בנובמבר 2022, שעות ספורות לאחר פיגוע המטענים בכניסה לירושלים, פרסמה קבוצת ההאקרים האיראנית "מטה משה" תיעוד מזירת הפיגוע שהושג ממצלמת אבטחה.
בזמן שכוחות הביטחון עדיין ניהלו את החקירה ואספו מידע מהשטח, גורם עוין כבר החזיק בצילומים מהזירה והפיץ אותם ברשת. לפי הפרסומים, לא מדובר היה במאגר מידע מרכזי שנפרץ, אלא בגישה למצלמה או למערכת שתיעדה את האירוע.
האירוע עורר שאלות מטרידות. כיצד הצליחה קבוצת האקרים איראנית להגיע לצילומים מזירה ביטחונית רגישה? האם מדובר היה בכשל אבטחה? בגישה מרחוק שלא הוגדרה כראוי? בחולשה בשרת שאליו הועברו ההקלטות? או במנגנון אחר שלא נחשף לציבור?
עד היום לא פורסמו כל פרטי האירוע.
מה שכן ברור הוא שמצלמות אבטחה אינן עוד מצלמות בלבד.
הן מחשבים המחוברים לרשת, אוספים מידע רגיש ולעיתים משקיפים על מתקנים, תשתיות ואירועים בעלי משמעות ביטחונית. בדיוק מהסיבה הזו, ארגונים ברחבי העולם החלו בשנים האחרונות לבחון לא רק את איכות התמונה של המצלמה, אלא גם את מקור הציוד, אבטחת שרשרת האספקה ומנגנוני ההגנה המובנים בו.
ייתכן שנתקלתם במונח "NDAA Compliant" או "תואם NDAA". אך מה בדיוק המשמעות של חוק זה, ומדוע הוא חשוב, גם עבור עסקים וארגונים בישראל?
מאמר זה נועד להבהיר את הנושא ולספק לכם את המידע הדרוש לקבלת החלטות מושכלות.
מהו חוק ה-NDAA?
חוק ה- National Defense Authorization Act (NDAA) הוא חוק אמריקאי שנתי הקובע את תקציב משרד ההגנה של ארצות הברית.
עם זאת, לאורך השנים, החוק הורחב וכלל סעיפים הנוגעים לאבטחת סייבר וטכנולוגיות מידע, במיוחד אלו המשמשות גופים ממשלתיים וביטחוניים.
אחד הסעיפים המרכזיים הרלוונטיים לתחום מצלמות האבטחה נכנס לתוקף בשנת 2019, והוא אוסר על שימוש בציוד תקשורת ושירותי מעקב מסוימים, אשר יוצרו על ידי חברות סיניות מסוימות, בשימוש ממשלתי אמריקאי.
האיסור נובע מחששות ביטחוניים עמוקים בנוגע לפרטיות, ריגול ופגיעות פוטנציאליות.
ממשלת ארה"ב, כמו גם גופים ביטחוניים רבים בעולם, חוששים שציוד המיוצר במדינות מסוימות עלול להכיל "דלתות אחוריות" (backdoors) או להיות חשוף לפריצות וגישה לא מורשית, ובכך לאפשר איסוף מידע רגיש או אף שיבוש פעולות.
Backdoor (דלת אחורית) הוא מנגנון המאפשר גישה למערכת בדרך העוקפת את תהליכי ההזדהות והאבטחה הרגילים. דוגמה פשוטה לכך היא מערכת שבה לצוות התמיכה או ליצרן קיימת סיסמת שירות מיוחדת המאפשרת גישה גם כאשר המשתמש שכח את הסיסמה שלו.
לא תמיד מדובר במנגנון זדוני, אך אם גורם בלתי מורשה מצליח לנצל אותו, הוא עלול לקבל גישה למידע רגיש או שליטה במערכת מרחוק. מסיבה זו, ארגונים רבים מקפידים לבחון את מקור הציוד, תהליך הפיתוח ורמת השקיפות של היצרן.
מדוע ה-NDAA חשוב גם בישראל?
