זליגת מידע מחשבון העו"ש: מי מגן עלינו?
חשבון פתוח: המידע אודותינו בבנק, בבית ההשקעות, בחברת הביטוח או בחברת כרטיסי האשראי עשוי להגיע לידיים זרות ולאו דווקא בכוונת זדון. כיצד החברות הפיננסיות מתמודדות והאם החוק הישראלי שומר על הכסף שלנו?
אתר ההדלפות ויקיליקס הודיע באחרונה כי בכוונתו לפרסם מסמכים רבים הנוגעים לאחד הבנקים האמריקנים הגדולים. מייסד האתר, ג'וליאן אסאנג', סירב לחשוף את זהות הבנק, אך הצהיר כי בידי האתר מצויים עשרות אלפי מסמכים השייכים לאחד הבנקים המובילים בארה"ב.
בתחום המידע הפיננסי אירעו לא מעט מקרי הונאה, מעשי סחיטה, ונסיונות לגניבת לקוחות. הבעיה היא שכלל לא נדרש אקט נקמני או מעשה פלילי, כדי שמידע אודות ההתנהלות הפיננסית שלנו יזלוג בטעות לגופים שאין לנו כל עניין שיכירו את פרטי ההתנהלותנו הכלכלית. למען האמת, רוב המקרים שבהם נחשפים פרטי לקוחות - מקורם בטעות.
"רוב זליגות המידע העיקריות נובעות מטעויות" אומר שחר מאור, אנליסט אבטחת מידע בחברת STKI, לדברי מאור, במקרים רבים עובדי החברה אינם מודעים לסיכונים הכרוכים בפעולות שהם מבצעים, "כך לדוגמה, עובד בארגון מסוים בישראל החליט שהוא רוצה לחבר מודם אלחוטי כדי שיהיה לו נוח לעבוד. מישהו ניצל את זה כדי להתחבר לרשת הארגון. העובד לא הודיע על כך ובעקבות זאת הצליחו לגנוב כסף מהארגון" אומר מאור.
החשבונות הגיעו בטעות ללקוח אחר
לפני מספר שבועות חשפנו ב-ynet כי בעקבות תקלה בבסיס הנתונים של חברת כרטיסי האשראי ישראכרט, נשלחו בטעות פירוט חשבונות של לקוחות, ללקוחות אחרים. גם כאן, מדובר היה בתקלה לא מכוונת במאגר הנתונים של החברה.
תקלה נוספת נוגעת לבית השקעות המספק פלטפורמה למסחר בבורסה. לקוח שנכנס לחשבונו הפרטי, לאחר שהקיש קוד וסיסמה – גילה לתדהמתו חשבונות של 5 לקוחות אחרים, בהם יכול היה לסחור בחופשיות.
לדברי אלון סמיה, מנכ"ל חברת אבטחת המידע הישראלית Covertix, בתחום ההגנה על פרטיות הלקוחות וזליגת המידע אודותם, הרגולציה בישראל עדיין מפגרת אחר הנעשה במדינות המערב ולטענתו לא נעשה מספיק כדי למנוע זליגת פרטים אישיים על חשבונות של לקוחות פרטיים לגורמים שאינם מוסמכים לכך. "גם כאשר בוצעה התאמה ברגולציה לא מתבצעת אכיפה מספקת", אומר סמיה. "אני לא זוכר שמישהו עמד אי פעם לדין על העברת מידע פרטי לגורמים לא מוסמכים, או נקנס בסכומים משמעותיים".
לדבריו, בשנים האחרונות מנסה הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים לקדם חקיקה בנושא.
סקר שערכה הרשות בשנה שעברה, מגלה כי 70% מהציבור סבורים, כי המידע האישי בישראל אינו מוגן כראוי, ו-58% ממנו סבורים כי החקיקה בישראל אינה מסוגלת להתמודד עם הגידול בהעברת מידע אישי בין הגופים השונים.
בבנקים מסרבים להתייחס לנושאים הללו באופן פומבי, גורמים בכירים במערכת הבנקאית אומרים ל-ynet כי למעשה רמות האבטחה הנהוגות בישראל בכלל המערכת הבנקאית, הן מהגבוהות בעולם ולפחות מבחינת תחומי ההונאות - יש הצלחה גדולה בכל הקשור להתמודדות איתם.
