"מרשם האוכלוסין של ישראל דלף ב-2006, אנשים הלכו לכלא", אומר ל'דבר' מדריך הסייבר הוותיק דורון אופק, "אבל ארגונים המשיכו להשתמש בזה. מפלגות, חוקרים פרטיים. הרשות להגנת הפרטיות לא כיסחה את הצורה לאף אחד. ואז דולף לך מהליכוד ספר הבוחרים לפני הבחירות, שם היו עוד כמה מיליוני ישראלים".

אופק מזהיר מפני הסכנה שנקראת "היתוך מידע". "נגיד שנופל לידיים שלי המאגר של 'הליכוד', אני מתיך אותו פנימה למה שכבר אספתי, בונה מגה-מאגר אחד גדול, אני מתחיל לאסוף מאגרים ויוצר מגה-מאגר".

סכנה נוספת היא גניבת זהות, התחזות לאדם אחר לשם לקיחת הלוואות על שמו, ניצול נכסיו הפיננסיים, או הרשמתו למגוון שירותים עסקיים או אפילו הזדהות מזויפת בפני שוטר, אחרי ביצוע עבירה. השילוב בין מידע בסיסי כמו שם, גיל, כתובת וטלפון לבין הרכב שביטחנו, קופת החולים שלנו, הרגלי הקניות שלנו יוצר ערך מסחרי ופוליטי, את היכולת להתאים מסרים כלפינו באופן אישי.

תאריך ההנפקה למשל של תעודת זהות, משמש כיום כאחד הפרמטרים להזדהות במערכות ממשלתיות. דליפת המידע מחברת 'שירביט', העמיקה את הוויכוח לגבי המשך השימוש במאפיין זה, במערכות קריטיות.

"האינטרנט התחיל בפרוטוקולים פשוטים של שנות ה-60 , זה היה כלי מחקרי. לא חשבו שזה יום אחד יהיה כלי מסחרי או שיתקפו דרכו. בסוף שנות ה-80 העולם העסקי התחיל להתחבר, עם היצירה של אתרי האינטרנט ותוכנות הגלישה. לפני 15 שנה נקבעה גרסה 6 לפרוטוקול התקשורת באינטרנט (( PV6 שבה התקשורת הרבה יותר מאובטחת".

הרבה מן התקשורת באינטרנט מבוססת גם היום על גרסה 4 ה"תמימה", מה שמקל על התחזות. על בעלי האתרים ומערכות המידע להקים על חשבונם שכבת אבטחה ולא כולם עושים זאת בכלל, או כהלכה.

"אם המערכת מתוכננת נכון", אומר אופק, "אם מבצעים לה עדכונים בצורה סדירה, והמשתמשים עוברים הדרכה אחת לכמה חודשים אין שום סיבה בעולם שארגון ייפרץ ויחטוף כופרה.

"יש חולשות מובנות בפרוטוקול, שלא נוכל להחליף אותו. לכן מוסיפים חגורות בטיחות, מוסיפים מנגנונים אימות, הזדהות וניתור, מוסיפים מנגנוני מניעת דליפה, מנגנוני אנטי וירוס. בסוף איכות ההגנה היא לא הפרוטוקול, אלא המיקס של אמצעי ההגנה ששמנו, בצורה מסודרת או פחות. אם זה בנוי טוב, זה מאוד מוגן . כשמתחיל ברדק , זה כבר משהו אחר".

איך להגן על המידע ?

עופר דה-פיצ'וטו הוא מנכ"ל ומייסד חברת אבטחת המידע 'אינפוגארד', שבין היתר מציעה שירותי אבטחת מידע  למספר רב של לקוחות בישראל. בשיחה עם "דבר" הוא מסביר שאבטחת מידע מבוססת על שילוב בין שתי גישות: הגנה על דרכי הגישה למידע ("הגנה היקפית") והגנה על המידע עצמו ("הצפנה").

"יש צורך להגן על המידע גם מפני גורמים פנימיים בארגון", אומר דה-פיצ'וטו, "גם במקרה שמישהו מצא דרך כניסה וחדר את ההגנה ההיקפית, כמו במקרה התקיפה של 'שירביט', קרוב לוודאי שאם המידע שנגנב היה מוצפןהוא היה חסר ערך לתוקפים ולא ניתן היה לעשות אתו דבר.

"אחד מתחומי ההתמחות שלנו הוא הצפנה של המידע ושמירה מאובטחת של מפתחות ההצפנה".

במהלך השנים האחרונות  ביצעה 'אינפוגארד' עבור חברות ביטוח מוכרות פרויקטים של הצפנת מידע שאפשרו להם לעמוד בתקן סליקה מאובטחת של חברות כרטיסי האשראי (PCIDSS). כאשר פרטי אשראי נמסרים למערכת, היא מצפינה אותם ומאפשרת תצוגה של 4 הספרות האחרונות, ואילו שאר המידע נשמר מוצפן, כך שהוא הופך להיות חסר-ערך בעבור כל גורם אחר, גם אם ישיג אותו.

