אבטחת מידע וסייבר

תאריך עדכון: : 7 בדצמבר 2025

מבוא

חברת UnderWave ("החברה", "אנחנו" או "אנו"), כחברת מודיעין ממקורות גלויים (OSINT) וחקירות דיגיטליות, מתמחה באיסוף, ניתוח והפקת תובנות מנתונים זמינים לציבור. פעילותנו כוללת טיפול במידע רגיש, ניתוח סיכונים דיגיטליים וסיוע ללקוחות בעסקים, ארגונים ואנשים פרטיים. אבטחת המידע והסייבר מהווה עמוד תווך בפעילותנו, שכן אנו מתמודדים עם איומים ייחודיים כמו דליפות נתונים, התקפות ממוקדות על חוקרי OSINT והפרעות לשרשרת אספקת המודיעין.

מסמך זה, המבוסס על תקנים בינלאומיים כגון ISO/IEC 27001:2022, NIST Cybersecurity Framework (CSF) 2.0, CIS Controls v8 ומדריכי OSINT ממקורות כמו SANS Institute ו-NSA, מגדיר את המדיניות, הנהלים והשיטות המומלצות לאבטחת מידע וסייבר בחברה. הוא נועד להבטיח הגנה על נכסי המידע, שמירה על סודיות הלקוחות, עמידה בחוקים רלוונטיים (כולל GDPR, CCPA וחוק הגנת הפרטיות בישראל) ומזעור סיכונים עסקיים.

המסמך חל על כל עובדי החברה, קבלנים, ספקים ושותפים (להלן: "הצוות"), וכן על כל המערכות, הנתונים והתהליכים הקשורים לפעילות OSINT. אי עמידה במדיניות זו עלול להוביל לסנקציות משמעתיות, משפטיות או פליליות.

היקף והחלת המדיניות

היקף

  • נכסי מידע: כולל נתונים אישיים, נתוני OSINT (ממקורות פתוחים), דו"חות חקירה, קוד מקור, מסמכים פנימיים ומאגרי מידע.

  • מערכות: מחשבים, שרתים, ענן (AWS/Google Cloud), כלי OSINT (כגון Maltego, Shodan, Recon-ng), רשתות ותקשורת.

  • תהליכים: איסוף נתונים, ניתוח, אחסון, העברה והפקת דו"חות.

  • מיקומים: משרדים בישראל, עבודה מרחוק וענן בינלאומי.

החלה

המדיניות חלה על כל פעילות החברה, כולל OSINT אתי וחוקי. היא תיבחן מדי שנה או בעקבות אירועי אבטחה משמעותיים, ותעודכן בהתאם לשינויים רגולטוריים או טכנולוגיים.

תפקידים ואחריות

 
 
תפקידאחריות עיקרית
הנהלה בכירה (CEO/מייסד)אישור המדיניות, הקצאת משאבים והובלת תרבות אבטחה.
ממונה אבטחת מידע (CISO/DPO)פיתוח, יישום ופיקוח על המדיניות; ניהול סיכונים; דיווח להנהלה.
עובדים/חוקריםעמידה בהנחיות יומיומיות; דיווח על אירועים חשודים.
מחלקת ITניהול טכני של מערכות; עדכונים ותחזוקה.
ספקים חיצונייםחתימה על הסכמי SLA (Service Level Agreement) עם דרישות אבטחה.
 

כל חבר צוות יחתום על הצהרת מחויבות שנתית לאבטחה.

ניהול סיכונים

הערכת סיכונים

  • ביצוע הערכה שנתית של סיכונים (Risk Assessment) באמצעות מתודולוגיית NIST SP 800-30, עם דגש על איומים ייחודיים ל-OSINT: דליפות מקורות, התקפות OSINT נגדית (Adversary OSINT) ופישינג ממוקד.

  • סיווג נכסים: ציבורי, פנימי, סודי, מוגבל (Restricted) – בהתאם לרמת הרגישות.

טיפול בסיכונים

  • מזעור: יישום בקרות (כגון MFA, הצפנה).

  • העברה: ביטוח סייבר.

  • קבלה: סיכונים נמוכים בלבד, עם אישור בכתב.

  • מעקב: שימוש בכלי כמו RiskWatch או Excel מותאם.

ניהול נכסים

  • רישום נכסים: מאגר מרכזי (Asset Inventory) של כל נכסי IT ומידע, כולל כלי OSINT.

  • סיווג: כל נכס יסווג לפי רמת סודיות; נתוני OSINT יסומנו כ"לא להפצה ללא אישור".

  • השמדה: מחיקת נתונים באמצעות כלים כמו DBAN או shred; נתוני OSINT זמניים יימחקו לאחר 30 יום אלא אם נדרש אחרת.

בקרת גישה

  • עקרון Least Privilege: גישה מינימלית נדרשת; שימוש ב-RBAC (Role-Based Access Control).

