RSA החליפה את התקני האבטחה שלה – ועוררה זעם בקרב לקוחות רבים וגדולים

לקוחות רבים וגדולים הביעו דאגה וזעם כלפי RSA, חטיבת האבטחה של EMC, לאחר שהודיעה שהיא מאפשרת ללקוחות להחליף את רכיבי הגישה מרחוק (טוקנים), מסוג SecureID. רכיבים אלה מצויים בקרב יותר מ-40 מיליון משתמשים באלפי ארגונים ומוסדות.

RSA נטלה בהודעתה, בראשונה, אחריות על הפריצה שאירעה לפני פחות משבועיים למערכות ה-IT של ענקית יצרנית הציוד הצבאי לוקהיד-מרטין (Lockheed Martin). ביום ו' האחרון מסרה לוקהיד-מרטין, כי הפריצה קשורה קשר ישיר לפריצה שנעשתה לשרתי RSA במרץ האחרון. RSA אישרה את הדברים.

מאז ההודעה של RSA מסרו כמה בנקים גדולים בארצות הברית, בהם בנק אוף אמריקה (Bank of America), ג'יי.פי. מורגן צ'ייס (JPMorgan Chase), וויילס פארגו (Wells Fargo) וסיטיגרופ (Citigroup), כי בכוונתם להחליף את ההתקנים המאובטחים למרחוק של RSA בהקדם. הבנקים סירבו לומר כיצד הם או לקוחותיהם יושפעו מהמהלך. ענקית היישומים הגרמנית סאפ (SAP) הודיעה כי גם היא תחליף את הטוקנים של RSA, שמצויים ברשות רוב 50 אלף עובדיה.

הלקוחות הופתעו מההודעה של RSA

ההודעה של RSA על החלפת הטוקנים באה בהפתעה גמורה ללקוחותיה, כיוון שהיא נמסרה זמן רב לאחר הפריצה לשרתיה וכעשרה ימים לאחר הפריצה ללוקהיד-מרטין. הדאגה של לקוחות היא לאפשרות שהם ניזוקו לא רק מהפריצה עצמה, אלא גם בתקופה שבין הפריצה לבין ההודעה של חטיבת האבטחה של EMC השבוע. יועצי אבטחת מידע העריכו, כי ייתכן שחלק מלקוחות RSA יחפשו אחר התקנים של חברות מתחרות או פתרונות אבטחה חלופיים. מתחריה של RSA החלו השבוע להציע הצעות להחלפת הטוקנים של RSA באלה שלהם, במחירים נמוכים מהרגיל.

פקידי ממשל מהפנטגון הביעו דאגה אף הם, כיוון שההתקנים של חטיבת האבטחה של EMC מצויים בשימושן של כמה מספקיות הציוד הצבאי שעובדות מול משרד ההגנה האמריקני. יצוין, כי הטוקנים, מסוג SecureID, מצויים בשימוש גם בקרב המגזרים הביטחוני והפיננסי בישראל.

הבעיה העיקרית של RSA היא בהיבט אובדן של נתח השוק ופגיעה במוניטין שלה, ציינו אנליסטים בעיתונות הטכנולוגית בארצות הברית. אלה עלולים להיגרם בשל העיכוב בהודאה ובהודעה על נטילת האחריות על הפריצה ומשמעויותיה.

פקידי ממשל בארצות הברית ציינו, כי לוקהיד-מרטין החליפה את הטוקנים, ההצפנות והרשאות הגישה שלה מיד לאחר הפריצה למערך ה-IT של RSA, וכי אנשי ה-IT של החברה הגבירו את הבקרה על סיסמאות הגישה וההצפנות. למרות זאת, שבועות מספר לאחר הפריצה ל-RSA אירעה הפריצה ללוקהיד-מרטין – מה שמצביע, לדברי האנליסטים, שהבעיה היא לא רק בסיסמאות הגישה, אלא בהתקנים עצמם.

"מטרת הפורצים הייתה להשיג סודות צבאיים"

ארט קובייליו, מנכ"ל RSA, הודיע ביום ב', כי ההצעה ללקוחות החברה להחליף את ההתקנים שלהם נמסרה לא רק לאלה מהמגזר הביטחוני, אלא לכל הלקוחות שברשותם קניין רוחני בעל ערך עסקי. "התקיפה אצלנו הצביעה על כך שמטרת הפורצים הייתה לגנוב מידע אבטחתי שיוכל להועיל להם להשיג סודות צבאיים. אנחנו מצויים בקשר הדוק עם ארגונים ולקוחות מהמגזר הביטחוני כדי להחליף את הטוקנים במהירות".

