כדאי שתכירו: ההאקר הטוב שיעזור לכם להתגונן מפני האקרים רעים

Be Safe, סטארט-אפ חדש פרי יוזמתם של ליבה שם טוב וגבריאל מרקוס, הוקם לאחרונה במטרה לסייע לארגונים וחברות להתגונן מפני מתקפות סייבר והאקרים מנקודת מבטו ובעזרת ניסיונו של האקר עצמו. הסיוע ניתן באמצעות ייעוץ והדרכות מקצועיות פרטניות.

מרקוס, המשמש כסמנכ"ל אבטחת המידע והטכנולוגיות בחברה, שימש בעברו האקר ("טוב") בעצמו. ושם-טוב משמשת כמנכ"לית החברה.

"מאז שהייתי ילד, אהבתי מחשבים ולמדתי איך לעשות דברים שהיו מוגדרים כבלתי אפשריים, תמיד אהבתי לחקור ולהיכנס לאן שאי אפשר היה להיכנס. הכל נעשה במטרה טובה, ובמשך הזמן תמיד כשאיתרתו פריצה או פגיעה, דאגתי להתריע על כך לגורמים הרלוונטים", אמר מרקוס לאנשים ומחשבים.

לדבריו, "כל פעם שביצעתי פריצה, שמרתי על פרטיות רבה ולכן לא ניתן לפרט כאן יותר מידי. יש לי מעבדה בבית עם כל הכלים שאיתם אני מבצע התקפות, ואני מקדיש כל יום זמן ללמידה על הפריצות החדשות והעדכונים החדשים שבתחום הסייבר, היות וזה עולם שמשתנה במהירות ותמיד צריך להיות עם היד על הדופק". מרקוס הוסיף ואמר כי "אחד מהתחביבים שלי זה ליצור ניתוח לוירוס וסימולציות של התקפות אמת".

ליבה שם טוב, מנכ"לית Be Safe. צילום: דורון ישינסקי

לדברי שם טוב, "Be Safe נולדה מתוך הצורך להתמודד אל מול התקפות הסייבר בשל אזלת ידן של הרשויות בעניין. הרעיון להקמת החברה נולד לאחר שחוויתי בעצמי התקפת סייבר ונתקלתי בהיעדר היכולת של הרשויות לסייע לי. חוסר האונים גרם לי להתחיל לחקור וללמוד את התחום. במהלך חקירותיי פגשתי את גבריאל, האקר אתי ומנהל אבטחת מידע בתפקידו, אשר סייע לי אישית. לשמחתי, פגשתי אדם בעל תשוקה עזה, רצון לסייע ובעל ידע והסמכות בינלאומיות, אשר בכל חדירה ותקיפה רואה עניין ואתגר אמיתי. כך חברנו יחד למטרה משותפת והקמנו את החברה".

שם טוב הוסיפה ואמרה כי "מהר מאד הבנתי שאנחנו יכולים וצריכים לנצל את כישורינו על מנת לעזור לעסקים ולפרטים להתגונן בעולם המורכב הזה, תוך העלאת המודעות לנושא ותוך מתן ידע ודרכי התגוננות כנגד התקפות סייבר, שהולכות ותופסות תאוצה עם ההתקדמות הטכנולוגית והנגישות", אמרה עוד.

סוס טרויאני בקורות חיים

בין המקרים שהגיעו לטיפול החברה, סיפרה שם טוב, נמנה מקרה בו "במהלך גיוס של עובד חדש לארגון גדול בארץ, קיבל הארגון עשרות קורות חיים שנשלחו מאנשים פרטיים. בזמן מעבר על קורות החיים, נתגלה כי באחד מקבצי קו"ח, נשתל סוס טרויאני שמייצר שער אחורי, שמאפשר לתוקף להשתלט על עמדת המחשב. השיטה הזו שנקראת סטנוגרפיה, מאפשרת לתוקף להדביק סוס טרויאני או כל סוג תוכנה זדונית אחרת בתוך קבצים או תמונות. ההתקפה נבלמה על ידינו בעזרת כלי ניטור והאיום הוסר".

במקרה אחר בתחום ההנדסה החברתית, ציינה, "אירעה בחברה פיננסית גדולה, בה מכשיר הסלולר של רעייתו של סמנכ"ל בכיר הותקף על ידי סוס טרויאני בשיטת הפישינג. באופן זה השיגו התוקפים גישה למחשב של הסמנכ"ל עצמו, על רקע זה שהאישה ובעלה (הסמנכ"ל) שהו באותה רשת ביתית שאינה מאובטחת. במקרה זה אומנם נגנב מידע רגיש אבל התוקף נתפס על ידי מערכות זיהוי של סייבר".

