תקיפות מקוונות ניתנות לחלוקה לארבע קטגוריות עיקריות:
1. תקיפות להשגת רווח כספי. אלו מבוצעות בעיקר ע"י פושעים (כולל פשע מאורגן) ויעדיהן אתרים פיננסיים כדוגמת בנקים או חברות סליקת כרטיסי אשראי, או אתרים שבהם מתבצעת פעילות כספית.
2. תקיפות ע"י גורמי מדינה או סוכנויות ביון למטרות מגוונות. ביניהן ניתן למנות:
א. איסוף מידע מודיעיני באמצעות שתילת קוד זדוני המשמש כאמצעי האזנה או דלף מידע באופן כלשהו,
ב. פגיעה במערכות שלטוניות כדוגמת אתרי ממשל זמין של מדינות.
ג. פגיעה במערכות המחשוב של תשתיות חיוניות (כדוגמת מתקפות על מערכות ביטחוניות, תעשייה ביטחונית, כורי
גרעין ומערכות הולכת חשמל).
בהקשר זה יש לציין שהמונח "תשתיות חיוניות" שונה ממדינה למדינה ומשתנה גם במהלך השנים. כך למשל בארה"ב הכריזו במהלך שנת 2010 על החברות המייצרות את רכיבי התשתית לתחנות הכוח החשמליות (דודים, טורבינות וכד') כחלק ממגזר התעשייה המשוייך גם הוא לתשתיות חיוניות.
3. "האקטיוויסטים" שמטרתם להציג עמדות פוליטיות ויעדם עשוי להיות מגוון מטרות בהתאם לסוג הקבוצה. לאחרונה קבוצת פורצים המכונה אנונימוס פעלה כנגד חברת SONY וממשלת טורקיה אשר לדברי קבוצת הפורצים פועלת לאכיפת צנזורה מקוונת.
4. אלה שעושים זאת "בשביל הכיף" או פשוט "להראות להם" שאין להם אבטחת מידע. בשבועות האחרונים קבוצת פורצים המכנה עצמה LulzSec עולה לכותרות בשל פעילות פריצה ברמה יומית.
נראה שבשבועות האחרונים, כאילו כל ארבע הקבוצות שבעבר פעלו כל אחת בזמנה היא והותירו לנו "מרווח נשימה" כלשהו בין תקיפה לתקיפה, החליטו "בינן לבין עצמן" שהגיעה העת "לשבור שגרה" או "לשבור את האשלייה של אבטחת מידע" לרכז מאמצים ולהראות כל אחת ממניעיה היא ש"אין אבטחת מידע".
התקיפות על Codemasters ו-Citibank משוייכות לקטגוריה הראשונה. בתקיפה על Citibank, כ-360,000 לקוחות הבנק יודעו שחשבונותיהם מצויים בסיכון אחרי שפורצים בלתי מזוהים זכו לגישה לנתוניהם. לדברי הניו יורק טיימס הפריצה ל-CitiBank התאפשרה עקב כשל אבטחה בסיסי ומביך מאד באתר הציבורי הבנק. לדברי הידיעה, לקוח לגיטימי שהתחבר לחלק האתר שבו מזינים מספר החשבון בכתובת הדפדפן, יכול היה לשנות את מספר החשבון ולקבל נתוני חשבון אחר. הפורצים השתמשו במחולל מספרי חשבון וכך השיגו פרטיהם של מאות אלפי לקוחות.
