לקראת אירוע | התגוננות המגזר הפיננסי מפני הונאה קיברנטית
האם בבנק ישראל חושבים שהבנקים אינם מוכנים מספיק לאירוע של מתקפת סייבר? ● לקראת ועידת הסייבר של ישראל 2013
מאת אמיר שטיינר, מתמחה בתכנית לוחמת סייבר ב-INSS
משה, מהנדס בחברת היי-טק, נכנס לחשבון הבנק הפרטי שלו באינטרנט בכדי לוודא שמשכורתו החודשית עודכנה בחשבון. לתדהמתו, גילה כי סכום ניכר ממשכורתו נעלם כלא היה. מוטרד ומבולבל שעט משה אל עבר מכוניתו בדרכו אל הסניף – במטרה לקבל תשובה משביעת רצון למה שהתרחש. מיד עם כניסתו לסניף הבחין משה כי הוא אינו הלקוח היחיד שהגיע באותו יום לסניף בטוענה דומה. יתרה מכך, תור ארוך של לקוחות מתוסכלים כמוהו כבר ישתרך אל מול פניה מביעות חוסר האונים של הפקידה התורנית.
כעבור זמן לא רב החלה להתבהר התמונה המבעיתה. זאת, לאחר שהסתבר למשה ולשאר הלקוחות כי הסיבה לעיוותים בחשבונות הבנקים נבעו כתוצאה מתקיפת סייבר שהתרחשה בעת העיבוד הלילי השגרתי שמבצע המחשב המרכזי של הבנק בליל אמש.
אמנם תרחיש זה הינו תרחיש דמיוני שטרם התרחש בפועל, אך יחד עם זאת נראה היום יותר מתמיד כי ההסתברות להיתכנותו של אירוע דומה מעין זה – קרובה מאי פעם. האירוע המתואר הינו רק אחד מבין שלל תרחישים חמורים אשר השפעתם על המערכת הבנקאית הישראלית יכולה להיות מרחיקת לכת. חרף יכולתם של הבנקים לשחזר את את המידע לאחר אירוע שכזה הרי שאת הפגיעה באמון ציבור הלקוחות יקח זמן רב להשיב.
מסקר הערכת סיכונים שנדרשו הבנקים המסחריים לבצע בהוראתו של בנק ישראל על מנת לבחון את רמת הסיכון הקיימת בקרות מתקפת סייבר עלה כי בשנים הותקפו לא אחת מערכות פיננסיות שונות בישראל. הבולטת שבהן הייתה התקיפה, שבה פרצו האקרים סעודיים לאתרים ישראליים, וכתוצאה מכך נחשף מידע אודות מאות כרטיסי אשראי של לקוחות ישראלים.
נראה שלמרות שבקרב הציבור הרחב המודעות לסיכון תקיפות הסייבר הינו מצומצם יחסית, הרי שלגבי קברניטי המערכת הפיננסית קיימת המודעות לגבי הנושא ביתר שאת. יחד עם זאת, המחלוקת כיום בין בנק ישראל לבין הבנקים המסחריים הינה על אופן הטיפול בסיכון. אף על פי שהאינטרס הלאומי לשמירה על יציבות המערכת הפיננסית בכלל והמערכת הבנקאית בפרט הינו משותף – הן לבנק ישראל והן לבנקים המסחריים, נראה כי ישנה עוד כברת דרך.
בדומה לישראל גם בארצות הברית האפשרות לתקיפות סייבר על מערכות פיננסיות מדירה לא אחת שינה מעיניהם של מקבלי ההחלטות. ראייה לכך ניתן היה להבחין בנקל בגל תקיפות הסייבר, שהתרחש בספטמבר האחרון בארצות הברית, אשר בו נפגעו כשישה מהבנקים המקומיים. בעקבות האירוע נחסמה גישתם של לקוחות רבים לחשבונותיהם, אשר גרמה לאי יכולתם לשלם חשבונות, ולבצע פעולות בנקאיות בסיסיות נוספות.
מבחינה שנעשתה לאחר קרות האירוע עלה כי ההאקרים, אשר לקחו חלק בתקיפה, התמקדו בעיקר בהצפת הרשת עד כדי קריסתה, והשתמשו בלקיחת זהויות או כספים באופן שולי בלבד. אם לא די בעוגמת הנפש שנגרמה ללקחות מאי יכולתם לגשת לחשבונות הבנק, הרי שהתגובה הרפה של הבנקים, שמקורה באי יכולת להבין את שהתרחש – רק החריפה את תסכול הלקוחות עוד יותר.
עד אותו בוקר שבו משה גילה כי חשבון הבנק שלו "טופל" על ידי האקרים, לא היה לו מושג כמו מרבית הציבור, כי תקיפות שכאלו מתרחשות על בסיס יומי. העלאת המודעות בקרב הציבור לסיכונים הטמונים בתקיפות סייבר הינה קריטית בכדי להפעיל לחצים אפקטיביים על מקבלי ההחלטות בנושא. זאת, על מנת שאלו יפנו את המשאבים הדרושים בכדי להתמודד עם תרחישי הסייבר העתידיים לא פחות מדאגתם לשורת הרווח.