 | | | פורצים מבית | |
|  | | הפריצה למחשבי בנק לאומי צריכה לעורר הרבה נורות אדומות, אך לא ממש מפתיעה * בשבוע האחרון בלבד אירעו ניסיונות פריצה למחשבי מייקרוסופט ואיי-בי-אם * עיקר הסכנה לדליפת מידע היא מצד עובדים שסרחו * "מקורם של 75 אחוז מהנזקים הוא אנשים מתוך המערכת", אומר מומחה לאבטחת מחשבים * החוקרים מעריכים: גם הפורצים לבנק לאומי נעזרו במידע פנימי | |
| | | | |  | שלא יהיה שום ספק: הדיווח על החדירה למחשבי בנק לאומי הוא יחיד במינו. לא משום שאין חדירות כאלה. להפך. גניבות ממוחשבות ופריצות למאגרי מידע של גופים ציבוריים, משרדי ממשלה, בנקים, חברות אשראי וביטוח וגופים אחרים מתרחשות כל העת. הן פשוט נחשפות לעתים נדירות.
בעולם ידועים מקרים לא מעטים של האקרים שגנבו מחברות אשראי, מבנקים ומחברות גדולות קבצים שבהם מספרים של אלפי כרטיסי אשראי של לקוחותיהם, ודרשו כופר תמורת הימנעות משימוש בהם לרעה. גם כאן, על כל מקרה שדווח לציבור, סביר להניח כי קיימים מקרים רבים שלא דווחו. החברות משלמות, שותקות, ומנסות לשפר את מערך האבטחה שלהן לקראת הסיבוב הבא-רק שהלקוחות לא ישמעו על כל הסיפור המביך. | |  | |  |
| |  | |  | אין אטימה מוחלטת
| |  | | | היוצא מהכלל היה בנק הדואר, שהתלונן במשטרה על החדירה למאגרי המידע שלו, שבוצעה באופן אלחוטי באמצעות הסניף בשכונת דניה שבחיפה, בדצמבר 2003. אולם הכלל הרווח בתחום הוא שבמרבית המקרים מעדיפות החברות לכבס את הכביסה המלוכלכת בתוך הבית, גם אם המשמעות היא להיכנע לסחטנות, לספוג גניבה או פגיעה כלכלית אחרת. שיטות הפגיעה מגוונות. החל מפריצה למאגר החשבונות של בנק והעברת כספים מחשבון לחשבון, וכלה בפריצה למאגרי מידע וגניבת מידע רגיש, במטרה לסחוט את הגוף הפרוץ.
"בשבוע האחרון אירעו לפחות שלושה אירועים שכולם נוגעים לבעיה האקוטית מאוד של אבטחת המידע", אומר אריה אופנר, מנכ"ל הסניף הישראלי של חברת CA, מחברות התוכנה הגדולות בעולם, שמתמחה גם באבטחת מידע. "הראשון הוא דליפת קוד המקור של מערכת'חלונות' של מייקרוסופט. השני הוא רכיב התוכנה של פרויקט החץ, שחברת איי-בי-אם העבירה לסניף שלה במצרים. האירוע השלישי הוא הפריצה למערכות המחשב של בנק לאומי".
לדברי אופנר, משמעות הפריצה לבנק היא שאין אבטחה מוחלטת. "בעבר הפורץ היה מצטייד בסולם ובכלי פריצה", הוא מספר. "הפורץ המודרני מצטייד במחשב נייד, ומנסה להתחבר אל מערכות המחשב. בשני המקרים, בהתגוננות מפני פריצה פיזית ובפריצה אלקטרונית, בלתי אפשרי ליצור חסימה מוחלטת. ולכן אנחנו מדברים על העלאת סף הפריצה".