תקיפת מערכות המחשוב של קרן המטבע הבינלאומית משוייכת ככל הנראה לקטגוריה השנייה. כך גם התקיפות שבוצעו על יצרנית מוצרי אבטחת המידע RSA (בחודש מרץ) שגררה וגוררת אחריה שרשרת של פגיעות בחברות מהגדולות בארה"ב ובעולם לייצור אמצעי לחימה מתקדמים כגון חברת לוקהיד-מרטין (יצרנית מטוס העתיד של חיל האוויר הישראלי, ה-F-35) וחברת L3. חברת החדשות FOX הודיעה ב-1 ליוני כי חברת גרומן יצרנית מערכות לחימה אמריקאית גדולה נוספת החליטה לפי שעה לא לאפשר יותר גישה מבחוץ למערכותיה. האם זה נקיטת אמצעי זהירות לפני (תוצאה אפשרית של תהליך ניהול סיכונים) או מסקנה של אחרי (תוצאה אפשרית של תהליך ניהול משברים). השימוש באמצעי הזדהות השונה מקוד משתמש וסיסמה כדוגמת האמצעי שנמכר ע"י חברת RSA נפוץ יותר בשימוש בגישה מרחוק למערכות הארגון, ופחות נפוץ בשימוש יומיומי בהזדהות מקומית ברשת הפנימית של הארגון.
שניים מארבעת הבנקים הגדולים באוסטרליה (ANZ ו-Westpac) הודיעו כי יחליפו את רכיבי ההזדהות החזקה של RSA ללא עלות ללקוחותיהם. הבנק השלישי (Commonweal) הודיע כי הוא שוקל את צעדיו והבנק הלאומי של אוסטרליה ממלא פיו מים (בנתיים)...
הערה: בשנת 2005 פירסמה חברת Yankee Group מחקר שהצביע שכמות הפגיעויות במוצרי אבטחת מידע מתקרבת לכמות הפגיעויות במוצרי התשתית של טכנולוגיית המידע (מערכות הפעלה ובסיסי נתונים) שמוצרי האבטחה אמורים להגן עליהם. ועל כן, על יצרניות מוצרי האבטחה להיערך לספק טלאי אבטחה למוצריהן באותו האופן שיצרניות מוצרי טכנולוגיית המידע נערכו. באותה המידה על לקוחות מוצרי טכנולוגיית ואבטחת טכנולוגיית המידע להיערך גם הם בהתאם. כעת עברו 6 שנים ועלינו מדרגה. על יצרניות מוצרי אבטחת המידע לוודא כי רמת האבטחה בחברתן מספקת על מנת שניסיון פגיעה בהם לא יפגע בלקוחות שרכשו את מוצריהן.
כאמור פעילותה של אנונימוס מזוהה עם הקטגוריה השלישית. הם עלו לכותרות לפני מספר חודשים כאשר פגעו בחברות כרטיסי אשראי וחברות סליקה אשר הודיעו שיפסיקו לספק שירותים פיננסיים לויקיליקס, עקב בבדלפות של מסמכים סודיים.
קבוצת LulzSec מזוהה (בשלב זה) עם הקטגוריה הרביעית. כמות הפריצות הנזקפות "לזכותה" עולה מיום ליום בקצה מסחרר. פריצה למערך הבריאות האנגלי (NHS), לאתר הסנאט של ארה"ב, לשלוחה של ה-FBI (Infragard), ובעצם נראה שהם יפרצו "לכל מה שזז".
למרות שהנזקים מהפריצות של שתי הקבוצות המשוייכות לקטגוריות השלישית והרביעית מזעריים לעומת נזקי הקבוצות הפועלות בקטגוריות הראשונה והשנייה, דווקא הן אלו התופסות את הכותרות.
ייתכן ובכך על הארגונים לשנות במשהו את ההתייחסות המזלזלת (יחסית) לסיכון הקרוי "סיכון תדמיתי".
סיכון תדמיתי איננו כלול בסיכוני אבטחת המידע הקלסיים: סודיות (Confidentiallity), שלמות ואמינות (Integrity), זמינות ושרידות (Availability). גם הרבה יותר קשה, עד בלתי אפשרי לכמת אותו.
התוצאה הכוללת הינה ש"אין אבטחת מידע". כמות הפריצות עולה בכל יום. אין יום בלי דיווחי פריצה מסוג זה או אחר. אין יום כתבתי? משעה לשעה הולכים ומתרבים דיווחי הפריצה בכל יום. זה איננו (FUD-(Fear Uncertainty Doubt שבהם הואשמו יועצי ומנהלי אבטחת המידע, כאילו הם סתם צועקים "זאב, זאב", אבל כלום בעצם לא קורה... זו המציאות. יהיו הסיבות אשר יהיו, חוסר מקצועיות, רשלנות, זדוניות, שילוב תקיפות מסוגים שונים, מה שתרצו. זה כבר לא משנה.
