8 דאגות הסייבר הגדולות ביותר של המנמ"ר

עודד שפירא - מנכ"ל CGS ישראל

 

על אף שהסיכוי לפריצה או דליפה גדולה של מידע מהארגון הוא קטן יחסית, תמיד צריך להתכונן לגרוע מכל, מכיוון שבמקרה של תרחיש כזה, הנזק העסקי עלול להיות עצום. כפי שכולנו יודעים, האינטרנט צומח במהירות ומתפתח בהתמדה בדרכים חדשות. הספרות 0 ו- 1 מעולם לא שלטו כל כך על חיינו בהיסטוריה הקצרה של הטכנולוגיה הדיגיטלית. מספיק להסתכל על תעשיית שירותי הבריאות כדי להבין עד כמה חיבור לאינטרנט יכול להשפיע על חיי אדם.

רשת האינטרנט גדלה בהתמדה, ותפקיד המנמ"ר לאבטח זירה זו עבור כל המשתמשים שנכנסים אליה. ככל שהחברה גדולה יותר, כך נתוני לקוחותיה יהיו פגיעים יותר לגניבה זדונית וכך גם גדלה האחריות של המנמ"ר למודעות ולבניית ההגנה המתאימה.

עודד שפירא, מנהל פעילות CGS ישראל -  אחת מחברות ה- IT המובילות בתחומה, ספקית עולמית לפתרונות עיסקיים מתקדמים ושירותי תמיכה טכנית במיקור חוץ, מציג אחדות מהדאגות הגדולות ביותר הניצבות בפני מנמ"רים כיום:

1.         הונאות CNP (חיוב ללא הצגת כרטיס אשראי) - CNP משתנה במהירות עם הטכנולוגיה של ארנקים דיגיטליים. Applepay ו- Android Pay יכולים לספק טכנולוגיות ואימות מקוון הזהות לאלו המבוצעות באופן פיזי. שניהם גם עומדים בתקן EMV וצפויים לזעזע את שוק ה- CNP מכיוון שהם מאושרים לקבלת תעריפים של סליקה בהצגת כרטיס והוסמכו על ידי כל הרשתות העיקריות. טביעות אצבע אינן התשובה לאבטחה, כפי שבנקים רבים חשבו בעבר. ארנקים דיגיטליים עם טביעות אצבע הוכחו כבעלי  בעיות אבטחה רבות, אותן יש לשקול. עדיין, לאור היכולת להנפיק כרטיס בארנק נייד עם רמות שונות של אימות, שימוש בטוקנים  (המחליפים מידע רגיש כמו של מספר כרטיס אשראי בערך סתמי וחסר משמעות) ויכולת ניתוק מידי, לצד אינטגרציה עם בנקים ורשתות, זהו משחק חדש לגמרי.

2.                  גניבת IoT  - האינטרנט של דברים (IoT) אוסף נתונים על כל דבר, מפעימות לב דרך הזמנת תרופות ועד למכוניות ונתיבי נסיעה. וכפי שמתרחש בטכנולוגיות מקבילות, פיתוח אבטחה חזקה לא נמצא בדרך כלל בעדיפות גבוהה בחברות, עד לשלבים מאוחרים. על אף שעובדה זו עשויה  להשתנות בתעשיות שונות, ללא ספק צפוי גידול בתקיפות האקרים בתחום ה- IoT ועבור תעשיות מסוימות זו כבר בעיה. תעשיית שירותי הבריאות, לדוגמא, היא המובילה בשימוש בטכנולוגיות IoT בבתי חולים, והיא חווה 340% יותר התקפות סייבר בהשוואה לכל תחום אחר. לרוע המזל, עם כל הזדמנות מגיע איום. במבט בשטח ניתן לראות כי IoT בתעשיית הקמעונאות פונה בעיקר לקראת טכנולוגיות חכמות עם דיוק מדהים, כגון ביצועי מעקב מלאי עם RFID (זיהוי בתדר רדיו) ברמת הפריט. יתכן שאחד התרחישים המטרידים ביותר יהיה פריצת האקרים למלאי של חברה, אשר כל מערכות הנתונים שלה הן דיגיטליות.

3.                  פריצת האקרים למערכות תשלומים שאינן מסורתיות - ישנה מערכת תשלומים (ארנק) ניידת אחת המשתמשת גם ב- NFC וגם בטכנולוגיה לשידור מגנטי מאובטח (MST), על מנת לספק הרשאות תשלום למערכת נקודת מכירה (POS). זהו הארנק הנייד המבוקש ביותר על ידי הסוחרים. הוא משתמש באמולציית כרטיס של מחשב מארח (HCE) וב- MST, שהינה דרך לאמולציה אלקטרונית של אותם נתונים שכרטיס עם פס מגנטי מספק לקורא, והוא נחשב  למאובטח פחות, מאחר ו- HCE מאחסן את נתוני בעלי כרטיסים בענן, כך שבתרחישים מסויימים יש סיכון גבוה יותר לפריצה.

