מנהלי בנק לאומי שוב חומקים מאחריות - שוק ההון - TheMarker
 

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

מנהלי בנק לאומי שוב חומקים מאחריות

כתב האישום נגד עובדי לאומי קארד מתעלם לחלוטין ממחדל אבטחת המידע בחברה

7תגובות

מעבר להתנהגות הפלילית לכאורה של שלושת עובדי לאומי קארד לשעבר, כתב האישום נגדם חושף את התנהלותה הרשלנית של החברה באבטחת המידע שברשותה.

הכוכב הראשי בכתב האישום הוא אלירן רוזנס, 30, תושב תל אביב, שהתחיל לעבוד במחלקת שירות הלקוחות של לאומי קארד ב–2008, בגיל 23. כעבור פחות משנתיים מיום תחילת עבודתו בחברה הוא קודם למעמד של "נציג בכיר" במחלקת שירות הלקוחות. מסגרת זו סיפקה לו גישה למאגר המידע המרכזי, הכולל את המידע על כלל לקוחות החברה. כלומר, לאומי קארד העניקה לעובד זוטר בן 25 עם ותק של פחות שנתיים גישה שתאפשר לו בהמשך להגיע לעבודה בוקר אחד - ולהעתיק מאגר נתונים הכולל 100 שדות מידע על מיליון לקוחות ו–2 מיליון כרטיסי אשראי.

הקלות שבה לאומי קארד איפשרה לרוזנס לגשת למאגר המידע של החברה צריכה להטריד כל אחד ואחת מלקוחותיה. מי יודע עוד כמה עובדים זוטרים בלאומי־קארד חיטטו בנתוני הלקוחות מתוך מציצנות, סקרנות או לצורך מכירת המידע לגורמים עסקיים או לחוקרים פרטיים, שעבורם גישה למאגר שכזה שווה הון? לאומי קארד חסמה את הגישה של עובדיה הזוטרים למאגר המידע רק לפני חודשיים, עם התפוצצות הפרשה - וכיום החברה נערכת לביצוע השקעות כבדות בעיבוי מערך אבטחת המידע שלה, כדי למנוע מאירוע כזה לחזור על עצמו.

עופר וקנין

כתב האישום מתאר התנהגות פלילית יוצאת דופן של העובדים לשעבר בשירות הלקוחות של לאומי קארד, אבל מתעלם לחלוטין מהמחדל חסר התקדים באבטחת המידע של החברה, שבדיעבד מתברר כי לא עשתה די כדי להגן על לקוחותיה. מלבד הנזק בסכום של 100 מיליון שקל שהפרקליטות מעריכה כי היה נגרם לחברה אם המאגר היה נחשף, המפקח על הבנקים הביע חשש כי האירוע עלול לצאת משליטה - ועשוי להוביל לפגיעה ביציבותו של בנק לאומי, כתוצאה מהפגיעה במערך התשלומים במשק ומאובדן אמון הציבור בבנק.

מלאומי קארד נמסר כי ״מדובר בעבריין שפעל במזיד נגד הארגון שבו עבד. לצערנו, מקרים כאלה מתרחשים בארגונים המתקדמים והמאובטחים ביותר. עם כל הבקרות הקיימות, אין הגנה מוחלטת נגד אדם שמחליט לפגוע במערכת מבפנים״.

עוד מוסיפים בחברה כי "מאז תחילת הפרשה פעלנו בשיתוף פעולה ובשקיפות מלאה עם המשטרה. בסיכום החקירה התגלו כמה מקרים של שימוש לרעה בכרטיסי אשראי על ידי הנאשם, בהיקף כולל של כ–55 אלף שקל. כרטיסים אלה זוכו על ידנו באופן יזום ומיידי. לא נגרם כל נזק ללקוחותינו - והם יכולים להמשיך להשתמש בכרטיסיהם ללא כל חשש".

מיליון לקוחות בקליק

מנהל אבטחת המידע בלאומי קארד עד 2011 היה גון קמני, כיום ראש הרשות לניהול המאגר הביומטרי הממשלתי - מאגר מידע רגיש לא פחות מאשר זה של לאומי קארד. בשלב זה לא ידוע על קשר בין מדיניות אבטחת המידע שקבע קמני בחברה לבין הפרשה הנוכחית, אך בלאומי קארד פועלים כיום להידוק המדיניות.

האירוע בלאומי קארד מעלה כמה שאלות בסיסיות - מדוע סיפקה המערכת לעובד זוטר הרשאה להריץ שאילתה לגבי מיליון לקוחות בבת אחת? מדוע המערכת איפשרה לו להעתיק את המאגר? מדוע מספרי כרטיסי האשראי הופיעו במלואם? מדוע הלקוחות התבקשו למסור את שלוש הספרות בגב הכרטיס לנציגי השירות, במקום שהלקוחות יזינו את הקוד למערכת ממוחשבת שתשמור על הנתונים באופן מוצפן? רק לאחר התפוצצות הפרשה, לאומי קארד התחילה לתקן את הליקויים.

להגנתו של קמני יש להזכיר כי אבטחת המידע היא לא רק פונקציה של מקצועיות של מנהל אבטחת המידע, אלא במידה רבה גם פונקציה של עלויות - עד כמה הנהלת לאומי קארד היתה מוכנה להקצות משאבים כספיים לביצוע שינויים במערכת שיעלו את רמת האבטחה. רק עתה, כשהתבררו היקפי הנזק שהיו עלולים להיגרם לחברה - החליטה לאומי קארד להפנות יותר משאבים לאבטחת המידע.

בבנק לאומי לא לקחו אחריות לאירוע אבטחת המידע, בטענה כי הוא באחריות החברה הבת לאומי קארד. ועדת בדיקה שהוקמה בלאומי קארד טרם הגישה את מסקנותיה, ועד שאלה יוגשו לאומי קארד מייחסת את האחריות לאירוע לעובד שסרח, שנגדו הוגש כתב האישום. גם המפקח על הבנקים לא נתן את התייחסותו לעניין. כשדירקטוריון בנק לאומי מאפשר למאור להתנער מאחריות, לא נתפלא אם התרבות הזאת תחלחל כלפי מטה.

הרשמה לניוזלטר

הירשמו עכשיו: עדכונים שוטפים משוק ההון בישראל ישירות למייל

ברצוני לקבל ניוזלטרים, מידע שיווקי והטבות


תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות ראשיות באתר

כתבות שאולי פיספסתם

*#