לא אבטחת, לא התחברת
חופש הגישה לרשת לא מקנה לאיש את הזכות לסכן אחרים ולחשוף אותם לאיומים שהם אפילו לא מודעים אליהם ● אם אתה מוכר מוצרים דרך הרשת, ומבקש מצרכנים תמימים להפקיד בידיך את המידע האישי הרגיש שלהם, מחובתך לעשות הכל - אבל הכל - כדי לוודא שהמידע הזה לא ידלוף החוצה ● המדור מחזק את ידיהם של אלה הקוראים לסגור אתרים שמסכנים את המידע של כולנו
מתקפת הסייבר שפוקדת את ישראל בשבועיים האחרונים עשתה לפחות דבר אחד טוב: היא הגבירה את המודעות לנושא אבטחת המידע. הוויכוח האם מדובר במתקפת טרור או לא הוא משני. התוצאה היא, שמערכות ההגנה של אתרים רבים בישראל מלאות חורים – חלקם על סף רשלנות פושעת.
כל האקר מתחיל יודע היטב שפריצה לרשת שיווק גדולה הוא הדבר הקל ביותר שיש. אם אותו האקר עסוק מדי או שפשוט לא מתחשק לו להשקיע זמן, הוא תמיד יכול לקנות פרצות מוכנות ברשת תמורת כמה דולרים. הכל כתוב, הכל חשוף ואין מי שיגן על האזרח הקטן שבסך הכל רצה לקנות מתנה לילד באינטרנט.
הטענה לפיה לא יעלה על הדעת שחברות האשראי יפעילו פקחים שיבדקו את השרתים של כל מסעדה או כל רשת שמוכרת באמצעות האינטרנט, אינה רלוונטית. כבר כתבנו כאן בעבר שעד היום לא היתה מוטיבציה גדולה מדי להשקיע באבטחה, כי כל הצדדים המעורבים במסחר האלקטרוני מבוטחים. כך, בסופו של דבר אף אחד לא נפגע גם אם קורה משהו. אם תשאלו את הישראלי הממוצע, הוא ישיב שהוא מוכן לחיות עם התקפה אחת או שתיים. מה הביג דיל? כל זה נכון עד שזה מגיע לכרטיס האשראי שלנו. או אז אנחנו נכנסים להיסטריה ודורשים הגנה – ומיד.
השבוע שמענו שעם כל טענות ה-"לא יעלה על הדעת", דווקא יש פתרונות יצירתיים לבעיה הזו. הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים הודיעה, כי היא שוקלת להנהיג תקנה לפיה עסקים שלא ידאגו לאבטחה ראויה ויתגלה שבפעילות שלהם יש משום פגיעה בציבור, הרשות תנתק אותם מהאינטרנט. המדובר בצעד חריג, שמיד מעלה שאלות הקשורות לדמוקרטיה, אולם ככול שמתעמקים ברעיון, מבינים שמדובר בקונספט הגיוני למדי, שמן הראוי היה שייצא לפועל מזמן.
חופש הגישה לרשת לא מקנה לאיש את הזכות לסכן אחרים ולחשוף אותם לאיומים שהם אפילו לא מודעים אליהם. אם אתה מוכר מוצרים דרך הרשת, ומבקש מצרכנים תמימים להפקיד בידיך את המידע האישי הרגיש שלהם, מחובתך לעשות הכל – אבל הכל – כדי לוודא שהמידע הזה לא ידלוף החוצה. למרבה הצער, המציאות בסקטור האזרחי כיום מבטאת זלזול מוחלט בכללי האבטחה המינימליים. יש כמובן גם גבול סביר. הרשות לא מצפה מכל עסק למגן את עצמו לדעת – צעד שאינו נכון לפי שום תפיסת הגנה. עם זאת, לא יעלה על הדעת שכל האקר צעיר יצליח לזעזע אתרים ולחשוף פרטים אישיים של לקוחות.
הבעיה אינה ההאקר הבודד או שולחיו, אלא החורים בהגנה על המערך האזרחי. הניצחון במלחמת סייבר טמון בהיערכות. אמנם יש בה גם אלמנט התקפי, אבל את מרבית המאמצים משקיעים בהגנה ובאיטום הרשת. לכן, היוזמה של הרשות, אם אכן תצא לפועל, היא חיובית ויש בה כדי להרתיע. עסקים שיפקירו את האזרחים ולא ישמרו על המידע שלהם, יצטרכו לחפש עיסוקים אחרים, כי כנראה שהם לא מספיק אחראיים כדי לשמור על פרטי האשראי של לקוחותיהם.
יפה עשתה ח"כ רונית תירוש, יו"ר ועדת המדע והטכנולוגיה של הכנסת, שיצאה מיד להגנת הרשות מפני כל שוחרי חופש ודמוקרטיה למיניהם. בהודעה שפרסמה היום (ה'), מסרה תירוש, כי "חזית הלחימה של ישראל היא החזית האינטרנטית והפעילות של הרשות למשפטים, טכנולוגיה ומידע, היא צעד שמחיוב המציאות".
צעד אחר שמתכוונת הכנסת לבצע הוא לא פחות חשוב: קיום דיון בוועדת המדע והטכנולוגיה, בהצעת חוק או תקנות שיפטרו אותנו מלחשוף את מספר תעודת הזהות שלנו, כתובתנו ואת שמות הסב והסבתא שלנו, רק כדי לקבל שירות בסיסי באינטרנט ממשרד ממשלתי או חברה עסקית. ישראל היא אחת המדינות היחידות שבהן האזרח המצוי צריך להוכיח לפחות פעם בשנה ששמו ופרטיו האישיים תואמים את הפרטים בתעודת הזהות שלו. יש לא מעט מקרים שבהם אפשר להסתפק באמצעי זיהוי פשוט, כגון מספר טלפון, מספרי קוד סידורי ואמצעים אחרים. על אחת כמה וכמה בפעילות מול משרדי ממשלה. מערכות המידע במשרדי הממשלה מספיק חכמות כדי לזהות אותנו פעם אחת. אין צורך בטפסים מרובי פרטים שאיש לא יודע מה תועלתם.
השורה התחתונה: מתקפת הסייבר הנוכחית עשויה להיות קו השבר שממנו והלאה המודעות לאבטחת מידע ברמת הפרט והעסק תהיה גדולה יותר. מי ייתן וניסיונות התקיפה הללו יובילו לכך שכל אחד מאיתנו יתייחס קצת יותר ברצינות למידע שהוא מחזיק על מישהו אחר – תהיה הסיבה אשר תהיה.
רוצים לשמוע עוד? הירשמו עכשיו לכנס CyberSec של אנשים ומחשבים
תגובות
(0)