למרבה המזל, פריצה שכזו לא הגיעה לנתוני בנקאות/נתבים או לנתוני אשראי. עם זאת, בעוד שאסור להתפשר לגבי שמירת המידע של כרטיס האשראי, מידע פיננסי של לקוחות או חברות אינו הדבר היחיד שמנמ"רים צריכים להיות מודאגים ביחס לאובדנו. קניין רוחני ארגוני עלול להיגנב אם דואר אלקטרוני של החברה, אנשי קשר ואפליקציות רשת נמצאים במכשיר הנייד. וברמה הבסיסית, בל נשכח את החשיבות של כתובות דואר אלקטרוני, שלעיתים קרובות משמשות כשמות משתמשים.

4.                  מלחמת עננים - אולי אחד מאיומי הסייבר הגדולים ביותר הוא סוג ההאקרים שפורצים לתשתית מחשוב ומסתתרים מאחורי משאבי רשת לגיטימיים. זוכרים את ההאקר בעונה הרביעית של "בית הקלפים" אשר פרץ לענן דמוי-גוגל והעניק לנשיא את כל הנתונים שנדרשו לו כדי להטות את תוצאות הבחירות? בעוד שיידרש צוות אנליטיקס רציני כדי לסרוק כמות גדולה כל כך של נתונים ציבוריים, לא יידרש הרבה כדי לאסוף נתונים ספציפיים על בני אדם מסוימים, כך שעננים רבים מכילים כמויות עצומות של נתוני התנהגות צרכנים.

5.                  דומיינים בדרגה העליונה ופישינג – מספרם של הדומיינים בדרגה העליונה (TLD) גדל עם השנים. התחלנו עם שישה בלבד ב- 1985 .edu, .com) וכו') וכיום אנו כבר עם 1,000. הבעיה היא, שמעט מאוד TLDs קיימים מגיעים מרשתות מאובטחות עם תשתית המתאימה להגנה מפני נוזקות. כדברי המנמ"רים: "פושעים יכולים להפנות צרכנים תמימים אל shop .apple, apple .macintosh או apple .computer, כדי לנסות לגנוב את המידע שלהם", משתמש האינטרנט הממוצע עלול שלא להבחין של- URL שכזה אין כל קשר עם ה- Apple שהוא מכיר וסומך עליו.

6.                  פרמיות ביטוח סייבר הן בשיא של כל הזמנים. מדוע? מכיוון שחברות הביטוח מהססות מעט להציע כיסוי כאשר חברות כמו Target מאבדות 260 מיליון דולר בעקבות פריצה לנתוניהן. כיצד מישהו יכול להגן מפני הבלתי נודע? דרך אחת היא לקבוע דרישות בסיס גבוהות. על פי דברי מנמ"רים, "פוליסות ייקחו בחשבון רכיבים כגון שווי שוק של חברה, פרופילים של הגנות וסיכונים, תדירות התקפות, והיכולת לעצור תוקפים ולתקן פרצות".

7.                  העובדה שהמסחר האלקטרוני עובר לרשתות חברתיות, לא מעידה על אבטחה חזקה - תוספים למדיה חברתית, הנקראים APIs (ממשקי תיכנות יישומים), יכולים להיות ברכה וקללה כאחד. השימוש בממשקי תיכנות חברתיים מאפשר לצרכנים הרשמה קלה בעת הכניסה הראשונה שלהם לאתר ועבור החברה הוא הופך את תהליך החתימה לקל ונטול מאמץ והנתונים שניתן לאסוף ולשתף בוודאי יעזרו לצוות השיווק לבצע אופטימיזציה של חווית הצרכן, אולם הקוץ באליה היא יכולת פריצה לנתונים אלו.

8.                  קוד פתוח, ספר פתוח - עדכוני אבטחה למערכות הפעלה כגון Windows של מיקרוסופט ידחפו האקרים לתקוף פרצות בקוד פתוח. כך קובע דוח שפורסם בשנה שעברה על ידי חברת טרנד מיקרו, שקובע כי הדרך הטובה ביותר להימנע מדאגות אבטחת סייבר אלו, היא באמצעות תיקון מערכות הארגון והתוכנות עם עדכונים קבועים. יתר על כן, הדוח מציין כי מנמ"ר אחראי צריך "להשקיע בפתרונות אבטחה מבוססי מודיעין, המגובים במשאבי מידע גלובליים על איומים, אשר יכולים להדוף ניסיונות פריצה אפילו אם עדיין לא הונפקו עדכונים לפרצות".

הכותב הוא מנכ"ל CGS ישראל