דף הבית / מילון מונחי סייבר ופרטיות
ביטוי שמתייחס, במובנו הרחב, למערכות מחשוב, רשתות מחשבים והתקשורת ביניהן.
במובן צר יותר, הביטוי מתייחס לפעילות ההגנתית וההתקפית המתרחשת בתוך מערכות המחשוב והתקשורת ברחבי העולם.
פעולה הננקטת על ידי גורם עוין, העושִה שימוש באמצעים דיגיטליים על מנת לחדור לנכס ממוחשב של הקורבן, במטרה להשתלט עליו, לגנוב ממנו מידע או לפגוע באמינותו, או על מנת לפגוע בזמינותו או בתפקודו של הנכס.
הפעולות הננקטות במרחב הסייבר על מנת למנוע תקיפות סייבר, או, לחלופין, כדי למנוע את נזקיהן או לצמצם אותם.
תקיפת סייבר למטרות נזק (Computer Network Attacks)
גרימת שיבוש והשבתה זמנית או קבועה במערכת ממוחשבת עד כדי גרימת נזק בפועל. הנזק יכול להתבטא בצורות שונות כגון השבתת מערכת, מחיקת קבצים, הדלפת מאגר מידע, השחתת אתר וכו'. את תוצאות התקיפה לרוב רואים בשטח.
תקיפת סייבר למטרות ריגול (Computer Network Exploitation)
גניבת מידע והאזנה ברשת. את תוצאות התקיפה קשה לראות בשטח והתוקף לרוב פועל באופן שקט.
תקיפת סייבר למטרות השפעה ותודעה (Computer Network Influence)
מתקפת סייבר שמטרתה לגרום להשפעה תודעתית למשל על ידי השחתת אתר, העלאת אתרים מזויפים וכו'
פשיעת סייבר למטרות פיננסיות (Computer Network Finance)
מתקפת סייבר שמטרתה לגרום לנזק כלכלי או לגניבה כספית התקיפה יכולה לבוא לידי ביטוי במגוון דרכים כגון באמצעות כופרה, גניבת מידע ומכירתו וכריית מטבעות וירטואליים.
הנדסה חברתית (Social Engineering)
ניצול חולשות אנוש במטרה לגרום למשתמש במערכת מחשוב לבצע בו פעולות בהתאם לבקשותיו של גורם עוין, למשל, שכנוע של משתמש לפתוח דוא"ל ממקור לא מוכר.
טכניקת פעולה המפתה משתמש בנכס דיגיטלי באמצעות הנדסה חברתית לבצע בו פעולה הנחוצה למימוש תקיפת סייבר, למשל הודעת דוא"ל הנשלחת לעובד בארגון ומכילה כצרופה קובץ או קישור זדוני.
תרמית הלווייתן (Whaling attack)
התקפת דיוג ממוקדת שמכוונת לדרגי ניהול בכירים בארגון.
דיוג המתמקד באדם או בעל תפקיד מסוים, למשל דמות בכירה בהנהלת החברה.
דיוג באמצעות שיחת טלפון בה התוקף מתחזה לגורם לגיטימי ומבקש לבצע פעולות במסווה תמים.
נוזקה המונעת את היכולת להשתמש במשאבי מחשוב באמצעות הצפנת המידע האגור במחשב, ומשמשת לצורכי סחיטה.
זליגה של מידע לידיים של גורם שאינו מורשה לגשת אליו, לרוב לרשות הרבים דרך האינטרנט. התופעה עלולה להתרחש גם כתוצאה משגיאת אנוש או מרשלנות של הגורמים המנהלים את מאגר המידע או מטפלים בו.
תקיפת סייבר מתמדת/ מתמשכת (Advanced persistent threat) APT
תקיפת סייבר מתוחכמת, לרוב מופעלות על ידי קבוצות תקיפה, או מדינות או מעצמות ועושות שימוש בכלים ובשיטות מתוחכמות, על מנת לתקוף ארגון משמעותי, ולשהות באופן ממושך במערכות הארגון.
תקיפת סייבר כוחנית ומתמשכת (Brute force attack)
תקיפה המבוססת על ביצוע חוזר ונשנה של פעולה שנועדה לפרוץ מחסום המגן על נכס סייבר. לדוגמא בניסיון לגלות סיסמה של אתר כלשהו, תופעל תוכנה המנסה ללא הרף מכלול שילובים של סיסמאות עד להצלחה.
