עמימות שלא במקומה
מסקנות ביניים של יונתן קורפל מגל מתקפות הסייבר האחרון על אתרים ישראליים
השבוע נודע כי בשבוע שקדם לו, הותקף אתר האינטרנט של בנק לאומי, במתקפה כבדה מסוג מניעת שירות. בעיצומה הועמס האתר בכארבעים אלף ניסיונות כניסה מדי שנייה. כתוצאה מכך הפעילות באתר הואטה מאד והעיקה על הלקוחות. בשלב מסוים אף שותק האתר בצורה יזומה למחצית השעה, לצורך התארגנות טובה יותר. הבנק מסר בדיעבד, כי עשה שימוש במומחי אבטחת מערכות מידע מחו"ל, במהלך ההתמודדות עם המתקפה. כן הדגיש כי מהלכי ההתגוננות כללו יישום לקחים ממקרים קודמים שאירעו בארץ ובעולם.
בנפרד נודע גם השבוע כי כמה ימים קודם לכן, הותקף שרת שמות המתחם של אחת מספקיות האינטרנט הבולטות בישראל. באמצעות שיבוש מאגר הכתובות בשרת גרמו ההאקרים להפניית הגולשים שביקשו להגיע לאתרים מסוימים בארץ, אל אתרים אנטי ישראלים. בין היתר נפגעו למשל האתר המקומיים של מיקרוסופט (Microsoft) וקוקה-קולה. העיתון כלכליסט שדיווח על המתקפה, ציטט מומחה מקומי לאבטחת סייבר, שגרס כי המתקפה נתאפשרה בשל הגנה לא מספקת על השרתים.
ביום ג' השבוע הותקפו כמה מאות אתרים ישראלים, בהתקפה מסוג שמתאפשר כאשר רמת התכנות של האתרים בקשר לזיהוי הגולשים, הנה נחותה. נראה כי מדובר במתקפה מתגלגלת שנמצאת בעיצומה. המכנה המשותף לכל הפעולות העוינות האמורות, הנה העובדה שמבצעיהן הנן קבוצות מוסלמיות קיצוניות. לאחת הקבוצות הללו מיוחס גם גל פגיעות ברבבות אתרים בעולם ובהם כנראה גם באתר המוסד שלנו. כצעד מקדים הם חדרו למערכות של חברת הולנדית המתמחה בהענקת אישורי אבטחה.
מהגל העכור המתואר ותוצאותיו ניתן להסיק, כי ניתן להתגונן כנגד חורשי הרעה. ככל שנערכים יותר טוב ומבעוד מועד, הפגיעה קשה פחות. אולם למרבית ההפתעה, שוב ושוב מתברר כי מרבית הארגונים שלנו אינם ערוכים דיים. פגיעות היו ויהיו תמיד. מדינת ישראל, ממקדת אליה שנאה לא מעטה בעולם. לא צריך להיות נביא בכדי להבין כי בעקבות האירועים המשמעותיים בסביבתנו הקרובה והרחוקה, ניסיונות הפגיעה רק יתעצמו ובקרוב. כל אתר ומערכת בישראל, הנם מטרה פוטנציאלית לכוחות הרשע. ההערכות חייבת להיות הרבה יותר טובה, יש בהחלט מה לשפר.
מה שמציק לי יותר מכל הנה העמימות היזומה שמשרים הארגונים הנפגעים. מתקפות משמעותיות, מתבררות לציבור רק כעבור ימים ארוכים. ברוב המקרים זה קורה שלא ביוזמת הארגונים שעמדו בעין הסערה. גם כאשר עובדת הפגיעה נחשפת, אין הארגון נוהג בשקיפות מלאה. זוהי תרבות ניהולית קלוקלת. בעידן האינטרנט, העובדות הרי נחשפות ממילא חיש קל. לקוחות האתרים ניזונים ממידע חלקי ומאבדים מאמונם. כחלק מהערכות למקרי חירום יש ליצור מנגנון דווח שקוף ואמין, שיבהיר ללקוחות מה התרחש, כיצד יש לנהוג ומה עתיד להתרחש.
האם קיים ארגון על המפקח על אבטחת המידע בארגונים השונים?
בענייני אבטחה כדאי לפעמים להשאר עמום כדי לא לעזור לרעים
כמו בכל תחום הניהול אצלנו חלש
מדובר במעיין "תסמונת נאנסת" המוכרת לכולנו. הרי כפי שבחברות מסויימות מוקיעים בני המשפחה נאנסות משום ש"לא השכילו להגן על כבודן", כך גם כאן מעדיפים בעלי האתרים למלא פיהם מים ולקוות שלא יוודע הדבר ברבים, מאשר להתפס כאשמים וכמי ש"לא השכילו להגן על עצמם"
דווקא בתחום הזה אני רגוע
אחלה מיקום.
חוסר שקיפות זה לא מאפיין רק של בטיחות נתונים ואתרים. ככל הנראה זה מאפיין כללי. ואם יש פגיעה בבסיס ההון של חברה או תקלות בייצור וכו' האם הציבור יקבל מידע על כך?
נראה לי שבשדה הקרב הוירטואלי ננצח בגדול