פרשנות
הפריצה ליאהו: השוק החופשי לא מגן על המידע והישועה לא תבוא מטראמפ
גניבת מידע של משתמשים הפכה כבר לתופעה צפויה והחברות הוכיחו שללא רגולציה מחייבת הן לא מסוגלות לפתור את הבעיה, אבל ההתבטאויות של הנשיא הבא של ארה"ב בנושא הן דווקא מקור לדאגה
ההודעה של יאהו מהלילה, שלפיה פרטים אישיים של מיליארד משתמשים נגנבו בפריצה שאירעה ב-2013, מבהירה גם לציבור הרחב מה שמומחי סייבר יודעים כבר מזמן: פריצות לשירותים מקוונים הן מכה בינלאומית. לכאורה, אין בהצהרה הזו הרבה חדש – משתמשים כבר רגילים מזמן לקבל הודעה משירות שבו הם רשומים שמבשרת להם שפרטיהם דלפו.
- חברת סייבר ישראלית חשפה פרצה שמאפשרת לצותת לשיחות בפייסבוק מסנג'ר
- שכר התחלתי של 20 אלף שקל; "אין היום מומחי סייבר שמחפשים עבודה"
- "ה-CIA מצאה כי רוסיה עומדת מאחורי פריצות הסייבר - במטרה לסייע לטראמפ"
אבל עכשיו, יותר מתמיד, הבעיה הזו צריכה להטריד את כולנו. בעוד חודש ושבוע יתיישב בחדר הסגלגל דונלד טראמפ - אדם שטרם הציג מדיניות סייבר מקיפה ומפורטת, ושלאורך קמפיין הבחירות שלו לנשיאות ארה"ב לא רק שנהנה מהתוצרים של מתקפות סייבר, אלא גם עודד אקטיבית את ביצוען. זה מפחיד, כי דווקא בתקופה הנוכחית מנהיגת העולם המערבי, המדינה שהמדיניות הדיגיטלית שלה מתווה דרך גם עבור מדינות אחרות, צריכה לשנס מותניים ולהתחיל לפעול באמצעים תקיפים על מנת לעצור מתקפות אלו, גם כשהן קורות בשוק הפרטי. ובכלל לא בטוח שהנשיא טראמפ הוא האדם שיכול או רוצה לעשות את זה.
הגל הארוך של מתקפות סייבר, והחשיפה האחרונה של יאהו, מדגישים משהו שמשתמשים רבים טרם הפנימו: ברשת, שום מידע אינו בטוח. בין אם העלתם פוסט ציבורי בפייסבוק, ובין אם שלחתם מייל לבן זוגכם בג'ימייל, אתם לא יכולים לסמוך על כך שהמידע יישאר מוגן. לא מדובר כאן על הריגול שמבצעות החברות שמפעילות את השירותים האלו, אלא על דליפה של המידע לגורמי צד ג'. בין אם מדובר על מתקפות פישינג ממוקדות או פריצות המוניות שמנצלות כשל טכנולוגי כלשהו, יש סיכוי גבוה שמישהו יזכה בגישה לא רצויה למידע שלכם.
אין כמעט שירות גדול שלא חווה דליפת מידע מאסיבית או סבל מפרצה מסוכנת בשנים האחרונות, החל מג'ימייל ויאהו ועד דרופבוקס וסוני, וכל מה שבאמצע. חלק מהפריצות בוצעו על ידי פושעי סייבר, שרוצים למכור את המידע למטרות רווח, אחרות על ידי האקרים שעבדו בשליחות מדינות ושקיוו להציג באמצעות הפריצות מטרות טקטיות שונות (למשל, הפריצה לג'ימייל בוצעה לפי הערכות על ידי האקרים סינים במטרה לזהות מתנגדי משטר).
למשתמש מהשורה זה לא ממש משנה. מה שהוא צריך לדעת זה שאם הוא העלה פרט מידע כלשהו לשירות מקוון, מתישהו בעתיד, בין אם עוד שנה ובין אם עשור, יש סכנה ממשית שהמידע הזה ידלוף החוצה, ואולי גם יתפרסם ברשת בצורה המונית.
זה המצב הנוכחי, זו המציאות שנוצרה אחרי שנים של פריצות מקוונות לשירותים מגוונים. אבל האמת היא שזו לא חייבת להיות גזירת גורל. אי אפשר למנוע מתקפות סייבר באופן מוחלט, אבל אפשר לצמצם משמעותית את היקפן באמצעות נקיטת צעדים, ובראשן יצירת רגולציה מחייבת שתקבע תקן מינימלי לאבטחת מידע בשירותי ענן פרטיים, כמו הצפנה של כלל המידע בשירות, התקנת כלי ניטור לזיהוי מתקפות במועד, קביעת נהלי עבודה והתנהלות ועוד.
לדברי מומחים, הפריצות ליאהו נבעו בין השאר מכך שהסדרי אבטחת המידע שלה פיגרו משמעותית אחרי אלו של שירותים אחרים. רגולציה מחייבת שהיתה מבטיחה הסדרים ברמה גבוהה יותר יכולה היתה למנוע מתקפות אלו. אין מחסום בטוח למתקפות סייבר, בטח לא ברמת המשתמש הפרטי שתמיד עלול ליפול קרבן למתקפה מתוכננת היטב, אבל יש הרבה מה לעשות כדי לצמצם את תפוצתן.
יש רק בעיה אחת עם הרעיון הזה: מרבית החברות הרלוונטיות יושבות בארה"ב וייתכן שהאדם בעל היכולת ליצור רגולציה שכזו לא מעוניין בכך. נשיא ארה"ב הנבחר דונלד טראמפ טרם הציג מדיניות סייבר מקיפה, אבל מעט הדברים שאמר בנושא מהווים סיבה אמיתית לדאגה.
במהלך קמפיין הבחירות אמר טראמפ שהוא מקווה שהאקרים רוסים יימצאו את האימיילים האבודים של הילרי קלינטון. בהזדמנות אחרת הוא יצא נגד מדיניות הצפנת המכשירים של אפל, שבין השאר נועדה להגן עליהם מפריצות, וקרא להחרים את החברה בשל סירובה לסייע ל-FBI בפריצה למכשיר של מחבל שביצע פיגוע ירי. ובהודעה שפרסם השבוע הבית הלבן נטען שטראמפ ידע לאורך הקמפיין שהאקרים רוסים התערבו בקמפיין, אך לא עשה דבר בנושא מכיוון שההדלפות השונות פגעו ביריבתו.
הנשיא הנבחר של ארה"ב אמור לשים את השמירה על אבטחת המידע של אזרחיו ואזרחי העולם בראש מעייניו, אבל בעוד שבועות ספורים ייכנס לבית הלבן אדם שלא רק לא הצהיר כי בכוונתו לטפל בכך, אלא אף עודד אקטיבית ביצוע מתקפות סייבר. היום ניתן לקבוע בוודאות שהשוק החופשי כשל בהתמודדותו עם מתקפות סייבר, וייתכן שרק התערבות ממשלתית תביא לשינוי משמעותי במצב ותחייב חברות לבצע שדרוגים מקיפים במערכות אבטחת המידע שלהן.
למצער, לא נראה שהנשיא הנוכחי מתעתד להביא להתערבות שכזו, בוודאי שלא בהיקף ובעוצמה הדרושים. התוצאה? גם בארבע השנים הקרובות (לפחות) שירותים מקוונים ימשיכו להיפרץ והמידע האישי שלנו ושל מאות מיליוני גולשים אחרים יגיע לרשת ולידי גורמים עוינים.