הפורצים לבנק לאומי הצליחו, ככל הנראה, לחדור למתקן "קש"ב" המאובטח של בנק לאומי, הממוקם בלוד, ומשמש כמרכז המחשבים הארצי של הבנק. הם ניתקו את אחד המחשבים שבעמדות המתכנתים מהרשת, וחיברו במקומו מחשב נייד שנשאו איתם. הם היו מצוידים במידע פנימי שאיפשר להם לחדור לרשת ולהגיע למחשב המרכזי של הבנק. ממנו הם העתיקו קובץ המכיל את רשימת אלפי הלקוחות העסקיים שחייבים כסף לבנק, הכוללת את הפרופיל הכלכלי שלהם, גודל החוב והעירבונות שנתנו, ולאחר מכן מחקו את הקובץ מן השרת. עם זאת, הנתונים היו מגובים ושוחזרו בעת גילוי הפריצה. | | | | |
| | | | | "כל אחד חשוף"
| | | | | לבנק לאומי, כמו לכל ארגון אחר שספג כבר את הפגיעה שנוצרה מעצם הפריצה, אין שום אינטרס להוסיף לנזק הכספי גם נזק תדמיתי, ולהגיש תלונה במשטרה. מה גם שהארגון אינו מאמין שהמשטרה תוכל לתפוס את הגנב ולהשיב לו את הנתונים או הכסף שנגנב. כך עשה גם בנק לאומי במקרה זה, כאשר ניגש לחברת חקירות פרטית וביקש ממנה לחקור את העניין בסודיות. הוא עדכן את המשטרה, אולם לא הגיש תלונה, ואף לא עדכן את המפקח על הבנקים, למרות שהיה חייב לעשות כן לפי הנחיותיו של האחרון.
הפריצה לבנק מדאיגה אלא רק את לקוחותיו הבנק, אלא גם את חברי-הכנסת. ועדת המדע והטכנולוגיה של הכנסת תקיים ישיבה דחופה בעקבות המקרה שנחשף. "הפריצה למחשבי הבנקים מהווה סכנה לחשבונות הציבור", אומרת יו"ר הוועדה, חברת-הכנסת מלי פולישוק-בלוך (שינוי). " אם המחשב המרכזי של גוף כמו בנק לאומי נפרץ, הרי שישנה סכנה ממשית שהכל פרוץ. כאשר גורמים אינטרסנטיים פורצים למחשב המרכזי של בנק לאומי, הרי שהשמים הם הגבול - מעכשיו כל אחד מאיתנו עלול להיות חשוף לסחיטה ולגניבה. על הבנק חלה חובת הזהירות והוא האחראי לשלום רכושם של לקוחותיו. עצם ניסיון הבנק להסתיר מידע מהלקוחות הוא חמור לכשעצמו". | | | | |
| | | | | לחסום עובדים שפוטרו
| | | | | בנק לאומי דווקא זוכה להערכה בקרב אנשי אבטחת המידע, בזכות רמת הערנות ואבטחת המידע שבו. גורם שביקר בבניין קש"ב, אותו בניין שממנו על-פי החשד נגנב המידע, סיפר ל"מעריב" כי מדובר בבניין הכולל מערכות אבטחה רבות, הן מבחינה פיזית והן מבחינת אבטחת המידע. החדירה אליו, העריך אותו גורם, צריכה להיות קשה במיוחד, או שנערכה על-ידי גורם פנימי, למשל עובד של הבנק.
"יותר מ-75 אחוז מהנזקים לארגונים בנושאי אבטחת מידע מקורם בפריצה או בכשל של אנשים מתוך המערכת", מדגיש אופנר. "באופן טבעי, הנושא הזה זוכה למעט כותרות, כי ארגונים מנסים לחשוף כמה שפחות את הסיכונים האלה. ארגונים וחברות צריכים לשלב בין הגנה פיזית והגנה מחשובית. המערכת צריכה להיות מסוגלת לזהות מי אתה, באיזה חדר אתה יושב כשאתה ניגש למערכת המחשוב, באיזה יום ובאיזו ושעה. המערכת צריכה להיות מסוגלת לבדוק אם כל הנתונים האלה הגיוניים עבור אותו עובד, ולחסום אותו כאשר משהו נראה חריג".
