הצצה: כך עובדת היחידה לחקירות עבירות מחשב של המשטרה
ראש היחידה במחוז תל אביב, רפ"ק ירון בן צבי, חושף טפח מהעבודה, תחומי הפעילות והממשק שלה עם יחידות אחרות במשטרה ועם ארגונים
"לא משנה כמה מנהלי אבטחת מידע ישקיעו בתחום ובהגנה מפני סייבר, בסופו של דבר, החוליה החלשה תהיה העובד בארגון", כך אמר רב פקד ירון בן צבי, ראש מחלק חקירות עבירות מחשב במשטרת מחוז תל אביב. "תמיד יימצא איזה עובד ממורמר, עובד שפוטר, עובד עם תחושת נקמה. כאשר קורה אירוע אבטחה, השאלה הראשונה שהחוקרים ישאלו היא מי פוטר באחרונה".
רפ"ק בן צבי דיבר במפגש של CISO, פורום מנהלי אבטחת המידע של קבוצת אנשים ומחשבים, שהתקיים היום (ב') במלון שרתון בתל אביב, בהנחיית אופיר זילביגר, מנכ"ל SECOZ. הוא תיאר בדבריו את פעילות היחידה ואת ההתפתחות שעברה המשטרה בטיפול בעבירות מחשב.
כך, למשל, אמר בן צבי, המשטרה עוברת שינויים ארגוניים, במסגרתם שינוי שמו של מפלג חקירות עבירות מחשב למפלג סייבר. הוא ציין כי היחידה מונה 11 חוקרים ואחראית לעבירות במחוז שכולל 18 רשויות מקומיות. עם זאת, אמר, "לעתים אנחנו חורגים מהתחום הגיאוגרפי שלנו, בהתאם לחקירה".
"מפלג הסייבר הוא יחידת חקירות קלאסית, עם חוקרים ושוטרים, אבל גם עם יתרון על פני שאר תחנות המשטרה – העובדה שיש ביכולת אנשיו להוציא מידע מהמחשב יותר מאשר יחידות אחרות", אמר בן צבי. הוא ציין כי "היחידה מטפלת במאות תיקי חקירות מדי שנה, בעבירות של שיבוש, הונאות ברשת, וירוסים ונוזקות, ובכל עבירה שחלק ממנה נעשה בסביבה ממוחשבת".
בנוסף, היחידה מטפלת ב-Forensics, משמע – זיהוי פלילי ממחשבים, שנוגע לראיות משפטיות שנמצאו במחשבים ואמצעי אחסון דיגיטלי. כך, אמר, מיצוי מידע ממחשבים נעשה כאשר התקשורת בדבר משלוח סמים או חומר פורנוגרפי נעשים באמצעות מחשב, ואז "אנחנו מבצעים מיצוי מידע". לדבריו, היחידה שלו עורכת כ-2,000 בדיקות כאלה בשנה. הוא ציין כי יתרון מפלג הסייבר במחוז הוא בכך שהחוקרים מיומנים, כל אחד מהם מטפל במאות תיקים בשנה "ולמרות זאת, כמעט שאין לנו תקלות".
"העוקץ הניגרי" עדיין מככב
בן צבי תיאר שני מקרים של עבירות מחשב "קלאסיות". כך, אמר, הגיע למפלג בחור שהתלונן שקיבל הודעה על סחיטה לפיה אם הוא לא ישלם כופר – יפורסמו תמונות עירום של החברה שלו. בחקירה הסתבר שהאקרים השתלטו מרחוק על המחשב שלו, שהייתה בו מצלמה פתוחה שהופעלה. במקרה נוסף טענו האקרים שיש ברשותם רשומות של מיליוני לקוחות בנקים עם פרטיהם האישיים, והאם איימו לפרסם אותם אם לא ישלמו להם דמי כופר בביטקוינים.
הוא ציין שמבין כלל עבירות המחשב, "העוקץ הניגרי" הוא מהעבירות הנפוצות, אף על פי שעבירה זו לא מככבת כבר ארבעה עשורים, עוד מימי המכתבים והפקסים. "לא מעט נפגעים ממנה ומתפתים לשלוח לפושעים למיניהם סכומי כסף נכבדים", אמר.
לדברי בן צבי, "פעמים רבות, חשוד בהחזקת קבצים שונים יטען שהמחשב לא שלו או לא נמצא רק ברשותו ושמישהו אחר עבד איתו, או שיטען שהוא כבר מחק את הקבצים, שלא הוא עשה זאת ועוד מיני טענות. אנחנו יכולים לקחת את המחשב ולבדוק אותו בעת שהחשוד נחקר. בדרך כלל, אנחנו מוצאים את מה שאנחנו מחפשים. יש לנו יכולת לשלב בין כלים ויכולות טכנולוגיות ובין היכרותנו את הראש של הנחקר. ארגז הכלים, ה-'מחסנית' שלנו, גמישה יחסית".
יצוין כי היחידה אינה פועלת רק בחקירות שלה עצמה כי אם גם עוזרת ליחידות אחרות. "אנחנו מנסים לתת תשובות ליחידות שיש להן שאלות בעולם המחשבים, עליו אנחנו אמונים", אמר רפ"ק בן צבי. עוד הוא אמר כי "יש לנו הרבה קשיים, אבל אנחנו מנסים להתמודד איתם. למשל, לעולם איננו גונזים תיקים".
"ארגונים יכולים לשבש חקירה"
הקצין עמד על ההבדל שבין אכיפת מדיניות אבטחת המידע בארגונים לבין עבודת המשטרה: "עבודת האבטחה של הארגון עלולה לשבש חקירה כי אנשי הארגון רואים את טובתו. בנוסף, שוטרים חוקרי מחשב לעולם לא ייכנסו לחשבונות הדואר האלקטרוני של מושאי החקירה בלי שיקבלו אישור לכך – דבר שעשוי לארוך חודשים".
הוא הדגיש כי "לאף חוקר פרטי אין יתרון יחסי על המשטרה. מי שהולך לחוקר פרטי מבזבז את זמנו. יתירה מזאת, למשטרה יש כלים שאין לחוקר פרטי. הכוח האמיתי לחקור ולטפל הוא בידי המשטרה".
בן צבי סיכם באומרו כי "אנחנו מצויים בדיאלוג עם ארגונים אחרים ויחידות אחרות בארץ, כמו גם בקשר עם ארגונים בחו"ל".
מאמר מעניין, תודה. ממליץ לקרוא גם על מאמר מעניין שמפרט אודות עבירות מחשב: http://www.dok.co.il/%D7%94%D7%AA%D7%9E%D7%97%D7%95%D7%AA/%D7%A2%D7%91%D7%99%D7%A8%D7%95%D7%AA-%D7%9E%D7%97%D7%A9%D7%91-%D7%95%D7%90%D7%99%D7%A0%D7%98%D7%A8%D7%A0%D7%98/41-%D7%A2%D7%95%D7%A8%D7%9A-%D7%93%D7%99%D7%9F-%D7%A2%D7%91%D7%99%D7%A8%D7%95%D7%AA-%D7%9E%D7%97%D7%A9%D7%91.html
האם זכור לרפ"ק ירון בן צבי שהוא הצהיר ברייש גליי (להלן הבטחה שלטונית) שאם הלמו לא יורשע, ראוי לסגור את המחלק שלו?!