טרור קיברנטי וההשלכות של פעולות אירגוניות אגרסיביות
מאת אריאל פלד, נשיא האיגוד הישראלי לאבטחת מידע
תיאור המקרה
בין ה-17 וה-19 לאפריל 2011, אנשים לא ידועים השיגו גישה באופן לא-חוקי לשרתי ה-PSN (רשת המשחקים האינטרנטית של סוני פלייסטיישן) של סוני בסן דייגו, קליפורניה, על ידי פריצה לתוך שרת אפליקציות מאחורי שרת האינטרנט ושני פיירוולים. לדברי המנמ"ר של סוני, החדירה התחזתה לרכישה, ולכן לקח זמן לגלות אותה. לדבריו, הפריצה ניצלה חולשות תוכנה מוכרות.
החברה שכרה לא פחות משלוש חברות של מומחי אבטחת מידע וזיהוי פלילי, ואף פנתה ל-FBI כדי שיחקור את הפריצה. סוני תיארה את המתקפה כ"מתוחכמת מאוד", כאשר זהותם של הפורצים עדיין אינה ידועה.
בהמשך החקירה נתגלה שגם רשת Sony Entertainment Online נפרצה, אולם שם בוודאות נגנבו מספרי כרטיסי אשראי, כאשר לפחות 900 מהם כרטיסי אשראי פעילים.
היקף הנזקים
לטענתה של סוני נתוני כרטיסי האשראי ב-PSN היו מוצפנים, ואף נוהלו בשרת נפרד שכנראה לא נפרץ. סוני הודתה כי שמות הלקוחות, תאריכי הלידה, כתובות, שמות משתמש וסיסמאות, לא היו מוצפנים, והפורצים כנראה הניחו את ידם עליהם.
ישנם 77 מיליון לקוחות עם פרופילים מוגדרים ב-PSN הכוללים את שמותיהם, תאריכי הלידה וכתובתם, אבל רק 10 מיליון מהם העלו את נתוני כרטיסי האשראי שלהם לרשת עבור רכישה והשכרה של תוכן, על פי סוני.
ההשלכות
באופן מיידני נאלץ המנהל השני בדרגתו בסוני להתנצל בפומבי על הנזק ללקוחות החברה. כמו-כן, החברה נאלצה להוריד את השירותים שנפגעו למשך מספר ימים על מנת לוודא שהם מוגנים, ובכך איבדה הכנסה לא מבוטלת. בהמשך לכך, החברה יצאה בתכנית פיצויים ללקוחות החברה, תוכנית שמשמעותה איבוד הכנסה נוספת.
בטווח הבינוני תאלץ החברה להתמודד עם תביעה ייצוגית של מיליארד דולר בארה"ב, ועם תביעות מקבילות במדינות אחרות (בישראל כבר הוגשו שתי תביעות כנגד ישפאר, נציגת סוני בארץ), וכמו-כן עם חקירה בקונגרס, ואולי אף עם חקירות בידי רשויות אכיפה נוספות.
ההשלכות לטווח ארוך הן פגיעה לא זניחה במוניטין של סוני, כמו גם פגיעה בנכונות הלקוחות להשתמש בשירותיה ולקנות את מוצריה, עניין שיש לו השפעה בלתי נמנעת על הכנסות החברה ועל מחיר המניה שלה.
הסיבות (המשוערות)
סוני סימנה את קבוצת הטרור הקיברנטי אנונימוס כמקור אפשרי למתקפה, וזאת למרות שככל הידוע לא נמצאו עקבות ממשיים לכך שקבוצה זו היא האחראית לגניבת הפרטים האישיים.
אנונימוס היא קבוצה בעלת מסגרת רופפת של האקרים אנרכיסטים ברחבי העולם, הפועלים לשם מטרות הנתפסות בעיניהם כמלחמה בארגונים דורסניים. הם התפרסמו לא מכבר בהתקפות שלהם על חברות שהפסיקו לעבוד עם וויקיליקס בגלל לחץ של ממשלת ארה"ב, כגון 'בנק אוף אמריקה'.
ההשערה של סוני מבוססת על כך שסוני הפעילה מכבש משפטי כנגד ג'ורג' הוץ, האקר שפרץ את ההצפנה של הפלייסטיישן 3.
לקחים
מלבד הלקחים הברורים של הגנה טובה יותר על מידע של לקוחות (נראה שהצפנה המוגבלת לכרטיסי אשראי לא תספיק עוד), על כל חברה גדולה שעומדת מול הצרכן הפשוט לקחת בחשבון שפעולות שעשויות להתפרש כדורסניות מידי עלולות להיענות בטרור קיברנטי, שמחירו כבד ביותר. יש לא מעט חברות בתחום התוכן שתאלצנה לשקול את המדיניות שלהן מחדש, אך גם חברות אחרות כדאי שתיקחנה בחשבון את האפשרות הזו, שהפכה לאחרונה מתאורטית למעשית ביותר.