דעה | אם מערך הסייבר ידע על כשלים ב-Cyberserve - למה הוא לא דיווח לציבור טרם המתקפה?
ניתן להניח שאם היה יוצא פרסום מעת המערך, לציבור, אודות כשלי האבטחה בחברת cyberserve בשנה האחרונה, ההסתברות לתקיפה מוצלחת כנראה הייתה קטנה יותר
צילום: גלעד קוולרציק
המתקפה על חברת אחסון האתרים הישראלית cyberserve אינה הראשונה שפוגעת בסקטור זה (מקרה חברת UPRESS לדוגמא). סקטור מערכות ה-CMS, או אחסון אתרים.
מדובר בחברות המאפשרות להקים ולנהל אתרים ללא צורך בידע טכני מצד הלקוח, במחירים שפויים. זו הסיבה שחברות כאלו מרכזות עשרות או מאות אתרים ישראלים ומהוות בשפה מקצועית ״בור מים״. תקפת חברה אחת - הצלחת להשיג גישה למידע של עשרות או מאות ארגונים.
ועם זאת, חברות כאלו, למרות חשיבותן למשק הישראלי, נופלות שוב ושוב למתקפות סייבר. לא מפתיע, כאמור, ככאלו, הן מהוות יעד ראשון למי שרוצה לעשות מתקפת סייבר מתוקשרת נגד ישראל. הפעם המתקפה תפסה כותרות בשל אתר ״אטרף״ שאוחסן בפלטפורמה של cyberserve. אתר הטומן בחובו מידע אישי אודות חברים בקהילה הגאה, חלקם עדיין בארון.
״בין הפרטים שנחשפו בפריצה לאתר ההיכרויות לקהילה הלהט"בית: כתובות מייל ומספרי טלפון של לפחות 4 שסימנו כי הם חיוביים ל-HIV. אמש: פורסמו גם פרטים של אלפי לקוחות של "דן" ו"פגסוס"״, נכתב בפרסום של העיתונאי אדיר ינקו מאתר Ynet.
״בתגובה לפניית ynet בנושא, נמסר מהוועד למלחמה באיידס כי השירות הפסיכו-סוציאלי לתמיכה באנשים שחיים עם HIV ערוך וזמין לשיחות עם אנשים שפרטיהם נחשפו וייתכן כי ייחשפו בהמשך, אם נתונים של משתמשים נוספים ייחשפו.״
תגובת מערך הסייבר לא איחרה לבוא. ״בשנה האחרונה התריע מערך הסייבר הלאומי לחברה מספר פעמים על היותה חשופה לתקיפה״, כותבים במערך.
״כמו כן, למערך תוכנית מיוחדת להענקת "תו חוסן" לחברות אחסון אתרים אשר יעמדו בסטנדרטים של הגנה. חברות שיצטרפו לתוכנית ויעמדו בסטנדרטים שהציב המערך יצמצמו את הסיכוי להיפגע ממתקפת סייבר. בנוסף, המערך המליץ לחברה שנפגעה ליידע את לקוחותיה על הדלף.
״לאזרחים אשר פרטי הטלפון והדוא"ל שלהם דלפו, מומלץ לגלות עירנות רבה יותר להודעות דוא"ל ולמסרונים חשודים, להחליף סיסמה ולהטמיע אימות דו שלבי בכל האפליקציות כגון הרשתות החברתיות ואפליקציית הבנק.״
מה מספרת לנו התגובה של המערך? כי המערך ידע על כשלי אבטחה בחברה המאחסנת עשרות אתרים ישראלים בשנה האחרונה. עולה השאלה, מדוע המערך לא הוציא הודעות לעיתונות בשנה האחרונה - לציבור הכללי וללקוחות החברה בפרט. נכון הוא שלמערך אין תשתית חוקית לכפות על החברה לתקן את הכשלים, אך יש לו אפשרות להשתמש בלחץ ציבורי כדי לגרום לה לעשות זאת.
וזה מחזיר אותי למאמר שכתבה עינת מירון תחת הכותרת: ״דעה | אין טעם לתת למערך הסייבר עוד סמכויות בחוק - אפשר לעשות יותר עם מה שיש״. מהותו, בהפשטה, היא טענה שטרם מתן עוד סמכויות בחוק למערך, יש לוודא שהוא משתמש בכל הכלים שיש לו כדי לממש את תפקידו - הגיינה בסייבר של המשק הישראלי.
בהקשר זה, שני כלים עיקריים של המערך הם ידע (לדעת שארגון מסוים מאוים או שיש בו כשלי אבטחה) ודיווח לציבור. כלומר, שימוש בתקשורת להפעיל לחץ על הארגון לתקן את דרכו. אם תרצו ״מצעד בושה״ ציבורי.
בימינו, לתקשורת יש השפעה שאינה פחותה בחלק מהמקרים מלשון החוק. והמערך יכול וצריך להשתמש בידע שלו אודות ארגונים שנמצאה בהם אבטחת מידע לקויה בתקשורת.
ניתן להניח שאם היה יוצא פרסום מעת המערך, לציבור, אודות כשלי האבטחה בחברת cyberserve בשנה האחרונה, ההסתברות לתקיפה מוצלחת כנראה הייתה קטנה יותר. (אם יש מתאם בין שיפור מערך האבטחה לבין היתכנות לפריצה.)
