עוזי יאיר, GTB Technologies: "אנחנו מודעים רק לשליש מגניבות הזהויות שבוצעו בשנים האחרונות"

"בשנים האחרונות יש גידול עצום בנפחי ובכמויות פריטי הזהות והקניין הרוחני שנגנבים כתוצאה מפריצות לאתרים, וזה מתבטא בנזקים עצומים. אנחנו מעריכים שהנזק הוא כ-150 דולרים לרשומה", כך אמר עוזי יאיר, מייסד ומנכ"ל GTB Technologies. לדבריו, "אנחנו מודעים רק לכחצי מיליארד גניבות זהות בשש השנים האחרונות. כנראה שהכמות גדולה פי שלושה, כך שמדובר בנזקים בסכומים של מיליארדי דולרים".

יאיר אמר את הדברים במסלול המנהלים של InfoSec 2012, כנס האבטחה הבינלאומי הגדול בישראל, שנערך אתמול (א') במלון דיוויד אינטרקונטיננטל בתל אביב. הכנס הופק על ידי אנשים ומחשבים.

לדברי יאיר, "התשובה שלנו למצב היא לשלב מניעת זליגת מידע (DLP) עם ניהול זכויות גישה למידע (IRM). ה-DLP מבין את התוכן של הקובץ בכל מה שקשור לנושאי פרטיות וקניין רוחני והוא יכול באופן אוטומטי לאכוף מדיניות IRM לקובץ".

"צריך לזכור להתייחס לארבעת ה-ממים: מי יכולים לגשת לקובץ – למשל, רק עובדי החברה או גם אנשים מבחוץ לחברה); מה הם יכולים לעשות עם הקובץ – למשל, לראות, לכתוב, להדפיס או לעשות Print screen; מאיזה מקום מתבצעת הגישה – האם מותר להשתמש בקובץ רק בהיקף של החברה, מבחינת טווח כתובות רשת, או שימוש חופשי, או שמא יש לנעול את הקובץ לכתובת ה-MAC של המחשב; ולא פחות חשוב – מתי: האם ניתן להשתמש בקובץ רק בשעות העבודה, בחודש מסוים או עד מספר ימים לאחר הפתיחה הראשונה שלו".

הוא הצביע על הבעייתיות שקיימת כיום, לדבריו, בחקיקה שעוסקת בשמירה על פרטיות המידע, אולם הוא חושב שיחול בה שינוי. "אין כיום בישראל עונשים וקנסות למי שאחראי לאיבוד מידע פרטי או קניין רוחני, אבל אנחנו מאמינים שגם כאן יתחילו ברגולציה למען הפרטיות של אזרחי המדינה. או אז, חברות יבינו שהן צריכות להתחיל לשמור על הפרטיות של הלקוחות שלהן".

"על הממשלה לקחת אחריות לשמירה על הפרטיות"
רו"ח דורון רונן, נשיא ISACA ישראל וסגן נשיא IIA ישראל, התייחס לשמירה על פרטי המשתמשים באתרים ולכך שאין כיום רגולציה מתאימה בנושא. "מה שמטריד אותי בפרשת דליפת פרטי כרטיסי האשראי הוא לא דליפת מספרי הכרטיסים. חברות האשראי ידעו לטפל בכך – בתוך מספר ימים הונפקו כרטיסים חדשים ואלה שסבלו מגניבת אשראי פוצו. הדבר המדאיג הוא שביחד עם זה דלפו מספרי זהות של משתמשים, רק מאחר שחברות לא אבטחו היטב את האתרים שלהן".

הוא הזהיר ש-"מדובר באירוע מסוג שמתרחש כמעט מדי יום ביומו. 75% מהאנשים אומרים שהם לא יבצעו רכישה חוזרת בבית עסק שדלף ממנו מידע ו-80% מהעסקים שסבלו מכך חדלו להתקיים בתוך שנה".

לפי רונן, מעבר להסתמכות של האזרח הקטן על היכולת של האתרים לשמור על המידע שלו, ניתן לטפל בנושא באמצעות המגזר הממשלתי. "אחד הרעיונות לפתרון המצב היה שגוף ממשלתי, לדוגמה רמו"ט, ייקח אחריות ויקבע מה מותר לשמור באתרים ומה לא, וכן יאכוף וייתן אישור לאתרים  שעומדים בדרישות באבטחה. המטרה בכך היא שהמשתמשים יוכלו להיות בטוחים שהאתרים הללו עומדים בתקן, או, במקרים שבהם לא יינתן אישור, לדעת שהם לוקחים סיכון".

"בכל מקרה", הוסיף, "כרגע יש צורך מיידי לבחון מדוע בכלל אתר צריך לשמור לא רק את מספר כרטיס האשראי של הלקוח, כי אם גם את מספר תעודת הזהות שלו. כמו כן, יש לחנך לאבטחת מידע ועל בתי הספר והאקדמיה לקדם את הנושא. המודעות לכך אמנם עלתה, אבל זה לא מספיק ויש עוד הרבה מה לעשות".

"כמעט אין שירות של גוגל שאי אפשר לפרוץ"
ניר גולדשלגר, מומחה בתחומי התקיפה והסייבר באבנת, דיבר על גוגל (Google). "היא הציעה לפני כשנה לשלם לאנשים שימצאו תקלות ובאגים בדפדפן שלה", הזכיר. "עד היום מצאנו יותר מ-100 תקלות. לפני שהאקר פורץ את הדפדפן של גוגל הוא חייב לדעת איך הוא עובד. התברר לנו שניתן להבין זאת היטב תוך כדי עבודה. מהר מאוד הבנו שהתחרות שלנו היא לאו דווקא מול גוגל אלא מול עשרות ומאות מומחי אבטחה והאקרים אחרים שישבו כדי לאתר התקלות הללו, שחלקן היו חמורות למדי".

גולדשלגר הוסיף, כי אבנת הבינה שאפשר לנצל את המצב לפריצה לאתרים של שירותים רבים אחרים של גוגל, ואף הראה דוגמאות רבות של ניצול תקלות שונות בשירותים הרבים שמציעה ענקית החיפוש. "למעשה, כמעט אין שירות של גוגל שאי אפשר לפרוץ. חשוב מאוד לקחת את זה בחשבון בכל מה שקשור למידע פרטי של המשתמשים".