"התגובה של אובר הייתה בלתי אחראית"

"התגובה של אובר (Uber) הייתה בלתי אחראית. תשלום לעבריינים מייצר תקדים מסוכן ומעודד את העבריינים להמשיך בפעילותם", כך אמר דיוויד אם, חוקר בכיר בקספרסקי (Kaspersky Lab). זאת בעקבות הדיווח לפיו נפרצו ונגנבו מאובר 57 מיליון פריטי מידע על נהגים ומשתמשים – והחברה ידעה על כך אולם הסתירה את המידע.

"ההשפעה הנלוות של הודעת אובר על דליפת נתונים נרחבת", אמר אם, "ממחישה את החשיבות העצומה שיש לשקיפות ואחריות של עסקים. במהלך השנתיים האחרונות, התרחשו כמה אירועים של דליפת נתונים שהדיווח עליהם התבצע באיחור ניכר – דבר שיש בו רק עזרה מועטה ללקוחות שנפגעו ממנה. זה מדגיש את הצורך ברגולציה. יש לקוות כי תקנת GDPR, רגולציית ההגנה על נתונים של האיחוד האירופי, שתיכנס לתוקפה במאי 2018, תעודד חברות לנקוט באמצעים כדי לאבטח את נתוני הלקוחות המוחזקים אצלם, וכן, לדווח על הדליפה בזמן סביר".

"לקוחות המפקידים את המידע שלהם ברשות עסקים", ציין אם, "צריכים לחוש בטוחים שמידע נשמר באופן מאובטח. כשדליפת נתונים שכזו מתרחשת, דיווח מלא ובזמן סביר יכול לסייע רבות כדי לשמר ולהחזיר את אמון הלקוחות". אם סיים באומרו כי "תגובת אובר הייתה בלתי אחראית. תשלום לעבריינים מייצר תקדים מסוכן ומעודד את העבריינים להמשיך בפעילותם".

אודי מוקדי, יו"ר ומנכ"ל סייברארק. צילום: יח"צ

"ארגונים כמו אובר, שמאמצים שיטות פיתוח אפליקציות מודרניות, על מנת לשחרר רכיבים חדשים ועדכוני תוכנה במהירות גדולה, כדי לשפר את חווית המשתמש – מעמידים את עצמם בסיכון", אמר אודי מוקדי, יו"ר ומנכ"ל סייברארק (CyberArk).

"המתקפה על אובר מאירה זרקור על הנקודות הפגיעות הקריטיות באבטחה, הנוצרות כתוצאה מחשבונות פריבילגיים, שפעמים רבות אינם מנוהלים ונותרים בלתי מוגנים. הדבר נכון במיוחד בחברות שמשתמשות בתהליכי DevOps ובענן, כדי לשחרר אפליקציות חדשות לשוק במהירות גדולה".

מוקדי ציטט מחקר של פורסטר (Forrester), לפיו 80% מפריצות האבטחה מערבות הרשאות פריבילגיות. למרות זאת, אמר, "ולפי סקר אחרון שערכנו, 75% מהארגונים מדווחים שאין להם כל אסטרטגיה לנהל ולאבטח את ה'סודות' של ה-DevOps. כ-99% מהם לא ידעו לזהות את כל המקומות בהם חשבונות פריבילגיים, או סודות בארגון שלהם – קיימים".

"חוסר הניראות וחוסר השליטה", סיים, "יוצרים הזדמנות עצומה לתוקפים. זה גם מדגיש את הצורך בפתרונות לניהול סודות, כחלק מפתרון כולל לאבטחת חשבונות פריבילגיים – על מנת לספק הגנה פרואקטיבית כנגד סוג זה של מתקפות, לרוחב תהליכי ה-DevOps ובכל סביבת ענן".

עינת מירון, יועצת מומחית להנהלה בכירה בתחום חוסן הסייבר. צילום: יח"צ

עינת מירון, יועצת מומחית להנהלה בכירה בתחום חוסן הסייבר, אמרה כי "מדובר באירוע שממחיש בצורה מצוינת כיצד נפגם המארג העדין שמרכיב את עוצמת המותג – אמון".

"אמון הוא גורם מכריע בקשר של הספקים והלקוחות עם הארגון. המחשבה שהסתרה היא המדיניות הנכונה – מתבררת שוב כשגויה. והפעם, מי שמשלם את המחיר, הוא מנהל אבטחת המידע".

סביר להניח, אמרה מירון, "שרגע גילוי הפריצה ודרישת הכופר תפסו את הארגון, גדול ומיומן ככל שיהיה, לא מוכן ואולי אפילו מבוהל מפוטנציאל הנזק. אנחנו יודעים להתמודד מצוין עם אירועים שכבר חווינו ותרגלנו. כיוון שמשום מה, ארגונים לא מתרגלים אירועי סייבר, ברגע האמת, בתוך הכאוס שנוצר, מתקבלות החלטות לא הגיוניות ומושכלות – שלא לומר שגויות".

מירון סיכמה בציינה כי "מנהלי אבטחת המידע חייבים להפנים את התרומה הקריטית שלהם לשרידות העסקית. הם חייבים ללמוד כיצד לתפקד מול ההנהלה, גם כשהם נושאים בשורות רעות. היערכות מקדימה להתמודדות עם סיטואציה בה מידע של הארגון נגנב, וחמור מזה – הוא נדרש לתשלום כופר עבורו – עשויה לצמצם את הנזק שבחשיפת האירוע בשלב מאוחר יותר".