטיפול בחריגים.

בארגון כמו מפעל הפיס, הצורך להתחדש כל הזמן בנושא אבטחת המידע הוא לא "לוקסוס", אלא הכרח המציאות. ולכן, במטרה לתת מענה לאיום זליגת המידע – שהולך ונעשה נפוץ יותר ויותר, נמצא מפעל הפיס בתהליך הקמה של מערכת למניעת דליפת מידע ממערכותיו. במהלך 2012 הם מתכננים להטמיע פתרונות לניהול כולל של מערכות אבטחת המידע באמצעות מערכת SIEM, כספות וירטואליות לשמירת מידע קריטי ומערכת MDM לניהול מכשירי סלולר ומסופונים אצל אנשי מכירות. בנוסף, במהלך 2012 מתכנן מפעל הפיס להטמיע את התקן הבינלאומי לאבטחת מידע לארגוני הגרלות, World Lotteries Association Security Control Standard.

אמיתי, כאיש מקצוע שמבין את חשיבות שילוב אבטחת המידע ברבדים השונים של מערכות המידע ושאבטחת מידע הוא "גורם מאפשר", מסביר שעמידה בתקני אבטחת מידע כגון PCI ו-ISO 27001 ,נותנת להם יתרון משמעותי מול הלקוחות והרגולטור.

לסיכום, הוא נותן מספר עצות בנושא:

–    חתירה מתמדת ליישום תקנים כאמצעי להעלאת אבטחת המידע
–    הפרדה בין הגורם המבקר לגורם האחראי למימוש אבטחת המידע
–    הקצאת משאבים מתאימים

אז כאשר אראלה מתקשרת אל מנוי פיס לבשר לו שהוא זכה בפרס, אתם יכולים להיות משוכנעים שהוא זכה בפרס בצדק וביושר, כי אבטחת המידע במפעל הפיס דואגת לכך.