כרוניקה של פשע ידוע מראש
ניסיונות פריצה למערכות טכנולוגיות של גופים פיננסיים קורים כל הזמן, רובם לא מדווחים למשטרה. הנחת הייסוד היא שאין הגנה של 100 אחוז, והארגון נמדד ביכולתו למזער את הנזק ולהמשיך לספק שירות ללקוחות
שודדי המידע ממרכז המחשבים של בנק לאומי לא גילו תחכום רב, על אף התעוזה הרבה הכרוכה בשוד, שנחשף אתמול (ג') בערוץ 10. ככל הנראה, הפורצים הצליחו לחדור לבניין "קשב" המאובטח באזור התעשייה של לוד. לאחר מכן, הם ניתקו מהרשת את אחד המסופים והתחברו למחשב המרכזי באמצעות מחשב נייד שהביאו אתם. במקרה הנוכחי, נראה כי מערכת אבטחת הגישה לרשת פעלה היטב, אך הפורצים נעזרו במידע פנימי, שאפשר להם לגשת למחשב המרכזי. כאשר נבדק המחשב של הבנק התברר כי הועתק קובץ גדול, הכולל את הנתונים של כל החייבים של הבנק. הנתונים לא נמחקו בזכות מערכות הגיבוי של הבנק.
רק קצה הקרחון
האם מדובר בתחילה של גל פשיעה נגד מוסדות פיננסיים? בחודש דצמבר נפרץ סניף בנק הדואר בשכונת דניה בחיפה. הפורץ לא גנב דבר אך חיבר מודם לשרת המחשב בסניף. חברי הרשת השתמשו במחשב נייד כדי לשדר פקודות של העברות כספים מהשרת של הסניף החיפאי לחשבונות שפתחו חברי הרשת. בחודש שעבר עצרה המשטרה את דוד שטרנברג, הידוע בכינוי "ווייז גאי", בחשד כי הוא המוח מאחורי השוד שבוצע בסניף הדואר בחיפה. שטרנברג נעצר בעבר בארה"ב בחשד לפריצה לאתר eBay.
על פי ההערכות המומחים, הפרשיות שנחשפו לאחרונה הן רק קצה הקרחון של גניבות מידע שאירעו בשנים האחרונות באמצעות פריצה למערכות של גופים פיננסיים, אך מרבית המקרים אינם מדווים למשטרה ולעתים רחוקות מגיעים לידיעת המפקח על הבנקים. גם במקרה הנוכחי הבנק בחר שלא לפנות למשטרה וניסה לחקור את הפרשה בעצמו, בעזרת גופי חקירה אזרחיים. למרות האופן שבו מצטיירת הפרשה בתקשורת והנזק התדמיתי שהיא עלולה לגרום לבנק לאומי, מדובר במוסד פיננסי שמשקיע רבות באבטחת מידע.
"זה קורה אצל כולם"
"התקפות קורות כל הזמן והפרשה האחרונה רק מראה שאין פתרון מוכח נגדן ואין 100 אחוז הגנה", אומר אייל אדר, מנכ"ל iTcon, חברה לייעוץ בתחום טכנולוגיית המידע, "זה קורה אצל כולם, ולא רק בבנק לאומי. חשוב לציין את זה".
"כמעט בלתי אפשרי להגן הרמטית על ארגון גדול, גם ברמת האבטחה הפיזית. הגישה כי אפשר למנוע מראש כל התקפה פשטה את הרגל. האמריקנים המציאו בעקבות מתקפות הטרור של ה-11 בספטמבר את הגישה של operate through attack (פעולה במהלך התקפה). כלומר, אי אפשר למנוע התקפות אלא לבנות מערכת מספיק טובה, שתאפשר המשך מתן השירות גם תוך כדי התקפה. ההנחה היא שאירועים יקרו, כאשר הארגון נמדד בתגובה מהירה וביכולת להמשיך לספק שירות ללקוחות. אפשר לציין לזכות בנק לאומי, כי המשיך לספק שירותים ללקוחות למרות הפריצה".
