אתר בנק ישראל באנגלית נפרץ ופירצפו לו את הצורה. קאקר מוסלמי. האתר לא זמין כרגע. כנראה בשלב הדבקת הפלסטרים. יופי.
אתר בנק ישראל הוא לא רק אתר תדמיתי (ואנחנו יודעים עד כמה בנק ישראל צריך לעבוד על התדמית), אלא גם מכיל נתונים פיננסיים תפעוליים (כמו שערים יציגים, ריבית פריים ונתונים היסטוריים), רבים מהם כקובצי אקסל.
בוא ונניח שלמשל מערכת אבט"מ כלשהי עושה לכם צרות בהורדת קבצים מאתר כמו בנק ישראל, לא משהו אבטחתי, סתם שיבוש הפונטים בקבצים למשל, ויש לעובדים בחברה שלכם צורך קבוע להוריד מדי פעם קבצים אלו – לא תכניסו את אתר בנק ישראל ל"רשימה הלבנה"? הרי זה בנק ישראל, אם לא נסמוך עליהם, אז על מי נסמוך?!
בתור איש אבטחת מידע, יש תמיד את הספק במי לבטוח. הרי העסק עובד כך:
אם אתה סומך על א' וא' סומך על ב' – אז למעשה אתה סומך על ב'. ואתה בכלל לא מכיר את ב'.
ואתה בכלל לא באמת סומך על א' לאור עובדות שיש לך, לא ערכת לו ביקורת אבט"מ וגם אם ערכת – אתה יודע שהיא נכונה לרגע הבדיקה ולא דקה אחרי.
הרי אם הקאקר היה פושע בעל כוונות ריגול עסקי או גניבה – הוא היה יכול להשאיר את האתר כמו שהוא ורק להוסיף לו קוד זדוני במיקום פופולרי… ומשם הדרך כבר מוכרת.
הפריצה הזו היא בדיוק מסוג האירועים שצריכים ללמד אותנו לא לסמוך על אף אחד חוץ מעל עצמנו. לא שאנחנו מחוסנים ומאובטחים ב-100%, אבל בטח שאין טעם להרחיב את מעגל הסיכונים אליהם אנו נחשפים.
לא מזמן בנק ישראל השיק מערכת סליקה בזמן אמת. איך לקוחות המערכת (מוסדות פיננסיים) והלקוחות של אלו (אנחנו) אמורים לבטוח בבנק ישראל שיצליח לאבטח באופן סביר מערכת כה מורכבת, כאשר רכיב פשוט יחסית כמו אתר אינטרנט סטטי (כלומר, בלי פעולות) הוא לא מצליח לאבטח מפני ההתקפה הנפוצה ביותר ברשת?
איך המוסדות הפיננסיים בישראל אמורים להתייחס כעת לבנק ישראל, שכולל גם יחידת פיקוח על הבנקים, שפרסמה הוראות אבטחת מידע לבנקים ולחברות הביטוח (טעות שלי, את הוראות האבט"מ לחברות הביטוח פרסם המפקח על הביטוח במשרד האוצר, שאינו קשור, כמובן, למקרה זה)? מי ישמור על השומרים? מי יסמוך על השומרים?