בימים אלה מזעזעת את דרום קוריאה פריצת סייבר ענקית, במסגרתה נגנבו פרטי כרטיסי האשראי של כ-40% (!) מתושבי המדינה. הפרשה הזו הובילה להתפטרותם של כ-30 בכירים בחברות הפיננסיות השונות, ולהודעת נשיאת המדינה כי תבצע חקירה של האירוע.
זהו אחד התרחישים השחורים ממנו חוששים חברות ומדינות רבות, וכתוצאה מכך רק הולכים ומגדילים את ההשקעות שלהם להתגוננות מפניי מתקפות סייבר. בשקט בשקט תופס תחום המלחמה במתקפות סייבר חלק משמעותי מפעילותן של חברות גדולות ברחבי העולם בכלל ובנקים בפרט, וזאת על רקע העלייה בכמות התקיפות ובאיכות שלהן.
לפי הערכות, בכל יום מתבצעות אינספור מתקפות על לקוחות בנקים שהן ההתקפות הפשוטות יותר. אולם ישנן מתקפות מתוחכמות יותר, על שרתי הבנקים, שמוערכות בכמה עשרות בחודש בעולם. רובן לא מצליחות, אך מה שמטריד הוא שחלקן, אולי, לא מתגלות.
התפתחות תחום הסייבר מתבטאת גם בשגשוג של חברות אבטחת המידע בתחום, כאשר ישראל נחשבת לסוג של מעצמה בענף. ישנן מעל ל-200 חברות ישראליות שפעילות בתחום. רק השבוע פורסם על שתי חברות ישראליות שפעילות בתחום שגייסו סכומים נאים של 10-15 מיליון דולר (אדאלום ואאורטו), ויש מי שכבר מדברים על כך שבחסות הפאניקה מאותן מתקפות סייבר, מתפתחת בועה בתחום חברות אבטחת המידע.
בתחילת השבוע הבא תתקיים בישראל לראשונה תערוכת סייבר בינלאומית-cybertech 2014, בחסות מטה הסייבר הלאומי ובמעמד ראש הממשלה בנימין נתניהו. בכנס שיתקיים בגני התערוכה בתל אביב, ייקחו חלק חברות אבטחה גדולות לצד סטארט-אפים הפעילים בתחום.
אחד הענפים שנמצא בסיכון גבוה למתקפת סייבר הוא הבנקים, שנחשבים ליעד אסטרטגי הן מצד גורמי פשע בשל פוטנציאל גניבת הכסף, והן מצד גורמי טרור בשל העובדה ששיתוק מערכות בנקאיות נחשב לפגיעה אסטרטגית במשאב מרכזי של המדינה.
פונקציה ייעודית
על רקע התפתחות תחום הסייבר, בנק ישראל הקים לפני שנתיים פונקציה ייעודית לתחום, אותה ממלאת רחל יעקובי. יעקובי, שעובדת בבנק ישראל מזה 30 שנה, אחראית על תחום הסיכונים התפעוליים בבנקים, בראשם סיכוני הטכנולוגיה ואבטחת המידע. בראיון מיוחד ל"גלובס" היא מספקת הצצה אל מאחורי הקלעים של תחום שהציבור כמעט ואינו מודע אליו.
- רחל יעקובי, מדוע הוקמה היחידה ובמה היא שונה מפעילות אבטחת המידע?
"לפני שנתיים הקים המפקח על הבנקים פונקציית סייבר, שעוסקת בפעילויות הפיקוחיות לחיזוק היערכות המערכת הבנקאית לנוכח העלייה באיומי הסייבר הפוטנציאליים. הבנו שטיפול באיומי סייבר רחב יותר מהטיפול המסורתי באבטחת המידע, ונדרש אליו טיפול מיוחד. לצורך כך אנו נעזרים ביועצים בתחום. הסייבר כולל עוד ממדים".
- לדוגמה?
"מרחב האיומים של הסייבר לא נמצא רק אצל הגורמים הטכנולוגיים, אלא בכל הארגון. הוא נמצא במשאבי אנוש - לדוגמה גיוס עובדים: איזה מבדקים עושים לעובד לפני שמכניסים אותו לארגון, והאם עושים מבדקים שוטפים לעובדים רגישים תוך כדי העבודה. סייבר קשור גם לביטחון הפיזי. אירוע סייבר יכול להתחיל בחדירה פיזית לשטח של הבנק.
