זאב שטח, מנכ"ל קומדע: "בעלי מערכת RSA צריכים להגביר את אבטחת השרתים – או לעבור לענן"

"לקוחות שיש להם מערכת של RSA צריכים להגביר את אבטחת השרתים או לעבור למיחשוב ענן, שבמסגרתו שרת האימות יישב במקום מאובטח יותר", כך ממליץ זאב שטח, מנכ"ל קומדע, בראיון לאנשים ומחשבים. שטח אמר את הדברים בעקבות הודעתה של RSA על חדירת האקרים לשרתיה, אשר מחזיקים מאגרים הקשורים למנגנון האימות הכפול שלה – SecurID.

שטח ציין, כי קומדע היא אחת המשווקות הגדולות של מוצרי RSA בישראל. לדבריו, עיקר הבעיה היא בבסיסי הנתונים המכילים את המפתחות הסודיים ולא באלגוריתם, משום שהאלגוריתמים אינם סודיים. "יש כאן שני עניינים טכניים: האחד הוא מאגר מפתחות סודיים – לכל טוקן יש מספר חיצוני סידורי ומפתח פנימי סודי אשר קשורים חד-חד ערכית. בנוסף, קיים מאגר לוגיסטי של שמות לקוחות, תאגידים או מוסדות, שקושר את המספר החיצוני הסידורי לשם התאגיד או המוסד אשר רכש את המוצר (לא המשתמש הסופי – א.ב.). אני מקווה שאנשי RSA לא שמרו את שני סוגי הנתונים באותו בסיס נתונים ושלא נפרצו שניהם".

"אפשר להירגע לפחות מבחינה אחת – הקוד מוגן, כמו בכספומט, על ידי PIN, כאשר צירוף הספרות לא נשמר בבסיס נתונים אלא נמצא בראשו של המשתמש", אמר שטח. "אולם", הוסיף, "עובדה זו לא מפחיתה מחומרת האירוע. בכל מקרה, האירוע חמור בקנה מידה עולמי ו-RSA ו-EMC חייבות לספק תשובות ופתרונות מהירים ללקוחות. קומדע נותנת החל מהבוקר פתרונות טכנולוגיים ללקוחותיה בנושא זה ואנחנו מזמינים לקוחות RSA להתקשר אלינו לצורך קבלת פתרון".

אחד הפתרונות שקומדע מציעה ללקוחותיה הוא להעביר את תחום האימות לענן. "קומדע תציע ללקוחותיה שירות SaaS מרכזי של אימות חזק עם טוקן או כרטיס חכם אחד למשתמש מול כל המוסדות. זה יהיה בפיקוח של מומחי אבטחת מידע בלתי תלויים, עד שהרגולטור ייקח את הנושא לידיים".

"המסקנה החשובה ביותר היא שכל נושא אבטחת המידע ללקוחות ציבוריים, כגון: לקוחות ממשלתיים או בנקים (להבדיל מלקוחות ארגוניים, שמשתמשים במערכת ליישומים פנימיים – א.ב.) צריך להיות מפוקח על ידי הרגולטור בכל מדינה", אמר. "לא ייתכן להשאיר את הציבור מופקר לחסדי חברות שמתיימרות לספק אבטחת מידע ללא כל פיקוח. משרד המשפטים צריך לפקח על כל נושא אבטחת המידע ולא רק על חתימה אלקטרונית. כמו כן, הממשל האמריקני צריך לחקור את המקרה הזה לעמקו ולברר אם לא הייתה כאן התרשלות קולוסלית". הוא ציין, כי "אנחנו, בקומדע, היחידים שנמצאים בפיקוח, אבל גם זה – רק בתחום הצר של החתימה האלקטרונית".

עוד אמר שטח, כי "גופים ותאגידים צריכים לדעת שיצרנים ונותני שירותים בתחום אבטחת המידע שאינם בפיקוח לא חייבים לעמוד באף קריטריון מחייב, וה-'אבטחה' שהם מספקים היא מהשפה ולחוץ".