השבוע: המפץ הגדול של הסייבר

השבוע הנוכחי הביא אתו כמה אירועי סייבר שקרו בארץ. הצמידות שלהם מקרית, אבל האירועים עצמם, והעובדה שהם קרו באותו השבוע, חשפו את החורים הענקיים שעדיין קיימים בהגנת המידע.

אחד האירועים המרכזיים היה הפרסום על הניסיונות של החמאס להשתלט על טלפונים של חיילים המשרתים בעוטף עזה. ניסיונות ההשתלטות בוצעו באמצעות דפי פייסבוק (Facebook), אפליקציות היכרויות ואתרים ה"מציעים" צפייה חינם במונדיאל. מדובר בתוכנות זדוניות ובדברים שראינו כבר לא מעט מהם, ושחדשים לבקרים מתפרסמות אזהרות מפניהם, אבל אף על-פי כן, כמה מאות חיילים הורידו את האפליקציות או נכנסו לאתרים, ובכך אפשרו לתוקפים לחדור לטלפונים שלהם, להאזין לשיחות שלהם ולעקוב אחריהם.

לא ברור איזה מידע ההאקרים מעזה הצליחו למצוא ומה איכותו, אבל המקרה הזה צריך להדליק נורה אדומה חזקה מאוד בקרב מפקדי צה"ל. זה הרבה מעבר להוראות בטיחות או משמעת. הטלפונים הסלולריים מציבים לצה"ל אתגרים קשים. בצבא הבינו כבר מזמן שאין סיכוי לאסור על חיילים להחזיק במכשירים אלה, שהפכו להיות המוקד של חיינו. זה בוודאי לא יעבור אצל ההורים המודאגים של החיילים.

לכן, מה שנותר לעשות זה לחדד שוב ושוב את הסכנות, להזהיר מה מותר ומה אסור, ובוודאי להורות שלא לפטפט, לצלם או להחזיק שום מידע שקשור לצבא, גם אם הוא לא מוגדר מסווג. האויב הנעשה מתוחכם מיום ליום וזקוק לכל פיסת מידע. גם אם לא מדובר במידע חשוב, החיבור שלו למידע אחר, בין אם על-ידי ההיגיון האנושי או מערכות אנליטיקה חכמות, עלול ליצור תמונה שתחשוף דברים אסורים. השבוע הוכח שוב שהסייבר הוא שחקן לכל דבר בשדה הקרב הפיזי ושצריך להתייחס אליו כמו לכל איום פיזי.

הסכנה הגדולה - העובדים?

מקרה נוסף הוא גניבת המידע שבוצעה על-ידי עובד לשעבר של NSO, לפי כתב האישום נגדו. מדובר שפרשה שרק חלק ממנה הותר עד כה לפרסום, עקב הרגישות לביטחון המדינה.

בכל מקרה, זהו עוד סיפור שנכנס לסטטיסטיקה הוותיקה שמדברת על חלקם של העובדים, כולל העובדים לשעבר, בתקיפות אבטחה וסייבר על הארגונים. רו"ח גיא מונרוב מפירמת הביקורת אלקלעי מונרוב מצטט נתונים שפרסמה רשות האבטחה האמריקנית, שלפיהם מחצית מפשעי הסייבר שנעשים נגד ארגונים מבוצעים על-ידי עובדים מהארגון עצמו. רו"ח מונרוב מציין גם שמרבית המקרים האלה לא מגיעים לידיעת הציבור ולא מדווחים למשטרה, מסיבות מובנות.

המקרה של עובד לשעבר זה, שלקח כנראה רכיב אחסון נייד הביתה לאחר שפוטר, הוא כשל אבטחה חמור, ש-NSO אמורה לבדוק, ללא קשר להיבט הפלילי של משמעות מעשיו.

יש ארגונים שהפיקו לקחים מניסיונות סחיטה וסייבר שקרו אצלם, כולל ממקרים שבהם היו מעורבים עובדים קיימים או לשעבר, וערכו רביזיה מוחלטת במדיניות ההרשאות לגישה למידע הארגוני. התפיסה הרווחת שלפיה עומק הגישה למידע צריכה להיות בהכרח כעומק הבכירות של העובד או מעמדו היא תפיסה מוטעית. בארגונים פיננסיים, למשל, מקפידים לאפשר גישה וחשיפה למידע לכל עובד, בכיר או זוטר, בהתאם למה שהוא זקוק לצורך עבודתו. כך, מנהל אבטחת מידע בחברת כרטיסי אשראי לא צריך להיות בעל הרשאת גישה לחשבונות אישיים של לקוחות, ולא צריכה להיות לו אפשרות למעקב אחר פעולותיהם. רופא עיניים לא צריך לקבל גישה לתיק האישי של נערה שביקרה אתמול אצל גינקולוג ולראות מה היו ממצאי הבדיקה שלה. ואלה רק דוגמאות. מדיניות האבטחה הארגונית צריכה להיות קפדנית הרבה יותר.

הטיפול בנושא צריך להתחיל מלמעלה, מהאחריות האישית של מנהלי הארגון ובעלי המניות שלו. עו"ד יובל ששון ממשרד עורכי הדין מיתר, ליקוורניק, גבע, לשם, טל אמר השבוע במפגש פורום CISO של אנשים ומחשבים: "אחריות תאגידית הולכת יד ביד עם אחריות אישית. מנהל ארגון שלא ישקיע בהגנת סייבר - יחטוף, וזה יכאב לו".

מהמקרים שנחשפנו אליהם השבוע אנחנו למדים שכאשר ארגון חוטף התקפת סייבר - זה כואב לו, אבל הכאב כנראה לא מספיק חזק והוא חולף עד תקיפת הסייבר הבאה.