בשום שכל

קנס בסך של 375 אלף דולרים הטילה הרשות הרגולטורית של התעשייה הפיננסית בארה"ב על חברת הברוקרים דוידסון אנד קומפ. (Davidson & Comp), כל זאת על פריצה למערכות המידע של החברה, שאירעה לפני כשלוש שנים. החדירה הלא חוקית בוצעה על ידי רביעיית האקרים מלטבייה, שנחשפה והוסגרה למערכת הצדק האמריקנית. באירוע הנדון נחשפו פרטיהם של 192 אלף לקוחות החברה והעבריינים יצרו קשר עם החברה וניסו לסחוט כסף, כנראה רב, כנגד הנתונים שנגנבו.

הבירור נערך זמן ממושך. החברה טענה מצידה, כי עשתה ככל הניתן למנוע מקרים שכאלה. על פי גרסתה, זמן קצר טרם קרות הפריצה, היא זימנה מומחי אבטחה ומילאה את רוב המלצותיהם. אותם יועצים מסרו לחברה, כי לא הצליחו בכל ניסיונותיהם, לפרוץ את מערכות האבטחה שלה. הרגולטור הקונס הודיע, כי התחשב בהחלט בשיתוף הפעולה המלא של החברה, בהודעה המהירה שלה ללקוחות וכן בעובדה שעד כה אין כל הוכחה כי למי מהלקוחות נגרם נזק.

הרשות החליטה להשית העונש הכספי בשל שתי סיבות. ראשית, כישלון בהפעלת מערכת האבטחה – החברה הרי כשלה בהצפנת מאגר המידע של לקוחותיה. שנית, המחדל שבאי קיום סקירה הולמת של רשימות הלוג שהצביעו על הגישה הבלתי חוקית. כלומר שאין די בהתקנה של מערכת אבטחה ובהפעלתה – יש לעשות זאת בשום שכל (פעמיים שין שמאלית). גישה זו יכולה לשמש מוטו גם לסיפור האירוע השני של השבוע. מחקר חדש של מיקרוסופט (Microsoft), מצביע גם הוא על אותו כוון.

על קורמק הרלי קרוב לוודאי שלא שמעתם עד לרגע זה ממש. משמש הוא כחוקר בחברת התוכנה הגדולה בעולם והנה זכה בכותרות מסביב לכדור הארץ, בזכות ממצאי מחקרו. אם לעשות את הסיפור הארוך לקצר, הוא מערער על התבונה שבהחלפות סיסמה תדירות. כל מוסד רואה לעצמו חובה לבקש מאתנו להחליף הסיסמה לעיתים קרובות יחסית. גם הדרישות הקשורות להרכב הסיסמה הולך ומחמיר. השבוע קיבלתי תזכורת תקופתית מן האוניברסיטה בה אני מרצה, כי שוב עלי לשנות סיסמת הכניסה למערכת.

הבחינה של קורמק מבוססת על עלות מול תועלת. בצד המחיר, הוא טוען, כל דקה של בזבוז קולקטיבי בארה"ב, גוררת עמה עלות שנתית של 16 מיליארד דולרים! אם ניקח בחשבון את מספר המערכות אליהן קשור כל אחד מאתנו, הרי שעל פי גישתו מדובר בנטל כבד ביותר. מאידך, בצד התועלת, לדעת החוקר המכובד, אין כמעט דבר. שהרי מי שהצליח להגיע לסיסמה שלך, בודאי ינצלה מיד ולא ימתין עד להחלפתה בעוד כמה שבועות.

יתרה מזאת, יתכן שהקשיים הגדלים והולכים בהרכבת הקוד הסודי, כמו גם תדירות ההחלפה, משיגים את ההיפך. המשתמשים נדחקים לצעדים שיעזרו להם לזכור את הנוסחאות המסתבכות והולכות. מוכרת לכולנו התופעה של כתיבת צירופי המפתחות למערכת, על גבי המחשב. זה כמובן פסול מראש, אבל נחשף רק למי שמגיע פיזית אל המחשב. המחקר מזכיר צרה גדולה יותר ההולכת ומתפשטת. משתמשים שומרים את הסיסמאות במסמך במחשביהם. כך הם נחשפים גם להאקרים המתחברים מקצה העולם.

אפשר לחלוק על פרטים כאלה ואחרים במחקר או בנקודות המוצא שלו. יחד עם זאת, קשה להתעלם מהמסר העקרוני הגלום גם במחקר מסוים זה. אבטחת מידע הנה חיונית ואי אפשר מבלעדיה. אך עם זאת, יש להקפיד ולבצעה בתבונה. המשאבים הם תמיד מוגבלים. ההקצאה לכל מטרה צריכה להיעשות בחוכמה. עשייה לשמה, ללא מחשבה מאחוריה, עלולה להחמיץ את העיקר. להפסיד את הרציו ובמקרים קיצוניים אף לקלקל.