פרצה קוראת להאקר: "רמת אבטחת המידע באתרים רבים בישראל - עלובה" - היי-טק - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

פרצה קוראת להאקר: "רמת אבטחת המידע באתרים רבים בישראל - עלובה"

אתרי אינטרנט קטנים ובינוניים רבים בישראל לא מקפידים על תקן בינלאומי לסליקת כרטיסי אשראי, לא מצפינים מידע ומאבטחים פרטים רגישים ברשלנות ■ ד"ר נמרוד קוזלובסקי: "כל עוד האתרים בישראל לא מאובטחים ברמה גבוהה - ניתקל שוב בחשיפות מהסוג של ההאקר הסעודי"

8תגובות

יותר מ-20 אלף מספרי כרטיסי אשראי של ישראלים נחשפו בשבוע שעבר, אבל מומחי סייבר ומנהלי אבטחת מידע אומרים שההתקפה לא הסתיימה, למרות ניסיונות ההרגעה של חברות האשראי. עו"ד ד"ר נמרוד קוזלובסקי ניתח את המצב עם רפי איבגי וג'קי אלטל, שני האקרים לבנים - כאלה שעוזרים למצוא חורי אבטחת מידע ולהתריע בפני החברות - והמסקנה שלהם ברורה: הרע עוד לפנינו.

"מניתוח פרטי המידע שדלפו בשבוע שעבר עולה שמה שפורסם זה רק חלק ממאגר גדול יותר של פריטי מידע", מסביר קוזלובסקי. "כשמנהלי חברות כרטיסי אשראי אומרים שהם הצליחו להשתלט על הפרשה, זה בפירוש לא נכון. מי שבחן את הקבצים שהודלפו כפי שאני בחנתי רואה שמדובר ברשומות שהן חלק מרשומה גדולה יותר. לא נפרצו מספר קטן של אתרי קופונים, אלא נפרצו יותר מ-100 אתרים ישראלים. יש גם חשש גדול שנפרץ מידע של חברת סליקת כרטיסי אשראי".

אם כך הם פני הדברים, אפשר לצפות שגם בימים או בשבועות הקרובים ימשיך ההאקר שכינויו 0xOmar, שאף אחד עד היום לא יודע אם הוא באמת סעודי (ראו מסגרת), להביך את ישראל, לככב בכותרות העיתונים ולזרוע פאניקה.

אתרים רבים מפירים תקן בינלאומי

קוזלובסקי, איבגי ואלטל מצאו בניתוח המקרים האחרונים כמה בעיות עיקריות. ראשית, נראה שהאתרים מהם נגנבו המידע האישיים ופרטי האשראי הפרו את תקן PCI (Payment Card Industry. מדובר בתקן בינלאומי שמחייב אתרים הסולקים כרטיסי אשראי לעמוד בכמה חובות של אבטחת מידע.

"מצאנו שכמעט כל הכללים בתקן PCI הופרו על ידי האתרים שנפרצו. למשל, הם לא שמרו את פרטי האשראי בנפרד מפרטי הזיהוי של המשתמש וגם לא הצפינו את הנתונים. המידע (Data Base) היה חשוף לגמרי", מסביר קוזלובסקי.

כמעט כל מומחי אבטחת המידע חושבים שהטיפול של כלי התקשורת בפרשה מכוון את השיח למקומות לא נכונים. "ההאקר הזה לא יחיד ומיוחד. הוא בסך הכל הפעיל כלים אוטומטיים שיודעים לפרוץ למאגרי מידע ולזהות חולשות", אומר קוזלובסקי. "יש הרבה מאוד האקרים מתוחכמים אחרים כמוהו בעולם. כל עוד הם יודעים שהאתרים בישראל לא מאובטחים ברמה גבוהה - נמצא את עצמנו שוב נתקלים בחשיפות מהסוג של ההאקר הסעודי.

"הנזק הגדול הוא לא בחשיפת מספרי כרטיסי אשראי. זאת הבעיה השולית. לאחר התקיפה במרמרה חשפו האקרים טורקים פריטי מידע של 144 אלף ישראלים בפורום אינטרנט טורקי. כתוצאה מכך ספקיות וחברות סליקת אשראי התחילו לחסום ישראלים מלבצע קניות ברשת".