תקיפת סייבר של אתר אינטרנט שמטרתה לשנות את תוכנו על מנת להעביר מסר המשרת את התוקף. לא תמיד הפגיעה באתר מצביעה על פגיעה ברשת של הארגון כולו, אך במקרים מסוימים ההשחתה היא חלק ממתקפת סייבר רחבה יותר על הארגון.
התקפת מניעת שרות (Denial of Service Attack) DDOS
תקיפת סייבר מבוזרת אשר יוצאת ממספר כתובות IP ומנצלת את מגבלת המשאבים של נכס סייבר על ידי יצירת עומס חריג, על מנת לפגוע בשרות שהוא מספק עד כדי השבתתו.
נוזקה שמוחקת את המערכות (Wiper)
נוזקה שמשמשת למתקפות שמטרתן גרימת הרס או שיבוש של מערכות מחשוב, באופן שמקשה מאוד על שחזורו ולרוב מצריך התקנה מחדש של המערכות.
אדם בעל ידע רב במערכות תקשורת ומחשוב, המסוגל לנצלו לצורך פריצה למערכות כאלה, השתלטות עליהן וביצוע פעולות שונות בתוכן.
פצחן שמשתמש בידיעותיו במחשבים ובאבטחת מידע למטרות חיוביות ואתיות, כגון התרעה על פרצות אבטחה אשר עלולות לגרום נזק ליחידים או לרבים וסיוע לאבטחת רשתות שונות – ללא ניצול של פרצות האבטחה שאותן חשף.
פצחן שמשתמש בידיעותיו במחשבים ובאבטחת מידע כדי לתקוף מערכות מחשוב ותקשורת למטרות זדוניות.
פצחן שמשתמש בידיעותיו במחשבים ובאבטחת מידע כדי לבצע פעולות זדוניות למען מטרה רעיונית.
קובץ או מערכת קבצים המיועדים להתקנה בנכס סייבר כדי לשפר את תפקודו.
עדכון תוכנה שנועד לתיקון פרצת אבטחה
כינוי ליישום המותקן במערכת מחשוב, המאתר ומונע מתוכנות מזיקות כניסה לתוכה במטרה להגן עליה.
יישום או רכיב תוכנה המותקן במערכת מחשב, מבקר את תעבורת הנתונים הנכנסים והיוצאים ממנה, ושולט בה
העתקת מידע ממוחשב לצורך מתן אפשרות לשחזורו במקרה שהוא נמחק או שובש. את הגיבוי ניתן לאחסן במחשב, התקן חיצוני נתיק, סביבת ענן, וכו'
תהליך שבו אדם מציג פריט מסוים שאמור להעיד על זהותו.
תהליך שבו זהותו של אדם מאומתת
אימות רב גורמי (MFA Multi Factor Authentication)
תהליך של אימות זהותו של אדם, המבוסס על לפחות שני אמצעי זיהוי, השייכים לקטגוריות הבאות:
ידע (דבר שרק הוא יודע), חזקה (חפץ ייחודי שנמצא בחזקתו), וטבועה (משהו שהוא חלק מטבעו הביולוגי – וייחודי לו). התהליך מתבצע ברצף כרונולוגי אחד.
אימות דו גורמי (Two Factor Authentication)
אימות רב-גורמי המתבסס על שני גורמים.
תיקוף דו שלבי (2SV – Two Step Verification)
תהליך אימות המבוסס על שני גורמי זיהוי מאותה קטגוריה (ידע, חזקה או טבועה), כגון סיסמה שהתקבלה במסרון וקוד שהתקבל בדוא"ל.
נטרול של מנגנון טכני המבצע תקיפה והוצאתו מכלל פעולה, כך שהתקיפה תסולק ולא ניתן יהיה לשוב ולבצעה באמצעות אותו מנגנון.
"ניקוי" של המערכת המותקפת מהאמצעים והכלים המשמשים את התוקף. לרוב מלווה גם בסגירת הפרצה ששימשה לחדירה למערכת כדי למנוע את הישנותה.