על פניו, חוק אמריקאי נראה רחוק מהמציאות הישראלית. אולם, ההשלכות של ה-NDAA חוצות גבולות, וזאת מכמה סיבות מרכזיות:
1. סטנדרטים גלובליים של אבטחה
ה-NDAA קבע למעשה רף חדש של דרישות אבטחה ואי-תלות בשרשרת האספקה עבור ציוד טכנולוגי. חברות רבות, גם אלו הפועלות מחוץ לארה"ב, שואפות לעמוד בסטנדרטים אלו כדי להבטיח את אמינות מוצריהן ולקבל גישה לשווקים בינלאומיים רחבים יותר. בישראל, שבה האבטחה היא בעדיפות עליונה, אימוץ סטנדרטים אלו הופך לקריטי.
2. הפחתת סיכונים לשרשרת האספקה
ארגונים ישראליים, במיוחד אלו העוסקים בתחומים רגישים כמו ביטחון, תשתיות לאומיות, פיננסים או טכנולוגיה, צריכים להבטיח ששרשרת האספקה שלהם אינה מכילה נקודות תורפה. רכישת ציוד שאינו תואם NDAA עלולה לחשוף אותם לסיכונים של ריגול, איסוף מידע מודיעיני או אף השבתה של מערכות במקרה של אירוע סייבר.
3. אמון ומוניטין
ארגונים אשר משתמשים בציוד אבטחה שעומד בסטנדרטים מחמירים של NDAA, משדרים רמת אמינות וביטחון גבוהה יותר ללקוחותיהם, לשותפיהם העסקיים ולגורמים רגולטוריים. הדבר חשוב במיוחד בעסקאות בינלאומיות או כאשר עוסקים במידע בעל רגישות גבוהה.
מהי תאימות NDAA ומה המשמעות שלה בעת בחירת מצלמות אבטחה?
ציוד הנחשב תואם NDAA עומד בדרישות החוק האמריקאי, כלומר, הוא אינו מכיל רכיבים או תוכנות שמקורם בחברות סיניות מסוימות המוגדרות כחשודות על ידי ממשלת ארה"ב, וכן שהוא מתוכנן ומיוצר באופן המונע גישה בלתי מורשית או איסוף מידע סמוי.
הדבר כולל בקרות קפדניות על תהליך הפיתוח, הייצור, ובדיקות אבטחה שוטפות.
כאשר בוחרים מצלמות אבטחה, חשוב לבחון גם את רמת האבטחה של היצרן ואת אמינות שרשרת האספקה.
מצלמות שאינן תואמות NDAA אינן בהכרח לא מאובטחות , אך עם זאת, עבור ארגונים רבים, היעדר תאימות מקשה על הערכת הסיכונים הקשורים לשרשרת האספקה, למקור הרכיבים ולמנגנוני הגישה והתחזוקה המובנים במערכת.
מעבר לכך, בחירה במצלמות התואמות לדרישות NDAA עשויה לסייע בהפחתת סיכונים הקשורים לגישה בלתי מורשית, חולשות בשרשרת האספקה ותלות ברכיבים או בטכנולוגיות המוגדרים כבעלי פוטנציאל סיכון גבוה.
בחירת מצלמות אבטחה בישראל: מה חשוב לדעת?
בעת בחירת מערכות מצלמות אבטחה עבור העסק או הארגון שלכם בישראל, חשוב לבחון את הדרישות הללו. גם אם אינכם גוף ממשלתי אמריקאי, אימוץ עקרונות דומים של אבטחה בשרשרת האספקה יסייע לכם:
- בדקו את מקור הציוד – ודאו שהספק או היצרן יכולים לספק מידע ברור לגבי תאימות NDAA, שרשרת האספקה ומדיניות אבטחת המידע של המוצר.
- הבינו את הטכנולוגיה – לפני רכישה, חשוב להבין אילו יכולות באמת נדרשות לארגון שלכם. במקרים רבים, יכולות אנליטיקה מתקדמות, זיהוי אירועים והפחתת אזעקות שווא חשובות לא פחות מאיכות התמונה עצמה.
