מקצועות הסייבר, התמחויות סייבר וחוק מקצועות הסייבר

מבוא לאסדרת מקצועות הסייבר

מדינת ישראל, באמצעות מערך הסייבר הלאומי שבמשרד ראש הממשלה, מיישמת תהליך “אסדרת מקצועות הסייבר בישראל”.

נושא האסדרה למקצועות הועלה לראשונה על-ידי הפורום הישראלי לאבטחת מידע IFIS, אשר הוקם ב- 2007 על-ידי אבי ויסמן (יו”ר) והאלוף יעקב עמידרור. ב- 2012 הוקם מטה הסייבר הישראלי אשר אימץ בפועל את המלצות הפורום לבצע אסדרה. ב- 2015 הוקמה הרשות הלאומית להגנת סייבר אשר מתכננת את פרטי ההחלטה ומיישמת אותה. ב- 2016 אוחדו הגופים לגוף הנקרא מערך הסייבר הלאומי (INCD).

רגולציה זו לא מאפשרת “המצאת קורסים” ומחייבת מכללות לתכנית לימודים ולאיכות לימודים ברמה ההולמת את צרכי מקצועות הסייבר. תכניות לימוד אשר לא תעמודנה בתקן זה לא תאושרנה על-ידי מערך הסייבר והאגף להכשרה מקצועית במשרד העבודה (בשם מדינת ישראל).

המטרה: העלאה ניכרת ברמת המקצועיות של אנשי הגנת הסייבר בישראל.

השיטה:

1. קביעת רשימת מקצועות והתמחויות, והגדרת תכנים נכונים וזווית הראייה הרלוונטית לכל מקצוע.
2. יצירת אמת מידה (מבחן לאומי) הבוחנת את בעלי המקצוע השונים.

תחולה: אנשי סייבר המועסקים במישרין ובעקיפין כקבלני מישנה על-ידי המדינה וגופיה, ו/או כפופים לרגולציה ממשלתית כללית או מיגזרית (גופי בטחון, רפואה, אנרגיה, פיננסים וכו’)

ההערכה הקיימת היא שהרגולציה תקיף את כלל אנשי המקצוע בישראל (אנשי מקצוע שאינם מחויבים יבחרו בהסמכה מרצון).

שיטת בחינה: מבחן תאורטי ומבחן מעשי, או הסמכה בינלאומית (מתוך רשימה מוגדרת) ומבחן מעשי, וכן מבחני כשירות תלת-שנתיים.

התייחסות לאנשי מקצוע ותיקים: טרם נקבעה התייחסות רשמית. צפויה הקלה חלקית בתנאי המבחנים.

לוח זמנים: בשלב זה הוגדרו תכניהם של חלק מהמקצועות, ומבחני ההסמכה של הרשות יפורסמו ב- 2018.

דרישות-סף למקצועות הסייבר:

כל בעל מקצוע בתחום הסייבר מחויב ברכישת ידע במערכות הפעלה, תקשורת וטכנולוגיות בסיסיות בהגנת סייבר:

1. Windows Server or Linux Server System
2. השלמה ברמת Linux Client or Windows Client (בהתאמה וכהשלמה לסעיף קודם)
3. תקשורת מחשבים: טופולוגיות, רכיבים ופרוטוקולים
4. טכנולוגיות בסיסיות בהגנת סייבר: חומת אש, אנטי-וירוס, אנטי-ספאם.

הדרישה מהמשק

תהליך החלת היישום במשק (עבודה בפועל של בעלי המקצוע המוסמכים במגזרי המשק והארגונים השונים) יתבצע באופן מדורג בהתאם לחשיבות ודחיפות, לסוג המגזרים והארגונים, לקיום תשתית משפטית מתאימה וכדומה. זאת תוך איזון הולם בין המרכיבים, האילוצים והסיכונים הרלוונטיים:

