זליגת מידע פרטי – מה עושים, חוץ מלהיכנס לפאניקה?
מאת: רונית קריספין, מנהלת פרטיות ראשית בחברת ארג'י טים (Energy Team)
עם התחדשות גל פריצות הסייבר, שאלו אותי כמנהלת סיכונים – איך מנהלים את המשבר? התשובה שלי היא פשוטה: מניעה. אלא שמניעה מצמצמת את עצמת המשבר ולא פותרת אותו. ובכל מקרה, כמו בכל סיכון אחר, לא ניתן למנוע אותו ב-100%.
התנהלות הציבור בישראל בפרשת אטרף, למשל, לא מספקת מניעה אסטרטגית של הפריצה הבאה. להיפך. מדוע? אנחנו מעודדים אותה בהתנהגות שלנו.
איך? אסביר: מי שרוצה לפרוץ לאתר שלנו – יצליח; מי שירצה לפרוץ לכל אתר – יצליח; כן, כולל של גורמים ביטחוניים מאובטחים (זה יהיה קשה יותר, אבל אפשרי).
ולכן אבטחת מידע היא רק חלק קטן של הפתרון. חשוב מאוד, אבל ממש לא הפתרון היחיד.
דמיינו את זה כבניית גדר תיל אימתנית מסביב לבית, אבל להשאיר את קירות הבית שקופים.
מה בכל זאת הפתרון הנוסף? אנחנו
לפני שנה בדיוק נערכה מתקפת סייבר על מספר חברות ישראליות שונות. ארבע חברות נכנעו לדרישת הכופר ושילמו לבקשת הפורצים, בביטקווין. על אף התשלום, המידע דלף בחלקו.
חושבים שהפורצים שמרו על פרטיותם? אין טכנולוגיה שלא משאירה שובל של עקבות. ארגוני מודיעין ישראליים עקבו אחרי המטבעות הוירטואליים והגיעו לזירת מסחר איראנית, Excoino שמה.
הפורצים מלפני שנה פעלו באופן דומה להתנהלות BlackShadow, שפעלו בשבועות האחרונים.
הבנת המניע חשובה מאוד בהתמודדות עם הפורצים. המניע שלהם כאילו כלכלי. עם זאת, הפורצים רצו לספר לחבר'ה עוד לפני שסיפרו למי שמהם ביקשו את הכופר. הפורצים בחרו בפנייה הראשונה לעיתונים, ולאו דווקא למי שממנו מבקשים את תשלום הכופר. כלומר, הפורצים מעוניינים בדעת הקהל יותר מאשר בכסף. זו סיבה נוספת לא לשלם, אם היתה חסרה לכם סיבה מדוע לא לשלם כופר בעת פריצה.
אז מה לעשות?
זה פשוט. לפניכם ארבעה כללים פשוטים והגיוניים.
- הנחת הבסיס – המידע שיכולים לאסוף עלי הוא מידע שאני משתף או אוסף: לכן עליכם לבחור בחכמה את המידע שאתם משתפים. כן, גם באתר של הבנק, בטח בהתכתבות עם רופאת המשפחה באתר של קופת החולים. כמה שפחות מידע. איך עושים את זה? שואלים את עצמכם (או את איש/אשת המקצוע) האם הפרט הספציפי הזה באמת נחוץ. באתרים שאינם דורשים מידע מדויק, העדיפו להזדהות בפרטים שונים מאלו שלכם. למשל: כשפתחתי חשבון בגוגל כתבתי גיל שונה מהגיל שלי, עשיתי לעצמי downgrade והצגתי את עצמי כגבר. למה? תרומתי הצנועה לצמצום הפער ביני ובין גוגל.
- להשתמש באפשרויות שהחוק מאפשר: פרצו לכם? גשו להתלונן במשטרה (מוקד 105 אם קטינים). הגישו תלונה ברשות להגנת הפרטיות, הגישו תביעה אם זה אפשרי, הגישו תלונה ואפילו תביעה כנגד מי שפתחו את המידע האסור והעבירו אותו הלאה. השתמשו בשיתופי הפעולה כנגד הפורצים והודיעו לממונים על הפרטיות במדינה שממנה היתה הפריצה.
- לשמור על החוק בעצמכם: אם מגיע אליכם קובץ מידע שמקורו בפריצה, אל תפתחו ואל תעבירו! לא רק בגלל שמדובר בעבירה על החוק, אלא גם כי אתם לא מעוניינים לשתף פעולה עם הפורצים. בטח כאשר מדובר במלחמת תודעה בינלאומית, אל תקחו את הצד של האויב. הם מעוניינים שתיווצר היסטריה מסביב למידע שהודלף. אם לא תפתחו – הם מפסידים את המומנטום ואת הקהל הרלוונטי.
- לנשום: כן. לנשום עמוק, ליצור קשר עם רשויות האכיפה, לקבל עזרה ולהבין שמשתמשים בכם במסגרת מלחמה כוללת. אין לכם יכולת להתמודד עם זה לבד. צעד בלתי מתואם עם המדינה עלול לגרום לנזק במלחמה הזו. לכן, לא לשלם את הכופר ולא להיכנס ללחץ. זה לא נעים, עלול להיות מביך, עם זאת, יש לכם כלים להתמודד עם מי שהפר את המידע שלכם בתוך המדינה. מה שאין לכם יכולת לשנות, אין מה לייסר את עצמכם. בינינו? מחר יעטפו דגים וירטואליים עם הביטים והבייטים הללו.
ב-7.12.21 יתחיל קורס הכשרת ממונה פרטיות (DPO), שמרצים בו מיטב המומחים בארץ בתחום הגנת הפרטיות. נותרו מקומות אחרונים. לפרטים נוספים היכנסו לקישור הבא.