גיא רייביץ

קוזלובסקי אומר שכבר שמע על ישראלים שנחסמה בפניהם האפשרות לבצע קניות ברשת כי מתיבות הדואר האלקטרוני שלהם שנפרצו נשלח ספאם.

"האבטחה בעסקים קטנים - לא משתווה לאפריקה"

פרופ' יצחק בן ישראל, יו"ר המועצה הלאומית למו"פ (מחקר ופיתוח), עמל בשנה האחרונה על גיבושו של דו"ח מקיף שבדק את מוכנותה האזרחית של ישראל למתקפת סייבר. המקרים האחרונים לא הפתיעו אותו.

"אלה החיים שאנו חיים", אומר בן ישראל. "כל המידע שלנו קיים על גבי מחשבים. לכן צריך לדעת להגן על המידע הזה. הוועדה שהקמתי מנסה ליישם זאת בשנה וחצי האחרונות על השוק האזרחי".

הבעיה נעוצה בדיוק בשוק הזה. רמת אבטחת המידע באתרים קטנים ובינוניים בישראל בשוק האזרחי נמוכה. מיטיב לתאר את הבעיה אבי ויסמן, מנהל בית הספר See Security לאבטחת מידע וללוחמת מידע, שנשמע מעט מיואש. פרסום הפרטים של אלפי כרטיסי אשראי ביום חמישי מצד 0xOmar היה הקש ששבר את גב הגמל מבחינתו. ויסמן, איש אבטחת מידע ותיק עם ניסיון של עשרות שנים, שהעביר במשך שנים קורסים למאות אנשי אבטחת מידע בסקטור האזרחי ובגופי ביטחון, מאמין שהמצב שישראל הגיעה אליו הוא מחפיר.

"רמת אבטחת המידע של אתרים בישראל היא עלובה", אומר ויסמן. "אני בוכה מהרמה כאן. רמת ההגנה שלנו בעסקים קטנים אפילו לא משתווה לזאת שקיימת באפריקה".

לטענת ויסמן, הבעיה העיקרית היא הרמה הבינונית של מנהלי אבטחת מידע. "חברות וארגונים פשוט לא נותנים תשומת לב לנושא אבטחת מידע", אומר ויסמן. "הם לא מעסיקים מנהלי אבטחת מידע ולא מכניסים שיקולי אבטחת מידע בהקמת אתרים".

"כשלא קורה כלום, לכאורה הכל נפלא. בשנה החולפת הוקמו עשרות אתרי קופונים בישראל, מרביתם עם ליקויי אבטחת מידע קשים, אבל הלקוחות בכלל לא מודעים לכך שכשהם מזינים פרטים אישיים ומספרי אשראי - הם לא נשמרים כראוי".

לדבריו, המצב בכי רע בחברות גדולות וקטנות. "אם המוסד והשב"כ ומשרד החוץ מקבלים ציון 9-10 ברמת ההגנה על מידע, וצה"ל והגופים הביטחוניים מקבלים ציון 7-8, אז חברות גדולות במשק מקבלות ציון 4-5. מנהלי אבטחת מידע בחברות גדולות הם עלה תאנה. אין להם כסף. בחברות קטנות הציון הוא 2-3. אין בכלל תשומת לב לאבטחת מידע. אם מביאים מנהל אבטחת מידע שייעץ לחברה, אז לוקחים מישהו לארבע שעות פעם בשבועיים, או שנותנים למנהל רשתות לטפל גם באבטחת מידע".

ישראל נחשבת מעצמה של היי-טק, שמסוגלת לפתח תולעת מחשב שפוגעת במחשבי הכור האיראני - אבל נכשלת בהגנה על אתרי האינטרנט הכי בסיסיים שלה. אז איך ניתן ליישב את הדיסוננס הזה, בייחוד לאור העובדה שראש הממשלה, בנימין נתניהו, החליט בשנה החולפת על הקמת מטה סייבר לאומי?

ראשית, מטה הסייבר טרם הוקם, וגם לא בטוח שיימצאו לו התקציבים המתאימים לטיפול בתקיפות סייבר כלכליות. ויסמן שמכיר היטב את מטה הסייבר אומר שהבעיה היא לא רק תקציבית, אלא העובדה שישראל חזקה מאוד בתחום הסייבר בהתקפה ולא בהגנה.