"ההתגוננות מפני אירוע סייבר לא נעצרת רק בבנק עצמו - ייתכן שגורם מאיים לא יתקוף ישירות את הבנק אלא גורם חיצוני כגון ספק שנותן שירותים לבנק, ולפיכך צריך לבדוק מה הן אותן חוליות חלשות יותר ואיך ניתן לחזק את הגנתן".
- ממי אתם הכי חוששים?
"הגורמים מגוונים, החל מאקטיביסטים, גורמי טרור, גורמי פשע ואפילו גורמים מדיניים. כך לדוגמה, בשנת 2012 גורמים עוינים תקפו אתרים של בנקים בארה"ב. במסגרת תקיפה זו נמנע מלקוחות הבנקים שירותים באמצעות האינטרנט. התקיפה אירעה ככל הנראה בעקבות פרסום סרט פוגעני של מוחמד, ואחת הסברות שהתפרסמה הייתה שאיראן עומדת מאחורי התקיפה.
"מה שאנחנו רואים בנוסף זה שהתקיפות היום הרבה יותר מתוחכמות. התוקפים מזהים חוליה חלשה בתוך הבנק או מחוצה לו, ודרכה פורצים. לעיתים הגורמים העוינים משתפים ביניהם פעולה, לדוגמה גורמי פשע מוכרים ידע לאנשי טרור, ולפעמים הם פשוט משתפים פעולה בתקיפה - כדי שכל אחד ישיג את המטרה שלו".
- מה רמת המוכנות של הבנקים בישראל לאירוע של מתקפת סייבר?
"הבנקים בישראל לא רק מאוד מודעים לאיומי הסייבר, אלא הם גם משקיעים לצורך ההתגוננות משאבים רבים. הבנקים לא חיכו ל'עידן' של איומי הסייבר כדי לטפל בנושא הזה, אלא השקיעו באבטחת מידע כבר בעבר, ובכל שדרת הניהול מודעים לכך.
"יחד עם זאת, מוכנות למתקפת סייבר היא תהליך מתמשך. אי אפשר להיערך פעם אחת ולנוח, זה אתגר מתמשך. גם אנחנו, בפיקוח על הבנקים, לומדים את המאפיינים והשינויים בתחום כל הזמן, וזה מצופה גם מהבנקים. צריך כל הזמן לחשוב מי רוצה לתקוף אותך, באיזה אופן ואיך אפשר להתגונן".
- כל תחום הבנקאות הישירה (פעילות באמצעות האינטרנט והסלולר) מתקדם, אבל הוא גם מהווה כר נוח לפריצות סייבר, אתם לא מוטרדים מכך?
"אנחנו מברכים על השימוש בטכנולוגיה לשיפור תחרות ושירותים, אבל זה נכון שלא תמיד פיתוח הטכנולוגיה הולך בד בבד עם אבטחת המידע, וכך נוצרות חולשות. ראינו בעולם חדירות לחשבונות לקוחות, למרות אמצעי הזיהוי. הגניבות לא היו בסכומים שיסכנו את הבנק, אבל מה שהטריד היה שהתקיפה הייתה כל כך מתוחכמת, שהיא גברה על מנגנוני ההגנה לרבות אמצעי זיהוי של הלקוחות.
"במקרה אחר, בו לקוחות קיבלו מהבנק קוד זיהוי חד פעמי, ששימש לאישור העברת כספים באינטרנט, הפורצים השתלטו על הסלולר וגנבו את הקוד. לכן אנו מצפים שהבנק יהיה כל הזמן אקטיבי ויחשוב איפה אפשר לתקוף אותו".
- אם זה המצב, מדוע אתם מאשרים לבנקים להרחיב את השירותים בתחום הבנקאות הישירה, זה לא מסוכן?
"הבנקים לא צריכים לבקש אישור על כל פעולה חדשה. הפיקוח על הבנקים לא מנהל את סיכוני הבנק, הבנק מנהל את הסיכונים, הפיקוח על הבנקים צריך לוודא שהסיכונים מנוהלים בצורה מספקת. אם מדובר בפעילות קריטית עם סיכון פוטנציאלי גבוה יותר, נבדוק זאת ספציפית. מה שכן, חשוב לנו שבתהליך קבלת ההחלטות בנושאים האלה ישלבו גם את ה-CRO (מנהל הסיכונים הראשי של הבנק), שיחווה את דעתו, ויאתגר את הבנק שרוצה להשיק שירות חדש".
