אף אחד לא חסין: סיכוני התקפות סייבר בענף הפיננסים
מאת: דורון סיון, מנכ"ל MADSEC Security
התקפת הסייבר על ה-Federal Reserve, הבנק המרכזי של ארצות הברית, בתחילת פברואר 2013, היא רק אחת מני רבות. יש לכך סיבות טובות - קשה להפריז בהשלכות של התקפות סייבר על הסקטור הפיננסי. הבנקים אמורים לייצג מערכת יציבה ואמינה שמבטיחה ללקוחותיה זמינות רציפה של המידע הפיננסי. בארה"ב, כ-22% מהחברות והארגונים מבצעים באופן מקוון את כל הפעילות הבנקאית שלהם. למעלה ממחצית החברות מבצעות כ-60% מהפעילות הבנקאית באופן מקוון.
רוב הארגונים מטילים על המערכת הפיננסית את האחריות לאבטחת המידע הפיננסי והכסף. חלקם אף ישקלו ברצינות העברת הפעילות העסקית לבנק אחר במקרה שהבנק שלהם יספוג תקיפה מוצלחת. התוצאה: איום הסייבר הופך לגורם סיכון תפעולי, אסטרטגי ותדמיתי למערכת הפיננסית.
אבחון ההתקפה החדשה על ה-Federal Reserve
ההודעה הרשמית של ה-Federal Reserve גילתה שהאקרים חדרו לאתר הבנק המרכזי של ארצות הברית, והצליחו להגיע לנתונים. אתר ה-FED הוא ענק ומכיל מספר רב של מיני אתרים. כתיבת קוד מוקשחת וציוד אבטחה איכותי היו אמורים להפוך פריצה כזו לקשה מאד עד בלתי אפשרית. גולש רגיל אמור היה להיחסם בעזרת מערך סיסמאות והצפנות. לעומתו, גולש מורשה יכול להעביר בקשות דרך ממשק WEB, שהיו מועברות למסד הנתונים הממוקם ברשת מאובטחת. הבעיה ב-FED נבעה מחולשת קוד שפתחה את הדלת לתקיפה מסוג SQL Injection, בה האקר מבקש מהאתר לבצע עבורו פעולות בלתי מורשות. למרות שהאתר בכללותו היה מוגן, הפעם הוסיפו מיני אתר שלא היה מוקשח כנדרש. זה הספיק להאקר כדי להגיע למסד הנתונים ולחשוף כתובות מייל ומספרי טלפון של כ-4,000 עובדים, כולל בכירים.
אמנם הקישור לאתר מחייב הצפנה ומנגנוני אימות, אך למרבה הצער מנהלי רשת רוכשים שוב ושוב את מיטב הציוד בכדי לספק אבטחה, אך לא חושבים כהאקרים ולא מבצעים בדיקות חדירות מתוחכמות לפני העלאת אתר לאוויר. בדיקות חדירה (Penetration tests) כאלה היו מגלות שניתן לעקוף את מערכת ההצפנה ולבצע פניות למסד הנתונים מבלי להזדהות. כעת על הנהלת ה-FED לנסות להפיג את החששות.
טוב עשו בבנק המרכזי של ארה"ב כשהודו בפריצה ולא ניסו להתכסות מאחורי ערפל טכנולוגי. ספקית אתרי האינטרנט GoDaddy לעומת זאת החליטה לא להודות בכך שהיא הותקפה במהלך ספטמבר 2012 - ובתגובה החליט ההאקר לפרסם את רשימת הלקוחות של החברה ואת הקוד שבו השתמש.
.jpg?id=11954753)
אין תחליף לשדרוג הסטטוס של אבטחת המידע ושל מנהל אבטחת המידע
כאן אני מתכוון להפתיע ולא להתמקד בהנחיות טכניות מעמיקות. מביני עניין חשים שההנהלה הבכירה איננה מודעת דיה למורכבות הנושא. מנהל אבטחת מידע לעולם איננו חבר הנהלה בכירה ולכן, מטבע הדברים, סמכויותיו מוגבלות. אנשי האבטחה מבצעים את המוטל עליהם כמיטב יכולתם. מבחינתם, הם מנסים ככל האפשר לייצר הפרדה אפקטיבית בין הארגון לאינטרנט. הם רוכשים מערכות ייעודיות שמטרתן להתמודד עם התקפות בסביבת האינטרנט (Web Application Firewall) ומטמיעים מערכות שאוספות ומנטרות אירועים (מערכות SEIM), כדי לזהות התקפות בזמן אמת ולאפשר תגובה מיידית מתאימה.
אין די בכך - על המערכת הפיננסית להעניק עדיפות גבוהה יותר לנושא. חובה להעניק סמכויות גבוהות למנהל האבטחה אך זה לא מספיק. חובה להפנים שמול האקרים צריך להציב האקרים ולא ניתן להסתפק בטכנולוגיה. יש להשתמש בהאקרים שיבצעו בדיקות חדירות מטעם המוסד הפיננסי באופן שוטף. ברור לכל שעלות מהלך כזה היא אפסית לעומת הנזק שעלול להיגרם מחדירה.
דורון סיון הוא מנכ"ל חברת MADSEC Security. סיון הנו מומחה אבטחת מידע ומחבר ספרים בנושא, שהבולט בהם הוא רב המכר "מדריך אבטחת מידע והגנה בפני האקרים" בהוצאת הוד-עמי.
