אשר גניחובסקי, סימנטק: "במקרים רבים, המדד המנחה את הארגונים הוא השמירה עליהם – ולא על המידע"

"במקרים רבים ובארגונים רבים, המדד המנחה אותם בטיפול באירוע אבטחת מידע הוא השמירה על הארגון ולא השמירה על המידע. הדוגמה הטובה לכך היא מדינת ישראל, שאוסרת על עובדי מדינה להירשם למאגר המידע הביומטרי. כנראה שהיא לא סומכת על עצמה, מאחר שהיא יודעת מה רמת האבטחה של המאגר", כך אמר אשר גניחובסקי, יועץ מכירות בסימנטק (Symantec) ישראל.

גניחובסקי התראיין לאנשים ומחשבים בעקבות החשד לסחיטה ולדליפת מידע מלאומי קארד. לדבריו, "יש במקרה הזה כמה פנים, כשהפן האנושי הוא הנוזקה הפנימית החמורה ביותר. מתוך שלושת הישויות שמתקיימות בעת אירוע אבטחת מידע וסייבר: שוחר הטוב של הארגון, המזיק בכוונה ובזדון וההאקר החיצוני, שוב הוכח שהשניים הראשונים הם המזיקים ביותר. פוטנציאל הפגיעה של מי שיושב בתוך הארגון הוא הגדול ביותר". הוא אמר כי "יש הרבה מקרים של שיתוף פעולה בין הגורם הפנימי לחיצוני, שמתדרך את הפנימי מה לעשות על מנת להגדיל את היקף הנזק". גניחובסקי ציין שבמקרה שנחשף בלאומי קארד, חלק מהחשודים הם משתמשי הלפדסק.

"עולות מהמקרה הזה מספר תובנות שמתבססות על כך שאין שום ספק שכל חברות האשראי עובדות לפי כל הכללים של המפקח על הבנקים והרגולציות הנוגעות לסליקת הכרטיסים", הוסיף. "האחת היא שבהרבה מאוד מערכות, אנחנו בוחרים בין אפשרות מעקב וחסימה לאפשרות של לא לעשות דבר. ברוב המקומות, אי אפשר לעשות יחדיו גם מעקב וגם חסימה, מאחר שחסימה תפריע למהלך העבודה של הארגון. לכן, לחסום או לא לעשות דבר. דרך הביניים, מעקב, מביאה לעיכוב ונתפסת כנטל".

"יש הרבה אנשים הנחשפים לכמות גדולה של מידע ובמהלך הדרך הזו הם יכולים להעתיק את הקבצים בדרכים שונות", ציין גניחובסקי. "אם רק היה מעקב על הדברים הללו, לחברות היה קל מאוד לבצע בקרה לאחור ולראות באילו נזקים מדובר, מי עשה ומה הנתונים שעברו".

"אין בישראל הגנה על פרטיות המידע"

"הצד שני של המטבע הוא העובדה שבפועל, אין בישראל הגנה על פרטיות המידע. כל מטרת המפקח על הבנקים והמפקח על הביטוח היא להגן על הארגונים ולא על פרטי המידע האישיים של הלקוחות", אמר גניחובסקי. הוא ציין כי "התוצאה מכך היא שהארגונים 'מכוסים' ואילו הנתונים הכי פרטיים של אזרחי ישראל נתונים למצב הרוח של הארגונים – ולא לתקני האבטחה החמורים הקיימים".

ד"ר אלון קאופמן, מנהל חדשנות ב-RSA ישראל

"אם הייתה מוטלת על הארגונים אחריות פלילית לפרטי המידע האישיים של הלקוחות, אין ספק שהם היו משקיעים יותר בתחום", סיכם. "ראוי שהגנה על מידע לא תבוא מכיוונים פופוליסטיים, אלא מתוך הבנה שהמידע השמור בארגונים לא שייך להם, כי אם ללקוחות, וכל דליפה שלו צריכה להיות מטופלת ברמה המיידית. חוק פרטיות המידע חייב לעבור למנהלים של חברות, כי כיום, איש לא בא אליהם בטענה לפיה האחריות לאירועים כאלה היא אישית שלהם. עד שזה לא יקרה – יהיו לארגונים תקציבי אבטחת מידע מגוחכים".

"אין מי שיכול לעצור הרמטית את האירועים"

ד"ר אלון קאופמן, מנהל חדשנות ב-RSA ישראל, חטיבת אבטחת המידע של EMC, אמר לאנשים ומחשבים בעקבות הפרשה כי "התפיסה כיום בעולם אבטחת המידע וההגנה מפני הסייבר היא שלא משנה אילו הגנות נשים, בסופו של דבר ייתכן שהפרטים יזלגו – לעתים בזדון ולעתים בשוגג. צריך לקחת את העובדה הזו בחשבון, אם כי כמובן שיש לנסות למנוע מצב זה".

"נדרש להביט על ההתנהגות של המשתמשים, הן הלקוחות והן עובדי הארגון. יש לזהות את ההתנהגות של בעל כרטיס האשראי – מה הוא קונה בדרך כלל, היכן ובאילו שעות. צריך לבחון מה באמת נעשה ולאחר מכן לבדוק האם הפעילות האמורה אכן שייכת למשתמש. אם מזהים שזו פעילות חשודה עם פוטנציאל סכנה, יש לדרוש עוד רמה של אותנתיקציה. למשל, משלוח SMS או הצלבת פרטי המשתמש עם זיהוי ביומטרי, זיהוי טביעת אצבע או קול", אמר.

"קרה בלאומי קארד מקרה אבטחה חמור, אבל מערכות מתוחכמות יותר מניחות שזה יכול לקרות ומוודאות שיש עוד רמות בדיקה ואבטחה", סיכם ד"ר קאופמן. "כמו שבוחנים את התנהגות בעל כרטיס האשראי, כך יש לבדוק ולנטר את התנהגות העובדים ואת החריגות. בסופו של דבר, אין מה שיכול לעצור הרמטית את האירועים".

מתעניינים בסייבר? הירשמו לכנס השנתי בנושא של מטה הסייבר הלאומי ואנשים ומחשבים.