אין מדליות גם באבטחה

השבוע החולף מסכם לא רק אכזבות ספורטיביות, אלא גם כישלון באבטחת מידע. פרשת "זוכרים את עימאד", במסגרתה חדרה אתמול (ד') קבוצת האקרים לשורה של אתרים, ופרסמה פרטים אישיים של ישראלים לרבות נתוני אשראי, מעידה כי גם בתחום זה לא נקבל מדליה בקרוב.

העובדה שפריצה זו נראית חובבנית למדי, ומאפיינת בעיקר האקרים מתחילים, צריכה לעורר אצלנו מחשבות רבות אודות רמת אבטחת המידע במגזר העסקי והממשלתי. כרמלה אבנר, מנמ"רית הממשלה, אמנם הצליחה לספק את כדור ההרגעה הזמני, לאחר שהכחישה את דבריו של אחד ההאקרים, לפיהם הצליח לחדור למשרדי ממשלה. אולם, זו שמחת עניים, שכן ברור לכולם שההתקפות תמשכנה, וחמור מכך – אנחנו לא לומדים את הלקח.

התקפות הסייבר מחוברות באופן מידי לסיפור התקיפה הישראלית באיראן. אפשר להניח שבפני ראש הממשלה ויועציו, המתחבט בסוגיה זו, עומדים שורה של שיקולים בעד ונגד, ולא זה המקום לדון בהם. אבל אין ספק שאחד השיקולים הוא הגנת העורף מפני התקפות. כך, לא מדובר רק בהתקפות פיזיות, אלא גם הכנה על העורף בשעת חירום, מלחמה או אסון להתקפות מסוגים נוספים.

ניתן להניח, כי תמונת המצב ברורה וידועה לראש הממשלה ומקבלי ההחלטות. אך הסיכוי היחיד שמשהו ישתנה יגיע רק לאחר שיקרו אחד מהתרחישים הבאים: נזק חסר תקדים לאחד הגורמים המרכזיים במשק, בנק או מוסד שהתלות הטכנולוגית בו היא קריטית. המדובר במקרה שבעקבותיו ייערפו ראשים ותקום ועדת חקירה. לחילופין, ייתכן כי  המושכים בחוטים, דוגמת הרגולטורים, רמו"ט, המפקח על הבנקים, המפקח על חברות הביטוח וחברות האשראי, יתחילו לשלוף ציפורניים.

היעד הראשון הוא הדירקטורים ומנהלי הארגונים. נדמה, כי עד שמישהו מהם לא ישלם בראשו, ימשיכו המנמ"רים, מנהלי אבטחת המידע והצוותים המקצועיים לדרוש תוספת משאבים, להזהיר ולהתריע – ומועצות המנהלים ימשיכו להתייחס לכך בשוויון נפש. במקרה של המוסדות פיננסיים, הרי שהם יציירו את הסייבר האיראני או כל סייבר אחר כחלק מניהול סיכונים.

האבסורד הוא שרק בתחילת השנה אירע מקרה דומה: פרשת ההאקר הסעודי. הפרשה הצליחה להעלות את נושא האבטחה על סדר היום, אך מאז לא חלו שינוים מהותיים בהערכות של ארגונים למתקפת סייבר. מנכ"לי ארגונים מבקשים מסמכים, תוכניות עבודה ותסריטי ייעוץ, במחיר מוזל עד כמה שאפשר, אבל לא ממהרים לבצע את מה שנאמר להם. למה הם צריכים את הניירות? בשביל הכסת"ח, כדי להציג אותם במקרה של בירור או חקירה מצד הרגולטור. אך למרות הכל, הרגולטור עדיין ישן, משוכנע שמדובר באירועים חריגים, ומחייך כאשר מציגים בפניו מצגות, מסמכים וניירות המחזיקים בסיפורים ורודים.

נקודה תמוהה נוספת נחשפת כאשר בוחנים את ההתקפות של ההאקרים על רקע לאומני דרך החור של הגרוש. רוצה לומר, הבדיקה נעשית דרך הפריזמה הכלכלית, האם יש אזרחים שנפגעו כספית מחשיפת כרטיסי האשראי שלהם. אולם, איש לא בודק את הנושא של הפרת הפרטיות של מאות ישראלים. כן, גם חשיפת כתובת הדואר האלקטרוני שלך ללא ידיעתך ואישורך, היא פגיעה בפרטיות. גם הצמדת שמך למספר כרטיס אשראי, בין אם הוא פעיל או לא, היא חדירה לאזור הפרטי של כל אחד מאיתנו. אך פגיעה בפרטיות לא נחשבת במחוזותינו לפגיה בערך ששווה כסף, ולכן ארגונים גדולים, דוגמת חברות אשראי, ממשיכים לשבת על הגדר ולהעמיד פנים, כאשר בפועל כל האקר מתחיל יכול לשבש את שגרת חייהם ואף לפגוע בפרנסתם.

כמו בכל מערכת ניהולית, גם כאן הכל מתחיל מראש הפירמידה. הממשלה והרגולטור שלא מפעיל את כליו נגד יו"רים של מועצות מנהלים ומנכ"לים, הם הראשונים במחדל.  למרות זאת, בסופו של יום, אם חס וחלילה יקרה אסון כתוצאה מההתקפה הבאה, הראשונים שיוזמנו לוועדות החקירה הם הש"ג של הטכנולוגיה: המנמ"רים ומנהלי אבטחת המידע.

השורה התחתונה: סוגי התקפות כמו אלו שקרו אתמול או דוגמת ההאקר הסעודי, הן בבחינת תרגיל ערנות וכוננות "על רטוב". כדאי מאוד שנתייחס אליהם ביתר רצינות, רגע לפני שיהיה מאוחר מדי.