ניתן להניח שאם היה יוצא פרסום מעת המערך, לציבור, אודות כשלי האבטחה בחברת cyberserve בשנה האחרונה, ההסתברות לתקיפה מוצלחת כנראה הייתה קטנה יותר
צילום: גלעד קוולרציק
המתקפה על חברת אחסון האתרים הישראלית cyberserve אינה הראשונה שפוגעת בסקטור זה (מקרה חברת UPRESS לדוגמא). סקטור מערכות ה-CMS, או אחסון אתרים.
מדובר בחברות המאפשרות להקים ולנהל אתרים ללא צורך בידע טכני מצד הלקוח, במחירים שפויים. זו הסיבה שחברות כאלו מרכזות עשרות או מאות אתרים ישראלים ומהוות בשפה מקצועית ״בור מים״. תקפת חברה אחת - הצלחת להשיג גישה למידע של עשרות או מאות ארגונים.
ועם זאת, חברות כאלו, למרות חשיבותן למשק הישראלי, נופלות שוב ושוב למתקפות סייבר. לא מפתיע, כאמור, ככאלו, הן מהוות יעד ראשון למי שרוצה לעשות מתקפת סייבר מתוקשרת נגד ישראל. הפעם המתקפה תפסה כותרות בשל אתר ״אטרף״ שאוחסן בפלטפורמה של cyberserve. אתר הטומן בחובו מידע אישי אודות חברים בקהילה הגאה, חלקם עדיין בארון.
״בין הפרטים שנחשפו בפריצה לאתר ההיכרויות לקהילה הלהט"בית: כתובות מייל ומספרי טלפון של לפחות 4 שסימנו כי הם חיוביים ל-HIV. אמש: פורסמו גם פרטים של אלפי לקוחות של "דן" ו"פגסוס"״, נכתב בפרסום של העיתונאי אדיר ינקו מאתר Ynet.
״בתגובה לפניית ynet בנושא, נמסר מהוועד למלחמה באיידס כי השירות הפסיכו-סוציאלי לתמיכה באנשים שחיים עם HIV ערוך וזמין לשיחות עם אנשים שפרטיהם נחשפו וייתכן כי ייחשפו בהמשך, אם נתונים של משתמשים נוספים ייחשפו.״
תגובת מערך הסייבר לא איחרה לבוא. ״בשנה האחרונה התריע מערך הסייבר הלאומי לחברה מספר פעמים על היותה חשופה לתקיפה״, כותבים במערך.
״כמו כן, למערך תוכנית מיוחדת להענקת "תו חוסן" לחברות אחסון אתרים אשר יעמדו בסטנדרטים של הגנה. חברות שיצטרפו לתוכנית ויעמדו בסטנדרטים שהציב המערך יצמצמו את הסיכוי להיפגע ממתקפת סייבר. בנוסף, המערך המליץ לחברה שנפגעה ליידע את לקוחותיה על הדלף.
״לאזרחים אשר פרטי הטלפון והדוא"ל שלהם דלפו, מומלץ לגלות עירנות רבה יותר להודעות דוא"ל ולמסרונים חשודים, להחליף סיסמה ולהטמיע אימות דו שלבי בכל האפליקציות כגון הרשתות החברתיות ואפליקציית הבנק.״
מה מספרת לנו התגובה של המערך? כי המערך ידע על כשלי אבטחה בחברה המאחסנת עשרות אתרים ישראלים בשנה האחרונה. עולה השאלה, מדוע המערך לא הוציא הודעות לעיתונות בשנה האחרונה - לציבור הכללי וללקוחות החברה בפרט. נכון הוא שלמערך אין תשתית חוקית לכפות על החברה לתקן את הכשלים, אך יש לו אפשרות להשתמש בלחץ ציבורי כדי לגרום לה לעשות זאת.
וזה מחזיר אותי למאמר שכתבה עינת מירון תחת הכותרת: ״דעה | אין טעם לתת למערך הסייבר עוד סמכויות בחוק - אפשר לעשות יותר עם מה שיש״. מהותו, בהפשטה, היא טענה שטרם מתן עוד סמכויות בחוק למערך, יש לוודא שהוא משתמש בכל הכלים שיש לו כדי לממש את תפקידו - הגיינה בסייבר של המשק הישראלי.
בהקשר זה, שני כלים עיקריים של המערך הם ידע (לדעת שארגון מסוים מאוים או שיש בו כשלי אבטחה) ודיווח לציבור. כלומר, שימוש בתקשורת להפעיל לחץ על הארגון לתקן את דרכו. אם תרצו ״מצעד בושה״ ציבורי.
בימינו, לתקשורת יש השפעה שאינה פחותה בחלק מהמקרים מלשון החוק. והמערך יכול וצריך להשתמש בידע שלו אודות ארגונים שנמצאה בהם אבטחת מידע לקויה בתקשורת.
ניתן להניח שאם היה יוצא פרסום מעת המערך, לציבור, אודות כשלי האבטחה בחברת cyberserve בשנה האחרונה, ההסתברות לתקיפה מוצלחת כנראה הייתה קטנה יותר. (אם יש מתאם בין שיפור מערך האבטחה לבין היתכנות לפריצה.)
