בעקבות הפריצה לאתר הבנק: על בעיית חוסר המודעות

האקרים, כך פורסם אתמול (ד'), פרצו שלשום לאתר האינטרנט של בנק "מרכנתיל-דיסקונט" ושלפו משם שמות של משתמשים מורשים וגם את סיסמאות הכניסה שלהם. ההאקרים, מהזן שאינו מתכוון להזיק ממש, אלא רק להתריע, השאירו באתר אזהרה באותיות גדולות באנגלית: "חור אבטחה גדול בבנק". זאת, כדי להתריע בפני ראשי הבנק כי ראוי שיאבטחו טוב יותר את האתר שלהם.

"אם היינו רוצים, יכולנו להיכנס למערכת הניהול של הבנק, להשתלט מרחוק על האתר, להכניס בו וירוסים, להדביק בווירוסים את המשתמשים התמימים שייכנסו לאתר, להשתיל בו 'סוס טרויאני' שיגנוב את כל שמות המשתמשים והסיסמאות, וגם לאפשר לאחרים להתחזות למנהלי האתר ולבקש מלקוחות הבנק עדכון על הקודים הסודיים ועל הסיסמאות שלהם", סיפר לנו אתמול אחד ההאקרים שפרץ לאתר הבנק.

בנק ישראל, שהוא הגוף הרגולטורי של הבנקים בארץ, חושב כי מנהלי הבנקים צריכים לקחת אחריות על חשאיות הפרטים של לקוחותיהם, למרות שהדבר אינו מעוגן עדיין בחקיקה.

"העמדה של בנק ישראל היא שבמקרים כמו אלה, הבנק וראשיו אחראים כלפי הלקוחות, וזו העמדה שגם הצגנו בפני בית-הדין לחוזים אחידים", מסרו לנו אנשי בנק ישראל. "שירותי מיחשוב חדשים, שהבנקים מציעים ללקוחות שלהם, חייבים היום לעבור דרכנו, ואנחנו בודקים שאכן החוזה עם הלקוחות מעוגן באחריות של הבנקים כלפיהם".

מי אחראי לאבטחת האתר?

עד היום, אגב, לא טיפלה המחלקה לפיקוח על הבנקים בבנק ישראל, במקרים של פריצות למחשבי הבנקים, וגם לא בדליפות מידע ממאגרי מידע בנקאיים, למרות שמקרים אלה הופכים להיות יותר ויותר נפוצים. 

עו"ד חיים רביה, מומחה לדיני מחשבים, מסביר כי מבחינת המחוקק, "על מי שמנהל מאגר מידע, או אתר סחר אלקטרוני, אתר פיננסי וכמובן אתר בנקאי, חלה חובה לאבטח את הנתונים במאגר שהוא מופקד עליו. החובה הזו חלה על בעל מאגר המידע, וגם על מי שמחזיק בו ומי שמנהל אותו. כל אחד מהם אחראי לאבטחת המידע. הבנק חייב, לפי חוק, למנות אדם בעל הכשרה מתאימה, שיהיה ממונה על אבטחת המידע".

גם הפורצים, אפילו האקרים בלי כוונות זדון, צפויים לפי החוק לעונשים כבדים: "על פי דיני המחשבים, חדירה לחומר מחשב היא עבירה פלילית, אפילו אם לא ביצעת שום דבר נוסף, ונושאת עונש של שלוש שנות מאסר", אומר עוד רביה. אם חדרת כדי לעבור עבירה אחרת, כמו לגנוב מידע, לשבש את פעולת מערכת המחשב או ליטול מספרים וזהויות של אנשים, העונש הוא כבר חמש שנות מאסר.

דוברת בנק "מרכנתיל-דיסקונט" אמנם אמרה כי אתר הבנק משמש רק לצרכים שיווקיים, ואינו מאפשר משיכת כספים או העברת כספים מחשבון לחשבון, אבל עדיין התחושה אתמול בקרב מנהלי אבטחת מידע היתה קשה. "בכל זאת, אתה יודע, מבנק מצפים ליותר", אמר אתמול איש אבטחת מידע.

בעיית האבטחה בבתים

אם מנהלי בנק כושלים באבטחת אתרים, מה יאמרו גולשים עם מחשבים אישיים פשוטים? אחד ממומחי האבטחה הידועים בעולם האינטרנט, יוג'ין קספרסקי, בעליה של יצרנית האנטי-וירוס הפופולרי "קספרסקי", אמר לפני שבועיים כי גולשים רבים עדיין חושבים שהאינטרנט הוא מרחב תמים ונחמד, כפי שהיה לפני כמה שנים. אבל האמת היא, לדבריו, שתחום פשעי המחשב והאינטרנט נמצא היום במעבר ממעשי חוליגניזם בודדים למגמה של פשע מאורגן. "אנחנו מדברים היום על טרור מקוון ועל פשיעה מאורגנת שהצליחה לגלוש גם לאינטרנט".

בשבועות האחרונים היתה מכה של פריצות של האקרים לאתרים גדולים הנחשבים מקצועיים ומאובטחים במיוחד. כך פרצו בארה"ב ובאנגליה לאתרי פרסום של באנרים, לאתרים של חברות מחשבים ותוכנה, כולל כאלה שנחשבים בטוחים במיוחד, והחדירו בהם וירוסים. מאותם וירוסים נפגעו גם אתרים גדולים, כגון אתרי חדשות כמו דה רג'יסטר הבריטי.

