בלי פאניקה: מה למדנו מפרשת כרטיסי האשראי?
פרשת כרטיסי האשראי הכניסה רבים לפאניקה; אלפים רצו לבנקים או התקשרו לקווי התמיכה של חברות האשראי, מאות מומחי אבטחת מידע ניסו לפרסם מאמרי דעה בעיתונות ועשרות עיתונאים כתבו בנושא. מה ידוע לנו היום, ומה זה אומר אסטרטגית?
היום אנחנו יודעים שלושה דברים על פרשת כרטיסי האשראי שלא ידענו אתמול. ראשית, המתקפה נערכה באמצעות סוס טרויאני שנועד לתקוף אתרי Web. שנית, יש סיכוי סביר שהסעודים הם בכלל לא סעודים, אלא גורם מזרח תיכוני אחר, ושלישית, ישראל פגיעה למתקפת טרור כלכלי. אבל יש גם כמה שיעורים שלמדנו מחדש. למשל, ההתקפה הזו הוצאה מכל פרופורציה, המערכת הפיננסית תעשה הכל כדי להמנע מיחסי ציבור שליליים שעלולים לפגוע באמון הציבור וגם, אם משהו יפורסם כאילו הוא חדש, למרות שהוא קורה ביום-יום באופן קבוע, הוא הופך להיות חדש.
כפי שצוין, מניתוח של הארוע עלה שככל הנראה לא מדובר בכלל בהאקרים סעודים. האם זה משנה מי תקף אותנו? אפקטיבית לא. האינטרנט היא רשת אנונימית, וממש כמו שלא בהכרח נדע מי הטוקבקיסט שהגבנו לו, אפשרי לחלוטין שנדע מי היריבים שלנו ומי אוייבנו, אבל לא נדע מי תוקף אותנו. לכן, בהתמודדות בתחום הסייבר אנו צריכים להיות מוכנים לתגובה לארועים ללא יכולת הרתעה – כי אם רק ביכולת כיבוי שריפות. דבר שמדגיש את הצורך בהתכוננות לפני המקרה.
הבעיה האמיתית: הפאניקה
הגניבה של המאגרים של כרטיסי האשראי בוצעה באמצעות ניצול חולשות אבטחת מידע באפליקציות באתרים השונים, אבל עכשיו אנחנו גם יודעים שהותקנו, לפחות על חלק מהשרתים, סוסים טרויאנים ספציפים שהפכו את ההתקפה הפשטנית הזו לקצת יותר מתוחכמת ממה שחשבו בהתחלה.
למרות שההתקפה היתה פשוטה באופן יחסי, היא הדגימה לנו שני אלמנטים קריטיים: ישראל רגישה להתקפה כלכלית דרך האינטרנט, בעלות נמוכה מאוד לתוקף. משמע, הנזק הכלכלי, שהוא תוצר ישיר של גניבת כרטיסי האשראי, הוא באופן יחסי זניח. העלות עבור מדינת ישראל, שמגיבה בפחד בהמון זועם, גדולה בהרבה. בהחלט אפשרי היה שאם ההתקפה היתה מוצלחת טיפה יותר וממוקדת מטרה, היא יכלה לגרום לנזקים משמעותיים בהרבה כמו – פוטנציאלית, כפי שראינו כבר בעבר במדינות הבלטיות – הפחתת ערך המטבע. מאחר וכך, זו מתקפת טרור לכל דבר. הנזק האמיתי ממנה הוא בפחד שהיא מייצרת. וגרוע מכך, התקפה כזאת היא יחסית פשוטה מאוד לביצוע. אנחנו חייבים להיות מסוגלים להתמודד טוב יותר בעתיד. תוכלו לקרוא על כך עוד בניתוח האסטרטגי שערכתי.
בנוסף, ההתקפה הראתה לנו שאבטחת מידע היא מקצוע אנושי – לא משנה כמה נשקיע, לא נוכל לפתור בעיה אנושית עם כלים טכנולוגיים. כיצד אנשים רואים את הבעיה ומגיבים אליה קריטי לא פחות מהתגובה הטכנית לארוע.
