"אומת הסייבר"? אבטחת המידע בישראל במצב קטסטרופלי

מה זה חוקר אבטחה, איפה הוא פועל, ומה אפשר לעשות כדי למנוע פריצות לאתרים ומערכות? האקרים "כובע לבן" מסבירים

יותם גוטמן
יותם גוטמן
טקס פרסי הסייבר
טקס פרסי הסייבר
יותם גוטמן
יותם גוטמן

בטקס פרסי הסייבר - מעין מיטאפ הומוריסטי שאירגנו חוקרי האבטחה החובבים נעם רותם ורן בר זיק - הוצגו הדוגמאות המצחיקות, המביכות והמוזרות ביותר לרמת אבטחת מידע נמוכה בישראל.

צמד החוקרים, שמגלים פרצות להנאתם (לכל אחד מהם יש עבודה אמיתית), מעידים כי פרצות האבטחה שהם מאתרים באתרים וארגונים שונים אינן דורשות כישורי פריצה מיוחדים. מדובר באתרי אינטרנט שאינם מטמיעים אמצעי אבטחה בסיסיים, או מאכסנים מידע רגיש - לרבות סיסמאות - במערכות לא מוגנות.

מה זה בכלל חוקר אבטחה?

המונח חוקר אבטחה מתייחס למי שמתעסק באיתור פרצות אבטחה בתוכנות, אתרי אינטרנט ותשתית מערכות מידע של ארגונים. חוקרי אבטחה מקצועיים מועסקים בחברות סייבר כדי למצוא פרצות בתוכנות ארגוניות, כשבעקבות עבודתם החברה יכולה לפתח מוצא שמונע פריצות. הם מבצעים מבדקי חדירות (Penetration testing) וסקירות קוד (Code review) לפני שתוכנות משוחררות לשימוש מסחרי, במטרה לשפר את עמידות המוצר או הארגון בפני מתקפות סייבר.

חוקרי אבטחה חובבים, שמכונים לעיתים "White Hat Hackers", מבצעים פעילויות דומות באופן עצמאי מתוך רצון לתרום וסקרנות מקצועית - או מתוך כוונת רווח. חוקרים אלו מבצעים פעילויות שממקומות באזור האפור מבחינת חוקי אבטחת מידע ופרטיות, מפני שכדי לגלות פרצות אבטחה הם בפועל חודרים למערכות ונחשפים לחלק מהמידע שמאוכסן בהן. ואולם מכיוון שאינם פועלים מתוך בכוונת זדון ומקפידים לדווח באופן מסודר לאותם גופים על הפרצות, ובמקרים רבים גם מסייעים בטיפול בהן - לרוב הם אינם מואשמים ולא ננקטים נגדם צעדים משפטיים ופליליים. תהליך זה מכונה "אסגרה אחראית" (Responsible disclosure) והוא חיוני לעבודת החוקר ולגוף שבו נתגלתה הפרצה גם יחד.

טקס פרסי הסייבר
טקס פרסי הסייבר

אצל מי מגלים פרצות?

טעויות בתחום האבטחה קיימות אצל מגוון רחב של גופים וארגונים - החל מאתרים של אנשים פרטיים, דרך עסקים קטנים ובינוניים וכלה בגופים הגדולים ביותר במשק. וכן, גם גופים ממשליים וציבוריים לא פטורים מפדיחות מביכות במיוחד. זכורות לרעה פרצות אבטחה חמורות באתר השב"ס, במערכות המידע של כביש שש וכשל תשתיתי (שימוש בתשתית VPN פרוצות) במשרדי האוצר והבריאות ובאתרים של בזק, סלקום, מפעל הפיס ותנובה.

מה הסיכון? (או כמו שאומר מי שמגלים אצלו פרצת אבטחת: "אז מה?")

רבים מהארגונים מזלזלים בחומרת פרצות האבטחה שנחשפות בארגונם. אמירות כמו- "זו אמנם פרצה אבל "רק" באתר התדמיתי" (כלומר- לא במערכת אופרטיבית) או "לא יכול להיות- אצלנו יש את רמת האבטחה הגבוהה ביותר". האמת היא חמורה יותר- רוב מערכות המחשוב היום מערבות רשת ושרתים פנימיים עם שירותי ענן ואתרי אינטרנט ואפליקציות צד שלישי. כמעט שלא ניתן היום לחסום גישה מבחוץ לארגון  או גישה של אנשים מהארגון לתוכנות בענן (משום שזה פוגע בתהליכים עסקיים), וכך, ארגונים שלא מודעים לסכנות או חסרים את האנשים המיומנים עלולים לחשוף בטעות את בסיס הנתונים שלהם עם כל האקר (או כל משתמש שמבצע שגיאות בתפעול האתר או האפליקציה).