• במשרדי הממשלה – העוסקים בהגנת הסייבר יידרשו לעמוד בהסמכות הרלוונטיות כפי שנקבע בהחלטת ממשלה 2443:
• כל עובד חדש שיועסק בתחום הגנת הסייבר בממשלה יעמוד בהסמכות הרלוונטיות.
• בתוך חמש שנים, לכל היותר, כלל העובדים העוסקים בהגנת הסייבר בממשלה יעמדו בהסמכות הרלוונטיות.
• במגזרי המשק האזרחי (בכלל המגזר או בגופים מסוימים בו) – העוסקים בהגנת הסייבר יידרשו לעמוד בהסמכות הרלוונטיות על פי הכוונת הרגולטורים הרלוונטיים בהתאמה למדיניות הרשות. זאת, בהלימה להחלטת ממשלה 2443, אשר הטילה על הרגולטורים המגזריים להכווין ולהנחות את גופי המגזר בהגנת הסייבר, לרבות הגדרת המדיניות ודרישות האסדרה בהתאם למאפיינים של הגופים אשר ביחס אליהם מתבצעת הפעילות.
• בגופים ייחודיים שיוגדרו על ידי הרשות כבעלי נזק פוטנציאלי משמעותי כתוצאה מפגיעה במערכות הממוחשבות שלהם[1] – העוסקים בהגנת הסייבר יידרשו לעמוד בהסמכות הרלוונטיות על פי החלטת הרשות, ובמידת הצורך תוך היוועצות עם הרגולטורים המגזריים הרלוונטיים.
  רשימת מקצועות הסייבר שהוגדרו רישמית

רשימת מקצועות הסייבר שהוגדרו רישמית:

1. מיישם הגנת סייבר

אדם בעל ידע תאורטי בסיסי ויכולת יישומית (Hands-on) האחראי על יישום הגנת הסייבר בארגון:

1. התקנה, ניהול, תפעול ותחזוקה של מוצרי הגנת הסייבר) כגון אנטי-וירוס, DLP, IPS, Firewall, בקרת גישה, הגנת התקנים ניידים).
2. יישום תהליכי אבטחה שגרתיים )כגון ניהול חשבונות והרשאות משתמשים, ניהול סיסמאות, ניהול גישת משתמשים למחשבים ולמידע, ניהול ציוד קצה והתקנים ניידים בהיבטי אבטחה(.
3. זיהוי וטיפול ראשוני / בסיסי באירועי אבטחה בהסתמך על הכרת סוגי איומים ותקיפות ואופן הטיפול בתקיפות שהתגלו.
   כל זאת תוך הכרת והבנת הפעילות, הצרכים והמטרות של הארגון.