יוצאים מפרופורציה
מדי יום נגנבים מליוני מספרים של כרטיסי אשראי באינטרנט ברחבי העולם, ומאות עד אלפים מהם ישראלים. כמובן שלא בכל המספרים הגנובים עושים שימוש, אבל זו עובדה בשטח. סטטיסטיקה אמריקאית הראתה שבכל שנה לפחות אחד משלושה אנשים יהיו קורבנות להונאה הזו בדיוק.
הפאניקה שפרצה במדינה עקב פרסום של מספרים גנובים, שככל הנראה נגנבו כבר מזמן, מפספסת בענק את השוק השחור הענק ברשת האינטרנט. כן, נגנבו מספרים. לא, זה לא משהו שצריך להבהיל אותנו. אבל גם אם כן, גם אם היינו צריכים להיות מבוהלים – הרי הובהר לנו (וזה מעוגן בחוקי המדינה) שהמוסדות הפיננסיים יחזירו לנו את הכסף אם נגנב. ולכן, כי זה קורה כל יום, וכי אין כאן איום על אף אחד ואחת מאיתנו – יצאנו מפרופורציות.
המערכת הפיננסית
המערכת הפיננסית בישראל היא מהמאובטחות בעולם ומהרגישות בעולם ליחסי ציבור רעים. היא מגיבה לארועים שיכלו להגמר ב"זה בסדר, אין דאגה" עם רגישות מוגזמת. לא ניתן להאשים אותה – טקטית, אם אנשים מאבדים את האמון ברשת האינטרנט לביצוע עסקאות, או לניהול הפיננסי האישי שלהם, יש לכך משמעות מיידית הן בפן הרווחי והן בהפסדים למערכת. בפן האסטרטגי, ארועים כמו זה עלולים להשפיע על המערכת בהתמודדות מול משרד האוצר בדיונים עתידיים על רגולציה.
עם זאת, בהחלט ניתן לצפות שההשקעה באבטחת המידע של המערכת הפיננסית – שהגיבה מאוד מקצועית לארוע – תהיה גם מספיק מהוקצעת לקבל את זה שהדברים האלה קורים ביום-יום, ולעבוד יחד עם קהל הלקוחות בנושא מאשר להגיע לכדי משבר אחת לכמה זמן כשקהל זה מגלה את הסיכונים בהפתעה. כן, גונבים כרטיסי אשראי ופרטי חשבונות בנק. זה קורה. הראיה של ניהול הסיכונים צריכה להיות ארוכה גם במישורים האלה, הכוללים את הבלתי נמנע.
לסיכום
יש מקום לאכזבה בכל הקשור ללקח שרובנו הסקנו מהארוע והוא, שככל הנראה יש כמה סעודים (שהם אולי לא סעודים כלל) שלא אוהבים אותנו. במקום זאת, יכולנו לצאת עם הבנות לגבי כיצד להתנהג נכון באינטרנט, ולהגן על עצמנו טוב יותר. כמו גם שלתכנן אבטחת מידע לתוך המערכת זה תמיד רעיון טוב מההתחלה, כי אחרת, כפי שראו האתרים שנפרצו - ניפול בהמשך.
האירוע עצמו, בשפת היום-יום, הוצא מכל פרופורציה ו"הרים את ישראל על הרגליים". אין לזלזל בכך שמדובר בארוע אבטחת מידע בעל משמעויות, אבל הן רחוקות מלהיות בסדר הגודל שבו הן הוצגו בתקשורת.
אחד מהעקרונות החדשים בתחום אבטחת המידע בשנים האחרונות הוא שכיום כולנו נפגעים – אין לנו אפשרות להמנע מהתקפה שתצליח בסופו של דבר. אנו נשפטים על פי איך הגבנו וטיפלנו בארוע. בתקווה, בעתיד נעשה עבודה טובה יותר.
גדי עברון הוא מומחה אבטחה, ולשעבר מנהל אבטחת המידע של תהיל"ה ומקים ה-CERT הממשלתי