תקן PCI: הרגולטור חייב להתערב – ומיד

וריפון (VeriFone) ערכה היום (ד') בתל אביב כנס למנהלי מיחשוב ואבטחת מידע, שהתמקד בשאלה, כיצד אפשר להגן טוב יותר על אתרים שנותנים שירות המבוסס על כרטיסי אשראי. הרקע לכנס הוא גל התקפות ההאקרים על אתרים של ארגונים, חברות ומוסדות פיננסים, וחשיפת פרטי האשראי של אלפי לקוחות ישראלים. ההתקפות הללו אמנם שויכו לאדם שמכונה "ההאקר סעודי" ואף שויכו לאיום האיראני המרחף מעל לראשינו, אולם הן משקפות גם בעיית באבטחת מידע חמורה בנקודות המכירה שתממשקות עם חברות האשראי.

מאז שהחלו התקפותיו של "ההאקר הסעודי", נערכו דיונים רבים סביב השאלה, האם בכלל אפשר להגן על כל פיצוציה שקונה קופה רושמת חכמה, ואם כן – עד כמה? שהרי אבטחת מידע היא בור ללא תחתית. הטיפול במניעת פריצות כלל עד כה מרכיב גדול של ניהול סיכונים. בעלי העסקים הישראלים, כמו עמיתיהם בעולם, אוהבים להסתכן – ולכן השקעה במערכות אבטחה לטובת שלום הלקוחות, אינה בראש סדר העדיפויות.

הנתונים לא מפתיעים: 80% מכל בתי העסק שלא שמרו על נתוני האשראי שלהם כראוי, וכתוצאה מכך חוו פריצה למחשביהם, פשטו בסופו של דבר את הרגל. 72% מבעלי כרטיסי האשראי בארצות הברית כבר לא נותנים יותר את פרטיהם ברשת. בכל פעולת פריצה של האקרים נגנבים כ-40 אלף כרטיסי אשראי בממוצע. התחושה היא שמדובר בכוח עליון, ושאין מה לעשות. זוהי תחושה שמשותפת להרבה מאוד עסקים בעולם, אבל בניגוד לישראל – באירופה ובשאר העולם המערבי כבר נוקטים פעולות מנע שונות להקטנת הנזק.

מהדברים שנאמרו בכנס מתברר, כי קיים תקן בינלאומי בשם PCI/DSS. המדובר בתקן שמקורו בגוף תקינה בינלאומי, שהוקם על ידי חברות כרטיסי האשראי ונפוץ כבר לפחות חמש שנים. התקן מחייב כל עסק שמחזיק ומשתמש בנתוני אשראי, לבצע שורה של פעולות. זהו אחד התקנים היחידים בתחום אבטחת המידע שמפרט גם דרישות טכניות שעל הארגון לעמוד בהן. גוף התקינה הזה גם מגדיר צעדי עונשין וקנסות לארגונים שלא יעמדו בדרישות. תקן ה-PCI סורק את כל ההתאמות הנדרשות בתחום הגנת הרשת, הגנה על פרטי האשראי, שימוש בבקרה חזקה וכמובן ניהול מדיניות מחייבת. הסקרים מראים, שעלות הטמעת מערכת שכזו מחזירה את עצמה במהירות והיא שקולה כנגד הנזק הפוטנציאלי שייגרם כתוצאה מפריצה.

אז אם הכל כל כך טוב וברור, אתם ודאי שואלים את עצמכם למה זה לא קיים בישראל? התשובה פשוטה: אין מי שיאכוף את התקן הזה בארץ. נכון הוא שכל אחת מחברות האשראי מסונפת לחברה אם בינלאומית, אבל עובדה היא שאף אחת מהן לא החלה לאכוף את התקן עד היום. הורגלנו פה למציאות שבה כולם לוקחים סיכונים על חשבוננו. עסקים רבים מנצלים את הקלות הבלתי נסבלת הזו, שבמסגרתה כל שני צעירים יכולים לפתח תוכנה ולהתחיל למכור קופות חכמות, תוך שהם מתעלמים לחלוטין מהסטנדרטים בתחום האבטחה. מי שקנה מהם רוצה בסך הכל למכור את מרכולתו וללכת הביתה בסוף היום.

אז למה חברות האשראי הגדולות לא נותנות בראש לסניפים הישראליים שלהן? גם זו שאלה טובה. מדינת ישראל נחשבת לאחת המדינות "המגוהצות" ביותר בעולם. העסקים מצוינים ואין לאף אחד אינטרס לשנות פה משהו. כולם צוחקים כל הדרך אל הבנק. אפילו הלקוח, שהמידע שלו מופקר ופרוץ, לא ממש מתרגש מהסיכון, כי הוא מבוטח בסופו של דבר.

זו בדיוק הנקודה שבה הרגולטור חייב להתערב. הרי ברגע שתהיה פריצה שתגרום נזק ממשי – וזה רק עניין של זמן עד שזה יקרה – אף אחד כבר לא יצחק. אותו גורם יחטוף על הראש בשביל כולם ואז כבר תהיה היסטריה והתנפלות על תקני ה-PCI. ועדת חקירה ממלכתית בראשות שופט בדימוס תבדוק הכיצד זה שעד היום לא אכפו את התקן, ומבקר המדינה יכתוב דו"ח עב-כרס, שיכלול גם המלצות אישיות. הגיע הזמן להגיד למשרד המשפטים ולחברי הכנסת להתעורר, לפני שיהיה מאוחר מדי. צריך להפנים: סופרטנקר לא יעזור פה.