פשיעה קיברנטית והעולם האמיתי

אבטחת מידע היא לא עניין פנימי בלבד של הארגון אלא עניין שרשויות החוק צריכות להיות מעורבות בו, המקרים האחרונים שקרו בעולם צריכים להדליק נורה אדומה אצל כל מנהלי IT או בעלי עסקים בארגונים

תמונה: flickr, cc-by, alancleaver_2000

מסתבר שרשויות החוק, לפחות בארה”ב, כן עושות משהו כדי להגן עליכם מפני cybercrime. קחו לדוגמא כמה מקרים מהעת האחרונה: המקרה שזכה כנראה לחשיפה התקשורתית הרחבה ביותר היה מעצרו של כריסטופר צ’ייני – החשוד בפריצה לטלפונים סלולאריים וחשבונות האימייל של סלבריטאים הוליוודים ופרסום של תמונותיהם הפרטיות באינטרנט. כתב האישום נגד צ’ייני כלל פריצה לתיבות המייל של יותר מ-50 אישים מתעשיית הבידור ההוליוודית והפרה של כ-26 סעיפים בחוק המתייחסים לפריצה למחשבים אישיים, גניבת מידע ופגיעה בפרטיות.

מקרה נוסף שפורסם לאחרונה אך לא זכה לחשיפה תקשורתית רחבה היה הקפאה של נכסים בשווי 14.8 מיליון דולרים של צמד האקרים, שהושגו לטענת התביעה באמצעות מכירה והפצה של תוכנות אנטי וירוס מזויפות. אם וכאשר יתפסו צפויים בג’ורן סונדין ושאילאסקומר ג’יין, שכרגע מבוקשים על ידי המשטרה, לעמוד בפני כתב אישום של 100 מיליון דולרים.

פשיעה מסורתית משולבת בפשיעת היי-טק

אבל המקרה שבעיקר צריך לעניין את מנהלי הרשתות ואנשי ה-IT של עסקים ממגזר ה-SMB הוא סיפור מעצרם של שלושה גברים בשנות ה-30 לחייהם מסיאטל שנעצרו בחשד להאקינג, הונאה וגניבת זהות. עיון בכתב האישום נגדם, שפורסם על ידי משרד התובע של מחוז וושינגטון בארה”ב מגלה שהשלושה לא נאשמים רק בהאקינג לרשתות של יותר מתריסר בתי עסק, אלא ששיטות הפעולה שלהם כללו פריצה פיזית לבתי עסק ומשרדים (יותר מ-40), גניבה של ציוד מחשבים וציוד אישי ומשרדי נוסף כדי שלאחר מכן ישמש אותם בהוצאה לפועל של ההונאות המכניסות יותר.

במקרה זה, הם השתמשו בפרטים גנובים של כרטיסי אשראי על מנת לרכוש ציוד מחשבים וציוד יוקרתי אחר בשווי עשרות אלפי דולרים ולאחר מכן נהגו למכור את אותו ציוד. הם הצליחו להשיג מידע אודות משכורות העובדים בחברות מסוימות ושינו את הנתונים כך שהמשכורות הועברו לחשבונות בנק שבשליטתם. בנוסף, העבירו השלושה כספים מחשבונות החברות לכרטיסי אשראי נטענים מה שאפשר להם לפדות את הכספים למזומן בקלות רבה.

לפי ג’ני דורקאן, משפטנית אמריקנית המכהנת כראש המחלקה לענייני Cybercrime של הממשל האמריקאי, המיוחד במקרה הזה הוא השילוב של פשיעה “מסורתית” עם פשיעה בסגנון ההיי-טק של שנות האלפיים. לדוגמה, השלישייה נהגה לפרוץ לבתי עסק כדי לגנוב ציוד מחשבים שבאמצעותו הם יכלו לפרוץ לרשת המחשבים של אותו העסק. לדבריה הם הסבו לפחות רכב אחד לצורך wardriving (חיפוש של רשתות אלחוטיות חינמיות באמצעות מחשב נייד על ידי אדם ברכב נוסע) כדי לפרוץ לרשתות אלחוטיות שמהן הם נהגו לגנוב מידע או להשתמש בהן על מנת לבצע הונאות נוספות מבלי להיחשף.

הודות לערנותם של כמה מבעלי העסקים שנפרצו, שחשדם התעורר לאחר שזיהו כל מיני אי סדירויות בחשבונות החברה, השלושה נתפסו ועומדים מול כתב אישום חמור בן עשרה עמודים. אם יורשעו צפוי להם מאסר של עד 15 שנה וקנס של 250,000$ כל אחד.