שם טוב הוסיפה עוד כי אחת הדרכים להתמודד ולהגן על ארגונים וחברות מפני מקרים כאלו ואחרים היא על ידי "'בדיקות חדירה' שאותה חשוב מאוד להכיר כי זו דרך התגוננות קריטית, הידועה גם בשמה הלועזיPenetration Testing " שבמקרים מסוימים אף מחויבת על פי החוק. בדיקות חדירה מדמות התקפה אמיתית על החברה או העסק דרך עיניו של ההאקר. בתום ההתקפה יקבל העסק דו"ח עם מיפוי מדויק של כל פרצות האבטחה שלו, במטרה לתת לו את ההזדמנות לתקן אותן".

"בכדי שבדיקות החדירות יהיו טובות, יעילות ותקינות חשוב מאוד שמנפיק הדו"ח יהיה בעל הסמכה בינלאומית לחתימה מסוגCISSP ושהדו"ח המונפק יעמוד בסטנדרט אבטחה של עולם הסייבר:201227032ISO/IEO, בסטנדרט אבטחת מידע 27001 ISO", אמרה שם טוב.

Be Safe,

"המודעות והערנות לנושא זה הם כלי הרתעה"

לדברי  שם טוב, "ראוי עוד לציון כי תחום אבטחת המידע הינו נדבך חשוב מתחום הגנת הפרטיות שקיבל תוקף, בין השאר, בחוק הגנת הפרטיות הישראלי ובתקן החדש של החוק האירופאי ה GDPR, אשר נכנס לתוקפו במאי 2018. חוק הגנת הפרטיות ורגולציית ה-GDPR עוסקים ומקיפים את האיסוף, השמירה והעיבוד של נתונים אישיים של אנשים פרטיים, תוך קביעת כללים אחידים לשמירה על הפרטיות. ראוי לציין כי לבד מן החוק הישראלי, במקרים מסוימים, הרגולציה האירופאית אף היא חלה על ארגונים ישראליים, גם אם אינם פועלים בטריטוריה של האיחוד האירופי, ובלבד שהם מעבדים נתונים של נושאי מידע (אנשים) בטריטוריה של האיחוד האירופי".

"בהתייעצות שערכנו עם עו"ד אלדר סיון, העוסק בתחום ההיי-טק והגנת הפרטיות, עלה כי ראוי שכל עסק שמחזיק, אוסף או מעבד מידע יבחן עם מומחים לעניין אם הוא כפוף לחוק הגנת הפרטיות או ל-GDPR. בכל הנוגע ל-GDPR, במידה והתשובה לבחינת הדברים תהיה חיובית הרי שקיימת האפשרות שיידרשו מהארגון פעולות רבות, דוגמת עריכת בדיקה מקיפה של התאמה לעקרונות של החוק והרגולציה, עדכון מסמכי מדיניות הפרטיות של הארגון, עדכון נושאי המידע (האנשים) שעליהם נאסף המידע או שהמידע עליהם ברשות הארגון, בדיקה של התאמתה התקשרויות של הארגון עם עובדים, ספקים (ענן, מעבדי מידע וכו') ולקוחות ועוד. אי-ציות להוראות ה- GDPR עלול לגרור אזהרות, ביקורות תקופתיות וקנסות חמורים של האיחוד האירופי, המגיעים עד כדי 4% מהמחזור השנתי של הארגון המפר או קנס בשיעור של עד 20 מיליון יורו. מובן שאירוע כזה הינו בלשון המעטה לא נעים", אמרה.

"דו"ח חדירות שבוצע ונחתם על ידי מומחה עם הסמכה בינלאומית, מהווה נדבך קריטי מתוך שלל הפעולות שראוי שארגון שמחזיק במידע יבצע. מובן שחתימה כזו, שבמקרים מסוימים היא נדרשת לפי חוק, תאפשר לבעלים ולמנהלים של העסק לנשום לרווחה ובוודאי שתגדיל את שביעות הרצון והאמון של לקוחות.מובן שחברות ועסקים שעומדים מול שלל אתגרים, שכוללים רגולציות מחמירות והתקפות סייבר ישירות, שלא ייערכו באופן נכון, עלולים לפגוע בלקוחות החברה, שמידע רגיש שלהם ידלוף, ולסבך משמעותית את עסקי החברה.

לסיכום, אמרה שם טוב, "המודעות והערנות לנושא זה הם כלי הרתעה, זה מה שיבנה את שכבות ההגנה על החברה או העסק שלכם וכמובן שעל הלקוחות שלכם, שלא יחששו לחשוף או לשתף מידע. להתנהל נכון ולגשת לזה ברצינות תוך הקפדה על כל הנקודות שצוינו פה ולא להזניח בטווח הרחוק".