פרשת שירביט היא הסיוט הגדול של המערכת הפיננסית: איומי סייבר שמתממשים. אין ספק שהטכנולוגיה מובילה להתייעלות, לשיפור מוצרים וגם להורדת מחירים. עם זאת, בכל תופעה מבורכת יש גם תופעות לוואי מסוכנות לצרכנים - אחת מהן היא ניצול הטכנולוגיה להתקפות סייבר. הסכנות כוללות סחר במידע רגיש, גניבת כספים, מעילות והונאות, פגיעה במוניטין ושיבוש השירות ללקוח.
עם הזמן גם רמת התחכום של גורמי התקיפה עולה, ובשנים האחרונות היא מתבטאת בהתחזות לאתרים שונים ובניסיונות פריצה ממוקדים לשרתים של ארגונים וחברות גדולות. הגורמים התוקפים מגוונים: האקר יחיד, קבוצת האקרים, מדינות/מעצמות, אקטיביסטים, ארגוני פשע וכדומה. הם משתמשים בשיטות שונות, כמו התחזות ללקוחות, שימוש גובר בפישינג לצרכים שונים, ניסיונות הסטה והטיה של כתובות רשת ממקורות מידע מהימנים לכתובות של מתחזים ועוד.
עד פרשת שירביט, ישראל עמדה די בהצלחה מול התקפות סייבר על מוקדים פיננסיים, אבל הפרשה הזו מבהירה היטב, גם לצרכנים וגם לגופים הפיננסיים, שלא לעולם חוסן. הנה שאלות ותשובות על הפרשה.
עד כמה החדשות רעות?
מדובר בחדירה לפרטיות ובחשש לגניבת זהויות של 300 לקוחות לפחות בשירביט. ההאקרים פתחו ערוץ טלגרם מסודר במסגרת המו"מ על הכופר שאותו הם דורשים, וחשפו תעודות זהות, רישיונות נהיגה, מסמכים רפואיים רגישים ועוד. סיטואציה לא נעימה לאותם מאות אנשים שהמידע האישי שלהם מופץ ברבים.
חוץ מגניבת זהויות, מהם הסיכונים הנוספים?
החדשות היותר טובות הן שכנראה לא תהיה פגיעה פיננסית בלקוחות, אף על פי שפורסמו מספרי כרטיסי אשראי, כיוון שהם לא כללו את שלוש הספרות בגב הכרטיס, כך שאי אפשר לגנוב כספים במקביל לגניבה אפשרית של זהויות. צריך גם לזכור: הפגיעה די מוגבלת, כיוון ששירביט עצמה נחשבת לחברת ביטוח קטנה, לא גוף פיננסי ענק. זו חברה שעוסקת בביטוח אלמנטרי - רכב, דירה, נסיעות לחו"ל - ואחד הלקוחות המרכזיים שלה הוא המדינה. אם הפריצה הייתה מתבצעת לגוף פיננסי גדול עם מוצרים בתחום הפנסיה והחיסכון - הנזק יכול היה להיות עצום. אז פרשת שירביט חמורה כשלעצמה, אבל זהו עדיין אירוע נקודתי, לא רחב, ורחוק מהתסריטים השחורים של איומי הסייבר.
אם זו חברת ביטוח, אז יש עליה פיקוח, הלא כן?
אכן כך, הרגולטור המפקח הוא רשות שוק ההון והביטוח, בראשות ד"ר משה ברקת. אני מניח שהרבה שאלות על התנהלות החברה והמפקח יעלו לאחר שהאירוע יסתיים. מטבע הדברים, לשירביט מחכים כבר קנסות, תביעות ייצוגיות, בדיקות־חקירות של הרגולטור, פגיעה תדמיתית, ובקיצור - כאב ראש גדול. העובדה שזה קרה במשמרת של ברקת גם היא מעוררת שאלות על הביקורות שנעשו בשירביט ועל המוכנות שלה לאיומי סייבר. גם ההערכה שהפריצה לא הייתה כה מתוחכמת ומורכבת, אלא די בסיסית, לא מחמיאה הן לחברה והן לרגולטור שמפקח עליה.
עד כמה אירועים כאלה יכולים לגרום נזק?
ועוד איך יכולים, גם ברמה הלאומית וגם ברמה הפרטית. הנה כמה דוגמאות עולמיות מהדוחות של הפיקוח על הבנקים בשנים האחרונות:
• במהלך 2019 התרחשו בעולם מספר אירועי סייבר פיננסיים משמעותיים כדוגמת זליגת מידע על לקוחות הבנק האמריקאי Capital One, זליגת פרטי מיליוני כרטיסי אשראי באיראן ואירוע כופר בחברת סליקת המט"ח הגדולה בעולם, Travelex.
• במהלך 2018: גניבת כספים מבנקים שונים במקסיקו בפרקי זמן שונים בהיקף של יותר מ־15 מיליון דולר; בנק הודי ספג הפסד של כ־13.5 מיליון דולר בשל פגיעה בשרת של ה־ATM של הבנק; במקביל, דווח על תנועות של גניבת כספים באמצעות מערך התשלומים הבינלאומי.