"רמת הלימודים וההכשרה של תחום אבטחת מידע וסייבר בישראל היא נמוכה מאוד. אין לימודי סייבר באוניברסיטאות. אנחנו טובים מאוד בהתקפה, אבל גרועים מאוד בהגנה. המקורות שלנו לאנשי אבטחה וסייבר הם יוצאי יחידת 8200, אבל רובם עוזבים את התחום ומקימים חברות סטארט-אפ. 95% מהבוגרים של יחידת 8200 עוזבים את תחום אבטחת המידע. בוגר של 8200 ירוויח 30-35 אלף שקל בסטארט-אפ, בעוד שבאבטחת מידע ירוויח 10-15 אלף שקל בחברת ייעוץ שצריכה להיאבק על מקומה בשוק".

הרגולטור צריך לעשות סדר

יפתח עמית, מומחה סייבר מחברת סקיור ארט, מסכים עם ויסמן ואומר שיש בעיה עקרונית עם איך שתופשים בישראל את נושא אבטחת המידע. "זה תמיד מגיע בעדיפות אחרונה. רוצים להרים מהר אתר שיעשה כסף וייראה טוב. כל עוד הכסף נכנס - הכל בסדר. יש כאן פחות מודעות ונכונות להשקיע בנושא".

עמית אומר שלא הופתע ממה שקרה בשבוע שעבר. "כשאני בוחן את הפריצות האחרונות אני פשוט מזועזע. אתה מוצא אתרים ששומרים מספרי כרטיסי אשראי אף שאסור. אתה מוצא שלא מצפינים את המידע. אתה מוצא אחסון מידע בצורה חובבנית".

עמית אומר שהוא משועשע מהניסיונות של האתרים שנפרצו לגלגל את האשמה לאחרים. "יש מי שמאשים את מי שבנה את האתרים. יש מי שמאשים את מי שמאחסן את האתרים. יש מי שמאשים את מי שסולק את העסקות של כרטיסי אשראי. כולם נגד כולם וכולם מתנהגים בחובבנות. הרגולטור צריך לעשות סדר. חברות האשראי צריכות לבדוק עם אילו מסלקות הן עובדות. כולם צריכים לקחת אחריות".

אמיר טטלבאום, יועץ בחברת סייבר, אומר שחייבת להיות החמרה בכל הקשור לרגולציה. "אין עמידה בתקן PCI באתרים של חברות קטנות ובינוניות. בחברות האשראי צריכים לבדוק שתהיה רמת אבטחת מידע נאותה באתרים שמשתמשים במסלקות כרטיסי אשראי וגם בחברות המסלקה".

גיא מזרחי, האקר, יועץ, חוקר ומרצה בתחום אבטחת המידע, מסכים שרמת אבטחת המידע של האתרים בישראל נמוכה. "יש תקן שנקרא PCI ואתרים שמוכרים באמצעות כרטיסי אשראי - אבל רוב האתרים בישראל לא עומדים בו. המפקח על הבנקים צריך לדאוג שתהיה אכיפה והאתרים יעמדו בכך".

בעקבות מתקפת הסייבר האחרונה אומר מזרחי ש"אפשר רק לדמיין מה היה קורה אם מישהו באמת היה רוצה להזיק למדינת ישראל במקום לפרסם את השמות ממאגר המידע. מה שברור בעקבות התקיפה האחרונה הוא שצריכים להיות נהלים ברורים לאתרי אינטרנט מה קורה במקרה שיש דליפת מידע. למי צריך לפנות ואיך לטפל. הבעיה היא שאין גוף ישראלי שינחה אתרי אינטרנט מה לעשות במקרה כזה".

עמית עמל בהתנדבות עם מומחי אבטחת מידע והאקרים לבנים ישראלים אחרים בחודשים האחרונים על הקמת CERT - גוף לטיפול חירום בדליפות מידע. "CERT הוא ראשי תיבות של Computer Emergency Response Team. כיום יש מנגנון CERT שנותן מענה לגופים ממשלתיים, שמנחה אותם ומסייע להם במקרה של פריצה. המקבילה האזרחית אמורה לתת מענה דומה לכלל האוכלוסייה", מסביר עמית. "גוף שכזה יכול לתת תגובה לאירועים עדכניים, לתת שירותי מענה לאירועים ברמת המלצות ולתאם עם גופים אחרים המעוניינים לדווח על אירועים הקשורים לישראל".



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות ראשיות באתר

כתבות שאולי פיספסתם

*#