אם עד לא מזמן עולם הסייבר היה נראה ממוקד בהאקרים ממזרח אירופה ומסין שמנסים לגרוף נתונים ואיתם כספים או מגמות עוינות אחרות הרי שכעת הדברים נראים אחרים לחלוטין.
לנוכח החשדות לניסיון סחיטה בחברת לאומי קארד עולה חשש לחוסר אמון ציבורי בחברות שאמורות לשמור לנו על נתוני האשראי שלנו.
בראיון ליומן ערוץ 7 פורס מנכ"ל חברת הסייבר Cytegic ונשיא האיגוד הישראלי לביקורת ואבטחת מערכות מידע, שי זנדני, את הסכנות העכשוויות ואת הדרכים ההכרחיות לבלימת הסיכון הממוחשב הזה.
לדבריו "כל נושא גניבת נתונים הפך לפשוט". בעבר היו האקרים מתקינים תוכנה זדונית שהייתה שומרת נתונים ומעבירה אותם למי שהיה מציע את הנתונים למכירה תמורת כמה עשרות סנטים או עשרות דולרים, סכומים שהיו מצטברים לסכומי עתק כאשר מדובר במיליוני פריטי מידע. הנתונים שימשו גם לגניבת כספים וגם לרכישות בעסקאות שעברו מתחת לרדאר ללא תשומת לב, ועד שנעשתה התראה ההאקר קיבל את הטובין לידיו, מסביר זנדני.
לעומת זאת המציאות כיום הרבה יותר מורכבת וכשמדובר בחברה כמו לאומי קארד המציאות מסובכת ומסוכנת עוד יותר. כל עוד מדובר בעובד בחנות, גם אם התקין משהו או שהותקן ללא ידיעתו, הרי שההתמודדות היא מול חברה שנותנת שירות, אך כאשר מדובר בחברה כמו לאומי קארד הרי שיש בידיה את כל הנתונים "ואם שם יש מישהו שגונב מידע הבעיה חמורה יותר".
"לפני עשרים שנה כשדיברנו עם אנשי אבטחת מידע דובר על 80 אחוז איומים מתוך הארגון ועשרים אחוזים איומים שמגיעים מחוצה לו. עם התפרצות התקפות הסייבר הנתונים דיברו כבר על יחס של 50 אחוזים. המגמה הזו מלמדת שארגונים הזניחו את הטיפול באיומים הפנימיים. המשאבים מופנים לאיומים חיצוניים", אומר זנדני ומציין כי "יש כאן סוג של איום שקיים הרבה זמן".
איום זה של העברת כמויות המידע באופן קל ביותר מחייב בקרה בדרכים שונות. זנדני מציג בדבריו כמה מהן: "לפני קבלת כל עובד יש סטנדרט של בדיקות המקובלות וידועות לעובד. בחלק מהמקרים העובד עצמו מציג את הנתונים. העניין הוא שלאחר שעברת את הכניסה "שכחו ממך", אתה כבר בתוך הארגון, אבל, וכך נוהגים בארגונים ביטחוניים, לאורך זמן עובדים צריכים לעבור תהליך של שימור עובדים. אחת לתקופה בודקים את העובדים", הוא אומר ומספר כיצד כאשר שירת בחיל האוויר, שם היה ראש תחום אבטחת המידע בחיל האוויר, התקיימו בדיקות פוליגרף לעובדים אחת לחצי שנה. "זה הסטנדרט. חלק מהארגונים לא נוהגים לפי הסטנדרט הזה, אבל זה הכרחי כי יש מירמור מצטבר אצל עובדים ורצוי למנהלים לגלות את זה מוקדם".
"בקרה נוספת היא נהלי אבטחת מידע מוכרים - הפרדת סמכויות, זיהוי עובדים שחשופים למידע רגיש, לעיתים מגלים עובד שנרשם לשאילתות חריגות בהיקפן, עובד שאמור היה לתת שירות למאה לקוחות נרשם מאה אלף שאילתות, מציאות כזו מחשידה. יש כלים שונים לגלות את הממוצע ואת החריגות. יש נורות אדומות שמאפשרות למנהלים ולאנשי הבקרה לזהות את הסממנים שצריך לבדוק".
ומה באשר ליחס בין המעקב אחרי העובד לבין זכויות הפרט שלו? איך עוקבים אחרי עובדים במקביל למתן תחושה נוחה וגמישות בעבודה? כאן, מסביר זנדני, מתחלקות הגישות לשתי עיקריות בעוד הישראלית נמצאת איפשהו באמצע - הגישה האמריקאית מחייבת את העובד לחתימה על מסמכים שמאפשרים מעקב מתמיד.
העובד יודע שהמחשב הדיסקים וכו' הם רכוש העבודה. לעומת זאת הגישה האירופאית ממוקדת יותר בצידוד אחרי זכויותיו של העובד וקיום הגבלות על המעביד המבקש לעקוב ולחדור לפרטיותו של העובד.
"בכל מקרה המעסיקים מחוייבים להודיע לעובדים שתפעול המחשבים והרשתות נמצא במעקב", אומר זנדני ומדגיש כי "האיום הפנימי הוא לפחות כמו הפנימי. אסור לשכוח את הבקרות הפנימיות. חלק ניכר מהתקפות הסייבר קורות באמצעות עובדים מבפנים. אם אני משחד עובד שנחשף לנתוני לקוחות זו החוליה החלשה, בוודאי אם מדובר בשוחד של כמה מיליוני דולרים שעבור ארגוני טרור הוא כסף קטן".