ידע מקצועי נדרש

1. מבוא להגנת סייבר: מונחים, איומים, סוגי יריבים והמוטיבציות שלהם, סוגי תקיפות (לרבות תקיפת מחשב מרחוק / מתוך הארגון, חדירה פיזית למתחמי מחשב, Social Engineering ותקיפות משולבות), סוגי פגיעות במערכות / במידע (לרבות בהיבטי זמינות, אמינות, שלמות וסודיות), השלכות ומשמעויות הפגיעה (כלכליות, מוניטין, משמעויות מעבר לרמת הארגון), דרכי התמודדות ארגוניות (מינוי בעלי תפקידים, הגדרת מדיניות ונהלים, הגדרת נכסי מידע ומערכות חיוניות, ניהול סיכונים, אבטחה פיזית, המרכיב האנושי ומהימנות עובדים, מודעות, הטמעה בתרבות הארגונית, דיווחים ובקרות), גופים לאומיים העוסקים בתחום בישראל.
2. ידע בסיסי בחוקים, החלטות ממשלה, תקינה ואסדרה בנושאי הגנת הסייבר, אבטחת מידע ופרטיות הנהוגים בישראל.
3. היכרות עם הסביבה הטכנולוגית: מבנה המחשב (לרבות CPU, ALU, ROM, RAM, אמצעי אחסון, UEFI, BIOS), מודל 7 השכבות (OSI), תקשורת מחשבים (כולל Wireless), רכיבי תקשורת (לרבות Switch, Router), רשתות (WAN, LAN), פרוטוקולים (לרבות HTTP, HTTPS, DNS, RADIUS, SYSLOG, FTP, TCP/IP, UDP, SSL, SIP, RIP, ARP, SSH, ICMP, SNMP, SNTP, IPSEC), מערכות הפעלה (לרבות Linux, Windows), בסיסי נתונים, מערכות SCADA, Mobile, Virtualization, מחשוב ענן, Hosting, Big Data, יישומים נפוצים (כגון יישומי , ERP, CRM, Billing), שיטות גיבוי ושחזור.
4. היכרות טובה עם טווח רחב של מוצרים ושיטות אבטחה (לרבות אופן היישום, שגרות תפעול, קונפיגורציה, עדכוני תוכנה וחומרה, דרכי התחזוקה ודרכי הניהול): אנטי-וירוס, DMZ, Firewall, Proxy, הקשחת שרתים ומערכות הפעלה, IDS (Intrusion Prevention System), IPS (Intrusion Detection System), DLP (Data Leakage Prevention), SBC (Session Border Controller), Anomaly Detection (User / Network Behavior), NAC (Network Access Control), סגמנטציה (כולל VLAN), Encryption, ניהול זהויות (IAM / IDM), הגנת התקנים ניידים, EPS (Endpoint Security), MDM(Mobile Device Management), MAM (Mobile Application Management), שירותי Mail Relay, SOC (Security Operations Center), SIEM (Security Information Event Management), שיטות בקרת גישה (סיסמאות, Tokens, Smart Cards, ביומטריה, Multi-Facto), אותנטיקציה של משתמשים ושל התקנים, Data/Content Filtering, Remote Access, VPN, Wireless Security, אבטחת מערכות בסביבת WEB (לרבות Web Filtering ו- WAF), אבטחת מערכות SCADA, הגנת בסיסי נתונים ומערכי אחסון מרכזיים, הלבנת / השחרת קבצים, BCP, DRP, Honey Pots.
5. היכרות עמוקה עם תהליכי האבטחה השגרתיים בארגון: ניהול חשבונות והרשאות משתמשים לרבות Privilege User, Guest, Administrator), ניהול סיסמאות, ניהול גישת משתמשים למחשבים ולמידע, ניהול גיבויים, Patch Management (לרבות למערכות הפעלה, לרכיבי תקשורת, ליישומים, למוצרי אבטחה), ניהול ציוד קצה והתקנים ניידים, קבלה ומעקב אחר מידע (המתקבל מלוגים, Events ומקורות חוץ), וחקירתו, ניטור מערכות, חיפוש וזיהוי אנומליות.
6. ידע בסיסי באופן הטיפול באירועי אבטחה: הכרת סוגי תקיפות מוכרות (כגון: DOS / DDOS, Spear Phishing) ואופן הטיפול בתקיפות שהתגלו (גישות וכלים).
7. אתיקה מקצועית.

2. מוסמך טכנולוגיות הגנת סייבר (ארכיטקט)

אדם בעל השכלה אקדמית[2] וידע תיאורטי מקיף ומעמיק, האחראי על:

1. תכנון מענה טכנולוגי להגנת הסייבר בארגון, תוך שילוב טכנולוגיות ושיטות אבטחה.
2. התאמת מוצרי הגנה ושילובם בתשתיות המחשוב, לרבות מערכי אחסון ושיטות גיבוי.
3. ליווי הטיפול באירועי סייבר בהיבט הטכנולוגי.

זאת תוך הכרת והבנת הפעילות, הצרכים והמטרות של הארגון.