הרשימה הקודמת (בשפה האנגלית) הציגה את הצד הכלכלי, מדוע אין אבטחת מידע. כי זה פשוט לא השתלם כלכלית. או כך חשבו שזה איננו משתלם כלכלית. באו מחוקקים, רגולטורים, גופים מנחים, תקנים ובעצם, לא שינו את המצב באופן מהותי.
מה קורה בחודשים ובעיקר בשבועות האחרונים? האם למישהו פשוט נמאס? ייתכן. אינני יודע מה התשובה.
נראה בעליל שכמות הפריצות והמשמעויות שלהן צריכות לשנות את העמדות הבסיסיות של ההנהלות הן של יצרני טכנולוגיית המידע והן של הלקוחות העושים שימוש במוצרי טכנולוגיית המידע.
טעות נפוצה היא שהבעיה הינה רק או בעיקר איך להציל אותנו מפגיעה בתשתיות חיוניות. אם נגן עליהן מספיק טוב, או כי אז "ניצלנו מפרל הארבור דיגיטלי" כדברי האמריקנים.
כל מרקם החיים המודרני מבוסס על טכנולוגיית המידע.
1. תקיפות להשגת רווח כספי. אלו מבוצעות בעיקר ע"י פושעים (כולל פשע מאורגן) ויעדיהן אתרים פיננסיים כדוגמת בנקים או חברות סליקת כרטיסי אשראי, או אתרים שבהם מתבצעת פעילות כספית.
2. תקיפות ע"י גורמי מדינה או סוכנויות ביון למטרות מגוונות. ביניהן ניתן למנות:
א. איסוף מידע מודיעיני באמצעות שתילת קוד זדוני המשמש כאמצעי האזנה או דלף מידע באופן כלשהו,
ב. פגיעה במערכות שלטוניות כדוגמת אתרי ממשל זמין של מדינות.
ג. פגיעה במערכות המחשוב של תשתיות חיוניות (כדוגמת מתקפות על מערכות ביטחוניות, תעשייה ביטחונית, כורי
גרעין ומערכות הולכת חשמל).
בהקשר זה יש לציין שהמונח "תשתיות חיוניות" שונה ממדינה למדינה ומשתנה גם במהלך השנים. כך למשל בארה"ב הכריזו במהלך שנת 2010 על החברות המייצרות את רכיבי התשתית לתחנות הכוח החשמליות (דודים, טורבינות וכד') כחלק ממגזר התעשייה המשוייך גם הוא לתשתיות חיוניות.
3. "האקטיוויסטים" שמטרתם להציג עמדות פוליטיות ויעדם עשוי להיות מגוון מטרות בהתאם לסוג הקבוצה. לאחרונה קבוצת פורצים המכונה אנונימוס פעלה כנגד חברת SONY וממשלת טורקיה אשר לדברי קבוצת הפורצים פועלת לאכיפת צנזורה מקוונת.
4. אלה שעושים זאת "בשביל הכיף" או פשוט "להראות להם" שאין להם אבטחת מידע. בשבועות האחרונים קבוצת פורצים המכנה עצמה LulzSec עולה לכותרות בשל פעילות פריצה ברמה יומית.
נראה שבשבועות האחרונים, כאילו כל ארבע הקבוצות שבעבר פעלו כל אחת בזמנה היא והותירו לנו "מרווח נשימה" כלשהו בין תקיפה לתקיפה, החליטו "בינן לבין עצמן" שהגיעה העת "לשבור שגרה" או "לשבור את האשלייה של אבטחת מידע" לרכז מאמצים ולהראות כל אחת ממניעיה היא ש"אין אבטחת מידע".