  • אימות: MFA לכל גישה; סיסמאות חזקות (12+ תווים, החלפה כל 90 יום).

  • מעקב: לוגים מלאים (SIEM כמו Splunk); ביקורת גישה רבעונית.

  • ל-OSINT: גישה למקורות פתוחים דרך VPN/Proxy אנונימי; איסור שימוש בחשבונות אישיים.

קריפטוגרפיה

  • הצפנה: AES-256 לאחסון; TLS 1.3 להעברה; PGP/ S/MIME לדוא"ל רגיש.

  • מפתחות: ניהול מרכזי (HSM); סיבוב מפתחות שנתית.

  • ל-OSINT: הצפנת דו"חות; שימוש בכלים כמו VeraCrypt לאחסון זמני.

אבטחה פיזית וסביבתית

  • גישה פיזית: כרטיסי כניסה, מצלמות CCTV; אזורי נעילה לשרתים.

  • הגנה סביבתית: גיבויים UPS, בקרת אש/מים.

  • עבודה מרחוק: VPN חובה; איסור שימוש ברשתות ציבוריות.

אבטחת פעולות

  • ניהול מדפסות/מדיה: מחיקה מאובטחת; סימון מסמכים.

  • גיבויים: יומיים, 3-2-1 Rule (3 עותקים, 2 מדיות, 1 מחוץ לאתר); בדיקה רבעונית.

  • עדכונים: Patch Management אוטומטי; סריקות יומיות (Nessus).

  • ל-OSINT:

    • איסוף אתי: עמידה בחוקי פרטיות; איסור scraping אוטומטי ללא בדיקה.

    • OPSEC: שימוש ב-Tor/VPN; איסור שיתוף מקורות בלתי מאומתים.

    • כלים: שימוש בכלי מאובטחים (כגון OSINT Framework); בדיקת malware לפני שימוש.

אבטחת תקשורת

  • רשת: Firewall (Next-Gen), IDS/IPS (Snort); סגמנטציה (VLAN).

  • דוא"ל: סינון ספאם (Proofpoint); אימות DKIM/DMARC.

  • העברת נתונים: SFTP/SCP; איסור העברה לא מוצפנת.

  • ל-OSINT: שימוש בפרוקסי אנונימיים; מעקב אחר דליפות (Have I Been Pwned).

רכישה, פיתוח ותחזוקה של מערכות

  • רכישה: הערכת ספקים (Vendor Risk Assessment); העדפת OSS מאובטח (לפי NSA Best Practices).

  • פיתוח: Secure SDLC (OWASP); בדיקת קוד (SonarQube).

  • תחזוקה: Vulnerability Scanning חודשי; Penetration Testing שנתית על ידי צד שלישי.

יחסי ספקים

  • הסכמים: DPA (Data Processing Addendum) לכל ספק; ביקורת שנתית.

  • מעקב: SLA עם מדדי אבטחה (כגון 99.9% זמינות).

  • ל-OSINT: ספקי כלים (כגון API של Shodan) ייבחרו עם התחייבות לפרטיות.

ניהול אירועים

  • זיהוי: מערכת SIEM; דיווח תוך 24 שעות.

  • תגובה: תוכנית IR (Incident Response) לפי NIST SP 800-61: הכלה, הסרה, שחזור, למידה.

  • דיווח: GDPR (72 שעות), ישראל (רשות להגנת הפרטיות); לקוחות מושפעים מיד.

  • תרגילים: סימולציות רבעוניות, כולל תרחישי OSINT (כגון דליפת מקור).

המשכיות עסקית והתאוששות מאסון

  • BCP/DRP: תוכנית BCP (Business Continuity Plan) עם RTO <4 שעות, RPO <1 שעה.

  • גיבויים: Offsite/Cloud; בדיקת שחזור רבעונית.

  • תרגילים: BCP Drill שנתית.

עמידה וביקורת

  • עמידה: התאמה ל-ISO 27001, GDPR, CCPA, חוק הישראלי.

  • ביקורת: פנימית רבעונית; חיצונית שנתית (כגון SOC 2 Type II).

  • דיווח: דוח שנתי להנהלה; פרסום תמציתי באתר.

הכשרה והעלאת מודעות

  • הכשרה: חובה שנתית (SANS OSINT Course, Phishing Simulations).

  • מודעות: קמפיינים חודשיים; תרבות "See Something, Say Something".

  • ל-OSINT: הדרכה ספציפית על OPSEC, אתיקה וזיהוי איומים.

סיום ופרטי יצירת קשר

מסמך זה יעודכן מעת לעת. שינויים מהותיים יפורסמו לעובדים ולקוחות.

לשאלות או דיווחים:

ממונה אבטחת מידע UnderWave דוא"ל: info@under-wave.com טלפון: +972-51-2051216

תודה על מחויבותכם לאבטחת UnderWave.

Scroll to Top