בואו לגלות את עמוד הכתבה החדש שלנו
${m.global.stripData.hideElement}
 

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

אם ההאקינג לא מספיק, פורצים לעסק

כתב אישום שהוגש לאחרונה נגד שלושה תושבי סיאטל מגלה שהם שילבו פריצות מקוונות עם פיזיות. מה אפשר לעשות כדי להתגונן ממקרים דומים?

תגובות

מסתבר שרשויות החוק, לפחות בארה"ב, כן עושות משהו כדי להגן עליכם מפני cybercrime. קחו לדוגמא כמה מקרים מהעת האחרונה: המקרה שזכה כנראה לחשיפה התקשורתית הרחבה ביותר היה מעצרו של כריסטופר צ'ייני - החשוד בפריצה לטלפונים סלולריים וחשבונות האימייל של סלבריטאים הוליוודים ופרסום של תמונותיהם הפרטיות באינטרנט. כתב האישום נגד צ'ייני כולל פריצה לתיבות המייל של יותר מ-50 אישים מתעשיית הבידור ההוליוודית והפרה של כ-26 סעיפים בחוק המתייחסים לפריצה למחשבים אישיים, גניבת מידע ופגיעה בפרטיות.

מקרה נוסף שפורסם לאחרונה אך לא זכה לחשיפה תקשורתית רחבה היה הקפאה של נכסים בשווי 14.8 מיליון דולר של צמד האקרים, שהושגו לטענת התביעה באמצעות מכירה והפצה של תוכנות אנטי וירוס מזויפות. אם וכאשר יתפסו צפויים בג'ורן סונדין ושאילאסקומר ג'יין, שכרגע מבוקשים על ידי המשטרה, לעמוד בפני כתב אישום של 100 מיליון דולר.

האקר עם לום ומפתח גנבים

אבל המקרה שבעיקר צריך לעניין מנהלי רשתות ואנשי IT של עסקים קטנים ובינוניים הוא סיפור מעצרם של שלושה גברים בשנות ה-30 לחייהם מסיאטל החשודים בהאקינג, הונאה וגניבת זהות. עיון בכתב ההאשמה נגדם, שפורסם על ידי משרד התובע של מחוז וושינגטון בארה"ב מגלה שהשלושה לא נאשמים רק בהאקינג לרשתות של יותר מתריסר בתי עסק, אלא ששיטות הפעולה שלהם כללו פריצה פיזית לבתי עסק ומשרדים (יותר מ 40), גניבה של ציוד מחשבים וציוד אישי ומשרדי נוסף כדי שלאחר מכן ישמש אותם בהוצאה לפועל של ההונאות המכניסות יותר. לדוגמא, הם השתמשו בפרטים גנובים של כרטיסי אשראי על מנת לרכוש ציוד מחשבים וציוד יוקרתי אחר בשווי עשרות אלפי דולרים ולאחר מכן נהגו למכור את אותו ציוד. הם הצליחו להשיג מידע אודות משכורות העובדים בחברות מסוימות ושינו את הנתונים כך שהמשכרות הועברו לחשבונות בנק שבשליטתם. בנוסף, העבירו השלושה כספים מחשבונות החברות לכרטיסי אשראי נטענים מה שאפשר להם לפדות את הכספים למזומן בקלות רבה.

לפי ג'ני דורקאן, משפטנית אמריקנית המכהנת כראש המחלקה לענייני Cybercrime של הממשל האמריקאי, המיוחד במקרה הזה הוא השילוב של פשיעה "מסורתית" עם פשיעה טכנולוגית מתוחכמת. לדוגמה, השלישייה נהגה לפרוץ לבתי עסק כדי לגנוב ציוד מחשבים שבאמצעותו הם יכלו לפרוץ לרשת המחשבים של אותו העסק. לדבריה הם הסבו לפחות רכב אחד לצורך wardriving (חיפוש של רשתות אלחוטיות חינמיות באמצעות מחשב נייד על ידי אדם ברכב נוסע) כדי לפרוץ לרשתות אלחוטיות שמהן הם נהגו לגנוב מידע או להשתמש בהן על מנת לבצע הונאות נוספות מבלי להיחשף.

חשדם של כמה מבעלי העסקים שנפרצו התעורר לאחר שזיהו כל מיני אי סדירויות בחשבונות. הודות לערנותם, השלושה נתפסו ועומדים מול כתב אישום חמור בן עשרה עמודים. אם יורשעו צפוי להם מאסר של עד 15 שנה וקנס של 250,000$ כל אחד.

ערנות זו בהחלט תכונה רצויה אצל כל עובד בעסק, אך להסתמך רק על ערנות העובדים זה לא מספיק. על בעל העסק או מנהל ה IT לנקוט צעדים שימנעו פריצה כזו מצד אחד, ומצד שני עליו לגבש תוכנית פעולה ברורה להתמודדות עם פריצה כזו במידה שאכן התרחשה, על מנת למזער את הנזק.

ברור כיום לכל בעל עסק שהרשת האלחוטית שלו חייבת להיות מוצפנת ברמת הצפנה שמתאימה לתחום העיסוק (או לפחות אני מקווה שזה ברור) ושכדאי לנהל תיעוד של כל ציוד המחשוב ולבצע בקרה מדי פעם כדי לוודא שאף מחשב או סמארטפון לא נעלם. גם התגוננות מפני פריצה פיזית היא דבר שהוא מובן מאליו ויש לכך אמצעים רבים: סורגים, אמצעי זיהוי בכניסה, אזעקה וכו'.

החוליה החלשה

אבל הדבר החשוב ביותר, והוא כנראה הפקטור העיקרי ביותר בסיפור הזה, הוא הטיפול בעובדים עצמם ובמדיניות החברה שתאתר ותמנע ניסיונות חיצוניים (או פנימיים) "לעקוץ" את החברה.

מדיניות אבטחת מידע בחברה חייבת להיות מוכרת, ברורה ושקופה לכל עובד והיא חייבת להיאכף בצורה מחמירה על ידי האחראי לכך. מוטב גם להתייחס בחשיבות רבה לדיווחים של עובדים שהחשבונות הפרטיים שלהם נפרצו, במיוחד אם מדובר בתופעה מתרחבת באותו ארגון.

כיום גם הסמארטפונים מערבבים בין העולם הפרטי לעסקי (העובד משתמש בסלולרי בשעות הפנאי, מנווט באמצעותו בדרכים ומצלם איתו את הילדים והמשפחה) אותו ארגון חייב להיות בעל אפשרות להגיב באופן מיידי במקרים בהם אבד או נגנב לעובד המכשיר הסלולרי, למשל על ידי שילוב של מנגנון למחיקה מרחוק של כל המידע.

כמה עולה ידע?

אבטחת מידע היא לא עניין פנימי בלבד של הארגון אלא עניין שרשויות החוק צריכות להיות מעורבות בו. לאחרונה דווח בתקשורת על פענוח המקרה של דליפת מאגרי המידע של מרשם האוכלוסין לאחר 5 שנים, אך נקודת האור בסיפור המתמשך הזה היא שמרגע שהטיפול בחקירה הועבר ליחידה מיוחדת שמתמחה בפשיעה מקוונת, הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים (רמו"ט), החקירה נכנסה להילוך גבוה ופוענחה יחסית במהירות. לכן עסקים קטנים או גדולים חייבים להבין שמידע שווה הון, ופגיעה בו היא פשע לכל דבר אשר מחייב מעורבות של רשויות החוק.
.

גלעד הראל הוא דובר חברת ESET בישראל



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות
*#
בואו לגלות את עמוד הכתבה החדש שלנו