ידע מקצועי נדרש

1. בסיס ידע כמו של מיישם הגנת סייבר
2. תכנון מענה טכנולוגי להגנת סייבר בארגון: טופולוגיה / ארכיטקטורה תשתיתית מאובטחת, תכנון מערכים אפליקטיביים ומערכי WEB מאובטחים.
3. מוצרי הגנה: הכרת מגוון מוצרי הגנה וחלוקתם למשפחות, השוואה בין מוצרים בהתאם לצרכי הארגון, השפעת הטמעת המוצרים על הארגון ועל מערכי המחשוב שלו.
4. תקינה טכנולוגית: לרבות הכרת Protection Profiles ורמות הסמכה (EAL) של Common Criteria.
5. אחסון: מערכות אחסון ושיטות גיבוי ושחזור של מידע.
6. קריפטוגרפיה ונושאים משיקים: שיטות קריפטוגרפיות נפוצות (הצפנה סימטרית וא-סימטרית), PKI, CA (Certificate Authority), Challenge Response, Digital Signatures, Hash function, סטגנוגרפיה.
7. הכרה בסיסית של שיטות ותהליכים לפיתוח קוד מאובטח (Secure Coding): לדוגמה Secure Coding Guidelines ב- MSDN של Microsoft, וכן שילוב כלים אוטומטיים לבדיקות אבטחה בתהליך הפיתוח.

3. מוסמך מתודולוגיות הגנת סייבר

מומחה רגולציות ו- GRC (א.ו.)

אדם בעל השכלה אקדמית[3] וידע מקיף ומעמיק, האחראי על:

1. גיבוש, אפיון ומימוש תפיסות, שיטות ומתודולוגיות להגנת הסייבר בארגון.
2. הטמעת היבטי אסדרה ותקינה ישראלית ובינלאומית והיבטי הגנת הפרטיות.
3. ניהול סיכונים בהגנת הסייבר.
4. ליווי מתודולוגי של תהליכים ארגוניים בתחום הגנת הסייבר )כגון ליווי הקמת מערכת הגנת סייבר ארגונית, ליווי פרויקטים בהיבטי הגנת סייבר, אבטחת שרשרת האספקה, המשכיות עסקית, התאוששות מאסון וניתוח השפעות עסקיות.)

כל זאת תוך הכרת והבנת הפעילות, הצרכים והמטרות של הארגון.

ידע מקצועי נדרש

1. בסיס ידע כמו של מיישם הגנת סייבר
2. הכרת חוקים והחלטות ממשלה: לרבות חוק המחשבים, חוק הסדרת הביטחון בגופים ציבוריים, חוק הגנת הפרטיות, החלטות ממשלה רלבנטיות.
3. תקינה ואסדרה: ישראלית ובין-לאומית, בנושאי הגנת סייבר ואבטחת מידע, לרבות: סדרת 27000 SOX, PCI DSS, ISO, באזל, סדרת 800 של NIST, ISO 31000, Common Criteria, IEC 62443, HIPAA, הוראות המפקח על הבנקים, הוראות המפקח על הביטוח ושוק ההון.
4. ארגונים בעולם העוסקים בתקינה ובהסמכות: AFNOR,DIN, BSI, ITU, IEEE, NIST, ANSI, IEC, ISO, ISA, SANS, ISACA, ISC2, NERC, ETSI, ENISA, CENELEC, CEN.
5. תפיסות וגישות בהגנת סייבר: מעגלי הגנה, Least privilege, No single point of failure, Defense in depth, Need to know, הלימה בין רמת הגנה לרמת סיווג (כולל אבחנה בין סיווג למידור), מימוש בקרות מפצות כמנגנון משלים.
6. מתודולוגיות ומסגרות עבודה בתחום טכנולוגיות המידע: COBIT, ITIL.
7. מדיניות ונהלים: מטרת המדיניות, בניית מדיניות, הקשר בין מדיניות לנהלים.
8. GRC (Governance, Risk management and Compliance):
   א. ממשל הגנת סייבר (Governance) – ניהול הגנת סייבר ברמת הארגון, מבנים ארגוניים תומכים, מימוש מדיניות הגנת סייבר ארגונית, בעלי תפקידים, תקצוב, שליטה ובקרה ארגונית, הקצאת משאבים, מחויבות הנהלה ודירקטוריון.
   ב. ניהול סיכונים (Risk management) – מתודולוגיות ניהול סיכונים (כגון מתודולוגיית COSO), סוגי סיכונים, זיהוי הסיכונים, ניתוח הסיכונים, השפעת הסיכונים על הארגון, דרכי התמודדות, סיכונים שיוריים.
   ג. תאימות (Compliance) – תאימות לדרישות חוק, רגולציה, תקינה, חוזים, מדיניות ונהלים ארגוניים, דרישות פנים ארגוניות וחוץ ארגוניות (כגון דרישות לקוח).
   ד. ביקורת (Audit) בתחום הגנת סייבר: בקרות טכנולוגיות ומתודולוגיות נדרשות, וכן הכנת וליווי ארגונים למבדקי תאימות לתקינה.
   ה. ליווי הקמת מערכת הגנת סייבר ארגונית: הגדרת היעדים, הגדרת נכסי המידע / המערכות החיוניות, זיהוי וניהול הסיכונים, הגדרת תהליכי טיפול ומניעה, הגדרת ובחירת הבקרות הנדרשות, מיקוד בתהליכי עבודה אפקטיביים, שילוב ההגנה כחלק מהתהליכים הארגוניים, הנעת תהליכי לימוד, הפקת לקחים ושיפור.
   ו. ליווי פרויקטים בהיבטי הגנת סייבר: שילוב נושאי ההגנה במכלול מחזור החיים של מערכות ממוחשבות (SDLC).
   ז. אבטחת שרשרת האספקה.
   ח. המשכיות עסקית (BCP), התאוששות מאסון (DRP), Incident Response Plan, וניתוח השפעות עסקיות (BIA).