ערנות זו בהחלט תכונה רצויה אצל כל עובד בעסק, אך להסתמך רק על ערנות העובדים זה לא מספיק. על בעל העסק או מנהל ה-IT לנקוט צעדים שימנעו פריצה כזו מצד אחד ומצד שני עליו להיות עם תוכנית פעולה ברורה של הצעדים שיש לנקוט אם פריצה כזו בכל זאת התרחשה, על מנת למזער את הנזק.

ברור כיום לכל בעל עסק שהרשת האלחוטית שלו חייבת להיות מוצפנת ברמת הצפנה שמתאימה לתחום העיסוק (או לפחות אני מקווה שזה ברור) ושכדאי לנהל תיעוד של כל ציוד המחשוב ולבצע בקרה מדי פעם כדי לוודא שאף מחשב או סמארטפון לא נעלם.

הגורם האנושי

גם התגוננות מפני פריצה פיזית היא דבר שהוא מובן מאליו ויש לכך אמצעים רבים: סורגים, אמצעי זיהוי בכניסה, אזעקה וכו’. מה שבעיקר מתבלט הוא שהפקטור הכי חשוב בסיפור, כנראה, הוא טיפול בעובדים עצמם.

מדיניות אבטחת מידע בחברה חייבת להיות מוכרת, ברורה ושקופה לכל עובד והיא חייבת להיאכף בצורה מחמירה על ידי האחראי לכך. מוטב גם להתייחס בחשיבות רבה לדיווחים של עובדים שהחשבונות הפרטיים שלהם נפרצו, במיוחד אם מדובר בתופעה מתרחבת באותו ארגון.

כיום גם הסמארטפונים מערבבים בין העולם הפרטי לעסקי (העובד משתמש בסלולרי בשעות הפנאי, מנווט באמצעותו בדרכים ומצלם איתו את הילדים והמשפחה) אותו ארגון חייב להיות בעל אפשרות להגיב באופן מיידי במקרים בהם אבד או נגנב לעובד המכשיר הסלולרי, למשל על ידי שילוב של מנגנון למחיקה מרחוק של כל המידע.

מידע שווה הון

אבטחת מידע היא לא עניין פנימי בלבד של הארגון אלא עניין שרשויות החוק צריכות להיות מעורבות בו. לאחרונה דווח בתקשורת על פענוח המקרה של דליפת מאגרי המידע של מרשם האוכלוסין לאחר 5 שנים, אך נקודת האור בסיפור המתמשך הזה היא שמרגע שהטיפול בחקירה הועבר ליחידה מיוחדת שמתמחה בפשיעה מקוונת, הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים (רמו”ט), החקירה נכנסה להילוך גבוה ופוענחה יחסית במהירות. לכן עסקים קטנים או גדולים חייבים להבין שמידע שווה הון, ופגיעה בו היא פשע לכל דבר אשר מחייב מעורבות של רשויות החוק.


הפוסט מפורסם בחסות ESET


חברת ESET מציעה לעסקים את ESET NOD32 Antivirus Business Edition – פתרון אנטי וירוס ואנטי רוגלות הכולל הגנה לכל נקודות הקצה ברשת דרך ממשק ניהול מרכזי אחד.

האנטי וירוס המנוהל של ESET מגן באפקטיביות על שרתים (קבצים ודואר), תחנות קצה (Windows, Linux, Mac) וסמארטפונים (Android, Symbian, Windows mobile):

  • ממשק הניהול מאפשר למנהל הרשת תמונת-מצב אמיתית בכל רגע נתון וכולל מנגנון להגדרת ואכיפת מדיניות וקבלת התרעות עדכניות.
  • האנטי וירוס שומר על המידע העסקי בטוח מפני התפרצויות וירוסים והתקפות של מזיקים לא-מוכרים.
  • המוצר אינו מעמיס על משאבי המחשוב ברשת.
  • התקנת הגרסה מתבצעת על ידי הפצה אוטומטית לתחנות תוך הסרה מלאה של מוצר האנטי וירוס קודם – בתוך פחות מדקה !

לקוחות ESET נהנים מתמיכה טכנית מלאה בעברית המלווה אותם עד לפתרון מלא – באדיבות צוות התמיכה של קומסקיור, נציגת ESET בישראל.

חברת האנטי וירוס ESET מציעה לעסקים וארגונים מבצע סופשנה 1+1 : רוכשים גרסת רשת חדשה לעסק ומקבלים אנטי וירוס NOD32 ביתי במתנה לכל עובד!

המבצע מיועד לעסקים עם 25 משתמשים ומעלה ובתוקף עד 31 בדצמבר 2011. לפרטים המלאים >>




Avatar

גלעד אלשרפי

דובר חברת קומסקיור, נציגת ESET בישראל, מזה 3 שנים

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: