האם הבנקים ערוכים למתקפות סייבר פנימיות?
מחקרים שונים מראים שהמקור של מרבית אירועי האבטחה במגזר הפיננסי הם בעובדים שיש להם הרשאות נרחבות ● לבנקים וליתר החברות במגזר זה יש עוד מה ללמוד
ועדת המדע והטכנולוגיה תקיים מחר (ג') דיון בנושא "השלכות הונאות הסייבר על המערכת הבנקאית, חשד לפריצה לאפליקציית לאומי קארד וחשש לזליגת פרטי כרטיסי אשראי". הרקע לדיון הוא חשיפת הניסיון של עובד בלאומי קארד לחשוף את פרטיהם של אלפי לקוחות החברה, כולל מספרי כרטיסי האשראי שלהם. לדיון הוזמנו נציגי משרד ראש הממשלה ומשרדי ממשלה נוספים, המטה הקיברנטי, איגוד הבנקים וארגוני התעשיינים והמסחר.
בכתבה ששודרה בטלוויזיה כמה חודשים לאחר הפרשה בלאומי קארד רואיינו מנהלי חברות אשראי ובנקים גדולים, שאמרו כי עצם העובדה שגורם פנימי עלול לפגוע בפרטיות של אלפי לקוחות היא אירוע חמור ביותר בעולם הבנקאות בארץ, אולי החמור ביותר מאז משבר מניות הבנקים מ-1983.
הדיון מעלה שתי שאלות: האם אירוע כמו זה שכמעט קרה בלאומי קארד – יש להדגיש כי בסופו של דבר העובד לא שחרר שום מידע – הוא אכן אירוע סייבר? וכיצד המערכת הבנקאית יכולה להתמודד עם האתגר הזה מבלי לפגוע ביכולת של עובדים לשרת את לקוחות הבנק?
לגבי השאלה הראשונה, קיימת מחלוקת בין מומחי האבטחה מהו אירוע סייבר והאם מה שקרה בלאומי קארד מוגדר ככזה. הגדרה מקובלת היא שאירוע סייבר הוא כזה שבו מותקפות מערכות מחשב ומערכות תשתית אחרות, שמשבשות את הפעילות של הגוף המותקף. זה יכול להיות ארגון, אדם פרטי או תשתיות לאומיות. על פי הגדרה זו, מה שקרה בלאומי קארד איננו אירוע סייבר ויש להתייחס אליו כאל אירוע אבטחה.
אולם, אל מול זה יש את הגדרת בנק ישראל, כפי שמופיעה בהנחיות להגנה מפני סייבר: "אירוע סייבר הינו אירוע אשר במהלכו מתבצעת תקיפת מערכות מחשוב ו/או מערכות ותשתיות משובצות מחשב על ידי, או מטעם, יריבים (חיצוניים או פנימיים לתאגיד הבנקאי) אשר עלולה לגרום להתממשות סיכון סייבר. יצוין כי בהגדרה זו נכללים גם ניסיון לביצוע תקיפה כאמור, גם אם לא נגרם נזק בפועל". כלומר, בנק ישראל מכיר בעובדה שתיתכן פעילות סייבר פנימית, דוגמת האירוע בלאומי קארד.
בתשובה לשאלה השנייה, כיצד הבנקים יכולים להיערך לתרחישים כאלה, יש להזכיר את הנהלים שגיבש באחרונה בנק ישראל (שעל ידו הם מונחים, כמו גם על ידי רא"ם בשב"כ).
דילמה ברורה, פתרון מורכב
מחקרים שונים מראים שהמקור של מרבית אירועי האבטחה במגזר הפיננסי הם בעובדים פנימיים בעלי תפקידים שיש להם הרשאות נרחבות, כמעט בלתי מוגבלות, לכל משאבי המידע של הארגון.