סביבת מחשוב מבודדת המוקמת בתוך מרחב סייבר ארגוני, ומאפשרת בדיקת תוכנה מסוגים שונים, מבלי שהדבר יוכל להשפיע על כל שאר מרכיביו של המרחב הארגוני.
טביעת רגל דיגיטלית ( Digital Footprint)
כינוי לאוסף של פריטי מידע דיגיטליים שנוצרו במערכת מחשוב כתוצאה מפעולות שעשה בה משתמש, כגון קבצים, היסטורית גלישה באינטרנט, פרטי זיהוי אישיים, וכו'.
תוכנה זדונית המשמשת למימוש תקיפת סייבר: וירוס, תולעת מחשב, כופרה.
נוזקה המשמשת לגניבת מידע.
נוזקה החודרת למחשב באופן סמוי, משתמשת במשאבי המחשב להעתיק ולהפיץ את עצמה, ולרוב פוגעת בפעולה התקינה של המחשב הנגוע. וירוס דורש הפעלת קובץ או תוכנה נגועים (בשונה מתולעת).
כינוי לנוזקה בה התוקף משתמש במסווה של תוכנה לגיטימית במטרה לחדור למחשב הנתקף.
נוזקה המשכפלת את עצמה דרך הרשת, ללא תלות בוירוס או בתוכנה נוספת ומדביקה מחשבים אחרים. התולעת מפיצה את עצמה בצורה עצמאית על גבי רשתות פנימיות או רשת האינטרנט.
תחנת קצה / עמדת קצה (End Point)
נכס סייבר שבאמצעותו ניתן לגשת ולבצע פעולות במשאבי מחשוב של רשת, כגון מחשב נייד, מחשב נייח, טלפון חכם, תוכנות.
שם ייחודי המזהה אתר אינטרנט או כתובות דוא"ל ספציפיים (קרדיט: אתר איגוד האינטרנט הישראלי). שם התחום מופיע בשורת הכתובת שבחלק העליון בדפדפן.
יישום / אפליקציה (Application)
תוכנת מחשב המשמשת לתכלית מוגדרת, כגון מעבד תמלילים, תוכנת דואר אלקטרוני.
יישום קטן (קל משקל). השימוש ביישומון אופייני לטלפונים סלולריים כגון יישומי הניווט, יישומי המסרים ומשחקים.
חנות דיגיטלית של ספק או יצרן המציעה יישומים שונים מהרשת. חנויות נפוצות: Apple Store, Google play. המערכות מפעילות תהליכי בדיקות אבטחה תקינות ונאות של היישומים, טרם העלאתם לחנות.
מערכת הפעלה (Operating System)
תוכנה המנהלת את משאבי המחשוב של נכס דיגיטלי. מערכות ההפעלה הנפוצות בישראל הן Windows, Linux, Android, IOS
רשת אלחוטית (Wireless Network)
רשת המקשרת בין מערכות מחשוב באמצעות תווך אלחוטי, כגון WI-FI ורשת סלולרית.
רשת וירטואלית פרטית (VPN – Virtual Private Network)
רשת המשתמשת לרוב בתשתית פומבית כגון רשת האינטרנט, על מנת לייצר רשת פרטית וירטואלית המקשרת בין נכסי סייבר באופן המונע התערבות זרה בתוכן המידע המועבר ביניהם או את חשיפתו. משמשת לרוב לחבור מרחוק לארגון.
פרוטוקול תקשורת (Network Protocol)
אוסף כללים על פיו מנוהלת תקשורת ברשת.HTTP מתייחס לפרוטוקול המשמש לגישה והצגת מידע באינטרנט, HTTPS מתייחס לפרוטוקול מוצפן המשמש לגישה והצגת מידע באינטרנט.
יישום/יישומון המשמש לגלישה במרשתת (באינטרנט). הדפדפנים הנפוצים בישראל: Google Chrome ,Explorer ,Microsoft Edge, Firefox, Safari, Opera.
יישומון המופעל במסגרת פעולה של יישום אחר כדי להרחיב את תפקודיו של היישום האחר.
ביג דאטה / נְתוּנֵי עָתֵק Big-Data
כינוי מאגד לשיטות עבודה וטכנולוגיות, אשר מטרתן לאפשר ניצול מאגרי מידע גדולים לשם הפקת תובנות.
