Web Analytics

מְסַכָּנוֹת המקצוע – לדעת יותר מדי

דרך האתר law.co.il של עו"ד חיים רביה, העוסק בצד המשפטי של החיים הדיגיטליים (יש אתר דומה של עו"ד אביב אילון, netlaw.co.il), ואליו אני מנוי, נודע לי כי בימים אלו באה לסיומה פרשת גניבת נתוני ההזדהות של לקוחות הבנק הבינלאומי על ידי עובד אבטחת המידע של הבנק, דן טירספולסקי, נתונים אשר הועברו לאנשים נוספים אשר בתורם גנבו כספים מהחשבונות שפרטיהם נגנבו.
טירספולסקי נידון, במסגרת עסקת טיעון בין הפרקליטות לעו"ד של טירספולסקי, לשנת מאסר אחת, מאסר על תנאי למשך 10 חודשים לתקופה של 3 שנים (והתנאי הוא כי לא יעבור כל עבירת רכוש, מרמה או הונאה) וקנס בסך 10,000 ₪ או 60 ימי מאסר תמורתו.

הפרשה, אשר נחשבת למעילת האינטרנט הבנקאית הראשונה בישראל, נחשפה בשנת 2005 (ראויה לציון תגובה 11), אז נחשף כי טירספולסקי, עובד במחלקת אבטחת המידע של הבנק הבינלאומי, אשר היתה לו גישה לפרטי החשבונות של לקוחות הבנק, כולל פרטי ההזדהות שלהם באתר האינטרנט של הבנק, מסר נתונים של ארבעה לקוחות של הבנק, תושבי חוץ, לידי אנשים נוספים שפרטיהם לא מוזכרים, והם בתורם, בעזרת הפרטים שקיבלו מטירספולסקי, גנבו סך של 103,700 ש"ח מלקוחות אלו.
בכתבה שפורסמה ב"גלובס" בעת גילוי הפרשה נטען כי טירספולסקי לא הצליח להחזיר חוב לקרוב משפחה (שגם נעצר) ובשל כך נסחט על ידי גורמים עבריינים במאפיה הרוסית.

לטענת העו"ד של טירספולסקי, על פי גזר הדין, הוא ביצע את המעילה לא עבור עצמו אלא כי נסחט באיומים על ידי אותם גורמים אליהם העביר את פרטי הלקוחות (מה שלא ממש נכון לדעתי, כי הוא השתמש בנתונים שגנב כתחליף להחזר חוב, ומי שבעצם "החזיר את החוב" הם אותם לקוחות של הבנק).
באופן מעורר שאלות, בגזר הדין רשום לגבי באת כוח התביעה (כלומר פרקליטות המדינה) ש"בנוסף היא מאשרת כי נעשו ניסיונות להשיב את הכסף שנגנב, אולם הבנק לא הראה נכונות לקבלו". גישה מעניינת של הבנק.

אז מה אנו למדים ממקרה זה?

– אל תיקחו הלוואות מקרובי משפחה.
– אם כבר אתם לוקחים הלוואה מקרובי משפחה. תבדקו שאין להם קשר לגורמי פשיעה או שהם לא מסוכנים אם לא מחזירים להם את הכסף.
– אבטחת המידע בבינלאומי לא השכילה להצפין את סיסמאות הלקוחות כך שאיש מלבדם לא ידע אותן, כי ברור שלא ניתן למנוע גישה אליהן כי הן מטופלות על ידי עובדי מחלקת המחשוב של הבנק (אנשי סיסטם, מפתחי האתר, DBAים, אנשי הגיבוי והאחסון וכן הלאה). פעולה זו היתה מכשילה בוודאות גבוהה את האפשרות לאירוע מסוג זה להתרחש.
– חשוב שנבין שעיקרון המידור ועקרון ה-Need to know (והצפנה למעשה משלבת את שניהם) מגינים לא רק על בעלי המידע שכן מורשים לגשת אליו ולעשות בו שימוש אלא גם עלינו, אנשי אבטחת המידע (וה-IT בכלל), שיכולה להיות להם גישה למידע, אפילו באופן לא מכוון או מודע, כחלק מעבודתם. העקרונות הללו מפחיתים את רמת הידע שלנו אודות מידע רגיש ובכך מפחיתים את הסיכון שלנו לפיתויי שימוש ברעה על ידינו או לחצים להעביר מידע זה לידי גורמים חיצוניים.
לכן, אם בעבודתכם אתם שמים לב שקיימים מצבים שבהם אתם (או אחרים) יודעים או יכולים לדעת יותר מדי, או יכולים לעשות יותר מדי – תפנו למנהלים הרלוונטיים ותתריעו בפניהם על כך.
תמיד עדיפה מניעה מראש על פני תיקון בדיעבד (שלא תמיד אפשרי).