איך זה יכול לקרות ב"אומת הסייבר"?

קודם כל צריך להבדיל בין גופים בטחוניים וגופים שמונחים על ידי רשות הסייבר (כגון חברת חשמל וחברות תשתית) וכן בנקים וחברות ביטוח (שמחוייבים למערך הגנה הרמטי במיוחד בשל רגולציה חמורה) שמקיימות מערך אבטחה רציני ומקצועי, לבין גופים מסחריים ואחרים. בגוף מסחרי ההשקעה בסייבר נתפשת כהוצאה ותתועדף בהתאם (כלומר- כמה שפחות). בנוסף, גופים כאלו סובלים ממחסור כרוני בכח אדם מקצועי בתחום הגנת הסייבר. כוח האדם האיכותי ביותר בתחום הסייבר, כזה שזכה להכשרה אינטנסיבית בצבא ובזרועות הביטחון, פונה באופן טבעי לתעשיית הסייבר ובארגונים רבים איש ה- IT עוסק "גם" באבטחת מידע (בנוסף לשלל תפקידיו).  

מה אפשר לעשות?

לדברי רותם, הכל מתחיל ונגמר בחינוך - בייחוד זה של העובדים הטכניים. רוב המפתחים אינם מבינים את סיכוני האבטחה, והדבר לא נכלל בלימודי תכנות. חמור מכך, האנשים שאחראים על מערכות אינטרנט, Production ואפליקציות וענן אינם מקבלים את ההכשרה נדרשת בנושא אבטחה. גם מהצד השני המצב יכול להיות טוב יותר: אנשי אבטחה רבים חסרים רקע בתכנות ובפיתוח, כך שהם אינם כשירים לבחון כשלים במערכות מורכבות מעבר להרצה עיוורת של תסריטים מוכנים מראש.

בנוסף, יש להקל על תהליך האסגרה. ארגונים צריכים להבין שחוקרים האבטחה העצמאיים בסך הכל מנסים לסייע להם לשפר את מערך האבטחה שלהם, ולכן יש להקשיב להם ולהקל על עבודתם. רותם ממליץ לארגונים להציג באתר הנחיות ברורות למי שרוצה לדווח על תקלה או פרצה, ולהוסיף כתובת מייל ומספר טלפון שניתן להשיג דרכם את נציגי החברה. מהירות התגובה במקרים כאלה היא קריטית, משום שאם חוקר גילה את הפרצה, יכול מאוד להיות שגם האקרים עם כוונות פליליות יגלו אותה וינצלו אותה, ולכן יש לסגור אותה במהירות.

חשוב גם לא לאיים על המאסגר. רותם וחבריו (שמדברים על פרצות האבטחה שהם מוצאים בפודקאסט המעולה סייברסייבר), מספרים על מקרים רבים שבהם ארגונים איימו עליהם בתביעה או חמור מכך. מעבר לכפיות הטובה, חשוב להבין שאיומים מסוג זה לא ירתיעו חוקרים מלבצע את עבודתם ולא ימנעו אותם מלפרסם את הממצאים, ופעמים רבות יגרמו ל"אפקט סטרייסנד" - תגובת נגד שרק תחריף את הפגיעה.

חברות רבות בחו"ל רואות חשיבות רבה בפעילותם של חוקרי האבטחה, וחלקן אף מזמינות באופן פעיל חוקרים לבחון את המערכות והתשתית שלהן במטרה למצוא פרצות. תוכניות "Bug Bounty" מתגמלות חוקרים שמשקיעים מזמנם וממרצם לאתר ולסגור פרצות אבטחה. מוקדם יותר השנה חברת שילמה פייסבוק 9,000 יורו לילד בן 10 מפינלנד שמצא פרצת אבטחה באפליקציה של אינסטגרם. רותם ממליץ שחברות בארץ יאמצו את אופן הפעולה הזה. לדבריו, המינימום שהן יכולות לעשות הוא לשלוח לחוקרי האבטחה החרוצים מכתב תודה - עדיף בצירוף סלסלת מאפים.

יותם גוטמן

יותם גוטמן | |תעשיית הסייבר - מבט מפנים

תגובות

הזינו שם שיוצג כמחבר התגובה
בשליחת תגובה זו הנני מצהיר שהינני מסכים/ה עם תנאי השימוש של אתר הארץ