'שירביט הפכה שעיר לעזאזל'

יו"ר חברת הסייבר CYTEC: דליפות מידע מתרחשות כל יום בכל מקום. בעלי אינטרסים מנופים בפרשת 'שירביט'. הכול מתחיל בנהלים והנהלות.

שמעון כהן - ערוץ 7 , כ"ב בכסלו תשפ"א

'שירביט הפכה שעיר לעזאזל'-ערוץ 7
אילוסטרציה
צילום: iStock

חן חפר, יו"ר חברת הסייבר CyTec, רואה בסערת פרשת 'שירביט' לא יותר מאשר מהלך אינטרסנטי של חברות ביטוח. לדבריו שירביט הפכה לשעיר לעזאזל. שוחחנו עתו על קביעתו זו.

"משחק הסייבר כולל בתוכו הרבה יותר מחברה כמו שירביט או כלל חברות הביטוח", פותח חפר ומדגיש כי "מצער ומרגיז ככל שיהיה, שירביט היא רק חברה אחת, מקור אחד של מידע, וכמוה יש מאות אלפי חברות שמחזיקות עלינו כמעט כל פריט מידע שמסרנו בהתקשרויות שונות לאורך חיינו".

"אף אחד לא יודע איך הם שומרים את המידע עלינו, אבל לשם כך ישנו הרגולטור שאמור לבדוק עבורנו ששירביט וחברות נוספות פועלים כפי שראוי. מדובר באותו רגולטור שפועל מול כולם ולכן אם אצל שירביט זה קרה, מה קורה אצל החברות האחרות? ואם זה קורה, מה עושים אחר כך? איך מתקנים?".

חפר מדגיש כי לפי שעה "אין לנו נתונים לגבי מה שקרה בשירביט ויש הרבה מאוד ספקולציות של הרבה מומחים לכאורה. אני ניזון מהמידע שזולג החוצה ומה שמספרים לנו, אבל לדעתי מה שקרה בשירביט קורה מדי יום". בדבריו הוא מציין אירועים שבהם דליפות המידע הצליחו. "נוכל לראות ארגונים כמו יאהו ואמזון ופייסבוק שגם בהם יש דליפות. ככל שלארגון יש יותר מידע הוא ברמת סיכון יותר גבוהה ואי אפשר לעצור את המידע הזה".

"חשוב להבהיר שאי אפשר להסתמך על טכנולוגיה. תחם הסייבר הוא לא תחום טכנולוגי. מדובר בתחום של אנשים, הנהלות בכירות ותהליכי קבלת החלטות שמאחוריהם טכנולוגיות. הטכנולוגיה לא היא שגורמת לזליגות המידע וטלכן גם לא הפתרונות. הפתרונות נמצאים באנשים בהנהלות בדיווחים וכו'".

דוגמא לדבריו מוצא חפר ברשת מלונות 'מריוט' שמאות מיליוני רשומות דלפו להם ובהם דרכונים, פרטי זהות, אשראי ועוד. "בלילה שבו התבררה הדליפה מנכ"ל הרשת יצא לעולם לקח אחריות ואמר טעינו ונתקן. הם עבדו יומיים שלושה תקנו את הפרצה אחרי יויים שלושה והקימו קרן לתמוך בנפגעים. כלקוח של 'מריוט' קיבלתי גם אני את ההודעה ואת אותה הגנה שהחברה סיפקה ואני חי טוב. אני יודע שפרצות ואירועי אבטחת מידע תמיד יקרו".

ועם זאת, אנחנו שואלים, יתכן בהחלט שיש ב'שירביט' זלזול בנהלים וזלזול זה הוביל לאותה דליפה. חן חפר מסכים להגדרה ומוסיף: "המילה זלזול נכונה וכל מי שמתרגז על מה שקרה בשירביט צודק. אני לא ממעיט באחריות הנהלת שירביט והמילים האומללות של המנכ"ל לא מורידות מהזלזול, אבל מדובר בחברה פרטית ושירביט מנהלת את העסק שלה כמו שכל חברה אחרת מנהלת את עסקיה. אי אפשר לצלוב את החברה הזו כמי שעושה דברים בשונה מחברות אחרות. הטכנולוגיות הן אותן טכנולוגיות שנמצאות בחברות הביטוח האחרות. האם המשמעות היא שאם זה קרה בשירביט הטכנולוגיות לא שוות כלום? לא. האם גם האחרים מזלזלים? לא".

