תגיות: pCon, אבטחה, פשעים, מחשוב, סחיטה, ריגול, הונאה, תרמיות
המסר העיקרי הוא - ארגוני פשיעה נכנסים לתחום עבירות המחשב, דבר המהווה סכנה ממשית וחמורה לארגון.
תחום פשיעה חדש הולך וצובר תאוצה בעולם כולו, בשנים האחרונות - "פשעי מחשב". לא עוד נחלתם הבלעדית של "משוגעי מחשבים" אידיאולוגיים או פורצי רשתות המנסים להאדיר את שמם, כיום שחקנים גדולים יותר כמו ארגוני פשע ומשרדי חקירות נכנסו לתחום. כבר קרוב לעשור מנסה החוק להתמודד עם אותם פושעים שלא הכיר קודם לכן, וחוקי מחשבים רבים נוסחו במדינות שונות.
בישראל מדבר חוק המחשבים על שיבוש פעולת מחשבים, מחיקת מידע ממחשב, גרימה לפלט כוזב וגניבת מידע ממוחשב. החוק מדבר גם על נגיפי מחשב (אם כי לא מגדיר אותם באופן ברור) והעונש המקסימלי בישראל לעבירת מחשוב הוא 5 שנות מאסר בפועל.
עם זאת, עושה רושם כי התפתחותו של החוק לא ממש מרשימה את העבריינים או מפחיתה את פעולתם, להיפך. בשנת 2004 ה-IFCC (ר"ת Internet Fraud Complaint Center) קיבל 200,000 תלונות בנוגע להונאות מחשוב, עליה של 66% ביחס ל-2003. הנזק הכספי של כל התלונות הללו הגיע ל-63 מליון דולר. יותר ממחצית בעלי המחשבים בקנדה היו קורבנות לפשע מחשוב, עם או בלי ידיעתם (McAfee).
על הנזקים ומחירם
במחקר שנערך על ידי המכון למחקרים אסטרטגיים ובינלאומיים בוושינגטון התגלה כי בעשר השנים האחרונות עלו פשעי המחשב לצפון אמריקאים, כ-48 מיליארד דולר.
פשעי מחשוב ברוב המוחלט של המקרים מסתכמים בפגיעות ברכוש, קניין רוחני או מוניטין. הנזק הכספי עצום. בשנת 2004, גרמו פשעי מחשב לנזק בסך כולל של 400 מיליארד דולר (על פי ה-FBI). הנזק רב כל כך, משום שאותם פושעים בוחרים להם כמטרות את הארגונים הגדולים ביותר וביניהם לרוב בנקים וחברות אשראי, אשר מרכולתן היא כסף בצורת מידע ורישומים. מפעילי אתרים שכל עיסוקם היה קנייה ומכירה של מספרי אשראי גנובים, גרמו לבדם לנזק של 4.3 מיליון דולר. גם בישראל נגרם נזק כספי רב. בפרשת הבנק למסחר, השתמשה אתי אלון בעמדת המחשב שלה בכדי לגנוב 250 מליון שקל מהבנק. התביעה כנגד האחראים לדבר מסתכמת ב-271 מליון שקל. בפרשת הסוס הטרויאני שנחשפה רק לאחרונה, עדיין לא נאמד גובה הנזקים שנגרמו לנפגעים, אך ניתן לשער שהנזק הכולל יגמד את שאר פשעי המחשוב שנראו בארצנו.
במקומות רבים בעולם נוקטים באמצעים להפחתת פשעי מחשוב. בבריטניה הקציב משרד התובע הכללי 400,000$ לחקר פשעי מחשוב, והסקוטלנד יארד עורך סמינרים לאנשי עסקים ואנשי אבטחה, על התגוננות ובלימת פשעי המחשוב.
עצות להגברת הבטיחות
להלן מגוון טיפים שיעזרו לך לשפר את אבטחת המחשוב: שימוש במחשוב רזה עשוי לצמצם את סיכוני האבטחה הנובעים משימוש בלתי ראוי של העובדים בארגון. הקשחת הגדרות הרשת היא דרך נוספת המקשה על תוכנות זדוניות לפעול. מומלץ לרכז את כל האחריות בנושא הבטיחות אצל אדם אחד בארגון שזה יהיה תפקידו. עזרה מקצועית מגורמים חיצוניים יכולה גם היא לסייע רבות באבטחת המחשוב.
על הכוונת
בין המטרות העיקריות בתקיפת הארגונים ניתן למנות את המטרות הבאות: מעילה, ריגול, סחיטה, חבלה, תרמיות, הונאה, והעברת חומר לא חוקי דרך מערכות המחשוב בארגון.