4. מוסמך מבדקי חדירה

אדם בעל ידע עדכני ויכולת מעשית גבוהה בנושאי איתור חולשות במערכי הגנת סייבר ובדיקת חדירוּת Penetration Testing)).

1. בסיס ידע כמו של מיישם הגנת סייבר
2. תקיפה: תהליך התקיפה (כגון: Kill Chain של Lockheed Martin), שיטות וכלים לתקיפה, שיטות וכלים לזיהוי תקיפות, שיטות תקיפה משולבות (לדוגמה טכנולוגי ואנושי), APT ((Advanced Persistent Threat.
3. הכרת חולשות: חולשות אפליקטיביות )(כולל OWASP Top 10 Vulnerabilities, בהקשר של Web applications), חולשות תשתיתיות.
4. כלים לביצוע מבדקי חדירה: הכרת כלים, הפעלת כלים, קריאת דו”חות המופקים מהכלים.
5. סוגי בדיקות חדירה: Gray Box, White Box, Black Box.
6. בדיקת חדירה ברמה תשתיתית: חדירה למערכות הפעלה (לרבות Windows, Linux), חדירה לציוד תקשורת ולבקרים, הכרה בסיסית של שפות רלוונטיות (לדוגמה Python, Perl).
7. בדיקת חדירה ברמה אפליקטיבית: חדירה לממשקי WEB, חדירה למערכות ייעודיות, Code Review (הכרה בסיסית), הכרה בסיסית של שפות רלוונטיות (כגון ASP, PHP, .NET), הכרה בסיסית של SQL.
8. כתיבת דו”ח בדיקה מסכם: אופן הכתיבה, פורמט, רמת הפירוט, המחשת הסיכון הארגוני, הערכת יכולת המימוש, המלצות לארגון על הפעולות הנדרשת לשיפור ההגנה והתעדוף לביצוען.

5. מוסמך תחקור סייבר

אדם בעל ידע עדכני ויכולת מעשית גבוהה בנושאי תחקור אירועים (Forensics):

