אחרי כשבע שנים: האם הופקו הלקחים מפרשת ההאקר הסעודי?

לפני כמעט שבע שנים חוויתי את אחת החוויות (אם אפשר לקרוא לכך חוויה) הקשות בחיי. הייתי אז סמנכ"ל הטכנולוגיות של ישראכרט ואחראי, מבחינה טכנולוגית, לסכומים העצומים שעוברים ועברו גם אז דרך החברה (כ-130 מיליארד שקלים בשנה, לפי הפרסומים הרשמיים שלה), עם יותר מ-100 אלף בתי עסק סולקים, מעל לשלושה מיליון לקוחות ויותר מארבעה מיליון כרטיסי אשראי. בקיצור, אחריות כבדה מאוד רבצה על כתפיי. בתפקיד זה, כל אירוע חריג תפעולי, סיכוני או מחשובי הופך תוך רגעים לחגיגה תקשורתית ולסיכון עצום למיתוג של החברה. מכאן הרגישות הגבוהה שהייתה בה לכל דבר.

באותו הלילה קיבלתי טלפון מאנשי ההפעלה/אבטחת המידע שניהלתי, שהציגו לי תופעה לא ברורה ב-"עולם" פרסומי מספרי כרטיסי האשראי ברשת. חלק מאותם כרטיסים היו של לקוחות של ישראכרט וחלקם – של חברות כרטיסי אשראי מתחרות.

ובכן, מסתבר שבאותו הלילה, גם אנחנו נפלנו קורבן למתקפה המפורסמת של ההאקר הסעודי עומאר חביב, שהשתמש בכינוי Oxmar. חשוב להדגיש שהוא לא פרץ לחוות שרתים של חברות כרטיסי אשראי, אלא לכאלה של חנויות שאחסנו את מספרי הכרטיסים של לקוחותיהן ללא הגנה מספקת – ומשם גנב את הפרטים. בין החנויות הללו היו גם כאלה שקנו בהן לקוחות של ישראכרט.

למזלן של חברות כרטיסי האשראי, הפורץ הפיץ את הכרטיסים באתר אחר, שבו פורסמו 400 אלף מספרי כרטיסים של ישראלים, רובם בדויים וחוזרים על עצמם. מכאן שרשימת הפרטים של הלקוחות הישראליים שנחשפה הייתה מצומצמת יותר והסתכמה, על פי ההערכות של חברות האשראי (ישראכרט, לאומי קארד ו-Cal), בכ-15 אלף איש בלבד.

אצלנו, בישראכרט, הדבר החשוב ביותר שעשיתי באותו הלילה לא היה בכלל הגנה על הארגון מפני מתקפות סייבר נוספות, אלא התכוננות להגנה על המוקד של החברה מכמות הטלפונים הבלתי סבירה שצפויה הייתה "לנחות" בו בבוקר המחרת. כך, העלינו לאתר אפשרות פשוטה לבדיקה האם הכרטיס של אותו לקוח נפגע או לא: כל מה שהוא היה צריך לעשות הוא להזין את מספר תעודת הזהות שלו. פרסמנו זאת בכלי התקשורת וכך מנענו את קריסת המוקד.

האם הליקויים תוקנו?

פרשת ההאקר הסעודי חשפה את הליקויים במאגרי מידע פרטיים רבים ברחבי המדינה. בעקבות פעילותם של האקרים התברר שפרטים אישיים של מאות אלפי ואולי מיליוני ישראלים עלולים להיחשף בקלות רבה, ושכל חנות – אונליין או פיזית – ששומרת את פרטי כרטיסי האשראי של לקוחותיה בחוות שרתים בישראל עלולה לחוות זליגת מידע.

בעקבות האירוע ביצעו רשויות החוק והרגולטורים פעולות רבות במטרה לשפר את שמירת המידע בארגונים, ואלה מצדם הפעילו לחצים וסנקציות על חברות שאתן עבדו, שבניגוד לתקנות שמרו מידע רגיש שיכול להיפגע על ידי גורמים לא רצויים. אני לא יודע האם כיום, הרגולטור מפקח על הנושא הזה על הצד הטוב ביותר, עד לנקודת הקצה בחנות, ולכן לא אתייחס למצב הנוכחי בהקשר זה.

דרוש ניסיון בזירת הקרב החדשה

נושא אחד שלא טופל כהלכה עד היום ברוב הארגונים שאני מכיר הוא הדרך שבה יש לטפל באירוע בזמן אמת, וכיצד גוף קטן שמותקף יכול להתמודד עם בעיה בסדר גודל שגדול עליו בכמה ממדים כשהיא קורית.

בהרבה חברות, מספר אנשי אבטחת המידע והסייבר קטן מהצורך, במיוחד בחברות קטנות ובינוניות, שבהן במקרים רבים המנמ"ר או איש התשתיות הוא גם מנהל אבטחת המידע. יש גם ארגונים ש-"התעלו על עצמם" ושכרו איש אבטחת מידע במשרה חלקית.

אמנם, בשנה האחרונה יש במספר גופים פיננסיים גידול דרמטי בהיקף כוח האדם בעולם אבטחת המידע והסייבר, אבל מדובר במעט ארגונים. מה גם שאף במקומות אלה, מיומנות אנשי הארגון לטיפול באירוע משברי היא בעייתית, פשוט כי אין להם הרבה ניסיון בהתמודדות עם אירועים כאלה.

בהקשר זה יש לציין את האמירה הידועה, בפרט בצה"ל, מזה זמן רב: קשה באימונים, קל בקרב. רק מי שמתאמן קשה יכול לבצע את המשימה, גם בעולם האבטחה והסייבר, על הצד הטוב ביותר. בעת קרב, או במקרה שלנו מתקפת סייבר על הארגון, דרושים מרב הניסיון, הידע והיכולות כדי לנצח.

במקום שאננות – התארגנות

עולם הסייבר הוא זירת הקרב החדשה. ארגונים צריכים לחשוב איך הם מתכוננים בצורה הנכונה לאירועי סייבר, וזה לא רק, ואפילו לאו דווקא, גיוס של עוד ועוד אנשי סייבר, בתקווה שהם ימצאו פתרונות לעת צרה.

צריך לקחת בהקשר זה בחשבון גם, ואולי אף בעיקר, את הפגיעה הפיננסית בחברות שחוות מתקפות סייבר. כך, חברת השליחויות TNT אקספרס מקבוצת FedEx דיווחה שמתקפה שחוותה ביוני אשתקד עלתה לקבוצה באובדן הכנסות של 300 מיליון דולר. נפגעת בסכום דומה חוותה חברת הספנות הדנית מרסק, הגדולה בעולם בתחום משלוחי המכולות. לקח לה שבועות ארוכים להתגבר על נזקי המתקפה.

השאננות שאני נתקל בה בהרבה ארגונים, שבאה לידי ביטוי בתחושת ה-"לי זה לא יקרה", צריכה להתחלף ומהר בהתארגנות ארוכת טווח ותכנונית נכונה לאירוע מסוג זה. לא מספיק להחזיק אנשי אבטחת מידע וסייבר בארגון או להתמודד עם אירוע סייבר מקומי ודי קטן – דבר שהארגונים הגדולים צולחים בהצלחה. האתגר של כל ארגון הוא למצוא את הדרך הנכונה להכין את עצמו לאירוע יום הדין.

הכותב הינו יו"ר פורום C3 מבית אנשים ומחשבים ומנכ"ל BSD-IT.