מומחה אבטחה: פרשת האשראי רחוקה מסיום

ועדת המדע ובטכנולוגיה של הכנסת דנה היום (ג') במוכנות של מדינת ישראל למתקפת טרור מקוון.זאת בעקבות חשיפת פרטי כרטיסי אשראי ופרטים אישיים של אלפי ישראלים בשבוע האחרון, על ידי האקר סעודי שמכנה את עצמו עומר. 

בשבוע שעבר, פרץ ההאקר לאתר הספורט One, והפנה את הגולשים להודעה שבה הוא מתגאה שהשיג פרטים אישיים ופרטי כרטיסי אשראי של 400,000 ישראלים, וסיפק קישור להורדת הפרטים. בהמשך ולאחר ניתוח הנותנים התברר שמדובר בכ-18 אלף פרטים של כרטיסים. בהמשך השבוע, פורסמה רשימה חדשה של כרטיסים מודלפים ובה כ-11 אלף שמות ומספרים. מקור הפירצה היה באתרי רכישות שלא היו מאובטחים כראוי.

התקיפות המקוונות, לפי יושב ראש הוועד רונית תירוש, "מאיימים יותר מכל איום בליסטי". לדבריה, יותר מכל טיל גרעיני כזה או אחר, "לא נוכל לשתות מים, להגיע ממקום למקום וכולי. אני לא רוצה לתת תסריט איימים אבל יש בעיה שמתפתחת בטור הנדסי מהיר". תירוש הוסיפה כי "יש הפקרות לגבי אגירת נתונים. בין לגבי מקומות שאני קונה מהם, הן לגבי משרדים ממשלתיים. היד קלה על ההדק, הם לא מאובטחים ברמה נאותה הנאותים. אני רוצה שתהיה תקינה – וזו תפקיד רשות הסייבר. כך אדע שאני בידיים מקצועיות". שי חיימוביץ' ממשרד הבטחון אמר שמדובר באירוע פלילי ולא בטחוני, ולכן לא מדובר באחריות של משרדו.

הפרשה תרמה להעלאת המודעות "באופן שהרבה תקציבי פרסום לא היו משיגים", לפי יורם הכהן, ראש הרשות לטכנולוגיה ומשפט במשרד המשפטים, שחוקר את הפרשה של האשראי. הוא הגדיר זאת כצלצול השכמה. "יש מאפיינים שהם סייבר טרור. אותו האקר טען שהם רוצים שיראלים יעמדו בתור", הכהן הסביר שהמידע פורסם מתוך המטרה הזו, וזה נעשה על בסיס יום יומי. בפיקוח על הבנקים אמרו כי רוב הפרטים שנחשפו אינם נוגעים למידע פיננסי, אלא למידע אישי.

הכהן עוד הוסיף כי לפני חודשיים הרשות פרסמה את סיפור דליפת מרשם האוכלוסין, "זה סיפור הרבה יותר חמור", לדבריו "שם היה מדובר במאגר מקיף. אני מקווה שכל המשרדים מטפלים בזה. צריכה להיות פרופורציה. שם זה היה גורמי מדינה, וכאן פרטי הטיפול שונה".‬ בנוגע לפרשת האשראי, אמר כי "רמת אבטחת המידע שנצפתה נמוכה מאוד עד בלתי קיימת. לא צריך להיות האקר מעולה בשביל לעשות את זה".

טל הרמתי, סגן בכיר לחשב הכללי במשרד האוצר, שאחראי על ממשל זמין, אמר שיש אלפי התקפות שאנחנו לא מודעים אליהן, ושבאתרי הממשלה יש הגנה טובה יחסית. "בתשתיות הקריטיות, חשמל, מים וכדומה, משקיעים בהגנה". הרמתי ציין גם כי האירוע היווה צלצול השכמה לנושא אבטחת מידע בישראל. אראל מרגלית יו"ר קרן JVP אמר שהמידע שלנו חשוף, "רשומות רפואיות, רשויות פיננסיות, היום נמצאים במצב חשוף. הגנת הסייבר הקודמת, הפייר וול, היא כמו קו ברלב וקו מז'ינו".

"מדינת ישראל התנהלה גרוע", אמר ד"ר נמרוד קוזולובסקי, עורך דין שמומחה לענייני פרטיות. "נרדמנו בשמירה. כל מי שעוסק בתחום יאמר בצורה ברורה, רוב רובם של אתרי האינרנט האזרחיים לא חושבים על אבטחת מידע – הכל ליד המקרה", לדבריו. "אין תקציב לאבטחת מידע. אין שום התייעצות. ברמה של התוקף זה גורם עוין, כפי כנראה אחד שרצה לפגוע באזרחים, ביצע פעולה זדומית ואפקטיבית. המותקף הוא אתר שעשה אפס באבטחה. צריך להציא הצעה פרקטית – מספר סעיפי חקיקה שאפשר להעביר אפשר להרים את רף האבטחה. לאתר אין אינטרס לאבטח את עצמו".

קוזלובסקי אומר שנעשית שמירת פרטים שלא לצורך באתרי קניות ואין על כך פיקוח. "הפרשה רחוקה מסיום. ישראלים שהם קורבן צריכים לבדוק שלא משתמשים בזהות שלהם". הוא ממליץ לאמץ חוק קליפורני לקביעת תקן באבטחת מידע אישי. הכהן אמר שהחוק בעייתי ואי אפשר לתרגמו מילה במילה בשביל להתאים אותו לישראל.

גיל טופז, סמנכ"ל סיכונים בחברת האשראי כאל ביקש להבהיר שלא מדובר בפריצה לאתרי כרטיסי האשראי, אלא לאתרים רבים ששומרים מידע אישי על גולשים. "הנזק הגדול הוא לפרטיות. מספר כרטיס האשראי הוא לא נושא בכלל – אחרי שעתיים הם כבר נחסמו לשימוש". טופז טען כי חברת כאל לא נפרצה מעולם, אבל לא ידע להגיד אם היו נסיונות של פריצה לאתר.