ח"כ רונית תירוש: "דליפת פרטי האשראי היא כשל מערכתי; אזרחי ישראל חשופים למתקפות סייבר"
"ישראל מתהדרת ביכולות הטכנולוגיות שלה, אבל נראה שאינה פועלת באופן אופטימילי כדי להגן על עצמה", אמרה ח"כ תירוש, יו"ר ועדת המדע והטכנולוגיה של הכנסת, בפתיחת דיון שערכה הוועדה בנושא ● עו"ד יורם הכהן, משרד המשפטים: "רמת האבטחה של רוב האתרים שנפרצו היתה נמוכה" ● רו"ח דורון רונן, ISACA: "יש להטיל על גוף ממשלתי את נושא הסמכת האתרים בתחום אבטחת המידע" ● אבי ויסמן, שיא סקיוריטי: "לאזרח אין יכולת להתגונן מפני התקפת סייבר. תפקידן של הרשויות להגן עליו"
"דליפת פרטי האשראי היא כשל מערכתי חמור. איש אינו לוקח אחריות ואזרחי ישראל נותרים חשופים למתקפות סייבר", אמרה ח"כ רונית תירוש, יו"ר ועדת המדע והטכנולוגיה של הכנסת. ח"כ תירוש אמרה את הדברים בפתיחת דיון שערכה היום (ג') הוועדה בפרשת הדליפה של פרטי כרטיסי האשראי ומוכנות הסקטור האזרחי למתקפת סייבר. לדבריה, "ישראל מתהדרת ביכולות הטכנולוגיות שלה, אבל נראה שאינה פועלת באופן אופטימילי כדי להגן על עצמה. המלך הוא עירום. עלינו להקדים תרופה למכה ולא לחפש כשל באתר זה או אחר. יש כאן בעיה עקרונית והוא איום ברמה הלאומית".
בדיון השתתפו שורה ארוכה של גורמי ממשלה, מומחי אבטחת מידע ונציגי חברות האשראי. יורם הכהן, יו"ר הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים, אמר הרשות ממשיכה לחקור את האירוע. "גיבשנו תמונה של כיצד בוצעה הפריצה. ברוב המקרים מדובר על רמת אבטחה נמוכה של האתרים שנפרצו. עם זאת, על הפעולה הזו להוות צלצול השכמה".
במהלך הדיון עלתה גם סוגיית רמת הפיקוח של בנק ישראל. רחל יעקבי, מנהלת יחידת ביקורת מערכות המידע והממונה על הטכנולוגיה בבנק ישראל, אמרה כי עד כה לא פיקח הבנק על רמת הבדיקות שעורכות חברות האשראי מול החברות שעובדות איתן. עם זאת, ציינה יעקבי, כי חלק גדול מהמידע שנחשף הוא מידע אישי שאין בינו ובין כרטיסי האשראי שום קשר.
טל הרמתי, סגן בכיר לחשב הכללי במשרד האוצר, אמר בדיון כי ניסיונות הפריצה לאתרי הממשלה הם דבר שבשגרה ושמדובר על מאות אלפי ניסיונות כאלה מדי יום. הרמתי ציין, כי הממשלה משקיעה רבות כדי לאבטח את אתריה. הרמתי מסר עוד בדיון, כי הממשלה יוזמת הקמת אתר חדש, אשר יאפשר לכל אזרח לדעת באופן אישי, על סמך תעודת זהות, איזה מידע אישי שלו חשוף באתרים שונים ברשת. הוא הזכיר, כי לאחר האירוע הוקם קול סנטר מיוחד שנתן מענה לאזרחים שרצו לדעת האם פרטי האשראי שלהם נחשפו. "הקול סנטר טיפל ב-3,800 קריאות בשעות הראשונות, מה שמוכיח את רמת החרדה של הציבור מהמקרה", אמר.
נציגי חברות האשראי אמרו בדיון, כי חלק גדול מהמידע שדלף כלל פרטים אישיים של אנשים שאין בינם ובין מספר כרטיסי האשראי דבר. עוד צוין, כי חלק מהאתרים שנפרצו אמנם אוספים מידע על הציבור, אך כלל לא עובדים ישירות עם חברות האשראי.
רו"ח דורון רונן, נשיא האיגוד הישראלי לביקורת ואבטחת מערכות מידע, ISACA ישראל, אמר בדיון כי יש להטיל על גוף ממשלתי את נושא הסמכת האתרים בתחום אבטחת המידע, תוך קיום ביקורת שוטפת. אותו הגורם, הסביר רונן, יהיה גם הגוף האחראי על פרסום הסמכות באתר הממשלה.
אבי ויסמן, יו"ר הפורום הישראלי לאבטחת מידע ומנכ"ל שיא סקיוריטי, אמר כי השאלה "מה האזרח צריך לעשות", אינה רלבנטית. האזרח, לדבריו, יכול לעשות מעט מאוד בהיבט מלחמת סייבר, כי אין לו את הכלים. "הרשויות חייבות לעשות הכל כדי להגן עליו – ויש הרבה מה לעשות", קבע ויסמן.
בסיום הדיון הסכימו כל הדוברים, כי יש להקים גוף שירכז את נושאי אבטחת המידע בסקטור האזרחי, יקבע תקני אבטחה שיחולו על אתרי מסחר ויחייב את חברות האשראי לאכוף את מדיניות האבטחה על העסקים הללו. כמו כן, קראה הוועדה לציבור שלא למסור פרטים מיותרים בכל עסקה מקוונת, מאחר ומרבית האתרים דורשים גם פרטים שאינם רלוונטיים לעסקה.
רוצים לשמוע עוד? הירשמו עכשיו לכנס CyberSec של אנשים ומחשבים
דווקא כן צריך לחפש כשל באתר כזה או אחר. כל אתר אינטרנט המבקש לקבל פרטי זיהוי של הגולשים בו, חייב לעמוד בסטנדרטים של הגנת מידע ומניעת גניבת פרטי זיהוי של הגולשים. בהחלט צריך לעניין זה פתרון מערכתי מחייב עם שיניים ולא רק חוק כתוב, ללא מעקב וניטור תקופתי. זה עולה כסף ולכן אתרי אינטרנט המבקשים פרטי זהוי של הגולשים ובוודאי כאלה המבקשים פרטי כרטיסי אשראי, צריכים לשלם אגרה שנתית כדי לקבל רשיון עסק וזה יממן את הניטור התקופתי.