זה קשור רק חלקית למקרה הנ"ל, אבל מזמן רציתי להגיד את זה: המקצוע שלנו הוא לא חד וחלק, לא ברור ולא מתוחם. לטוב ולרע. ולפעמים יש רע. ואסור לשכוח זאת ואסור להתעלם מכך.
רוצים שנשמור על הארגון, על המידע הרגיש והסודי, אבל שלא נחשף אליו ולבטח לא נעשה בו שימוש לרעה. זה הגיוני, זה דורש אמינות, זה דורש כוח רצון ועמידה בפיתויים ובלחצים, וזה דורש לוליינות טכנולוגית ואישיותית. המקצוע דורש ממך ללכת על חבל דק, על הגבול, ולעולם לא לקבל החלטה שגויה. והקביעה האם ההחלטה שגויה או לא יכולה להיות לפעמים תלוית מקום, זמן, מערכת, מידע, יחסים, פוליטיקות ואין סוף פרמטרים. לפי הצורך והמטרה של המחליט. ולא תמיד אתם הם המחליטים…
ככל שהעולם נכנס יותר ויותר למחשוב, לתקשורת ולאינטרנט – כך בהתאמה מתגברת המשפטיזציה של התחום הזה ושל אבטחת מידע בכלל, כמקבילה הדיגיטלית של תחום הבטחון הפיזי, ובהתאמה העובדים במקצוע (ולא רק באבט"מ, גם אנשי סיסטם, DBAים ועוד) עוסקים בתכנים שהם קריטיים לארגונים ועל כן בקלות יכולים למצוא עצמם בסיטואציות משפטיות שונות, מדיונים עם עורכי הדין של החברה לגבי אירועי אבטחת מידע, דרך איתור תכנים לכתבי תביעה (Forensic) ועד עדות או כנאשמים במשפטים מסחריים ו/או פליליים.
ולדעתי המצב היום הוא שאין לעוסקים במקצוע מספיק מודעות וידע משפטי לגבי המותר והאסור, ואין להם עם מי להתייעץ כיצד לנהוג במצבים מיוחדים, במצבי קצה, ויש כאלה לא מעט במקצוע שלנו. את המצב הזה לדעתי צריך לשנות.
שעת ייעוץ של עו"ד יכולה בקלות להגיע למאות ש"ח/דולר, שלא לדבר על הדרכות/הרצאות משפטיות תקופתיות – מה שמן הסתם גורם לרבים שלא לפנות לייעוץ משפטי אלא לסמוך על השיפוט האישי שלהם בלבד.
אני מקווה ש-IFIS ישימו לב לעניין זה וייזמו הדרכות משפטיות על ידי חברי הפורום בעלי השכלה משפטית בנושא ואולי גם ישיגו תעריפי ייעוץ מופחתים לחברי הפורום אצל משרדי עורכי דין בעלי התמחות מתאימה. יכול להיות שצריך גם לשקול השגת תעריפים מופחתים לביטוח אחריות מקצועית (אם כי אני לא בטוח אם קיים ביטוח כזה בישראל בנוגע לאנשי מחשבים בכלל ואבטחת מידע בפרט).
בינתיים, תשימו לב ותשמרו על עצמכם, ואם אתם לא בטוחים – תשאלו חברים או בעלי מקצוע ותיקים שאתם יכולים לסמוך על דעתם. תמיד עדיף לשמוע כמה דעות לפני שמקבלים החלטה חשובה.

