חשיבותה של השקיפות (או: מה RSA מנסה להסתיר?)

פריצות וחדירות למחשבים של חברות הן חלק מהחיים הקיברנטיים במאה ה-21, אך הפגיעה בחברה שהמותג המרכזי שלה הוא אבטחת מידע, היא ודאי גדולה יותר - לפחות ברמה המוראלית ● למרות זאת, מטרידה ביותר העובדה שהחברה לא נהגה בשקיפות מלאה כלפי לקוחותיה ● זה המינימום שמגיע להם

פרשת החדירה למחשבי חברת האבטחה המוערכת והיוקרתית, RSA, שנזקיה עדיין לא ברורים לחלוטין בעת כתיבת שורות אלו, כוללת מספר תובנות חשובות לכל מנהל אבטחה ו-IT. הראשונה שבהן, לטעמנו, היא חשיבותה של השקיפות מול הלקוחות. אפשר היה לחוש בחוסר הנחת של לקוחות החברה ממדיניות זו של החברה בתוך ים הדיווחים שהציפו את הרשת בסוף השבוע – ובצדק.

פריצות וחדירות למחשבים של חברות הן חלק מהחיים הקיברנטיים במאה ה-21. חשוב לציין שברוב המקרים החברות הללו עושות הכל כדי להגן על הרשתות שלהן, אך במוקדם או במאוחר מגיע לו האקר שמוכיח שהן רק חשבו שהמחשבים שלהן מוגנים. בשנים האחרונות דווח על פריצות למחשבי חברות שנחשבו לאסטרטגיות במיוחד. עם זאת, הפגיעה בחברה שהמותג המרכזי שלה הוא אבטחת מידע, היא ודאי גדולה יותר – לפחות ברמה המוראלית. למרות זאת, מטרידה ביותר העובדה שהחברה לא נהגה בשקיפות מלאה כלפי לקוחותיה. הרי אם אכן קרה הגרוע מכל – וההאקרים הצליחו לפרוץ את קוד המקור של מערכות האבטחה של RSA, הרי שבאופן תיאורטי מסתובבים היום בעולם אנשים שיכולים לחדור למיליוני מחשבים ולבצע בהם פעולות שונות מבלי שהמשתמים ירגישו.

אנחנו מקפידים להשתמש בשפה ספקולטיבית, משום שנכון למועד כתיבת שורות אלו, אנחנו לא באמת יודעים את כל הפרטים על הפריצה. זאת, כי RSA לא טרחה לספר ללקוחותיה את כל מה שהיא יודעת. אפילו אם נניח לרגע שאנשי החברה לא באמת יודעים – גם אז עליהם לספר זאת ללקוחות.

נכון הוא, כפי שאומר זאב שטח – מנכ"ל קומדע, המייצגת את RSA בישראל, שקוד של כרטיס כספומט, למשל, נשמר ב-PIN ולא רשום בשום מקום גלוי. כך, הסביר, האפשרות שתהיה חדירה לחשבון היא קלושה ביותר. זה אמנם מרגיע, אבל עדיין חמור. שטח גם המליץ למנמ"רים לחפש פתרונות בענן. לא בטוח שזה מה שיביא את הארגונים לענן, שכן רשימת ההתנגדויות של המנמ"רים למעבר לענן כוללת סעיפים רבים מאוד של אבטחת מידע. אולי אי אפשר לפרוץ קוד מקור בקלות בסביבת ענן, אבל אפשר בהחלט להיות שותף להרבה מאוד חוויות אבטחה לא נעימות אחרות.

ובחזרה ל-RSA. נכון לשעות אחר הצהריים של יום א', הפרשנים בעולם אינם מצליחים להבין מה אנשי RSA ניסו או מנסים להסתיר ומדוע הם לא נהגו בשקיפות כלפי הלקוחות שלהם. באחד העיתונים צוטט מנמ"ר היסטרי, שקבל שהבוס שלו צורח עליו, כי הוא לא יודע לתת הסברים למהות הנזק ואיך זה משפיע על ארגונו. אף אחד מכם לא היה רוצה להיות במקומו…

בועז דולב, לשעבר מנהל ממשל זמין ותהיל"ה – חוות השרתים הממשלתית שמכילה 80% משרתי הממשלה, ומנכ"ל חברת eVision בהווה, מרחיק לכת ואומר, כי האירוע של RSA דומה בחומרתו לאירוע שקרה לפני שנה לגוגל (Google), כאשר האקרים סינים הצליחו לגנוב קוד מקור ולעשות בדיקות DNA למיליוני אתרים שהפכו חשופים בפניהם. גוגל נהגה אז בשקיפות מלאה – עובדה שהקטינה במעט את הלחץ וההיסטריה.

"שוב אנו נוכחים לדעת ששום דבר כבר לא מוגן ורשתות של חברות ענק חשופות גם הן לפריצות", אומר דולב. גם הוא סבור שהעדר השקיפות החמיר את הפגיעה בחברה ולקוחותיה, למרות שלכאורה יצאו הודעות ולקוחות קיבלו מענה נקודתי לבעיות שהם נתקלו בהן. בפן האופרטיבי, דולב ממליץ להפריד בין רשתות – בין המערכות של קוד המקור לבין המערכות האחרות. "זהו מהלך יקר שנעשה בעיקר ברשתות מחשבים של מערכות צבאיות רגישות, אבל כנראה שאין מנוס מזה. אנחנו צועדים, לדעתי, לקראת דור חדש של כלים שידעו להתמודד עם APC".

האם מישהו ישלם בראשו על האירוע של RSA? עד היום, פריצות בסדר גודל של זו, לא הביאו להדחת מנהלים – כי כמו שכבר אמרנו, אין דבר כזה הגנה מוחלטת. עם זאת, אפשר היה לצפות מחברה כמו RSA שתתעשת מהר יותר ותפגין שקיפות גדולה יותר לקהל לקוחותיה. זה המינימום שמגיע להם.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים