קצת פרופורציות

כבר יותר משבוע גועשת הארץ מגניבת פרטים אישיים, ובהם מספרי כרטיסי אשראי, של אלפי ישראלים שביצעו רכישות מקוונות באתרי קופונים מקומיים קטנים יחסית, ומדליפתם לרשת. נכון, מדובר בפעילות זדונית ומכעיסה, אולם נדמה שהתגובות אליה יצאו מכל פרופורציה.

חלק מבעלי הטורים טענו שמדובר ב-"טרור פוליטי" והיה אף מי שטען שמקורה של הדליפה בכלל בסוכן אירני – ולא בהאקר סעודי, כפי שנטען. הגדיל לעשות סגן שר החוץ, דני איילון, שאמר אמירה קשה: "אנחנו רואים בכך פעולת טרור ואף נגיב בכוח נגד האקרים שיפגעו בריבונות הקיברנטית של ישראל". בעיני רוחי כבר ראיתי מזל"ט ומטוס תקיפה מתקדם מבצעים חיסול ממוקד בטרוריסט שביצע את מעשה הנבלה.

ראשית, כדאי לשים לב שאין זו הפעם הראשונה שבה אתרים ישראליים מותקפים. למרבית הצער, מזה שנים רבות זה נעשה יום יום. בכל פעם שמסתמנת התחממות פוליטית אזורית, כמו במקרה ספינת המרמרה או במבצע עופרת יצוקה, גל המתקפות גואה. עקב כך, נשאלת השאלה למה דווקא עכשיו זכתה המתקפה לכל כך הרבה התייחסויות, כולל מצדם של בכירים? ייתכן שמקורו של ניפוח המימדים בעובדה שנחשפו פרטים של אזרחים, כאלה שיכולים להביא לניצול כרטיסי האשראי האישיים שלהם. אפשרות אחרת הינה שההגזמה נעוצה בכך שהפעם בחרו לכתוב ולהגיב רבים שאינם מקורבים מספיק לנושא.

מכל מקום, אין מקום לבהלה. האחריות נופלת ישירות על חברות האשראי, שיישאו בנזקים אם וכאשר יתרחשו.

צריך גם לשים לב למימדים. פריצות בהיקפים כפי שדווחו עד כה אינן מרגשות זה שנים אף מומחה. לכולם ברור שכרטיסי אשראי הם חוליה רגישה. יותר מפעם אחת התייחסתי לנושאים הללו בטור זה. עוד באוגוסט 2008 ניתחתי כאן את חדירתו של האקר הודי לרשת המחשבים של מלונות בסט-ווסטרן וגניבת שמונה מיליון מספרי כרטיסי אשראי ונתונים נלווים של לקוחות שהתארחו ביותר מ-1,300 מלונות הרשת. שימו לב למספרים. אגב, אף אחד לא ראה באותה פריצה פעולת טרור, גם לא פגיעה בריבונות. ברור שמדובר בעבירה פלילית קשה שמבצעה ראוי לעונש כבד ומרתיע, לא פחות ולא יותר.

ביולי 2010 כתבתי כאן על מקרים נוספים וכואבים של גניבת מספרי כרטיסי אשראי באמצעות האינטרנט שהתרחשו ברחבי העולם. בין היתר כתבתי ש-"בארץ לכאורה אין בעיה, כי לא נערכים סקרים ואין מי שיפרסם העובדות. שיטת בת היענה עובדת. חברות כרטיסי האשראי, שכנראה מודעות לבעיה, אינן מעודדות שקיפות בנושא".

איפה האחראים למחדל?

הדבר הבולט ביותר בפרשה הנוכחית הוא שעד כה, אף אחד לא טרח להודות במחדליו. לא האתרים שנפרצו, לא החברות שמאחסנות אותם, גם לא חברות הייעוץ שהיו מעורבות בפעילותם. לא הפתיעה אותי הטענה שאפילו באפריקה, רמת אבטחת האתרים גבוהה יותר מאשר בישראל. גם גופי הפיקוח והאכיפה, כגון בנק ישראל והיחידה המיוחדת המופקדת על היבטי צנעת הפרט במשרד המשפטים, כבר הצביעו על מחדלים… של אחרים. הם כנראה רואים את תפקידם בראיונות שלאחר מעשה ובהצהרות לעתיד.