דובר מטעם EMC מסר, כי "סיפקנו המלצות והנחיות לפעולה בעקבות הפריצה אלינו, וכן מסרנו פרטים אודות הפריצה". אלא שיועצי אבטחת מידע לא חשבו כך ומתחו ביקורת על התנהלות RSA בפרשה. "הם עשו את המעט שעשו רק, כי הלקוחות לחצו עליהם", אמר גארי מק'גרוו, סמנכ"ל טכנולוגיות בחברת הייעוץ לאבטחת מידע Cigital. "הם הגיעו לסביבה, אבל באיחור". עד השבוע, RSA מסרה באופן רשמי ולא רשמי שאין צורך בהחלפת הטוקנים. יועץ אבטחה אחר טען, כי חטיבת האבטחה של EMC הונתה את לקוחותיה "וכל התירוצים שלהם לא עומדים במבחן המציאות". יועץ שלישי טען, כי העיכוב בטיפול בפרשה רק הגביר את החשיפה הפוטנציאלית לבעיות אבטחה נוספות בקרב לקוחות החברה.

אביבה ליטן, אנליסטית לתחום הפיננסי בגרטנר (Gartner) אמרה שעלויות החלפת הטוקנים יעמדו על כדולר אחד לכל לקוח, "כדי לסדר את הבלגן", וכי העלות הכוללת למגזר הפיננסי בארצות הברית תעמוד על 29 מיליארד דולרים. היא העריכה שבין הפתרונות החלופיים לזה של RSA שיחפשו חלק מהבנקים יהיו כאלה שעורכים ניטור בסביבת הווב או שעוקבים אחר פעילות חשודה של לקוחות. לדבריה, הבעיה העיקרית תהיה בעתיד, כשהחברה תנסה לזכות במכרזי אבטחה חדשים.

אנליסטים ציינו, כי הנהנות העיקריות מההתפתחות בפרשה תהיינה מתחרותיה של RSA, בהן Vasco Data Security וסימנטק (Symantec), שרכשה לא מכבר את וריסיין (VeriSign). עוד הם ציינו, כי הארגונים צפויים לעבור משימוש בטוקנים לשימוש בכרטיסים חכמים.

"פגיעה ממתקפה מורכבת של האקרים"

במרץ הודיעה RSA, כי חוותה פגיעה ממתקפה מורכבת של האקרים וכי קיים חשש ליעילות של מוצרי אבטחה שלה שמוטמעים במערכות מיחשוב של ארגונים מסחריים וממשלות ברחבי העולם. המתקפה הייתה מסוג APT (ר"ת Advanced Persistent Threath – פריצה מתקדמת ומתמשכת) וקוביילו ציין, כי ההאקרים הצליחו לשים ידם על נתונים הקשורים למוצר המבצע אימות של זהויות משתמשים באמצעות התקני דיסק און קי. קוביילו אישר שעקב המתקפה האמורה ייתכן שהיעילות של מוצר ה-SecureID עלולה להיפגע אם הארגונים שהם לקוחות החברה יחוו בעצמם מתקפה נרחבת. יועצי אבטחה ומומחים ברחבי העולם העריכו אז, כי מדובר ב-"בעיה חמורה" עבור לקוחות RSA, המונים מיליונים רבים של עובדים. RSA מיעטה למסור פרטים אודות המהות הטכנולוגית של המתקפה שחוותה, ובשל כך נמתחה עליה ביקורת בעולם אבטחת המידע, ולא רק ממתחרים.

SecureID מספק הגנה חזקה יותר לאבטחת מידע באמצעות הצפנה – ולא רק סיסמה. הוא מיושם לרוב באמצעות דיסק און קי שמספק, באופן מחזורי ובכל זמן מה, מספר זיהוי שנוסף לסיסמת המשתמש. מספר הזיהוי מיוצר על בסיס אלגוריתם שפותח ב-RSA ולכל התקן יש גם מספר ייחודי לו, המזהה אותו מול המערכת.

בסוף מאי הודיעה יצרנית המטוסים והציוד הצבאי הענקית לוקהיד-מרטין על כך שחסמה באופן זמני את הגישה לרשת התקשורת והמחשבים שלה, לאחר שזו נפרצה על ידי האקרים. ההתקפה על החברה, שמייצרת, בין היתר, את מטוסי הקרב F-22 ו-F-35, מלוקהיד-מרטין נמסר אז, כי מדובר במתקפה "ממוקדת ומשמעותית". כונתה על ידי פקידי ממשל אמריקנים בכירים כ-"בעיה רצינית ברשת המחשבים". מקור בממשל אמר ש-"מדובר בבעיית אבטחה חריפה שעלולה להשפיע על אנשים רבים".

לאחר הפריצה רווחה בעיתונות הטכנולוגית האמריקנית ההשערה, כי ענקית הציוד הצבאי רצתה לבחון האם המתקפה קשורה למנגנוני האימות וההרשאה שלה והאם יש קשר בין הפריצה אליה לזו שבוצעה לשרתי RSA. דובר מטעם RSA סירב אז להתייחס לקשר האפשרי שבין שתי הפריצות.