"מחדל האבטחה בשירביט הוא אופייני בהחלט לארגונים בישראל. אבטחת מידע, לצערי, זה משהו שלמרות שהוא מפחיד הרבה אנשים, הוא לפעמים נושא לזלזול. בהרבה מקרים זה מגיע מההנהלה הבכירה של הארגון".
את המצב העגום הזה מתאר חן עמרם, מנהל טכנולוגיות של סלקום שמטפלת בסוגיית אבטחת המידע "בתוך הבית", ומספקת שירותי אבטחת מידע ללקוחות עסקיים. עו"ד גיא שמואלי המתמחה בנושא של הגנה על הפרטיות ופשעי סייבר מוסיף: "אני לא חושב שזה קשור רק לארגונים בישראל, אלא עולם הטכנולוגיה בעולם בכלל".
עמרם ושמואלי, מחזיקים כל אחד בשנים של ניסיון בעיסוק באבטחת מידע. כל אחד מהם מסתכל על פרשת שירביט מהכיוון שלו ושנייהם מגיעים למסקנה כי נדרש שינוי עמוק ביחס לאבטחת מידע. גם מצד המנהלים והעובדים וגם מצד הרגולציה והחקיקה.
לדבריו של עמרם, הבעיה מתחילה בקודקוד. "תראה לי דירקטוריון שיושב בו מישהו שמבין באבטחת מידע? לא תמצא. הם כולם מבינים בפיננסים ובהנהלת חשבונות, ואז, כשהממונה על אבטחת מידע (CISO) מתריע, הם מסתכל על זה דרך שורת הרווח, ואבטחת מידע זה עניין שעולה הרבה כסף".
"יש חברות שמחפפות מאוד ורואים את אנשי אבטחת המידע כקרציות שמבזבזים משאבים לארגון. אני לא חושב שהמנהלים הם קמצנים, אבל הרבה פעמים החשיבה בנושא הזה היא לא נכונה" אומר עמרם.
עמרם מסביר כי התפקידים של CISO, לא מתמצים רק במערכת המידע עצמה, יש להם אחריות על גם על התנהלות המשתמשים. "אתה מחנך עובד לסנן דואר אלקטרוני ולבדוק אם הוא חשוד. אולי זה תרגיל פישינג. צריך ללמד אותם לזהות את זה. יש היום גם כלים בחינם לאימון, המודעות עצמה לא עולה כסף, אבל יש גם תכניות אימונים בכסף ויש גם את הרגולציה מטעם המדינה, לצערי בשירביט זה לא עבד".
כשל אבטחה בכמה חזיתות
למרות שהפרטים המלאים על הפרצה אינם ידועים, עמרם מתאר לפחות 4 דברים שלא קרו במערכות המידע של שירביט והיו צריכים לקרות: עדכוני אבטחה בתוכנה שמאפשרת גישה מרחוק לא הותקנו, שרת הדואר הארגוני לא היה מתוחזק כראוי, תיבות דואר של עובדים שעזבו נשארו פעילות ותוכנה שפועלת כמערכת אזעקה לא זיהתה את עצם גניבת המידע.
"עדכוני האבטחה בתוכנה הזו פורסמו כבר לפני שנתיים. גם רשות הסייבר של המדינה וגם היצרן של התוכנה הפיצו את העדכונים, אבל בשירביט לא התקינו אותם. הרבה חברות פוחדות לעבור לשירותי 'ענן', ולכן שומרות על מערכות המידע בתוך הארגון, אבל גם את זה צריך לתחזק נכון. מיקרוסופט מוציאה באופן שוטף עדכונים לשרתי הדואר שלה וגם אותם צריך להתקין וזה לא קרה".
בדיקות כאלו צריך לעשות פעמיים בשנה, כמו שעושים טסט לרכב, או אימון ליחידה צבאית. בכל פעם שמחליפים גרסא לאחת התוכנות, צריך לבצע בדיקת חדירה לגרסא החדשה"
"גם כשיש חדירה לא מורשית לרשת הארגונית, יש אמצעי התראה. ברגע שאחד המשתמשים מתנהג באופן חשוד, כמו העברת מידע בהיקף גדול בזמן קצר, אמורה להידלק נורה אדומה. לשירביט הייתה מערכת כזו מסוגDLP שלא הרימה "דגלי אזהרה", זו מערכת שהיעוד שלה הוא להתריע על זליגת מידע".