התקיפות על Codemasters ו-Citibank משוייכות לקטגוריה הראשונה. בתקיפה על Citibank, כ-360,000 לקוחות הבנק יודעו שחשבונותיהם מצויים בסיכון אחרי שפורצים בלתי מזוהים זכו לגישה לנתוניהם. לדברי הניו יורק טיימס הפריצה ל-CitiBank התאפשרה עקב כשל אבטחה בסיסי ומביך מאד באתר הציבורי הבנק. לדברי הידיעה, לקוח לגיטימי שהתחבר לחלק האתר שבו מזינים מספר החשבון בכתובת הדפדפן, יכול היה לשנות את מספר החשבון ולקבל נתוני חשבון אחר. הפורצים השתמשו במחולל מספרי חשבון וכך השיגו פרטיהם של מאות אלפי לקוחות.
תקיפת מערכות המחשוב של קרן המטבע הבינלאומית משוייכת ככל הנראה לקטגוריה השנייה. כך גם התקיפות שבוצעו על יצרנית מוצרי אבטחת המידע RSA (בחודש מרץ) שגררה וגוררת אחריה שרשרת של פגיעות בחברות מהגדולות בארה"ב ובעולם לייצור אמצעי לחימה מתקדמים כגון חברת לוקהיד-מרטין (יצרנית מטוס העתיד של חיל האוויר הישראלי, ה-F-35) וחברת L3. חברת החדשות FOX הודיעה ב-1 ליוני כי חברת גרומן יצרנית מערכות לחימה אמריקאית גדולה נוספת החליטה לפי שעה לא לאפשר יותר גישה מבחוץ למערכותיה. האם זה נקיטת אמצעי זהירות לפני (תוצאה אפשרית של תהליך ניהול סיכונים) או מסקנה של אחרי (תוצאה אפשרית של תהליך ניהול משברים). השימוש באמצעי הזדהות השונה מקוד משתמש וסיסמה כדוגמת האמצעי שנמכר ע"י חברת RSA נפוץ יותר בשימוש בגישה מרחוק למערכות הארגון, ופחות נפוץ בשימוש יומיומי בהזדהות מקומית ברשת הפנימית של הארגון.
שניים מארבעת הבנקים הגדולים באוסטרליה (ANZ ו-Westpac) הודיעו כי יחליפו את רכיבי ההזדהות החזקה של RSA ללא עלות ללקוחותיהם. הבנק השלישי (Commonweal) הודיע כי הוא שוקל את צעדיו והבנק הלאומי של אוסטרליה ממלא פיו מים (בנתיים)...
הערה: בשנת 2005 פירסמה חברת Yankee Group מחקר שהצביע שכמות הפגיעויות במוצרי אבטחת מידע מתקרבת לכמות הפגיעויות במוצרי התשתית של טכנולוגיית המידע (מערכות הפעלה ובסיסי נתונים) שמוצרי האבטחה אמורים להגן עליהם. ועל כן, על יצרניות מוצרי האבטחה להיערך לספק טלאי אבטחה למוצריהן באותו האופן שיצרניות מוצרי טכנולוגיית המידע נערכו. באותה המידה על לקוחות מוצרי טכנולוגיית ואבטחת טכנולוגיית המידע להיערך גם הם בהתאם. כעת עברו 6 שנים ועלינו מדרגה. על יצרניות מוצרי אבטחת המידע לוודא כי רמת האבטחה בחברתן מספקת על מנת שניסיון פגיעה בהם לא יפגע בלקוחות שרכשו את מוצריהן.
כאמור פעילותה של אנונימוס מזוהה עם הקטגוריה השלישית. הם עלו לכותרות לפני מספר חודשים כאשר פגעו בחברות כרטיסי אשראי וחברות סליקה אשר הודיעו שיפסיקו לספק שירותים פיננסיים לויקיליקס, עקב בבדלפות של מסמכים סודיים.
קבוצת LulzSec מזוהה (בשלב זה) עם הקטגוריה הרביעית. כמות הפריצות הנזקפות "לזכותה" עולה מיום ליום בקצה מסחרר. פריצה למערך הבריאות האנגלי (NHS), לאתר הסנאט של ארה"ב, לשלוחה של ה-FBI (Infragard), ובעצם נראה שהם יפרצו "לכל מה שזז".