"למרות שאנחנו יודעים היום לשלב טכנולוגיות של הצפנה בזמן אמת של קבצים ומסמכים, מבלי שנגרמת האטה של העבודה השוטפת במערכות המידע, עדיין קיים חשש בארגונים רבים להצפנת המידע הרגיש שלהם. רבים חוששים מאובדן מפתחות ההצפנה ומאובדן הגישה למידע המוצפן של הארגון".

מה הסיכון בזה ?

"תראה מה קרה בלאומי קארד ב-2014. עובדים לשעבר איימו לחשוף פרטים של 2 מיליון בעלי כרטיסי אשראי לאחר שגנבו את מאגר המידע של החברה. זה היה נמנע לו המידע הזה היה מוצפן – זו הדרך הכי טובה להגן על המידע הארגוני הרגיש", אומר דה-פיצ'וטו.

מאגר משרד הפנים דלף גם הוא בשל עובד שסרח. האם זה סיכון המרכזי ?

דה פיצ'וטו מסביר שלא תמיד מדובר בכוונה זדונית, אבל ישנה בעיה גדולה של חוסר מודעות בקרב רבים מהעובדים למרות שבתקופה האחרונה יש שיפור משמעותי בנושא הזה. "באחד המקומות שהיינו  בהם אתה נכנס, יושבת מזכירה בלובי של הארגון ואתה רואה מאחוריה לוח שעם עם פתקים ונעצים עם סיסמאות לכל מיני מערכות. אתה מסתכל וזה די הזוי. אנחנו עושים הרבה הדרכות מודעות בארגונים, עוסקים בהתנהגות והגברת מודעות של העובדים כיצד להגיב לכל מיני פניות".

איך אני יודע שמערכת האבטחה שלי טובה ?

"הרבה ארגונים כפופים לרגולציה המחייבת אותם לבצע מספר פעמים בשנה לבצע בדיקות חדירה. בבדיקות האלה מזמינים אותנו לנסות ולפרוץ למערכות המידע על מנת לגלות את החולשות שלהן".

דה פיצ'וטו מספר על חברת תרופות ממקסיקו, שחשבה שהיא כבר מוגנת. מנכ"ל החברה הסכים לבצע בדיקה כזו מחברה אחרת במקסיקו המספקת שירותי אבטחת מידע אותה חברה שכרה את שירותי 'אינפוגארד' לביצוע בדיקת חדירה עבור הלקוח שלה.

במקרה הזה, החליט דה פיצ'וטו לפנות להאקר ישראלי שיבצע את העבודה. "הגיע אלי בחור צעיר, סנדלים, מכנסיים קצרים ולפטופ", הוא אומר. תוך מספר ימים הוא חזר עם הסיסמאות לכל מערכות המידע של החברה המקסיקנית ודוגמאות למידע רגיש שהוציא מהן, מה ששכנע את המנכ"ל שיש להם צורך בתיקון הליקויים.

מה קורה אחרי פריצה בהסכמה כזו ?

"הדו"ח המסכם מוגש לאנשי אבטחת המידע, אנחנו יושבים איתם, עוברים על הסעיפים, חלק קריטי וחלק פחות. לאחר מכן עושים בדיקה נוספת אחרי התיקונים. הרבה חברות מחו"ל שעובדות עם חברות ישראליות רוצות לוודא שאותן חברות מבצעות בדיקות חדירה והכל תקין אצלם, שתראה להן מכתב מוסמך מחברה שעשתה את הבדיקה".

יש המון חברות שנותנות שירותים כאלה בישראל, אבל המקרה של 'שירביט' הקפיץ את הכניסה לאתר שלנו כמעט ב-100% בימים האחרונים".

"יש בעיה רוחבית", אומר קדוש, "זה מתחיל ונגמר באופי הישראלי, לא לעבוד מסודר, לא לרשום כמו שצריך ולעגל פינות. תכניס את זה לאבטחת מידע, אין סיכוי להגן על המידע. אם לא רשמת את המאגר לפי הרגולציה של הגנה על מאגרי מידע, אל תתפלא כשזה יתחיל להסתובב לך. יש מנהלים שבכלל לא יודעים שהם צריכים לרשום אותם ולשמור עליהם. יש להם אחריות פלילית".

דה פיצ'וטו מסכים באופן חלקי, "זה באמת מאפיין את הישראלים – תושיה , יוזמה ומציאת פתרונות וגם עיגולי פינות אבל בשנים האחרונות, הנושא של מודעות לאבטחת מידע והמשמעות שיכולה להיות לעיגולי הפינות הללו זה כבר לא שם. אני מדבר על פיתוח תוכנה. במקרים של חאפרים שבונים אתרים, שם יש בעיה עמוקה".

בניית אתרי אינטרנט היא תחום עסקי פורח, אך הרבה פעמים נעשה ללא מחשבה על אבטחת מידע. כך נוצרים אתרים ששומרים הרבה יותר מדי מידע מלכתחילה, ולבסוף, לא מגינים עליו כראוי או בכלל.