משחק מלחמה
השיטה הטובה ביותר לבדוק ולשפר מערכות הגנה היא לתקוף אותן. מדובר ב"משחק מלחמה" שמזכיר "בימוי אויב" במערכת צבאית. מערכות המידע נבנו קודם כל כדי לספק מידע ושירותים שונים לארגון וללקוחותיו. על מנת לבדוק את העמידות שלהן להתקפות זדוניות, חברת אבטחה שמעסיקה פצחנים מנסות לתקוף את המערכת, למצוא בה חולשות, לחדור דרכן ולהגיע לכמה שיותר מידע והרשאות שליטה במערכת.
בסוף התהליך, הפצחנים שולחים דו"ח מסודר של כל הפרצות שהתגלו, כדי שאנשי אבטחת המידע בארגון יטפלו בהן, ויעלו את המערכת לרשת הציבורית אחרי שהיא כבר הרבה יותר מחוסנת.
"בבדיקות המקדימות מתגלות שגיאות מאלפות" אומר עמרם. "שימוש רשלני במספר תעודת הזהות בשורת הכתובת, מה שמאפשר להחליף אותו ולחשוף מידע לפי מספר אחר. אינספור החלטות לקויות שמאפשרות לגנוב מידע. בדיקות כאלו צריך לעשות פעמיים בשנה, כמו שעושים טסט לרכב, או אימון ליחידה צבאית. בכל פעם שמחליפים גרסא לאחת התוכנות, צריך לבצע בדיקת חדירה לגרסא החדשה".
שכבות הגנה מרובות
עמרם מסביר שהמגמה המתגברת של עבודה מהבית טומנת בתוכה גם חולשות חדשות מבחינת אבטחת המידע. "כשאתה נכנס לרשת הארגונית מרשת WIFI ציבורית או מהבית, המידע יותר חשוף מאשר במשרד. צריך לאבטח את זה אחרת. המינימום זו בדיקת הזדהות כפולה".
מערכות שמאובטחות באופן כזה, שנקרא גם "אימות דו שלבי", בהן המשתמש מתבקש להזין שם וסיסמה, ואז הוא מקבל לדוגמא הודעת SMS עם קוד כניסה כשכבת אבטחה נוספת. מדובר במידה קלה של חוסר נוחות בגישה למידע אישי או ארגוני, שמאפשרת רמת אבטחה גבוהה בהרבה. אף על פי כן, לא בכל מקום מדובר בסטנדרט מחייב.
לרשות ממונה האבטחה של הרשת עומדים כלים נוספים שמשמשים כשכבות הגנה נוספות. "יש שלב שנקרא 'בדיקת ציות' וזה אומר שאני מונע גישה למידע הארגוני ממחשב או טלפון, אלא אם הוא מציית לקריטריונים שקבעתי". מסביר עמרם "לדוגמא, המכשיר צריך להיות רשום מראש במערכת, או וידוא שיש לו מערכת אנטי וירוס מעודכנת, שתוכנת הגישה שלו התקינה את עדכוני האבטחה האחרונים שיצאו וכו'.
"מגבלות נוספות שאמורה להגן על הארגון היא הגבלת האפשרות לשלוח קבצים מהארגון אל המשתמש המרוחק. במקום לתת גישה מלאה, אני יכול לתת למשתמש גישה שמוגבלת לאפליקציות ספציפיות". לכך מתווספים סטנדרטים שאמורים להיות מובנים מאליהם כמו דרישה להחלפת סיסמה כל תקופה קצובה וניתוק הקשר בין המחשב המרוחק לאחר כמה דקות של היעדר תקשורת בין המשתמש למערכת הארגונית. ככל הנראה, הליקויים במערכת של שירביט, כללו גם בעיות מהסוג הזה.
