מסתבר שרשויות החוק, לפחות בארה"ב, כן עושות משהו כדי להגן עליכם מפני cybercrime. קחו לדוגמא כמה מקרים מהעת האחרונה: המקרה שזכה כנראה לחשיפה התקשורתית הרחבה ביותר היה מעצרו של כריסטופר צ'ייני - החשוד בפריצה לטלפונים סלולאריים וחשבונות האימייל של סלבריטאים הוליוודים ופרסום של תמונותיהם הפרטיות באינטרנט. כתב האישום נגד צ'ייני כולל פריצה לתיבות המייל של יותר מ 50 אישים מתעשיית הבידור ההוליוודית והפרה של כ 26 סעיפים בחוק המתייחסים לפריצה למחשבים אישיים, גניבת מידע ופגיעה בפרטיות.
מקרה נוסף שפורסם לאחרונה אך לא זכה לחשיפה תקשורתית רחבה היה הקפאה של נכסים בשווי 14.8 מליון דולר של צמד האקרים, שהושגו לטענת התביעה באמצעות מכירה והפצה של תוכנות אנטי וירוס מזויפות. אם וכאשר יתפסו צפויים בג'ורן סונדין ושאילאסקומר ג'יין, שכרגע מבוקשים על ידי המשטרה, לעמוד בפני כתב אישום של 100 מליון דולר.
כשהפשיעה המסורתית פוגשת בעידן ההיי-טק
אבל המקרה שבעיקר צריך לעניין מנהלי הרשתות ואנשי IT של עסקים ממגזר ה SMB הוא סיפור מעצרם של שלושה גברים בשנות ה 30 לחייהם מסיאטל שנעצרו בחשד להאקינג, הונאה וגניבת זהות. עיון בכתב ההאשמה נגדם, שפורסם על ידי משרד התובע של מחוז וושינגטון בארה"ב מגלה שהשלושה לא נאשמים רק בהאקינג לרשתות של יותר מתריסר בתי עסק, אלא ששיטות הפעולה שלהם כללו פריצה פיזית לבתי עסק ומשרדים (יותר מ 40), גניבה של ציוד מחשבים וציוד אישי ומשרדי נוסף כדי שלאחר מכן ישמש אותם בהוצאה לפועל של ההונאות המכניסות יותר. לדוגמא, הם השתמשו בפרטים גנובים של כרטיסי אשראי על מנת לרכוש ציוד מחשבים וציוד יוקרתי אחר בשווי עשרות אלפי דולרים ולאחר מכן נהגו למכור את אותו ציוד. הם הצליחו להשיג מידע אודות משכורות העובדים בחברות מסוימות ושינו את הנתונים כך שהמשכרות הועברו לחשבונות בנק שבשליטתם. בנוסף, העבירו השלושה כספים מחשבונות החברות לכרטיסי אשראי נטענים מה שאפשר להם לפדות את הכספים למזומן בקלות רבה.
לפי ג'ני דורקאן, משפטנית אמריקנית המכהנת כראש המחלקה לענייני Cybercrime של הממשל האמריקאי, המיוחד במקרה הזה הוא השילוב של פשיעה "מסורתית" עם פשיעה בסגנון ההי-טק של שנות האלפיים. לדוגמה, השלישיה נהגה לפרוץ לבתי עסק כדי לגנוב ציוד מחשבים שבאמצעותו הם יכלו לפרוץ לרשת המחשבים של אותו העסק. לדבריה הם הסבו לפחות רכב אחד לצורך wardriving (חיפוש של רשתות אלחוטיות חינמיות באמצעות מחשב נייד על ידי אדם ברכב נוסע) כדי לפרוץ לרשתות אלחוטיות שמהן הם נהגו לגנוב מידע או להשתמש בהן על מנת לבצע הונאות נוספות מבלי להיחשף.
הודות לערנותם של כמה מבעלי העסקים שנפרצו, שחשדם התעורר לאחר שזיהו כל מיני אי סדירויות בחשבונות החברה, השלושה נתפסו ועומדים מול כתב אישום חמור בן עשרה עמודים. אם יורשעו צפוי להם מאסר של עד 15 שנה וקנס של 250,000$ כל אחד.
ערנות זו בהחלט תכונה רצויה אצל כל עובד בעסק, אך להסתמך רק על ערנות העובדים זה לא מספיק. על בעל העסק או מנהל ה IT לנקוט צעדים שימנעו פריצה כזו מצד אחד ומצד שני עליו להיות עם תוכנית פעולה ברורה של הצעדים שיש לנקוט אם פריצה כזו בכל זאת התרחשה, על מנת למזער את הנזק.
ברור כיום לכל בעל עסק שהרשת האלחוטית שלו חייבת להיות מוצפנת ברמת הצפנה שמתאימה לתחום העיסוק (או לפחות אני מקווה שזה ברור) ושכדאי לנהל תיעוד של כל ציוד המחשוב ולבצע בקרה מדי פעם כדי לוודא שאף מחשב או סמארטפון לא נעלם. גם התגוננות מפני פריצה פיזית היא דבר שהוא מובן מאליו ויש לכך אמצעים רבים: סורגים, אמצעי זיהוי בכניסה, אזעקה וכו'.
החוליה החלשה
אבל הדבר החשוב ביותר, והוא כנראה הפקטור העיקרי ביותר בסיפור הזה, הוא הטיפול בעובדים עצמם ובמדיניות החברה שתאתר ותמנע ניסיונות חיצוניים (או פנימיים) "לעקוץ" את החברה.
מדיניות אבטחת מידע בחברה חייבת להיות מוכרת, ברורה ושקופה לכל עובד והיא חייבת להיאכף בצורה מחמירה על ידי האחראי לכך. מוטב גם להתייחס בחשיבות רבה לדיווחים של עובדים שהחשבונות הפרטיים שלהם נפרצו, במיוחד אם מדובר בתופעה מתרחבת באותו ארגון.
כיום גם הסמארטפונים מערבבים בין העולם הפרטי לעסקי (העובד משתמש בסלולרי בשעות הפנאי, מנווט באמצעותו בדרכים ומצלם איתו את הילדים והמשפחה) אותו ארגון חייב להיות בעל אפשרות להגיב באופן מיידי במקרים בהם אבד או נגנב לעובד המכשיר הסלולרי, למשל על ידי שילוב של מנגנון למחיקה מרחוק של כל המידע.
כמה עולה ידע?
אבטחת מידע היא לא עניין פנימי בלבד של הארגון אלא עניין שרשויות החוק צריכות להיות מעורבות בו. לאחרונה דווח בתקשורת על פענוח המקרה של דליפת מאגרי המידע של מרשם האוכלוסין לאחר 5 שנים, אך נקודת האור בסיפור המתמשך הזה היא שמרגע שהטיפול בחקירה הועבר ליחידה מיוחדת שמתמחה בפשיעה מקוונת, הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים (רמו"ט), החקירה נכנסה להילוך גבוה ופוענחה יחסית במהירות. לכן עסקים קטנים או גדולים חייבים להבין שמידע שווה הון, ופגיעה בו היא פשע לכל דבר אשר מחייב מעורבות של רשויות החוק.
גלעד הראל הוא דובר חברת קומסקיור, נציגת ESET בישראל. חברת ESET העולמית היא יצרנית פתרונות אנטי וירוס חכמים ומתקדמים לשרתים, מחשבים וסמארטפונים, ביניהם אנטי וירוס NOD32 וחבילת האבטחה ESET Smart Security, המיועדים לצרכנים פרטיים ולארגונים בגדלים שונים.