לא לחפש את הש"ג
כשיתפזר העשן סביב פרשיית החשיפה של פרטי כרטיסי האשראי, יפורסמו הלקחים וישתנו הרגולציות, חשוב מאוד יהיה להימנע מאפקט ה-ש"ג, במסגרתו יאשימו רק את המנמ"ר ואו את מנהל אבטחת המידע ● במקום לחפש את ההאקר ולנסות להפנות אצבע מאשימה, עדיף להשקיע את המאמצים בהגנה טובה יותר ובמדיניות נכונה יותר של אבטחה, בכדי להקשות על עבודתו של ההאקר הבא
פרשיית החשיפה של פרטי כרטיסי האשראי של לקוחות ישראלים מסרבת לרדת מהכותרות. שתי ועדות בכנסת דנות בנושא השבוע: הראשונה היא ועדת הכלכלה, בראשותו של חבר הכנסת כרמל שאמה, שקיימה הבוקר (ב') דיון בנושא והזמינה אליו בין היתר מנמ"רים ומנהלי אבטחה בחברות כרטיסי אשראי, נציגי בנקים וגופים שעובדים עם חברות האשראי. מחר תדון בנושא ועדת המדע והטכנולוגיה, שתתקוף את הנושא משני היבטים. הראשון הוא היבט הטרור הקיברנטי: למרות שמדובר בעניין לאומי, היום כבר ברור כי גם המגזר העסקי מהווה מטרה. ההיבט השני בו תעסוק הוועדה הוא ההיבט העסקי, ובפרט נושא אבטחת המידע בקשר שבין הלקוח, הסוחר וחברת האשראי.
כבר כתבנו כאן בעבר שהחוליה החלשה בשרשרת הזו – של הלקוח, הסוחר וחברת האשראי, הם אותם מאות אלפי עסקים שעובדים עם חברות האשראי. המסקנה המתבקשת מרצף האירועים שהחל בשבוע שעבר, הוא שלמרות קיומם של תקני אבטחה מינימאליים שכל עסק נדרש לעמוד בהם כדי לעבוד עם חברות האשראי, לא שמענו על אף בעל עסק שביקש למכור באשראי – וסורב.
התחרות בין חברות האשראי היא גדולה, והמלחמה על כל לקוח היא קשה. היכולת של חברות האשראי לבדוק את רמת האבטחה של כל בעל עסק היא אחד הנושאים שכנראה יאלצו להשתפר בעקבות התקיפה האחרונה.
כלי התקשורת פרסמו אתמול, כי המשטרה עצרה צעיר שניצל מספרי כרטיסי אשראי שנחשפו כדי לרכוש ציוד חשמלי. הגורמים שיחקרו את הפרשה הזו יידרשו לענות על כמה שאלות קשות: כיצד הצליח הצעיר לעשות שימוש בכרטיס אשראי שבוטל? מול איזה גורם מאשר עבדה החנות שמכרה לו? והאם אותה חנות אכן קיבלה אור ירוק לביצוע העסקה?
השאלות הללו מביאות אותנו לנקודה שעליה כבר נשפכו הררי מילים: אבטחת מידע אינה רק פיירוול, ים של תוכנות הגנה או רגולציות; אבטחת מידע היא תהליכי עבודה, תאימות בין גורמים והרבה מודעות. לפני כמה שנים, כאשר התחלנו לדבר על מעמדו של מנהל אבטחת המידע בארגון, דובר על כך שחלק מתפקידו הוא החדרת המודעות לאבטחה. עם זאת, אין להשתמש בכך בכדי לתדלק את אווירת העליהום שנוצרה כלפי חברות האשראי ומנהלי הטכנולוגיות שלהם. זאת, משום שהחורים שנוצרו במערכי האבטחה לא נבעו מרשלנות זו או אחרת של מנמ"ר או מנהל אבטחת מידע, אלא מהווים חלק מקונספציה שהיתה משותפת לכולם: ללקוח, לסוחר ולחברות האשראי. נוצרה פה מערכת הסכמה שבשתיקה, שבמסגרתה אין לאף אחד מוטיבציה לחקור כל שרת של כל פיצרייה כדי לוודא שהוא אכן מאובטח.
שם המשחק הוא ביטוח: הלקוח מבוטח כלפי חברת האשראי, ואם במקרה נגנב לו הכרטיס – בין אם באופן פיזי ובין אם באופן מקוון, הוא לא יהיה אחראי לתוצאות. אף חברת אשראי לא השקיעה מאמצי-על כדי לבדוק עד כמה אנו שומרים על הכרטיסים שלנו ועד כמה אנו מאבטחים אותם. גם הסוחר, המשלם 2% עד 4% עמלה לחברת האשראי, הרגיש בטוח. למרות שיש לו אינטרס לשמור על לקוחותיו, גם הוא לא השקיע ימים כלילות בשיפור מערך אבטחת המידע, שהרי גם הוא מבוטח. השוק שסיפק לנו ההאקר הסעודי (או שמא מקסיקני?), צריך להוביל לשורה של שינויים שייעשו במגזר זה. בהקשר זה, גם לרגולטור ודאי יהיה מה לומר.
בשלב זה,יש למנוע דבר אחד חשוב – את אפקט ה-ש"ג, שבמסגרתו יאשימו רק את המנמ"ר ו\או את מנהל אבטחת המידע. גם אין טעם בהצהרות מלחמה כגון אלו של סגן שר החוץ, דני איילון, שאיים כי "ישראל תשים ידה על אלו שמאיימים עליה". במקום לחפש את ההאקר, עדיף להשקיע את המאמצים בהגנה טובה יותר ובמדיניות נכונה יותר של אבטחה, בכדי להקשות על עבודתו של ההאקר הבא.
רוצים לשמוע עוד? הירשמו עכשיו לכנס CyberSec של אנשים ומחשבים
תגובות
(0)