גם חברות כרטיסי האשראי כלל לא מכות בינתיים על חטאן. בעיניי, יש להן אחריות בולטת לכך שהאירוע התאפשר. קיימים תקנים שנועדו לצמצם למינימום פגיעות שכאלה, למשל תקן PCI. מומחי אבטחה מכל הסוגים הסבירו שכל האתרים שנפרצו במתקפה של אותו האקר סעודי הפרו את התקנים הללו. הקפדה עליהם, כתנאי התקשרות עם חברות האשראי, הייתה כנראה מונעת את הפריצות. האם ייתכן שמקור הבעיה ברדיפה אחרי רווחים תוך ויתור על עקרונות ועמידה בנהלים? כדאי בהקשר זה לזכור שחברת כ.א.ל ניצבת בפני סיכון לכתב אישום על הסוואה לכאורה של שמות חברות הימורים ופורנו לצורך סליקה באינטרנט, בניגוד לחוק.

אי נטילת האחריות, מטעם כל הגופים שציינתי, היא הבעיה שצריכה להדאיג אותנו בפרשה. כך לא מפיקים לקחים.

נקודה אחרונה, שגם עליה כבר הבעתי דעתי כאן בעבר, היא שאני מאמין שהאקרים הם תופעה שיש להילחם בה בכל הכלים ובכל העוצמה. נחוצים כאן שיתוף פעולה בין לאומי, כמו גם כלים וארגונים שזה ייעודם.

אולם, העוסקים במלאכה חייבים לפעול וידיהם נקיות. דוגמאות רבות מספור של מתקפות שיוחסו להאקרים ישראלים דווחו במדיה המקומית מזה שנים, מבלי שמישהו אצלנו העלה אפילו סימן שאלה. ניתן להזכיר בהקשר זה פריצה שאירעה ב-2001 לעיתון גולף ניוז (Gulf News) מאיחוד האמירויות הערביות, פריצה לאתר של משרד החוץ הירדני ב-2005, חדירה לכמה עשרות אתרים נוספים בירדן, השחתת מאות אתרים בטורקיה, הפלת אתר וופא (סוכנות הידיעות הפלסטינית) ב-2007 ותקיפה והשבתה של אתר משרד החוץ האירני בשנה שעברה. זהו כמובן רק מדגם מקרי, חלק קטן מהמקרים. החל מאמצע השבוע יש לנו כבר גיבורים חדשים: האקרים ישראלים נוקמים ופורצים לאתרים סעודיים.

הדוגמה היותר מוכרת היא זו של אהוד טננבאום, האקר ישראלי שפרץ עוד בסוף המילניום הקודם מספר פעמים למערכות המחשבים של הפנטגון. לא לאתר קופונים מינורי, אלא לגוף הביטחוני הגדול בעולם. הוא נדון לעונש קל יחסית, בוודאי לא כמו זה שמושת על טרוריסטים מסוכנים. נאה דורש – נאה מקיים? לא במקרה הזה. לא למותר לציין שבניגוד לזרועות הביטחון, שלהן יש את הסמכות להפעיל טנקים ומטוסים, כמו גם לבצע מתקפות סייבר, לאזרחים פרטיים אסור בתכלית האיסור לבצע עבירות, גם לא נגד אתרים בחו"ל.

לסיכום, ההתרגשות מהפריצות האחרונות גדולה מעבר למוצדק. מדובר במתקפה שגרתית, בהיקף קטן יחסית. במקום להשמיע הצהרות אחרי כל מחדל, על כל גוף מעורב למלא את חלקו במערך האבטחה. על מי שנכשל להודות בטעותו ולהפיק לקחים. מי שמחוקק חוקים ותקנות חייב לגבות אותם באכיפה. פעולה נגד עבריינים מחייבת בסיס מוסרי, ואסור שהוא יהיה כפול. כל כך פשוט, כל כך מסובך במקומותינו.

רוצים לשמוע עוד? הירשמו עכשיו לכנס CyberSec של אנשים ומחשבים