הדילמה די ברורה אבל הפתרון מורכב. ההרשאות הנרחבות ניתנות לבעלי תפקידים שתפקידם לאפשר פעילות תקינה של הבנק או הגוף הפיננסי, לאתר ולמנוע תקלות שעלולות לגרום נזקים לא פחות חמורים מאירוע דליפה. בנקים עובדים בעצימות גבוהה, אין להם את הפריבילגיה של עצירת מערכות המחשב אפילו לחצי שנייה בשנה.
נכון הוא שמאז פרשת אתי אלון, שאז מושג הסייבר עדיין לא היה קיים, חודדו, שונו והוחמרו מאוד נהלי הסיווג הביטחוני וההרשאות של עובדים במגזר הפיננסי. אולם, תמיד יימצא הגורם האנושי שימצא את הפרצה כדי לבצע את העבירה.
בנק ישראל מגדיר בהנחיותיו מיהם האנשים שתפקידם בעצם לשמור על השומרים, אילו מערכות בקרה הנהלת הבנק צריכה להפעיל כדי לוודא שיש לה שליטה על הנעשה בארגון שלה, פיקוח ובקרה על כל עובד וכמובן שמירה על נהלי שקיפות ודיווחים אמינים. בפרשת לאומי קארד זכו לשבחים הן אנשי אבטחת המידע בחברה, שאיתרו מיד את האיום, והן הנהלתה, שטיפלה במשבר מבחינה תקשורתית וציבורית בצורה הטובה ביותר, שמנעה נזקים חמורים ביותר, כמעט בלתי הפיכים.
איך בכל זאת מונעים מקרים כמו זה של לאומי קארד? התשובה היא שהפתרון אינו טכנולוגי והוא קשור יותר בשכלול יכולת הגיוס של עובדים במשרות אמון, יכולת הניבוי לגבי רמת האמינות שלהם וכמובן בקרה צמודה. אם נכפיף את זה להוראות בנק ישראל, הרי שמדובר בניהול סיכונים או, נכון יותר, פיזור סיכונים. יש לבדוק ולבחון מחדש את היקף ההרשאות שיש לכל בעל תפקיד. מומחי אבטחה טוענים שבעניין הזה קיימת הפרזה לא קטנה בקרב הארגונים הפיננסיים ולא פעם היקף ההרשאות מרמז על סטטוס, על רמת בכירות. גם מנהל האבטחה הבכיר ביותר או ראש צוות הפיתוח של הגוף הפיננסי לא תמיד חייב לקבל הרשאה אוטומטית לגשת לחשבונות של לקוחות. למעשה, אין לו מה לחפש במאגר זה, מכיוון שהוא עוסק בפיתוח כלים שמשמשים את הלקוחות הפנימיים של הבנק. וגם אם הבנק מזהה את הצורך להעניק לאותו בכיר את ההרשאות האלה, יש צורך במידור ולאפשר לו את השימוש בהן רק במקרים מיוחדים, שיאושרו על ידי הגורמים הבכירים ביותר בבנק, מנכ"ל או סמנכ"ל.
אין ספק שלא ניתן למנוע לחלוטין פריצות, גניבות ומעילות של עובדים בגופים רגישים. אולם, אפשר וצריך להקטין את הסיכויים שזה יקרה, ולא פחות חשוב להיערך לזה ברמת נהלים. יש לכתוב ספר שמסביר מה עושים בכל שלב, מיד לאחר שמתגלית ההונאה, כאשר העיקר הוא שקיפות מלאה – כלפי הציבור, בעלי המניות של הבנק וכמובן שכלפי העובדים עצמם. החוק אמנם ברור, אבל שום מעצר והעמדה לדין של מי שעובר עליו לא יכולים למזער נזק כתוצאה מדליפת מידע רגיש על לקוחות של גוף פיננסי.
הבעיה מתחילה ממינוי מכוון של אנשים שאינם אנשי מקצוע ו\או אנשים שאינם בעלי מחויבות לתפקידי מפתח בתחום אבטחת מידע וזיהוי הונאות. כמובן שברגע שאנשים מקצועיים יכנסו לכובע הם ידרשו תקציבים ושינוי תהליכים, ואלו דברים שגופים ישראליים ממש לא אוהבים.