בינה מלאכותית / אינטליגנציה מלאכותית (AI – Artificial Intelligence)
ענף במדעי המחשב אשר מתמקד ביכולת לתכנת מחשבים ולייצר מכונות או תוכנות חכמות אשר מקנות יכולות הדומות בקווים כלליים לבינה אנושית.
התהליך בו יוצרים מטבע וירטואלי על ידי ביצוע פעולת חישוב מתוחכמת ומורכבת (כדוגמת ביטקוין). מדובר בתפיסה מוניטרית שונה מזו הנוהגת בעולם בתחום המטבעות ה"רגילים".
כינוי לרשתות אינטרנטיות שאינן ממופות במנועי החיפוש הסטנדרטיים ואינן "מוכרות" כאתרים ברשת האינטרנט, שכדי לגשת אליהן צריך להשתמש בתוכנות ייעודיות. רשתות אלו משמשות לרוב לפעילות זדונית במרחב הסייבר כגון סחר בדלף מידע, פרסומים עויינים, החלפת מידע בין ארגוני פשיעה גם בנושאי תקיפת סייבר ואף לסחר בנשק וסמים.
רשימת ספקים חיצוניים הנותנים שירות לגורם מסוים (למשל: חברה אחת המספקת מוצרי תוכנה לחברה אחרת; חברה אחת המספקת שירותי אחסון של מידע ממוחשב לחברה אחרת). לעיתים תוקפים מנסים לפרוץ למערכת מחשוב של ארגון באמצעות ארגון אחר שמחובר אליו.
נקודת תורפה בנכס דיגיטלי או בתוכנה אשר ניתן לנצלה כדי לחולל תקיפת סייבר.
חולשת אפס ימים (Zero-Day Vulnerability)
חולשה שעם גילויה, אין בנמצא טלאי אבטחה לתיקונה. מצב זה מאפשר לתוקפים לחדור למערכות מחשב, או מערכות משובצות מחשב, ללא חסימה וללא הפרעה מכיוון שיצרן התוכנה טרם יצר הגנה המונעת זאת.
חולשה שקיים טלאי אבטחה לתיקונה, אך טלאי זה לרוב מאוד חדש כך שלא בהכרח הספיקו להתקינו במערכות המחשוב. מצב זה מאפשר לחדור למערכות ללא חסימה וללא הפרעה.
פעולת תקיפה המתבטאת במעבר מסביבת רשת אחת לאחרת, הודות להתגברות של התוקף על מנגנון שנועד להפריד בין הסביבות האלה באופן שימנע מעבר שכזה.
כינוי למכלול המרכיבים של מערכת דיגיטליות, שכל אחד מהם לחוד, כמו גם צירוף שלהם זה לזה, טומן בחובו פגיעות מסוימת שתוקף יכול לנצל לטובתו. דוגמה אופיינית היא חיבור של מערכת תקשוב ארגונית לאינטרנט, שאינו מוגן באופן ראוי מפני חדירה ומניפולציה של תוקף אפשרי.
תוכנה או אוסף פעולות המנצלת באג או חולשה במערכת, חומרה או תוכנה, כדי לייצר מצב לא צפוי או לא ידוע בה. לרוב, מצב זה יוביל להשגת אחיזה במערכת או השבתתה.
פרצת אבטחה המאפשרת גישה למערכת ללא אימות. לעיתים נובעת משגיאה בתכנון או בפיתוח המערכת ולעיתים מדובר בתכנון מכוון כדי להשיג גישה עתידית למערכת.
אוסף פעולות שהמגן עושה כדי לצמצם סבירות לאירוע סייבר.
במטרה להגביר ולחזק את ההגנה על המידע האישי השייך לציבור, תקנות הגנת הפרטיות (אבטחת מידע) מגדירות לגופים וארגונים מכלל מגזרי המשק, ציבורי ופרטי כאחד, דרישות אבטחת מידע ברורות, בהתאם לרגישות והיקף המידע האישי שמנוהל או מוחזק על ידם.
תקנות הגנת הפרטיות (אבטחת מידע) נכנסו לתוקף ב-08.05.2018, מגדירות את רמת אבטחת המידע הנדרשת מכל גורם במשק בישראל, ציבורי ופרטי כאחד, המנהל או מעבד מידע אישי דיגיטלי אודות אנשים וקובעות מנגנונים שנועדו להפוך את אבטחת המידע לחלק משגרת ניהול הארגון.