עוד מתייחס חפר לאינטרסים שמאחורי הסערה והוא מזכיר כי רבים מרוויחים מהעלאת הנושא באופן שבו הוא עולה בימים האחרונים, החל מכלי התקשורת שכותרות מהסוג הזה מאפשרות להם למקור יותר, המשך דרך חברות ביטוח שפתאום ממציאות ביטוח חדש, ביטוח סייבר, והלאה ליועצי סייבר שמוכרים את מרכולתם ומרוויחים נוספים מכל המהומה. "אני אומר לאותם יועצים שבו רגע בצד ואל תרקדו על הדם. אני מוכן להציע את שירותי החברה שלי בחינם כי אני לא אוהב להתפרנס מארגונים מדממים. אני לא אוהב להרוויח כסף מארגון כשהוא סובל".

על אופן התנהלותה של 'שירביט' מול ההאקרים במו"מ ולנוכח האיומים להגדלת הכופר, אומר חפר כי מדבור ב"איפיון של התנהלות כאוס, ומי שמכיר אירועי כאס בכל תחום רואה שזה נראה כך. הדרך שבה שירביט מתנהלים מול הצד השני זה כבר גיים אובר. בגלל שלא תרגלנו תכנית סדורה כך אנחנו מתנהלים".

"ארגונים אחרים שרוצים שדבר כזה לא יקרה אצלם, צריכים להכין תכנית כי אירועי דליפת מידע קורים כל הזמן, עובד עוזב את העבודה ולוקח אתו חומר, לא סגרנו משתמש לעובד שעזב ומידע יוצא החוצה כי לא עשינו נהלים וכו'. צריך תרגולים כולל הכנה לאירוע שלא קרה. צריך שתהיה לנו תכנית כדי שנוכל להיכנס לאירוע. אם זה היה קורה בשירביט היינו במקום אחר".

איך מנהלים משבר כזה באופן מסודר ומוסדר? על כך משיב חפר כי "מי שמנהל את האירוע הוא לא המנכ"ל אלא דובר, מישהו שמוסמך לזה ותרגל את זה. חשוב לציין שהדובר לא יכול להיות עובד של החברה, כי הוא מושקע בה אישית. החברה היא חלק ממנו. כמו שלוקחים עורך דין מחוץ לחברה כדי שהרגש לא ישתלט. זה משחרר את המנהלים לשקול מהלכים צורה הגיונית ולא תחת לחץ".

באשר לתפקודם של המנהלים ברגע בו הדוברות מול הציבור יורדת מהם, אומר חפר: "האיום פחות מעניין אותי. מה שההאקרים אומרים פחות מעניין. צריך להסתכל על הסיכון. כדי שאיום יתממש הוא צריך חשיפה. מה עומד מאחורי המידע שדלף? אם האימפקט גדול צריך ללכת בזהירות לדרכי פעולה נכונות, וכל חברה מכירה את העסק שלה והיא יודעת מה ניתן להתייעל ולעשות טוב יותר למען הלקוחות, ומה כבר יצא מידי החברה. אם המידע זלג החוצה הולכים ואומרים שזלג המידע ועכשיו ניתן ביטוח לגניבת זהות, נפצה וכו'. צריך לקחת אחריות כי עכשיו הסיכון הוא למוניטין ולא למידע שזלג".

"למנהלי שירביט הייתי אומר עכשיו ש"אין לנו דרך לטפל במידע לבד מלשחזר אותו ולוודא חזרה של החברה לתפקוד והחזרת המוניטין מול הלקוחות והציבור. אם זו הייתה המטרה שהייתה על הקיר בשירביט החברה לא הייתה יוצאת בהצהרות כפי שראינו בתקשורת", קובע חפר.