לדבריהם, דווקא בגופים הפיננסיים הקטנים יותר, שלהם מערך אבטחת מצומצם יותר וגם הרגולציה פחות נוקשה, עלולים להיווצר סיכונים. עם זאת המציאות מוכיחה כי תקלות, גם אם בשכיחות נמוכה, קיימות אצל כולם.
יש לציין כי הבנקים מחויבים במסגרת החוק לסודיות ושמירה על פרטי הלקוחות. בנוסף, קיימת הוראה של בנק ישראל (מס' 357) הנוגעת לניהול טכנולוגיות המידע של הבנקים ומחייבת אותם לניהול תקין תוך אבטחת המידע בצורה האופטימאלית.
האם אנחנו יכולים להיות רגועים?
מה הן הפעולות אותן נוקטים הגופים הפיננסיים על מנת שמקרים כאלו לא יקרו? לדברי מאור קיימת מעטפת שלימה הכוללת שלבים שונים של הגנה על המידע, זה מתחיל בהכשרה והדרכה של העובדים הנגישים למידע, מידורם של עובדים אחרים ומגיע עד ל"מעקב צמוד" אחרי מסמך ספציפי. "בחלק גדול זה הרבה עבודות הכנה", אומר מאור, "זה כולל הגברת המודעות בקרב העובדים ועוד טרם גיוסם - בדיקת הרקע שלהם. זה ממש דומה לגיוס של גוף בטחוני".
"יש גם נושא של מידור - לעובד יש גישה רק למחלקה שלו, או לפרטים שהוא צריך להתעסק בהם ואין לו אפשרות להיכנס למחשב לתחומים אחרים. בבנקים יש מנהלי אבטחת מידע שאחראים על כל הנושא הזה ותפקידם למנוע תופעות כאלו. האמת, רק הידיעה שמישהו מסתכל עליך, מכניסה את האנשים ללחץ וגורמת להם להיזהר".
"יש הפרדה פיזית מוחלטת", אומר ל ynet מנהל בכיר באחד הבנקים הגדולים, "בשביל לגלוש באינטרנט אני משתמש במחשב אחר מהמחשב של הבנק, שאינו מחובר כלל לרשת של הבנק. יש גם מסכת של אישורים שכל עובד צריך לקבל, כמו גם הכשרות רבות בתחום אבטחת המידע וסודיות בנקאית, בין בתהליכי עבודה ובכלל".
שלב נוסף במניעת זליגת המידע, מסביר מאור, הוא יצירת אמצעים שונים שימנעו אפשרות להעברת מידע, כגון מניעה של הורדת מסמכים, חסימת האפשרות לחבר ציוד היקפי למערכת, כגון "דיסק און קי".
אפשר לתקן גם אם החומר כבר דלף
שלב מתקדם יותר, כולל כלים שיכולים לנטרל טעויות, במקרים בהם כבר בוצע מהלך כלשהו, כגון במקרה בו נשלח מייל לכתובת הדוא"ל הלא נכונה. "כל התחום של אמצעים למניעת זליגת מידע מאוד מתפתח בתקופה האחרונה", אומר מאור. "יש גם שלב עוד יותר מתקדם שעוסק בניטור – כלומר, היכולת לדעת לאן הגיע החומר והאפשרות במקרים מסויימים גם לנטרל אותו".
סמיה מדגיש את החשיבות של ההגנה ברמת המסמך הבודד. "באמצעות המעבר להגנה אישית ניתן להצמיד מעין שומר ראש אישי לכל מסמך, המאפשר לשלוט עליו גם כאשר המידע 'מטייל' בתוך הארגון. כך ניתן לראות האם יש עובד העושה שימוש לרעה במידע לו הוא נחשף ומעביר אותו לגורמים חיצוניים וגם למנוע שימוש לרעה במידע אחרי שהוא כבר דלף החוצה," אומר סמיה.
במערכת הבנקאית מנסים להרגיע: "הכלים שיש ברשותנו הם רבים, זה תחום שמתפתח כל הזמן, אנחנו לא רוצים לתת רעיונות לכל מיני גורמים פליליים, אבל יש לנו יכולות גבוהות בהרבה מישורים והראיה - שהיקף ההונאות בישראל כמו גם היקף הטעויות הוא נמוך".
לפנייה לכתב/ת 