גם עובדים שסיימו את עבודתם בארגון עלולים להוות סכנה. "בחלק מהמקרים לא מבוטלים שם המשתמש והסיסמה של העובד, וקיימת אפשרות, לא תמיד תיאורטית, של שימוש בחשבון ובגישה לנתונים, שהיתה מורשית לאותו משתמש, עלידי מתחזים", מסביר אופנר. "אפשרות אחרת היא שתילת קוד זדוני בתוך התוכנות הקיימות בארגון או בבנק, ואת זה הטכנולוגיה הנוכחית מתקשה עדיין לזהות".
לפי הדיווח של ערוץ 10 בנוגע לפריצה בבנק לאומי, התבצעה פריצה פיזית למתקן של הבנק, שבאמצעותה הושגה הנגישות אל המחשב. אתמול הודיע הבנק כי לא נמצאו ראיות לכך שבוצעה פריצה פיזית, כך שההסתברות לכך שמדובר בשימוש לרעה של אחד העובדים במחשב האישי שלו גדלה.
"המקרים של בנק לאומי ושל בנק הדואר מראים, שהסכנה האמיתית אורבת מתוך הבנק ולא מבחוץ", אומר אופיר ארקין, מומחה אבטחה ומנהל האבטחה בחברת "012 קווי-זהב". " ברגע שיש לאדם מבפנים גישה פיזית לרשת המידע, האפשרויות שלו לפרוץ אותה מאוד מגוונות. מספיק שיחבר לרשת מחשב נייד ". | | | | |
| | | | | 250,000 לקוחות גולשים לבנק
| | | | | בשלוש השנים האחרונות מנהלים הבנקים קמפיין נמרץ כדי לשכנע את לקוחותיהם להצטרף לבנקאות האינטרנט. ואכן, על-פי ההערכות במערכת הבנקאית, כ-250 אלף לקוחות מקבלים כיום שירותים באמצעות הרשת.
התהליך לא היה פשוט. הפיקוח על הבנקים לא מיהר לאשר את צירוף הלקוחות לשירות בנקאות האינטרנט קודם שווידא כי מערכות האבטחה של הבנקים פועלות כנדרש. המפקח חייב היה להיות בטוח שהאקרים למיניהם לא יצליחו לפרוץ את המערכות המאובטחות ולהגיע לקודש הקודשים של המערכת הבנקאית. זו הסיבה לכך ששירות האינטרנט הבנקאי הופעל בהדרגה.
תחילה ניתן היה לקבל אך ורק מידע על מצב החשבונות והחיסכון. בשלב השני כבר ניתן היה לבצע פעולות אקטיביות בחשבון, כמו קניית פקדונות שקליים או רכישת ניירות-ערך. בשלב השלישי והאחרון, שהחל לפני כשנה, כבר ניתן היה לבצע העברות כספיות מחשבונו של הלקוח לחשבון אחר לצורך תשלומי חשבונות טלפון, חשמל, מים ועוד.
האם כדאי ומשתלם ללקוח לבצע פעולות באמצעות האינטרנט? בדרך כלל כן. ראשית, זה רווחי יותר. הבנקים מעניקים בדרך כלל הנחה של כ-20 אחוז על העמלות, וכשמשקיעים את הכסף מקבלים ריבית גבוהה יותר על הפקדונות. זה גם חוסך ללקוח את ההליכה לבנק והעמידה בתור. אין גם מגבלה על שעות הפעילות, למעט העובדה שמהשעה שלוש אחר-הצהריים משתנה יום הערך הבנקאי, כך שההתחייסות לפעולה תהיה כאילו בוצעה ביום שלמחרת. ל בנקים זה כדאי, כי השירות דרך האינטרנט חוסך בעלויות, בעיקר כוח-אדם.
נכון להיום, לקוחות האינטרנט של הבנקים הם בעיקר צעירים ועובדי הייטק בשנות ה-30 לחייהם . עם זאת, במערכת הבנקאית יותר ויותר לקוחות בני 50-40 שהפכו את האינטרנט לאמצעי פעילות שוטף לניהול החשבון. | | | | |
|
| | |