הפשע שינה כיוון
"אם פעם היית ארגון פשיעה ורצית כסף היית הולך ושודד בנק, שזה גם לקחת סיכון שתתפס או תיפגע ואז והיו עושים מנעולים יותר כבדים ודלתות פלדה וקירות בטון כדי למנוע ממך להצליח. היום, מידע וכסף מאוחסן בשרתי מחשב ולא בכספות".
את השינוי הזה מתאר עורך הדין גיא שמואלי, העוסק בתחום של הגנת פרטיות וסייבר ושותף במשרד 'שמואלי שמשון RGS' "הפושעים הגיעו למסקנה שיותר פשוט ולתקוף באופן ממוחשב. זו מלחמת מוחות שתמיד הצד התוקף נמצא ביתרון של צעד אחד לפחות על פני הצד המתגונן".
לרגולטורים יש תפקיד מאוד גדול. בסוף המדינה תיאלץ לחייב עסקים לעמוד בסטנדרט של שמירה על המידע של הציבור. אין דרך אחרת, למעט לחייב אותם לעשות את זה"
לפי שמואלי, הזירה הפכה למורכבת ברמה שארגון אחד יכול להריץ מאות תוכנות שונות באותו הרגע, מהמשרד, מהבית ומהטלפון. "מספיק שבתוך כל המכלול הזה תהיה פרצה מאוד קטנה, ודרכה האקר יכול להיכנס".
שמואלי לא חושב שמערכות אבטחה לקויות הן הנורמה. "נכון שיש טעויות, ודברים בורחים, אבל אל תשכח שעל ההצלחות בתחום הזה אתה אף פעם לא שומע בתקשורת. אנחנו שומעים רק כשמתגלים מחדלים".
החקיקה והרגולציה צריכות לעדכן גרסא
שמואלי מזכיר את החלטת השופט מישאל חשין משנת 2001 על השימוש באינטרנט כתעמולת בחירות. חשין מבחין בין אבולוציה של המשפט ורבולוציה של המשפט. "האינטרנט הוא רבולוציה, הוא הופך את מה שהיכרנו ובונה משהו חדש. יצרנו משהו שכל הזמן רץ קדימה. הטכנולוגיה רצה בקצב מטורף והרגולציה לא עומדת בקצב. החוקים שיש לנו היום הם לא באמת עדכניים. ספר החוקים של מדינת ישראל לא באמת יודע לאכול את עולם האינטרנט, ולא את תחום אבטחת המידע".
![עו"ד גיא שמואלי (צילום: Shutterstock)](https://static.davar1.co.il/www/uploads/2020/12/071220_guy.jpg "עו"ד גיא שמואלי (צילום: Shutterstock)")
הלקח העיקרי מפרשת שירביט לטענת שמואלי, הוא שגם מערכת החוק צריכה "לעדכן גרסא" ולצמצם את הפער מול העולם הטכנולוגי. "לרגולטורים יש תפקיד מאוד גדול. בסוף המדינה תיאלץ לחייב עסקים לעמוד בסטנדרט של שמירה על המידע של הציבור. אין דרך אחרת, למעט לחייב אותם לעשות את זה. גם היום יש תקנים של ISO ואפשר לבדוק האם לעסק יש או אין את זה. אבל המחוקק צריך להיות מאוד ברור ולהגדיר את המידע ולתת קנסות. כי עד אז ההפרה משתלמת".
גם הציבור צריך להכיר בסיכון
"החשיפה שלנו מתחילה ברגע שנולדנו – אנחנו נכנסים לתוך המאגר של משרד הפנים, מקבלים מספר זהות, הפכנו להיות נתון דיגיטלי בתוך מאגר מידע", אומר שמואלי, אבל במקביל, גם מטיל אחריות על היחיד. "אנשים צריכים להיות מודעים לזה שמידע שהם מוסרים הוא בסיכון".
"אני למשל, לעולם לא אעלה תמונות שלי מחו"ל בזמן שאני עדיין שם, אלא רק אחרי שחזרתי וזה יהיה מאוד ברור. להעלות תמונות כאלו כשאתה לא בבית זה כמו להשאיר את המפתחות של הבית מחוץ לדלת. המידע הדיגיטלי הולך ונערם. אנחנו צריכים ללמוד איך להתנהל איתו נכון".
