"פרצת האבטחה באפליקציית הליכוד – בגלל בקרות לא מספקות"

"פרצת האבטחה באפליקציית הבחירות של הליכוד – ייתכן שהתרחשה מאחת משתי סיבות: מדיניות השמירה על נכסי המידע של הארגון – ייתכן שהבקרות לא היו מספקות, או טכנולוגיית ההגנה עליהם, שייתכן שלקתה בחסר", כך אמר דימה טאטור, מוביל תחום אבטחת מידע וסייבר ב-Comm-IT.

אלקטור – האפליקציה לניהול מאגר בוחרים, שבה הליכוד משתמש לקראת הבחירות לכנסת, שייערכו בחודש הבא, מאפשרת לקבל מידע רב אודות בעלי זכות הבחירה בישראל, לרבות שם, מספר טלפון ואפילו מספר תעודת זהות. המשתמשים באפליקציה יכולים להזין לתוכה פרטי מצביעים בעלי פוטנציאל הצבעה לליכוד – ללא היתר ממי שפרטיו מוזנים לאפליקציה. הכשל בה נחשף על ידי העין השביעית וחוקר הסייבר רן בר זיק, ותוקן לאחר כיממה.

ראש הממשלה ויו"ר הליכוד, בנימין נתניהו, קרא מספר פעמים לפעילי הליכוד להיכנס לאפליקציה ולעודד דרכה אחרים להצביע למפלגה. אלא שלמעשה, ככל הנראה בלי ידיעתו, נתניהו שלח אותם לפרצת אבטחה. הקריאות של נתניהו למעשה החמירו את השפעתו של כשל זה – שלא במתכוון.

"ייתכן שבליכוד לא נתנו סיווג נדרש לנכסי המידע – מה שעלול לגרום לכך שלא חלה על נכסי המידע ההגנה הראויה, בין אם לפי תקנות הגנת הפרטיות או רגולציות אחרות. משמעות הדבר היא שהבקרות לא היו מספקות", אמר טאטור.

לדבריו, "צריך לחזק את הבקרות. חייב להיות בארגון גורם הממונה על סיווג ושמירה על נכסי המידע, משמע – מאגרי הנתונים, שאחראי על בקרות תהליכיות וטכנולוגיות ושעליו להרים דגל אדום כאשר הבקרות הללו אינן מתקיימות כראוי".

"יש לשער שלא התקיימה בדיקת חוסן"

"סיבה נוספת קשורה לטכנולוגיות ההגנה על נכסי המידע של הארגון", ציין טאטור. "אם נכסי המידע סווגו וטופלו כראוי, יש לשער שלא התקיימו תהליכי בדיקת חוסן לפלטפורמה. כלומר, כנראה שהפלטפורמה לא מספיק מאובטחת ולא מוגנת. אפשרות נוספת היא שהמידע הועלה בטעות לאזור שלא מתוכנן להיות מוגן, או, לחלופין, הוא עלה לאזור מוגן – אבל רמת ההגנה והחוסן לא הייתה מספקת".

"בין אם מדובר בצד המדיניות או בצד הטכנולוגי, האפליקציה חייבת להגן על נכסי המידע לפי הדרישה של תקנות הגנת הפרטיות, הרגולציות או כנגזרת משמירה על מידע עסקי או רגיש. יכולת זאת חייבת להיות מוכחת בפועל ומבוססת על יישום כלל מעגלי האבטחה הטכנולוגיים והניהוליים הנדרשים", הוסיף.

טאטור סיכם באמרו כי "מקרה מסוג זה עלול לקרות בכל אפליקציה של עסק שלא עובדת לפי העקרונות הללו. חשוב לציין שכיום, לצד ניהול נכון של נכסי מידע רגישים, קיימים גם כלים שבעזרתם ניתן לאמוד את החוסן של הפלטפורמות האינטרנטיות והפנימיות השונות, על מנת להעריך ולצמצם את יכולת התוקף להגיע לנכסי המידע הללו".

"סוכל ניסיון לחבל במאמצים לגייס את מצביעי הליכוד"

מהליכוד נמסר בתגובה למקרה כי "סוכל ניסיון לחבל במאמצים לגייס את מצביעי הליכוד להצביע בבחירות. בעקבות כך, האבטחה על פעילות האתרים תוגברה. יודגש כי מדובר בספק תוכנה חיצוני שנותן שירותים למפלגות רבות".

מאפליקציית אלקטור נמסר ש-"מדובר באירוע נקודתי שטופל באופן מידי, ובעקבותיו תוגברה האבטחה באופן משמעותי".