החוליה החלשה

הפריצה לאתרי הקניות הישראליים, שהביאה לחשיפת פרטיהם של כ-14 אלף בעלי כרטיסי אשראי, עלולה לסכן את מה שמסתמן כאחד הטרנדים החמים של 2012: פעולות מסחריות ושיווקיות באמצעות מכשירים ניידים. הטרנד הזה מתבסס על טכנולוגיית NFC (ר"ת Near Field Communication), המהווה תקן לשבב שמאפשר להתקנים אלחוטיים לתקשר זה עם זה לשם ביצוע פעולה מיידית וקצרה. כך, למשל, ברגע שבעל טלפון חכם יניח את הטלפון על השולחן במסעדה, התפריט יעלה על המסך. באותה מידה הוא יהיה מסוגל לשלם תשלומים ולבצע קניות, כמו רכישת כרטיסים לסרט בקופה מבלי לעמוד בתור.

השוק הזה נמצא בשלבי צמיחה, בעיקר בגלל שהיישומים שיתאימו לעבוד מול הטלפונים החכמים נכנסים בקצב איטי יחסית. על פי תחזית של גרטנר (Gartner), שוק התשלומים והקניות באמצעות הסלולר יגדל בקצב איטי מהצפוי ובמהלך 2012 יהיו בעולם כ-140 מיליון משתמשים שישלמו ויקנו באמצעות הסלולר. די דומה לשנה שעברה. אחד החסמים, פסיכולוגי וממשי, המונע מטרנד זה לזנק בהתאם לפוטנציאל האמיתי שלו, הוא נושא האבטחה, על היבטיו השונים. בנושא אבטחת מידע, קיבלנו אתמול (ג') שיעור חשוב, לאחר שנודע על הפריצה.

כמקובל במקומותינו, מיד לאחר שטיפלו חברות האשראי בלקוחות שכרטיסיהם נחשפו, החלה מלחמת גרסאות. חברות האשראי דאגו מהרגע הראשון לנקות עצמן מכל אשמה: "הפרצה לא הייתה אצלנו אלא אצלם", אמרו מנכ"לי חברות האשראי, כשהם מתכוונים לאותם אתרי קניות שהכניסו לארץ את שיגעון הקופונים והרכישות הקבוצתיות. לא עברו 24 שעות וכבר שמענו ברדיו את אחד ממנהלי האתרים הללו מסיר מעליו את האחריות: "מאחר ואנו עובדים עם חברות כרטיסי אשראי בינלאומיות, האתרים שלנו נבדקו על ידן בקפידה. אני מניח שאילו לא היינו עומדים בתקנים, הן לא היו מאשרות", אמר.

להדיוט שלא מבין בענייני אבטחה, התשובה של אותו מנכ"ל נשמעת הגיונית. אנשי המקצוע יגידו שחבל לפתוח ויכוח ולהחליף האשמות. אבטחה אינה עניין של השקעה חד פעמית, אלא עניין של ניהול סיכונים והערכות מצב. מעגלי האבטחה הם מגוונים: החל משרתי חברות האשראי, דרך המשווקים שעובדים איתה ועד למחשב או הטלפון הבודד של המשתמש. העובדות הידועות כרגע: הפריצה לא הייתה לשרתי חברות האשראי וגם לא ידוע על פריצה למחשבים פרטיים של בעלי כרטיסים.

המסקנה המתבקשת היא שאותם אתרים, ורבים כמוהם, מהווים את החוליה החלשה בשרשרת, שקורצת לפורצים. אם להסתמך על מומחי אבטחה שרואיינו בעקבות המקרה, ההאקרים האלמונים מסעודיה לא היו צריכים לעבוד קשה.

השאלה המרכזית, כאמור, אינה מי אשם, אלא מה עושים כדי להגביר את האבטחה. זאת מכיוון שכל אותם טרנדים שאנו מדברים עליהם, שיצמחו ויכניסו תרבות חדשה להרגלי הקנייה שלנו ב-2012, יעברו דרך אתרים מסוג זה. במאבק הבלתי פוסק הזה צריך לעבוד הרבה מאוד על מודעות, שכן על פי החוק הישראלי, גם אם מי שגנב את מספר כרטיס האשראי מצליח לבצע עסקאות, הנזק למשתמש הוא אפס. זוהי התמורה שאנו מקבלים בעד העמלות שאנו משלמים בעת חידוש הכרטיס, שלעתים נתפסות כמרגיזות. בהיעדר סיכון ממשי ישיר, המוטיבציה של בעלי אתרים כגון אלו שנפרצו להגביר את רמת האבטחה אינה גדולה. הם יודעים שיש "אח גדול" שדואג לכולם ואפשר להמשיך בחגיגה.

ההיסטריה שנגרמה בעקבות הפריצה, שלא גרמה לאיש לאבד שקל אחד, תוביל כנראה לחקיקה או להסדרה קצת יותר מחמירה בתחום. יש לזכור שאבטחה אינה רק כלים וחומות, אלא עניין פסיכולוגי-תדמיתי. אם תחום הקניות באינטרנט, לא משנה מאיזו פלטפורמה, יקבל תדמית לא בטוחה, השקעות של מיליונים עלולות לרדת לטמיון.

רוצים לשמוע עוד? הירשמו עכשיו לכנס CyberSec של אנשים ומחשבים