שקיפות אירועי אבטחת מידע פוסט קצר

בוקר טוב,

בעקבות אירועי חשיפת פרטי כרטיסי אשראי מועלה נושא שקיפות אירועי אבטחת המידע בהתייחס ליידוע קורבנות החשיפה ומדובר על החוק הקליפורני.

שתי הערות:

1. בארה"ב במגזר הבריאות קיימת חקיקה פדרלית:

(Health Information Technology for Economic and Clinical Health (HITECH)

המחייבת ארגון שחל עליו חוק ה-HIPAA ושותפיו העסקיים (והחשיבות לשותפים עסקיים הינה משמעותית, שכן לדוגמה ארגון המספק שירותי גיבוי לארגון בריאות הדרישה חלה עליו) החל מספטמבר 2009 אשר התרחש אצלו אירוע שגרם (פוטנציאלית) לחשיפת מידע אישי על יותר מ-500 אנשים (ללא קשר האם מדובר באירוע ממוחשב או תדפיס נייר), לדווח על האירוע למשרד הבריאות האמריקאני. ואז, שומו שמיים, מתרחש הלא יאומן, הדיווח מועבר ע"י משרד הבריאות לאתר אינטרנט, וכל העולם יכול לראות במה מדובר.

להלן קישור:

http://www.hhs.gov/ocr/privacy/hipaa/administrative/breachnotificationrule/HealthInfoBreaches.csv

החל מספטמבר 2009 ועד להיום מדובר במספר הלא יאמן של: 18,059,831 כן מעל 18 מליון רשומות.

קישור על מנת לקרוא על החקיקה והשינוי בארה"ב:

http://www.hhs.gov/ocr/privacy/hipaa/administrative/breachnotificationrule/index.html

2. ככלל, בעולם נושא השקיפות בדיווח על אירועי אבטחת מידע הרבה הרבה הרבה יותר מפותח מאשר בישראל.

גם בנושא זה יש לנו הרבה מה ללמוד ולא להתהדר כאילו אנחנו "מתקדמים".

ועוד בעניין גניבת מספרי כרטיסי האשראי

במסגרת פורטל השירותים והמידע הממשלתי, פורסמה כתבה קצרה אשר בפתיחתה ישנם הקישורים לשלושת חברות כרטיסי האשראי (לאומי קארד, ויזה וישראכרט) המספקות אפשרות לבדוק באינטרנט (כל אחת לכרטיסיה היא) האם כרטיס מצוי ברשימה של הכרטיסים שנחשפו.
כמו כן מצוי בכתבה זו מידע תמציתי וחשוב לאזרח כיצד להתגונן בעת פעילותו ברשת האינטרנט.
קישור לאתר הממשלתי: http://www.checkfraud.gov.il/
קישור נוסף: http://www.gov.il/FirstGov/News/News_CreditCard.htm

מדינה כמרקחה, בגלל בעיה ברמה של כיתה ב' באבטחת מידע

מדינת ישראל כמרקחה. כווווווולם מתראיינים, כותבים והכותרות זועקות "הפריצה של ההאקרים הסעודיים היא תחילתה של מלחמת סייבר", "מאות אלפי אזרחי המדינה בסכנה"... ועוד כהנה וכהנה.

איפה נעוצה הבעיה האמיתית?

הבעיה היא שאנחנו כאזרחים מרמים את עצמנו. נוח לנו שהטכנולוגיות החדישות זמינות, זולות, לא דורשות לימוד מעמיק והכל עובד והכל נגיש בפשטות, והכל עומד לרשותנו. פשוט ככה בלי כל עיה. נכון?

אז זהו שזה בחלקו בלוף. הטכנולוגיות זמינות, נגישות, תפעוליות בנוחות מירבית כי אנחנו כאזרחים,משתמשים, מצפצפים על הגנתן והגנת המידע האגור, מעובד או מועבר בתקשורת באמצעות טכנולוגיות אלו.

ניתן לממש אבטחת מידע, אבל זה יגרום לכל התהליך של תכנון, ייצור, שיווק ושימוש בטכנולוגיות המידע המודרניות להיות איטי יותר, יקר יותר ועלול חס וחלילה גם להיות פחות נוח לשימוש.

על כן, חלק מאתרי אינטרנט האוגרים מידע רגיש שלנו לא מאובטחים כיאות, כי אנחנו מוכנים לעבוד מולם גם אם לא עמדו בדרישות האבטחה הנדרשות. למה? כי אנחנו כאזרחים לא מתענינים מספיק בנושא.

דרך אגב, דווקא במגזר כרטיסי האשראי קיימת הסדרה רגולטורית מעניינת. הרגולטור במקרה זה הינן חברות כרטיסי האשראי עצמן, באמצעות מועצה שהוקמה על ידן. התקן הבסיסי נקרא PCI-DSS ואלו ראשי תיבות של:

Payment Cardsystems Industry - Data Security Standards

https://www.pcisecuritystandards.org/index.php

ניתן להתווכח לגבי התקן ויש על מה להתווכח. אבלללללללללל, יישום (לכל הפחות) של הדרישות הינו חיוני על מנת להתמודד ברמה הבסיסית מול מתקפות ברמה כפי שהתקיפה שבוצעה הייתה.

זו ממש תקיפה ברמה של כיתה ב'. ואת זה אומרים כל מומחי האבטחה שעלו ודיברו וכתבו ביומיים האחרונים.

אנחנו כאזרחים, כמשתמשים בשירותים של מארחי אתרי האינטרנט, של החנויות בהם אנו רוכשים באמצעות כרטיס אשראי ובכל מקום בו אנו מוסרים את מספר כרטיס האשראי כאמצעי תשלום, עלינו מוטלת החובה לברר האם הארגון שמקבל מאיתנו את מספר הכרטיס מאובטח כיאות, כלומר עומד בתקן או בתהליך עמידה בתקן.

אם לא נתחיל לשאול, לא יקרה דבר. נתחיל לשאול, המצב לא ישתנה בן לילה, אבל משהו כן ישתנה. כל הבעיות ייפתרו עקב כך? לא. המצב ישתפר, כן. תקיפה מהסוג שהתרחשה, ככל שידיעתי מגעת היום, הייתה נכשלת. זה מספיק טוב לטעמי.

בקיץ דיברנו על מהפיכה חברתית. רבותי קוראי הבלוג, נדרשת מהפיכה באופן שאנו מתייחסים לאבטחת המידע. זו לא הבעיה של הארגונים בלבד. זו קודם כל הבעיה שלנו כצרכנים. ויש מה לעשות בנושא.

השאלה: האם אנחנו נהיה מוכנים גם לשלם את המחיר של מהפיכה זו?