- בחרו ביצרן בעל מוניטין מוכח – העדיפו יצרנים המשקיעים באופן קבוע באבטחת סייבר, עדכוני Firmware ובדיקות אבטחה. לדוגמה, פתרונות הווידאו של חברת Milesight כוללים מגוון מצלמות ופתרונות ניהול וידאו התואמים לדרישות NDAA ומיועדים לארגונים המחפשים שילוב של אבטחה, אמינות וחדשנות טכנולוגית.
- בדקו את מדיניות העדכונים – מצלמת אבטחה היא למעשה התקן מחשוב המחובר לרשת. חשוב לוודא שהיצרן מספק עדכוני אבטחה שוטפים ומתחייב לתמיכה לאורך זמן.
- הסתכלו על התמונה המלאה – מערכת המצלמות היא חלק ממערך הסייבר הארגוני. גם מוצר איכותי דורש הגדרות נכונות, סיסמאות חזקות, הפרדת רשתות וניהול הרשאות תקין כדי לספק רמת הגנה גבוהה.
סיכום
חוק ה-NDAA, אף שהוא חוק אמריקאי, משקף מגמה עולמית הולכת וגוברת של דרישות אבטחה מחמירות בטכנולוגיות מידע ובתקשורת. עבור ארגונים בישראל, הבנת משמעותו והשפעתו על שרשרת האספקה של ציוד אבטחה היא קריטית להבטחת הגנה מיטבית מפני סיכוני ריגול, פריצות ואיסוף מידע. בחירה מושכלת של ציוד אבטחה תואם NDAA, לצד יישום נהלי אבטחה קפדניים, תסייע לכם לשמור על המידע והנכסים שלכם בטוחים בעידן הדיגיטלי.
שאלות נפוצות (FAQ)
מהי המשמעות של NDAA Compliant?
"NDAA Compliant" פירושו שהמוצר, במקרה זה מצלמת אבטחה או מערכת נלווית, עומד בדרישות החוק האמריקאי (National Defense Authorization Act), אשר אוסר על שימוש בציוד שמקורו בחברות סיניות מסוימות, מחשש לסיכוני אבטחה וריגול.
האם חברות ישראליות צריכות לדאוג לגבי ה-NDAA?
כן. למרות שהחוק אמריקאי, ארגונים ישראליים, במיוחד אלו הפועלים בתחומים רגישים, צריכים להיות מודעים לדרישות אלו כדי להבטיח את אבטחת המידע שלהם, למנוע נקודות תורפה בשרשרת האספקה, ולעמוד בסטנדרטים בינלאומיים.
אילו סוגי סיכונים קיימים בציוד שאינו תואם NDAA?
ציוד שאינו תואם NDAA עלול להכיל "דלתות אחוריות" המאפשרות גישה בלתי מורשית, איסוף מידע רגיש, ריגול, או אף פגיעות המאפשרות שיבוש פעולת המערכת.
כיצד אני יכול לוודא שמצלמות האבטחה שאני רוכש תואמות NDAA?
עליכם לבקש מהספק או היצרן הצהרה רשמית או אישור על תאימות NDAA עבור המוצרים הספציפיים שאתם שוקלים לרכוש. מומלץ לעבוד עם ספקים אמינים שמודעים לדרישות אלו.
האם ה-NDAA משפיע רק על גופים ממשלתיים?
האיסור המקורי בחוק מתייחס לשימוש ממשלתי אמריקאי, אך ההשפעה של הדרישות הללו היא גלובלית. יצרנים רבים מייצרים כיום ציוד תואם NDAA כדי לעמוד בסטנדרטים בינלאומיים ולהרחיב את קהל הלקוחות שלהם, גם מחוץ לארה"ב.
רוצים להתייעץ לגבי פרויקט?
צרו קשר עם צוות המומחים של EMT Engineering ונשמח לסייע בתכנון פתרון האבטחה המתאים ביותר עבורכם.