למרות שהנזקים מהפריצות של שתי הקבוצות המשוייכות לקטגוריות השלישית והרביעית מזעריים לעומת נזקי הקבוצות הפועלות בקטגוריות הראשונה והשנייה, דווקא הן אלו התופסות את הכותרות.
ייתכן ובכך על הארגונים לשנות במשהו את ההתייחסות המזלזלת (יחסית) לסיכון הקרוי "סיכון תדמיתי".
סיכון תדמיתי איננו כלול בסיכוני אבטחת המידע הקלסיים: סודיות (Confidentiallity), שלמות ואמינות (Integrity), זמינות ושרידות (Availability). גם הרבה יותר קשה, עד בלתי אפשרי לכמת אותו.
התוצאה הכוללת הינה ש"אין אבטחת מידע". כמות הפריצות עולה בכל יום. אין יום בלי דיווחי פריצה מסוג זה או אחר. אין יום כתבתי? משעה לשעה הולכים ומתרבים דיווחי הפריצה בכל יום. זה איננו (FUD-(Fear Uncertainty Doubt שבהם הואשמו יועצי ומנהלי אבטחת המידע, כאילו הם סתם צועקים "זאב, זאב", אבל כלום בעצם לא קורה... זו המציאות. יהיו הסיבות אשר יהיו, חוסר מקצועיות, רשלנות, זדוניות, שילוב תקיפות מסוגים שונים, מה שתרצו. זה כבר לא משנה.
הרשימה הקודמת (בשפה האנגלית) הציגה את הצד הכלכלי, מדוע אין אבטחת מידע. כי זה פשוט לא השתלם כלכלית. או כך חשבו שזה איננו משתלם כלכלית. באו מחוקקים, רגולטורים, גופים מנחים, תקנים ובעצם, לא שינו את המצב באופן מהותי.
מה קורה בחודשים ובעיקר בשבועות האחרונים? האם למישהו פשוט נמאס? ייתכן. אינני יודע מה התשובה.
נראה בעליל שכמות הפריצות והמשמעויות שלהן צריכות לשנות את העמדות הבסיסיות של ההנהלות הן של יצרני טכנולוגיית המידע והן של הלקוחות העושים שימוש במוצרי טכנולוגיית המידע.
טעות נפוצה היא שהבעיה הינה רק או בעיקר איך להציל אותנו מפגיעה בתשתיות חיוניות. אם נגן עליהן מספיק טוב, או כי אז "ניצלנו מפרל הארבור דיגיטלי" כדברי האמריקנים.
כל מרקם החיים המודרני מבוסס על טכנולוגיית המידע.
ללא שינוי מהותי בשילוב אבטחת המידע בטכנולוגיית המידע ולא רק אצל לקוח הקצה, יהיה זה הבנק או חברת הביטוח או בית החולים או מערך המיחשוב של בית המחוקקים ומשרדי הממשלה, או תחנת הכוח, או מפעל המים, או הממשל המקומי, או מערכת בתי המשפט, או מפעלי התעשייה או... כל מקום שבו מוטמעת טכנולוגיית מידע, אלא החל משלבי ייצורה של טכנולוגיית המידע, לא יימצא פיתרון ראוי.
אבטחת מידע מתחילה או אמורה להתחיל ב-ה-ת-ח-ל-ה ולא באמצע או בסוף. לכל אחד בשרשרת הייצור והשימוש של מערכות טכנולוגיית המידע תפקידו הוא באבטחת המידע.
כך זה לא יכול להימשך.
אבטחת מידע מתחילה או אמורה להתחיל ב-ה-ת-ח-ל-ה ולא באמצע או בסוף. לכל אחד בשרשרת הייצור והשימוש של מערכות טכנולוגיית המידע תפקידו הוא באבטחת המידע.
כך זה לא יכול להימשך.
מעניין תודה.
השבמחק