Join the Conversation

8 Comments

  1. הבעייה קיימת אבל הפתרון לא פשוט.
    החקיקה מפגרת הרבה אחרי הטכנולוגיה.
    יש פסיקות סותרות בערכאות שונות, כל שופט מפרש את החוק הקיים כמיטב הבנתו והם לפעמים, כדרך הטבע, מבינים בצורה שונה.
    גם יועצים משפטיים, לא משנה מה מחירם, יתנו עצות שונות, כפרשנותם הם את החוק.
    לא צריך להבין בכלל במשפטים כדי לראות שמעשיו של החבר טירספולסקי הם בצד הלא נכון של החוק.
    חוץ ממקרי קיצון, מבחן ההגיון הבריא עדיין עומד, גם בעבודות מסוג זה.

  2. כנראה שהחקיקה לעולם תפגר אחרי הטכנולוגיה ובכך תמיד יהיה פער שבתוכו יפלו הרבה דברים. ואנשים. תמיד אנשי מקצוע שונים יתנו עצות שונות, בכל תחום, לפי ניסיונם ומקצועיותם, אבל עדיין עדיף להתייעץ לפני שפועלים או לא פועלים. כדאי לשמוע גם אחרים מאשר לשמוע רק את עצמנו.
    ברור שהמקרה של טירספולסקי הוא בלתי-חוקי בעליל, והגיון ישר הוא תמיד המדריך הראשון שלנו, אבל אני מתכוון למקרים היותר אפורים.

  3. אחד הפוסטים הטובים שקראתי לאחרונה ובכלל ועוסק בנושא חשוב ביותר שאין מרבים לדון בו. יש לי הרבה מה להגיד בנושא – יותר מאוחר.

  4. כשמדובר בכרטיסי אשראי הבעיה חמורה יותר, גם אם הקוד הסודי של כרטיס האשראי מוצפן במערכת עדיין מדובר בקוד שמורכב מארבע ספרות מספריות, 4000 אפשרויות שונות לקוד הסודי בלבד. אם עובד מבפנים מסוגל לראות את ה HASH התהליך לפענח אותה באמצעות Rainbow Table או אפילו BF קצר מאוד.

  5. יש באמת הרבה לומר, אבל בהזמדנות אחרת.

    רק שתי הערות קצרות:
    1. אני חושש שסיסמאות של לקוחות בנק אפשר יהיה להשיג עם סחיטה של האנשים הנכונים, ולאו דווקא אנשי אבטחת מידע.
    2. סיסמאות של כרטיסי אשראי דווקא אי אפשר לשחזר. אין כזה דבר HASH. הבדיקה נעשית ישירות ב-HSM, ולא ארחיב עכשיו. אבל מי בכלל צריך סיסמאות של כרטיסי אשראי כדי לגנוב כסף מכרטיסי אשראי. וכאן בכלל לא ארחיב.

  6. כמי שלא אחת יושב עם אנשי אבטחת מידע לגבי סיכונים משפטיים, אני חייב לציין כי כעקרון לא לעורך הדין ולא לאיש אבטחת המידע יש את התמונה המלאה, אלא רק לשניהם יחד. יש סוג של Secret Sharing כאן כיוון שעורך הדין לא יודע מה אפשר לעשות עם ססמא, והוא בדרך כלל לא יודע לשאול את השאלות הנכונות כמו "האם אתה שומר ססמא" ולא יודע שאפשר גם בלי לשמור את הססמא. אבל זו דוגמא טובה רק לססמא.

    כעקרון, אני אשמח להעביר הרצאה מסוג זה על הסכנות המשפטיות והאחריות; אבל אני חושב שצריך במסגרת אותה הרצאה גם לגבש חוברת של Best Practices לגבי שימוש במידע ופרטיות. אם תרצה עזרה, תשלח מייל.

  7. "אבטחת המידע בבינלאומי לא השכילה להצפין את סיסמאות הלקוחות כך שאיש מלבדם לא ידע אותן" – אין ספק שזה א ב באבטחצ מידע.
    כל ילד שבונה אתר היום מצפין את הסיסמאות, מה שכן הדגש חייב להיות פה שההצפנה חייבת להיות חד כיוונית (דוגמאת MD5), מכייון שיש הצפנות די חזקות שהן דו-כיווניות ואז כל הרעיון שהסיסמאות הן של הלקוחות בלבד בטלים מעיקרם

Leave a comment

האימייל לא יוצג באתר. שדות החובה מסומנים *