להגביר ולחזק את ההגנה על המידע האישי של כל אחד ואחת מאיתנו, באמצעות דרישות אבטחת מידע ברורות בהן על גופים וארגונים לעמוד, בהתאם לרגישות והיקף המידע האישי שמנוהל או מוחזק על ידם
התקנות חלות על כל מי שמנהל או מחזיק מידע על אנשים – לקוחות, עובדים, ספקים, ילדים, מטופלים ועוד מכלל מגזרי המשק הישראלי, ציבורי ופרטי כאחד.
אבטחת מידע היא הגנה על מידע מפני חשיפה, שימוש או העתקה, על ידי גורמים שאינם מורשים.
התקנות חלות על מידע המכיל נתונים על מעמדו האישי של אדם (כגון סטטוס משפחתי, אילן יוחסין, קשרים משפחתיים), מצבו הכלכלי, הכשרתו המקצועית ופרטים נוספים כגון מספר תעודת הזהות וכרטיס האשראי ועוד.
תקנות הגנת הפרטיות (אבטחת מידע) בנויות במתכונת המכילה חובות ברמה הולכת וגדלה לפי רמת הסיכון שיוצרת פעילות עיבוד המידע בארגון, בהתחשב בגודל המאגר, ברגישות המידע ובמספר המורשים לגשת אליו.
התקנות מבחינות בין ארבעה סוגי מאגרים בהתאם לרמת האבטחה הנדרשת מהם: מאגרים עליהם חלה רמת האבטחה הבסיסית, מאגרים עליהם חלה רמת האבטחה הבינונית, מאגרים עליהם חלה רמת האבטחה הגבוהה ומאגר מידע המנוהל ע"י יחיד.
מדובר על מאגר מידע שמנהל יחיד בעצמו או תאגיד בבעלות יחיד ("חברת אני"), ואשר הגישה למידע שבו מותרת רק לאותו יחיד ולכל היותר לעוד שני בעלי הרשאה נוספים. לדוגמה: "ברשותי חנות פרחים, שבה אני מנהל מאגר לקוחות הכולל פרטים כמו תאריכי לידה, קשרי משפחה ועוד. למאגר זה יכולים לגשת גם העובדים המסייעים לי בחנות. ואם יש לי בחנות 3 עובדים ויותר?" אז כבר לא מדובר במאגר המנוהל על ידי יחיד. במקרה זה יחולו חובות אחרות.
קיימים שלושה סוגי מאגרים שלמרות שהם מנוהלים על ידי יחיד, לא ייחשבו כ"מאגר המנוהל על ידי יחיד:
בכל מקרה בו מאגר המידע הוא אחד מהשלושה שהוזכרו לעיל, אין מדובר במאגר מידע המנוהל ע"י יחיד ויהא עליכם לבחון את רמת האבטחה אשר תחול על מאגר המידע בהתאם למפורט בתקנות.
מאגרים שאינם מנוהלים על ידי יחיד ואשר אינם נכללים בגדר מאגרי מידע שחלה עליהם רמת האבטחה הבינונית או הגבוהה.
מאגרי מידע, שמטרתם איסוף מידע לצורך מסירתו לאחר, או שיש בהם מידע רגיש, אודות 100,000 אנשים ומעלה או מספר מורשי הגישה למידע זה עולה על 100.
דעו! במקרה של אירוע אבטחה חמור כמו פריצה לרשת הארגון או דליפת מידע אישי ממאגרי המידע שלו – מדווחים לרשות להגנת הפרטיות.
תקנות הגנת הפרטיות (אבטחת מידע) קובעות כי על בעלי מאגרים שחלה עליהם רמת האבטחה הגבוהה או הבינונית, חובה לדווח לרשות להגנת הפרטיות באופן מידי בקרות אירוע אבטחה חמור ועל הצעדים שנקטו בעקבות האירוע.
מהי רמת האבטחה שלך? ענה על השאלות ונשיב לך:
באתר זה נעשה שימוש בקבצי cookies. המשך גלישתך באתר מהווה הסכמה לתנאי השימוש והפרטיות באתר.