להלן הקבוצות הבולטות של עברייני המחשוב: Script Kiddies הם האקרים מתחילים המשתמשים בסקריפטים זדוניים אותם הורידו מוכנים מאתרי אינטרנט. הפשע מאורגן, היא אחת הקבוצות אשר התפתחה בצורה משמעותית בשנים האחרונות, כאשר המטרה שלה היא בעיקר השגת רווח כספי. פושעים אידיאולוגיים היא קבוצה נוספת של עברייני מחשוב, המבצעים את פשעיהם לא על מנת להשיג רווח כספי אלא כדי לפגוע בארגון שלדעתם פוגע בהם (סיבות של איכות סביבה, דת, טרור וכו'). מרגלים עשויים לגנוב מידע לצרכים תעשייתיים או לצרכים מודיעיניים של ממשלות בעולם. העובדים עצמם עשויים גם כן לעבור על חוקי מחשוב וכך גם ספקים ולקוחות אשר יכולים לנצל לרעה את ההיכרות עם הארגון ועם ערוצי הפעילות הקיימים בו.
ידוע כי רוב הנזק שנגרם, מקורו בפרצות עליהן התריעו חברות האבטחה ושתיקון שלהן או גרסה מתקדמת יותר לתוכנה הפרוצה כבר היו זמינים. אחת הדרכים הקלות והיעילות להתמודד עם רוב האיומים היא להישאר עם האצבע על הדופק, לעדכן גרסאות ולהתקין טלאי אבטחה ברגע שאלו מתפרסמים.
עם זאת, חשוב להיות מודע לכך שישנם גם פשעי מחשב מתקדמים, השמים ארגון ספציפי "על הכוונת". במקרים כאלה, דרושים אמצעי אבטחה וידע מתקדמים. במאבק זה, יסייע לך מפלג עבירות המחשוב של משטרת ישראל, כאשר גם לו מגבלות משמעותיות משלו.
סיכום
הגבר המודעות האישית והארגונית לעמידה בפני הפשע הממוחשב, בכדי לצמצם את סיכוני ההיפגעות ממנו, שתוצאותיה עלולות להיות קריטיות מבחינה עסקית.
התקציר לקוח מתוך תחקיר pCon בשם אזהרה מפשעי מחשוב.
הרחבות, ראיונות עם מומחים, טיפים מעשיים וקישורים להעמקה ניתן למצוא בכתובת -
http://www.pcon.co.il/v5/Debrief.asp?debrief=729
למאמרים מקצועיים ואובייקטיביים נוספים של קובי שפיבק, בתחומי מידע מחשבים ואינטרנט, באתר "מאמרים" ראה - http://www.articles.co.il/author/1944
המסר העיקרי הוא - ארגוני פשיעה נכנסים לתחום עבירות המחשב, דבר המהווה סכנה ממשית וחמורה לארגון.
תחום פשיעה חדש הולך וצובר תאוצה בעולם כולו, בשנים האחרונות - "פשעי מחשב". לא עוד נחלתם הבלעדית של "משוגעי מחשבים" אידיאולוגיים או פורצי רשתות המנסים להאדיר את שמם, כיום שחקנים גדולים יותר כמו ארגוני פשע ומשרדי חקירות נכנסו לתחום. כבר קרוב לעשור מנסה החוק להתמודד עם אותם פושעים שלא הכיר קודם לכן, וחוקי מחשבים רבים נוסחו במדינות שונות.
בישראל מדבר חוק המחשבים על שיבוש פעולת מחשבים, מחיקת מידע ממחשב, גרימה לפלט כוזב וגניבת מידע ממוחשב. החוק מדבר גם על נגיפי מחשב (אם כי לא מגדיר אותם באופן ברור) והעונש המקסימלי בישראל לעבירת מחשוב הוא 5 שנות מאסר בפועל.
עם זאת, עושה רושם כי התפתחותו של החוק לא ממש מרשימה את העבריינים או מפחיתה את פעולתם, להיפך. בשנת 2004 ה-IFCC (ר"ת Internet Fraud Complaint Center) קיבל 200,000 תלונות בנוגע להונאות מחשוב, עליה של 66% ביחס ל-2003. הנזק הכספי של כל התלונות הללו הגיע ל-63 מליון דולר. יותר ממחצית בעלי המחשבים בקנדה היו קורבנות לפשע מחשוב, עם או בלי ידיעתם (McAfee).
על הנזקים ומחירם
במחקר שנערך על ידי המכון למחקרים אסטרטגיים ובינלאומיים בוושינגטון התגלה כי בעשר השנים האחרונות עלו פשעי המחשב לצפון אמריקאים, כ-48 מיליארד דולר.
פשעי מחשוב ברוב המוחלט של המקרים מסתכמים בפגיעות ברכוש, קניין רוחני או מוניטין. הנזק הכספי עצום. בשנת 2004, גרמו פשעי מחשב לנזק בסך כולל של 400 מיליארד דולר (על פי ה-FBI). הנזק רב כל כך, משום שאותם פושעים בוחרים להם כמטרות את הארגונים הגדולים ביותר וביניהם לרוב בנקים וחברות אשראי, אשר מרכולתן היא כסף בצורת מידע ורישומים. מפעילי אתרים שכל עיסוקם היה קנייה ומכירה של מספרי אשראי גנובים, גרמו לבדם לנזק של 4.3 מיליון דולר. גם בישראל נגרם נזק כספי רב. בפרשת הבנק למסחר, השתמשה אתי אלון בעמדת המחשב שלה בכדי לגנוב 250 מליון שקל מהבנק. התביעה כנגד האחראים לדבר מסתכמת ב-271 מליון שקל. בפרשת הסוס הטרויאני שנחשפה רק לאחרונה, עדיין לא נאמד גובה הנזקים שנגרמו לנפגעים, אך ניתן לשער שהנזק הכולל יגמד את שאר פשעי המחשוב שנראו בארצנו.