- מה לגבי הנוכחות של הבנקים ברשתות החברתיות?
"המפקח על הבנקים הפיץ כבר ב-2010 מכתב למערכת בנושא. לא מנענו מהבנקים לעשות שימוש ברשתות חברתיות, חששנו שרק גורמי שיווק, שלא בהכרח מודעים למכלול הסיכונים (כמו אבטחת מידע), מטפלים בנושא הזה, וביקשנו שישולבו עוד גורמים בבנקים. לשימוש ברשתות חברתיות יש כמה סיכונים. מלבד סיכון הסייבר, צריך לדוגמא, לקחת בחשבון סיכון מוניטין, סיכון משפטי וזליגת מידע".
"לא להסתפק במה שיש"
כחלק מהמלחמה במתקפות הסייבר, החלה מגמה של שיתוף פעולה בין גופים עסקיים שונים המהווים יעד לתקיפה במידע ובהתגוננות ממתקפות אלו. גם גופים ממשלתיים מנסים לעודד היום חברות מסחריות, לשתף מידע וחשש להתקפות. קיים מודל של שיתוף מידע ומודיעין במגזר הפיננסי בארה"ב- FS-ISAC- Financial Services -Information Sharing and Analysis Center. הנחת העבודה היא שככל שיותר מידע ישותף בין הארגונים כך היכולת של מכלול הארגונים תגדל. מצד שני אלו גופים מתחרים, כך ששיתוף הפעולה נעשה בגבולות מסוימות והוא אינו מוחלט.
גם בקרב הבנקים בישראל קיים שיתוף פעולה. "בתחום הסייבר, שיתוף המידע הוא קריטי. אם יש אירוע או התראה בבנק מסוים, אני מצפה שבנקים אחרים יידעו עליו, שכן אולי גם אצלם יש איום דומה והם עוד לא זיהו. מדובר על שיתוף מידע רלבנטי לאיומי הסייבר ולא מידע עסקי", אומרת יעקובי.
- במה מתבטא שיתוף הפעולה?
"היום מידע מועבר לבנקים על ידינו בתחום התרעות ואירועים רלבנטיים. הקמנו בתחילת שנת 2012 פורום להגנת הסייבר, שאני עומדת בראשו, שכולל נציגים של בנקים וחברות כרטיסי אשראי, ומתכנס כל כמה שבועות. דנים בסוגיות מקצועיות, מלבנים נושאים רלבנטיים ואירועים שהיו בישראל ובחו"ל.
"יחד עם זאת, אנו שוקלים להרחיב את שיתוף הפעולה בין הבנקים, ולהקים מרכז סייבר בנקאי, שיכלול שיתוף מידע, מודיעין, מחקרים בנושא ועוד. המרכז הזה לא ייתר את האחריות של כל בנק, אבל הוא אמור לשפר את הטיפול בנושא".
בעוד ברוב תחומי הפעילות של הבנקים, הבנקים מקבלים הנחיות ברורות ומפורטות מה נדרש מהם, הרי שבתחום הסייבר ההנחיות כלליות יותר, אולם יעקובי מספרת כי בנק ישראל שוקל לשנות את המצב הזה.
"הפיקוח על הבנקים עוקב אחר הסטנדרטים הבינלאומיים ובוחן אותם. בחו"ל, לא ראינו שהרשויות פרסמו הנחיות ספציפיות לבנקים בנושא הטיפול באיומי הסייבר. יחד עם זאת, אנו שוקלים להסדיר את התמודדות המערכת הבנקאית מול האיומים הקיברנטיים בהנחיות מפורטות יותר - זה בהחלט על שולחננו", היא אומרת.
- ניקח לדוגמה מקרה של פריצה ללקוח, האם הבנק מחויב להחזיר לו כסף?
"בפרקטיקה שקיימת באותם אירועים, הבנק החזיר את הכספים. באשר להגנה, אנו מצפים מהבנקים, שיתייחסו ללקוחות באתר האינטרנט כאילו אין להם הגנה. כשהם באים ומטמיעים את אותה מערכת רב שכבתית, צריכים לקחת בחשבון, שהלקוח חשוף ולנקוט את הפעולות הנחוצות".