1. בסיס ידע כמו של מיישם הגנת סייבר
2. שחזור מידע ונתונים, לרבות מהרכיבים הבאים: שרתים, תחנות קצה, התקנים ניידים (כולל טלפונים סלולאריים), רכיבי זיכרון, התקני אחסון.
3. פענוח אירועים: שיטות וכלים לגילוי, זיהוי, פענוח ושחזור אירועים; ניתוח נתונים, הצלבת נתונים וקורלציה בין נתונים לשם הרכבת תמונה שלמה.
4. Reverse Engineering (הכרה בסיסית): לשם תחקור אחר מתווה התקיפה.
5. שימור ראייתי: איתור ושימור ממצאים וראיות דיגיטליות כך שיוכלו לשמש בידי גורמי אכיפה להוכחת ביצוע התקיפה, אופן ביצוע התקיפה ולפענוח זהות התוקף.
6. חקירת זמן אמת לעומת חקירת אקס פוסט.
7. הכרת כלים: כלי שכפול, כלי שחזור, כלי חיפוש, כלי ניטור, כלי פיצוח סיסמאות.
8. היבט משפטי: הכרת פסיקות ותקדימים בנושא, דיני ראיות.
9. הכרת גופי חקירה רלוונטיים בישראל וסמכויותיהם: משטרת ישראל, מצ”ח, רשות המיסים, רשות לניירות ערך, הרשות למשפט, טכנולוגיה ומידע.
   כתיבת דו”ח בדיקה מסכם: אופן הכתיבה, פורמט, רמת הפירוט, המחשת אופן התרחשות האירוע, המלצות לארגון על הפעולות הנדרשות לשיפור ההגנה והתעדוף לביצוען.

מנהל הגנת סייבר

נושא “מנהל הגנת סייבר”, או “מנהל אבטחת מידע CISO”, נבחן אף הוא והוכרז כתפקיד, ולא כמקצוע. קרוב לודאי כי תפקיד ה- CISO יוכר כשילוב של מקצועות “מומחה טכנולוגיות” ו”מומחה מתודולוגיות הגנת סייבר”, בנוסף לדרישות נוספות מחויבות מציאות.

מקצועות סייבר שטרם הוגדרו רישמית

1. מומחה הגנת יישומים (Application Security Professional)
2. בקר SOC

התמחויות סייבר שטרם הוגדרו רישמית

1. מנהלן הגנת סייבר : Cyber Security Administrator: CSA
2. מנהל פרויקט לאבטחת מערכות מידע: Cyber Security Project Manager
3. מומחה התאוששות מאסון: Disaster Recovery Plan Professional: DRPP
4. מומחה ניתוח נוזקה: Cyber Security Malware Analyst: CSMA
5. מומחה הגנת SCADA.
6. מומחה הגנת IoT.
7. מומחה הגנת ענן.
8. מומחה הגנת קוד פיתוח.

[1] גופים אלה יוגדרו בהתאם לתבחינים שיתייחסו, בין היתר, להיקף פעילות הגוף, תלות תהליכי הליבה שלו במחשב, התלות של גופים אחרים בו ועוד.

[2] התארים יהיו בתחומים הבאים )כתחום מקצוע עיקרי / משני / התמחות / שילוב בין תארים(: מדעי המחשב / מערכות מידע / הנדסת תוכנה / הנדסת מחשבים / הנדסת אלקטרוניקה / הנדסת תקשורת / הנדסת תעשיה וניהול / מתמטיקה או תואר אחר שיוגדר על ידי הרשות .הערה: תואר אקדמי שונה ובנוסף הכשרות / הסמכות מקצועיות בהגנת סייבר בהיקף משמעותי) 400 שעות במצטבר( שיוכרו על ידי הרשות, יהווה תחליף לתואר אקדמי בתחומים שפורטו.

[3] התארים יהיו בתחומים הבאים )כתחום מקצוע עיקרי / משני / התמחות / שילוב בין תארים(: מדעי המחשב / מערכות מידע / הנדסת תוכנה / הנדסת מחשבים / הנדסת אלקטרוניקה / הנדסת תקשורת / הנדסת תעשיה וניהול / מתמטיקה או תואר אחר שיוגדר על ידי הרשות.

הערה: תואר אקדמי שונה ובנוסף הכשרות / הסמכות מקצועיות בהגנת סייבר בהיקף משמעותי ) 400 שעות במצטבר( שיוכרו על ידי הרשות, יהווה תחליף לתואר אקדמי בתחומים שפורטו.