מעבר לפשעי המחשב ולתחכום המשתכלל של עברייני המחשבים, יש גם "פשע אינוסנטי", מעשה תמים שעלול, בלי-דעת, להוביל לפשע. למעשים מסוג זה אחראים לעתים קרובות דווקא עובדים חרוצים של ארגונים.

סקר מדגמי מייצג שערך תאגיד AT&T ברבעון השני של 2004, בקרב עובדי ארגונים בארהב, העלה כי רבים מהם בוחרים בשמות משתמש ובסיסמאות, הכוללות את שמם האמיתי ואת תאריך יום הולדתם. זו כמובן שטות גדולה, שכן כל האקר-חובב, שמצליח לאסוף מידע על האנשים בארגון מסוים, יכול לנחש במקרים רבים את הסיסמה שלהם.

הפושע התמים: המשתמש

המצב הזה מרגיז את מנהלי הארגונים והחברות הגדולות, שמשקיעים הון עתק באבטחת מידע, ובה בשעה דווקא החלק התמים במשוואה, עובדיהם, שאינם מקפידים על סיסמאות קשות לפיצוח, הופך להיות החוליה החלשה במעטפת האבטחה.

עופר אלזם, מומחה אבטחת מידע מחברת "אלדין מערכות מידע", מסביר כי הבעיה העיקרית היא מודעות. "רוב הגולשים, שאינם מיומנים בהכרח ברזי הטכנולוגיה, אינם משתמשים בצורה נאותה באינטרנט.

כמה אנשים באמת משלמים כסף עבור מוצר האנטי וירוס ודואגים לעדכן אותו? כמה בודקים אם תוכנות ההגנה שלהם מאובטחות, כמה משתמשים בפייר-וול (חומת אש) האישי שלהם, שקיבלו בחינם כחלק ממערכת ההפעלה חלונות XP"?

"צריך להבין שעולם האינטרנט השתנה, וכיום כולם נמצאים שם, וזה אומר טובים וגם רעים. וכמו שכל בעל רכב יודע שזה לא נעים ולא זול לעשות כל שנה טסט למכונית, כל אחד מבין את החשיבות של זה, וגם המדינה מכריחה אותו לעשות את זה, כך אותו אדם צריך להבין שאותה מידה של אחריות צריך להחיל על האינטרנט.

אלא שבמחשב איש לא מכריח אותך להיזהר. רוב האנשים אינם רוצים להתמודד נפשית, כספית וטכנולוגית עם אבטחה. הם אומרים: מה כבר יש לי במחשב? הרי אין לי את סודות האטום וזו טעות".

שותלים מרגלים במחשב

לדברי אלזם, צריך לזכור שמחשב הוא בסך הכל קופסת פח טיפשה, ואדם שנכנס, במכוון או במקרה,לאתרים מפוקפקים, תמיד נדבק בדברים רעים. אם אתה נכנס לאתר פורנו או לאתר הימורים, אתה צריך להיות מודע לכך שרוב האתרים האלה מדביקים את המחשב שלך במיני קודים זדוניים, בתוכנות ריגול (רוגלות) ובווירוסים. הקוד הזה מאפשר להאקרים להיכנס למחשב שלך, בלי שתדע על כך, ולעשות בו כבתוך שלהם.

"בעיה נוספת היא הפס הרחב והרשתות האלחוטיות", אומר אלזם. "רוב משקי הבית המחוברים לאינטרנט משתמשים בחיבור רציף ומהיר, ויותר ויותר משקי בית מתקינים בימים אלה רשתות אינטרנט אלחוטיות, המאפשרות לכל בני הבית להתחבר לאינטרנט גם ללא חיבור של חוטים. הבעיה היא שגם אדם שנמצא מחוץ לדירה שלך יכול להיכנס לך לרשת האלחוטית, ואם אתה לא מגן עליה, אתה לא רק מאפשר לאחר להשתמש ברשת שלך, אלא גם מאפשר להאקרים לחדור למחשבים אחרים דרך המחשב שלך".

אז מה עושים?

"לפני הכל צריך לשנות את התודעה: כל גולש חייב להבין כי האחריות שלו כלפי עצמו וכלפי אחרים היא לדאוג לאבטחה של המחשב שלו. לא לחסוך את ה-200 שקל שעולה האנטי-וירוס. לרכוש כחוק, תוכנת אנטי-וירוס מוכרת וטובה ולא רק 'להצטייד' (כלומר, להשיג מאחרים), וללמוד כיצד היא פועלת וכיצד מעדכנים אותה לאורך כל השנה.

"כאשר נכנסים לאתר, גם גדול ולכאורה בטוח, יש לקרוא את מדיניות האבטחה שלו ולראות למה מתחייב בעל האתר בכל הנוגע לשמירה על חשאיות המידע. לכל אתר סביר חייבת להיות הצהרה של מנהליו על האבטחה של האתר".

"סקר שנעשה בארה"ב מצא כי במחשב ביתי ממוצע יש לא פחות מ-93 תוכנות-ריגול (רוגלות). יש באינטרנט כמה תוכנות טובות בחינם להסרת הרוגלות האלה, ואדם צריך להתקין תוכנה כזו במחשב שלו, ואחת לשבוע להריץ אותה כדי שתסיר אותן".

"לבסוף, כמו שאנחנו עושים עסקאות בטלפון, שגם הוא מרחב לא הכי בטוח, אבל אנחנו נזהרים, כך אפשר להמשיך לעשות עסקאות באינטרנט - אבל חייבים להיזהר".