- מה הסבירות שנראה מתקפת סייבר משמעותית על הבנקים?
"קשה לדעת מה הסבירות. הנחת המוצא היא שבנקים עלולים להיות מותקפים ולכן הפיקוח על הבנקים צריך להתמודד עם נושא הזה, וגם כל בנק בפני עצמו. צריך להיות כל הזמן במודעות ולחשוב קדימה, ולא להסתפק במה שיש, אלא להגדיל ראש ולחשוב מחוץ לקופסה ומה עוד צריך לעשות, כדי שנישן יותר טוב בלילה".
"זה ממש מבצע צבאי - חדירה לשרתים, איסוף מידע וביצוע פריצות"
"אם בעבר תקיפות סייבר על בנקים התמקדו בלקוחות עצמם, באמצעות גניבת סיסמאות גישה לאתרי אינטרנט של הבנק וכדומה, הרי שבשנה האחרונה ניתן לראות מגמה מתחזקת של תקיפות נגד הבנקים עצמם. מהלך זה כולל ניסיונות להשתלט על הרשאות וחשבונות של עובדים, כאשר דרכם מבוצעות המתקפות", כך אומר ל"גלובס" חן ביתן, מנהל הפעילות בישראל של חברת אבטחת המידע סייבר ארק.
"כתוצאה מפריצה אל הרשאות של עובדים ניתן לבצע פעולות כמו העברות כספיות בין חשבונות, סליקות בסכומים גבוהים וכדומה. ההתקפות מהסוג הזה יותר מתוחכמת ודורשות השקעה גדולה מצד התוקפים, אבל מצד שני אם הם מצליחים בכך, הערך עבורם עצום לעומת פריצה לחשבון ספציפי של לקוח", הוא מוסיף.
סייבר ארק מתמחה בהגנה ממתקפות סייבר. לחברה 1,400 לקוחות בעולם, כאשר בישראל היא עובדת בין השאר עם כל הבנקים. העבודה מול הבנקים מתמקדת בזווית של ההגנה על שרתי הבנק.
- אתם עובדים גם בישראל וגם עם מדינות שונות בעולם. איך רמת המוכנות של הבנקים בישראל לעומת מדינות אחרות בעולם?
"רמת המודעות לנושא הסייבר בעולם בכלל ובישראל בפרט גבוהה. ישראל התעוררה מוקדם בכדי לטפל בנושא, וראש הממשלה אף הקים מטה לאומי לכך. ישראל מנצלת את העובדה שהיא מעצמה טכנולוגית באבטחת מידע.
"באשר לבנקים, רמת המודעות ויישום ההגנה היא לפחות כמו רוב מדינות העולם, ובנושאים מסוימים גם מתקדמת יותר מהנהוג בעולם. הבנקים בישראל אימצו אסטרטגיות הגנה מתקדמות. ועדיין לתוקפים יש יתרון אל מול המגנים, שכן היכולות לתקוף מאוד מגוונת".
- אומרים שהתוקפים הפכו למתוחכמים יותר. במה זה מתבטא?
"מתקפות הסייבר לא רק שהופכות למתוחכמות אלא לממש מבצע צבאי עם שלבים - חדירה לשרתים, איסוף מידע מודיעיני וביצוע פריצות בכמה שלבים סדורים ומתוכננים מראש. התוקפים מאוד מתוחכמים, מדובר בארגונים ממומנים היטב עם מטרות מדויקות, כאשר בעולם המחובר והמקושר כיום קל להם יותר לאסוף מידע".
- האם זה נכון שאין הרבה תקיפות בישראל בגלל שמדובר בפוטנציאל קטן לשוק?
"התוקף פועל לאור מטרות - אם המטרה פיננסית, הוא יחפש איפה ההשקעה תניב את התוצאה הכי טובה. ישראל שוק יחסית קטן, רמת הפוטנציאל קטנה, אז זה אכן פחות משתלם לעומת מדינה אחרת. אבל זה לא נכון בהכל - לא תמיד מטרת התוקף פיננסית, אלא טרור מדינתי, ואז דווקא ישראל יכול להיות מטרה מתאימה יותר ממדינות אחרות".
איך להיזהר מפריצה לחשבון הבנק