Web Analytics

בבנק?! פינטו? בבנק?!

אתר בנק ישראל באנגלית נפרץ ופירצפו לו את הצורה. קאקר מוסלמי. האתר לא זמין כרגע. כנראה בשלב הדבקת הפלסטרים. יופי.

אתר בנק ישראל הוא לא רק אתר תדמיתי (ואנחנו יודעים עד כמה בנק ישראל צריך לעבוד על התדמית), אלא גם מכיל נתונים פיננסיים תפעוליים (כמו שערים יציגים, ריבית פריים ונתונים היסטוריים), רבים מהם כקובצי אקסל.

בוא ונניח שלמשל מערכת אבט"מ כלשהי עושה לכם צרות בהורדת קבצים מאתר כמו בנק ישראל, לא משהו אבטחתי, סתם שיבוש הפונטים בקבצים למשל, ויש לעובדים בחברה שלכם צורך קבוע להוריד מדי פעם קבצים אלו – לא תכניסו את אתר בנק ישראל ל"רשימה הלבנה"? הרי זה בנק ישראל, אם לא נסמוך עליהם, אז על מי נסמוך?!

בתור איש אבטחת מידע, יש תמיד את הספק במי לבטוח. הרי העסק עובד כך:
אם אתה סומך על א' וא' סומך על ב' – אז למעשה אתה סומך על ב'. ואתה בכלל לא מכיר את ב'.
ואתה בכלל לא באמת סומך על א' לאור עובדות שיש לך, לא ערכת לו ביקורת אבט"מ וגם אם ערכת – אתה יודע שהיא נכונה לרגע הבדיקה ולא דקה אחרי.
הרי אם הקאקר היה פושע בעל כוונות ריגול עסקי או גניבה – הוא היה יכול להשאיר את האתר כמו שהוא ורק להוסיף לו קוד זדוני במיקום פופולרי… ומשם הדרך כבר מוכרת.
הפריצה הזו היא בדיוק מסוג האירועים שצריכים ללמד אותנו לא לסמוך על אף אחד חוץ מעל עצמנו. לא שאנחנו מחוסנים ומאובטחים ב-100%, אבל בטח שאין טעם להרחיב את מעגל הסיכונים אליהם אנו נחשפים.

לא מזמן בנק ישראל השיק מערכת סליקה בזמן אמת. איך לקוחות המערכת (מוסדות פיננסיים) והלקוחות של אלו (אנחנו) אמורים לבטוח בבנק ישראל שיצליח לאבטח באופן סביר מערכת כה מורכבת, כאשר רכיב פשוט יחסית כמו אתר אינטרנט סטטי (כלומר, בלי פעולות) הוא לא מצליח לאבטח מפני ההתקפה הנפוצה ביותר ברשת?

איך המוסדות הפיננסיים בישראל אמורים להתייחס כעת לבנק ישראל, שכולל גם יחידת פיקוח על הבנקים, שפרסמה הוראות אבטחת מידע לבנקים ולחברות הביטוח (טעות שלי, את הוראות האבט"מ לחברות הביטוח פרסם המפקח על הביטוח במשרד האוצר, שאינו קשור, כמובן, למקרה זה)? מי ישמור על השומרים? מי יסמוך על השומרים?

Join the Conversation

4 Comments

  1. אני ממש לא מסכים איתך. דווקא אתה מכולם צריך לדעת שאתר האינטרנט השיווקי הוא לרוב הדבר האחרון שמשקיעים בו מסיבות כאלה ואחרות ואין לכך קשר לרמת האבטחה של המערכות הפנימיות.

  2. זה שאני מודע לכך שלעתים זה הנוהג, זה לא אומר שאני מסכים איתו.
    גם אין לי כל הבטחה שאין קשר לרמת האבטחה במערכות הפנימיות.

    אתה חושב שלמשל, הבנקים המסחריים, מגינים על האתר השיווקי פחות לעומת אתרי הפעולות, בהבדלי רמות כאלו שיאפשרו פירצוף?! ברור שהאתר התדמיתי פחות חשוב, אבל בענייני כספים (או למעשה בכל מקום שחשוב לך המוניטין שלך) – זה בדיוק השיקול שלקוחות הארגון יעשו: אם זו רמת ההגנה על משהו פשוט, למה שהיא תהיה יותר טובה בדברים מורכבים ובאמת חשובים?
    לפעמים השיקולים צריכים להיות לא רק אבטחתיים פרופר ו-80-20, אלא גם על ההשלכות מעבר לכך.

  3. ההשלכות הכבדות שאתה מציין נשמעות כנסיון הפחדה. הסיכון הוא נמוך ובדיוק מאותה סיבה שאתה בחרת לשים את האתר שלך בשרת שיתופי שאין לך שליטה מלאה עליו גם בנק ישראל כנראה התפשר על משהו (חוץ מסקר אבטחת מידע LOL). וקיבל את זה לפנים.

    בא תשאיר את הפרופוגנדה לעיתונאים ותן לנו חומר יותר מעניין.

  4. שלום finn, ממש לא ניסיון הפחדה. אין לי סיבה ואין לי מה למכור לאיש.
    אלו פשוט הדעות שלי, מתוך הניסיון המעשי שלי, הן הטכני והן מול בנק ישראל – טכנית ומנהלתית.

    אני חושב שהאפשרויות שציינתי לעיל הן אפשריות לחלוטין ולא דמיוניות.

    אני (לא) שמח שאתה שם אותי ואת בנק ישראל באותה שורה.
    אני נמצא בשרת שיתופי מסיבה אחת בלבד – כסף. אני אדם פרטי, אני לא נותן שירות לציבור, אני לא ארגון של מדינה, אני לא מתפרנס מכספי משלם המיסים והמוניטין שלי לא יכול יותר לרדת.
    בנק ישראל, כארגון שמייצג משהו, שנותן שירות לציבור, שחי מכספי הציבור ואמורים להיות לו איזושהי מכובדות, רצינות ומוניטין – לא יכול לזרוק את השרת שלו אל מחוץ למערכות ההגנה המפוארות שמן הסתם יש לו במערכות תפעוליות רגישות.
    כסף, אני משער, לא חסר לו. תמיד אפשר להדפיס.
    זה פשוט סימפטום של זלזול ו/או חוסר מקצועיות, וזה, תמיד מרגיז אותי.

    וכן, אתה לא יכול כגוף מפקח על מוסדות פיננסיים, כזה שאומר להם איך ומה הם חייבים לעשות באבטחת מידע – ללכת יחף. זה פשוט מביש. ואני אומר זאת הן כאזרח המדינה והן כמי שעובד במקצוע.

Leave a comment

האימייל לא יוצג באתר.