אדר אומר, כי אבטחה טובה משלבת בין אבטחה פיזית לאבטחת מידע. ארגון צריך לוודא כי כאשר האבטחה הפיזית תיפגע, חגורות אבטחה וירטואליות ימנעו נזק כבד יותר. הנחת הייסוד היא שהאבטחה הפיזית תיפגע. קשה מאוד לשמור על כל בניין במשך 24 שעות ביממה, גם אם מדובר בבנק. בסופו של דבר העלויות האלה יתגלגלו על הלקוחות ולא בטוח שהם יסכימו לשלם את העלות בגלל פריצות שקורות מפעם לפעם".
"אפשר לצמצם את הסיכון"
"הטענה הרווחת היא שמדובר במקרה קשה, המבוסס על הליכי פריצה מתוחכמים ולכן קשה להתמודד עם הישנותו, אך אין הדבר נכון", סבור אורן ברט, מנהל תחום אבטחת מידע בבינת תקשורת, "ניתן לנקוט בפעולות שונות, מכיוון שהסכנה העיקרית לאבטחת מידע אורבת בתוך הרשת הארגונית ולא מחוץ לה, כפי שקרה במקרה האחרון ובפריצה לרשת של רשות הדואר. במקרה של רשות הדואר, כמו בפריצה לבנק לאומי, אדם מתוך המערכת בעל הרשאה לגישה למערכת מעורב בפשע".
ברט מציין, כי "פתרונות טכנולוגיים העוקבים אחר תנועת המידע ברשת בחיפוש אחר דפוסים חשודים, לצד פתרונות המחייבים גישה מבוקרת למערך התקשורת של הארגון, הם הבסיס למערכי אבטחה מודרניים.
לדבריו, ניתן לנקוט במספר פעולות בסיסיות כמו רישום וניהול של כל פעולה המתבצעת בארגון מבחוץ, אך בעיקר מתוך הארגון, החמרת כללי הגישה למערכת מתוך הארגון והשוואתם לכללי האבטחה הנהוגים מחוץ לארגון, ביצוע ניטור מלא של מערכי אבטחת המידע ומערכי התקשורת בארגון, כך שתמיד יהיה רישום של מחיקת העקבות, והפרדה מוחלטת בין ניהול המידע לבין ניהול הרשת, בצורה שתמנע ממנהלי הרשת גישה למידע עצמו.
כלל לא בטוח שמערכת אבטחת מידע לא יישמה את כל כללי האבטחה הנכונים, אך קשה להתמודד עם רשלנות אנוש או חמור מכך: כוונת זדון.
רוב המקרים אינם מדווחים
סנ"צ בדימוס, עו"ד בועז גוטמן, לשעבר מפקד מפלג עבירות מחשב במשטרה, אמר ל-ynet בעקבות הפריצה לבנק הדואר, כי להערכתו רוב הפשעים מסוג זה אינם מדווחים למשטרה. "ארגונים רבים סובלים מניסיונות פריצה ופריצות לרשתות המיחשוב ולמשטרה אין מושג על כך. הסיבה היא כי דבר התלונה יפורסם בתקשורת ויביא להרס המוניטין של הגוף המתלונן, בייחוד כאשר מדובר במוסד פיננסי. אם אתה רוצה להיות צודק לך למשטרה אבל אף אחד לא יבוא אליך אחר כך", ציין.
האם הכל פרוץ?
ועדת מדע וטכנולוגיה בראשותה של ח"כ מלי פולישוק-בלוך תתכנס לישיבה דחופה ביום ג' בעקבות הפריצה. "אם המחשב המרכזי של גוף כמו בנק לאומי נפרץ, הרי שישנה סכנה ממשית שהכל פרוץ", אומרת יו"ר הוועדה, ח"כ מלי פולישוק-בלוך (שינוי), "הפריצה למחשבים של הבנקים מהווה סכנה לחשבונות הציבור. כאשר גורמים אינטרסנטיים פורצים למחשב המרכזי של בנק לאומי, הרי שהשמיים הם הגבול – מעכשיו כל אחד מאתנו עלול להיות חשוף לסחיטה ולגניבה. יש לקבוע לאלתר אמצעים לחסימת הפירצה, ולמנוע פגיעה בלקוחות הבנק. על הבנק חלה חובת הזהירות והוא האחראי לשלום רכושם של לקוחותיו. עצם ניסיון הבנק להסתיר מידע מן הלקוחות הוא חמור לכשעצמו".