• במהלך שנת 2016־2017: קבוצת תקיפה במימון מדינה זרה ניהלה מתקפת סייבר במשך כשנה וחצי על כ־20 בנקים וחברות פיננסיות ברחבי העולם, והצליחה לגנוב מהם מיליוני דולרים. זאת באמצעות חדירה לרשת הארגונית והשגת גישה למערכות העברת הכספים ועיבוד הנתונים מכרטיסי אשראי. מתקפת הסייבר גרמה להצפנת קבצים ולהצגת דרישת כופר בסך של 300־600 מיליון דולר תמורת שחזור הנתונים. בתוך יממה ניזוקו כ־230 אלף תחנות קצה ב־130 מדינות. בין השאר, נפגעו בנקים באירופה ומגזרים נוספים.
• עוד ב־2017: האקרים פרצו לאחת מחברות דירוגי האשראי הגדולות בעולם וגרמו לדליפת מידע אישי ופיננסי של יותר מ־143 מיליון לקוחות מארה"ב, בריטניה וקנדה. המידע שדלף כלל שמות, מספרי רישיון נהיגה, כרטיסי אשראי של כ־209 אלף לקוחות מארה"ב ופרטים מזהים של לקוחות.
• במהלך 2016: ניסיונות גניבת כספים מבנקים בחו"ל באמצעות מערכות SWIFT. התוקפים, כנראה במימון מדינה זרה, ניסו להעביר קרוב למיליארד דולר מחשבון הבנק המרכזי של בנגלדש בפדרל ריזרב של ניו יורק לחשבונות בנק שונים בסרי לנקה ובפיליפינים. האירוע הסתיים בנזק של 81 מיליון דולר בלבד לבנק המרכזי של בנגלדש רק בזכות זיהוי מקרי של פקיד מדויטשה בנק, שזיהה טעות הקלדה של אחד ההאקרים, וזאת לאחר ארבע העברות מוצלחות בלבד.
במתקפת סייבר על כ־1,400 כספומטים בחנויות ביפן נעשה שימוש בכרטיסי אשראי דרום אפריקאיים מזויפים ונגנבו כמיליון דולר.
• עוד ב־2016: בנק טסקו בבריטניה חווה הונאה בהיקפים ניכרים - מאלפי לקוחות נמשכו כספים שלא כדין. כתוצאה מכך עסקאות נתקעו, כרטיסי האשראי ופעולות החיוב שותקו, נגנבו כספים מכ־20 אלף חשבונות של לקוחות, ובכ־40 אלף חשבונות נתגלו פעולות חשודות. בעקבות ההונאה החליט הבנק להפסיק עסקאות באינטרנט ושילם לכ־9,000 לקוחות פיצויים שהסתכמו ב־2.5 מיליון דולר.
אז מה צריך לעשות?
אז הנה דבר המומחה, ההאקר נעם רותם, שכתב כך בבלוג שלו: "וכאן אנחנו מגיעים לשאלת מיליון הדולר, שכמו כל דבר מתחלקת לכמה חלקים: מדיניות, מדיניות ומדיניות: ראשית, יש להכיר בכך שלא מדובר באירוע בודד, ודאי לא באירוע חריג. כשמבינים את זה, יש לעצור רגע, ולהניח תשתית לאומית לטיפול במקרים כאלה. רק השנה דווחו יותר מ־200 אירועי כופרה בישראל, וסביר להניח שבפועל היו הרבה יותר... חסר פה נדבך משמעותי - והוא מדיניות מו"מ עם סחטנות כזו. חוק האוסר תשלום כופר, למשל, יניח תשתית אחרת למו"מ, ואולי ישכנע פורצים להתמקד במדינות אחרות, שם קל יותר להוציא כספים. המחיר לא יהיה פשוט, אבל שוב - מי שרוצה את המידע שלנו - ייקח אותו, זה באמת לא מסובך. מי שרוצה לעשות ממנו כסף בדרכים נכלוליות - זה כבר סיפור אחר ובזה אפשר לטפל.
"דבר נוסף שמומלץ מאוד לכל ארגון לעשות הוא להגדיר מדיניות ניהול אירועים כאלה. תוכנית כזו תקיף גיבויים, עדכון גרסאות, בדיקת חדירה רבעונית לכל הפחות, קווי מתאר לניהול מו"מ, ועוד רשימה ארוכה של דברים שיש לעשות כדי להיות מוכנים ליום שבו מתקבלת הודעה כזו. זה דבר נחוץ. אגב, כחלק ממדיניות ארגונית כזו אפשר להקים גם תוכניות 'באונטי' (תוכניות תגמול ותמריץ המסייעות לחברות טכנולוגיה לחזק את שכבת ההגנה שלהן, שהפכו בשנים האחרונות לחלק מאסטרטגיית ניהול הסייבר ואבטחת מידע בארגונים - א"צ), שיאפשרו לחוקרי אבטחה מנומסים לדווח על פרצות ולקבל תמורת זאת כמה שקלים. זה עובד בכל העולם, ואין שום סיבה שזה לא יעבוד אצלנו".