במקומות רבים בעולם נוקטים באמצעים להפחתת פשעי מחשוב. בבריטניה הקציב משרד התובע הכללי 400,000$ לחקר פשעי מחשוב, והסקוטלנד יארד עורך סמינרים לאנשי עסקים ואנשי אבטחה, על התגוננות ובלימת פשעי המחשוב.
עצות להגברת הבטיחות
להלן מגוון טיפים שיעזרו לך לשפר את אבטחת המחשוב: שימוש במחשוב רזה עשוי לצמצם את סיכוני האבטחה הנובעים משימוש בלתי ראוי של העובדים בארגון. הקשחת הגדרות הרשת היא דרך נוספת המקשה על תוכנות זדוניות לפעול. מומלץ לרכז את כל האחריות בנושא הבטיחות אצל אדם אחד בארגון שזה יהיה תפקידו. עזרה מקצועית מגורמים חיצוניים יכולה גם היא לסייע רבות באבטחת המחשוב.
על הכוונת
בין המטרות העיקריות בתקיפת הארגונים ניתן למנות את המטרות הבאות: מעילה, ריגול, סחיטה, חבלה, תרמיות, הונאה, והעברת חומר לא חוקי דרך מערכות המחשוב בארגון.
להלן הקבוצות הבולטות של עברייני המחשוב: Script Kiddies הם האקרים מתחילים המשתמשים בסקריפטים זדוניים אותם הורידו מוכנים מאתרי אינטרנט. הפשע מאורגן, היא אחת הקבוצות אשר התפתחה בצורה משמעותית בשנים האחרונות, כאשר המטרה שלה היא בעיקר השגת רווח כספי. פושעים אידיאולוגיים היא קבוצה נוספת של עברייני מחשוב, המבצעים את פשעיהם לא על מנת להשיג רווח כספי אלא כדי לפגוע בארגון שלדעתם פוגע בהם (סיבות של איכות סביבה, דת, טרור וכו'). מרגלים עשויים לגנוב מידע לצרכים תעשייתיים או לצרכים מודיעיניים של ממשלות בעולם. העובדים עצמם עשויים גם כן לעבור על חוקי מחשוב וכך גם ספקים ולקוחות אשר יכולים לנצל לרעה את ההיכרות עם הארגון ועם ערוצי הפעילות הקיימים בו.
ידוע כי רוב הנזק שנגרם, מקורו בפרצות עליהן התריעו חברות האבטחה ושתיקון שלהן או גרסה מתקדמת יותר לתוכנה הפרוצה כבר היו זמינים. אחת הדרכים הקלות והיעילות להתמודד עם רוב האיומים היא להישאר עם האצבע על הדופק, לעדכן גרסאות ולהתקין טלאי אבטחה ברגע שאלו מתפרסמים.
עם זאת, חשוב להיות מודע לכך שישנם גם פשעי מחשב מתקדמים, השמים ארגון ספציפי "על הכוונת". במקרים כאלה, דרושים אמצעי אבטחה וידע מתקדמים. במאבק זה, יסייע לך מפלג עבירות המחשוב של משטרת ישראל, כאשר גם לו מגבלות משמעותיות משלו.
סיכום
הגבר המודעות האישית והארגונית לעמידה בפני הפשע הממוחשב, בכדי לצמצם את סיכוני ההיפגעות ממנו, שתוצאותיה עלולות להיות קריטיות מבחינה עסקית.
התקציר לקוח מתוך תחקיר pCon בשם אזהרה מפשעי מחשוב.
הרחבות, ראיונות עם מומחים, טיפים מעשיים וקישורים להעמקה ניתן למצוא בכתובת -
http://www.pcon.co.il/v5/Debrief.asp?debrief=729
למאמרים מקצועיים ואובייקטיביים נוספים של קובי שפיבק, בתחומי מידע מחשבים ואינטרנט, באתר "מאמרים" ראה - http://www.articles.co.il/author/1944
קובי שפיבק Bsc., MBA הוא העורך הראשי של תחקירי pCon ואתר pCon-line. כמי שעוסק במחשבים, על מכלול היבטיהם משנת 1976 וכן כמי שכתב וערך למעלה משמונה מאות תחקירים על כל היבטי המחשוב העיקריים, הוא נמנה על אותם אנשים בודדים בארץ ובעולם, שבאמת ובתמים, מבינים לאן הולך עולם המחשוב ומהן השלכותיו המידיות והעתידיות, על אנשים וארגונים. הוא גם פרסם מספר רב של מאמרים במרבית העיתונים הגדולים והמקצועיים, והופיע פעמים רבות בערוצי הטלוויזיה והרדיו המרכזיים. נכון להיום הוא מייעץ למרבית מנהלי המחשוב בארגונים המובילים בישראל, והוא נחשב בעיני רבים, לגורו של המחשוב העסקי.