פשיעה מקוונת והעולם האמיתי

מסתבר שרשויות החוק, לפחות בארה"ב, כן עושות משהו כדי להגן עליכם מפני cybercrime. קחו לדוגמה כמה מקרים מהעת האחרונה: המקרה שזכה כנראה לחשיפה התקשורתית הרחבה ביותר היה מעצרו של כריסטופר צ'ייני - החשוד בפריצה לטלפונים סלולריים ולחשבונות האימייל של סלבריטאים הוליוודיים ופרסום של תמונותיהם הפרטיות באינטרנט. כתב האישום נגד צ'ייני כולל פריצה לתיבות המייל של יותר מ-50 אישים מתעשיית הבידור ההוליוודית והפרה של כ-26 סעיפים בחוק המתייחסים לפריצה למחשבים אישיים, לגניבת מידע ולפגיעה בפרטיות.

מקרה נוסף שפורסם לאחרונה אך לא זכה לחשיפה תקשורתית רחבה היה הקפאה של נכסים בשווי 14.8 מיליון דולר של צמד האקרים, שהושגו לטענת התביעה באמצעות מכירה והפצה של תוכנות אנטי-וירוס מזויפות. אם וכאשר ייתפסו, צפויים בג'ורן סונדין ושאילאסקומר ג'יין, שכרגע מבוקשים על-ידי המשטרה, לעמוד בפני כתב אישום של 100 מיליון דולר.

כשהפשיעה המסורתית פוגשת בעידן ההיי-טק

אבל המקרה שבעיקר צריך לעניין מנהלי הרשתות ואנשי IT של עסקים ממגזר ה-SMB, הוא סיפור מעצרם של שלושה גברים בשנות ה-30 לחייהם מסיאטל שנעצרו בחשד להאקינג, הונאה וגניבת זהות. עיון בכתב האשמה נגדם, שפורסם על-ידי משרד התובע של מחוז וושינגטון בארה"ב, מגלה שהשלושה לא נאשמים רק בהאקינג לרשתות של יותר מתריסר בתי עסק, אלא ששיטות הפעולה שלהם כללו פריצה פיזית לבתי עסק ולמשרדים (יותר מ-40), גניבה של ציוד מחשבים וציוד אישי ומשרדי נוסף כדי שלאחר מכן ישמש אותם בהוצאה לפועל של ההונאות המכניסות יותר.

לדוגמה, הם השתמשו בפרטים גנובים של כרטיסי אשראי על-מנת לרכוש ציוד מחשבים וציוד יוקרתי אחר בשווי עשרות אלפי דולרים ולאחר מכן נהגו למכור את אותו ציוד. הם הצליחו להשיג מידע על אודות משכורות העובדים בחברות מסוימות ושינו את הנתונים כך שהמשכרות הועברו לחשבונות בנק שבשליטתם. בנוסף, העבירו השלושה כספים מחשבונות החברות לכרטיסי אשראי נטענים, מה שאפשר להם לפדות את הכספים למזומן בקלות רבה.

לפי ג'ני דורקאן, משפטנית אמריקנית המכהנת כראש המחלקה לענייני Cybercrime של הממשל האמריקני, המיוחד במקרה הזה הוא השילוב של פשיעה "מסורתית" עם פשיעה בסגנון ההיי-טק של שנות האלפיים. לדוגמה, השלישייה נהגה לפרוץ לבתי עסק כדי לגנוב ציוד מחשבים שבאמצעותו יכלה לפרוץ לרשת המחשבים של אותו העסק. לדבריה, הם הסבו לפחות רכב אחד לצורך wardriving (חיפוש של רשתות אלחוטיות חינמיות באמצעות מחשב נייד על-ידי אדם ברכב נוסע) כדי לפרוץ לרשתות אלחוטיות שמהן הם נהגו לגנוב מידע או להשתמש בהן על-מנת לבצע הונאות נוספות מבלי להיחשף.

הודות לערנותם של כמה מבעלי העסקים שנפרצו, שחשדם התעורר לאחר שזיהו כל מיני אי-סדירויות בחשבונות החברה, השלושה נתפסו ועומדים מול כתב אישום חמור בן עשרה עמודים. אם יורשעו, צפוי להם מאסר של עד 15 שנה וקנס של 250,000 דולר כל אחד.

ערנות זו בהחלט תכונה רצויה אצל כל עובד בעסק, אך להסתמך רק על ערנות העובדים זה לא מספיק. על בעל העסק או מנהל ה-IT לנקוט צעדים שימנעו פריצה כזו מצד אחד, ומצד שני עליו להיות עם תוכנית פעולה ברורה של הצעדים שיש לנקוט אם פריצה כזו בכל זאת התרחשה, על-מנת למזער את הנזק.

ברור כיום לכל בעל עסק שהרשת האלחוטית שלו חייבת להיות מוצפנת ברמת הצפנה שמתאימה לתחום העיסוק (או לפחות אני מקווה שזה ברור) ושכדאי לנהל תיעוד של כל ציוד המחשוב ולבצע בקרה מדי פעם כדי לוודא שאף מחשב או סמארטפון לא נעלם. גם התגוננות מפני פריצה פיזית היא דבר שהוא מובן מאליו ויש לכך אמצעים רבים: סורגים, אמצעי זיהוי בכניסה, אזעקה וכולי.

החוליה החלשה

אבל הדבר החשוב ביותר, והוא כנראה הפקטור העיקרי ביותר בסיפור הזה, הוא הטיפול בעובדים עצמם ובמדיניות החברה שתאתר ותמנע ניסיונות חיצוניים (או פנימיים) "לעקוץ" את החברה.

מדיניות אבטחת מידע בחברה חייבת להיות מוכרת, ברורה ושקופה לכל עובד והיא חייבת להיאכף בצורה מחמירה על-ידי האחראי לכך. מוטב גם להתייחס בחשיבות רבה לדיווחים של עובדים שהחשבונות הפרטיים שלהם נפרצו, במיוחד אם מדובר בתופעה מתרחבת באותו ארגון.

כיום גם הסמארטפונים מערבבים בין העולם הפרטי לעסקי (העובד משתמש בסלולרי בשעות הפנאי, מנווט באמצעותו בדרכים ומצלם איתו את הילדים והמשפחה). אותו ארגון חייב להיות בעל אפשרות להגיב באופן מיידי במקרים בהם אבד או נגנב לעובד המכשיר הסלולרי, למשל על-ידי שילוב של מנגנון למחיקה מרחוק של כל המידע.

כמה עולה ידע?

אבטחת מידע היא לא עניין פנימי בלבד של הארגון, אלא עניין שרשויות החוק צריכות להיות מעורבות בו. לאחרונה דווח בתקשורת על פענוח המקרה של דליפת מאגרי המידע של מרשם האוכלוסין לאחר חמש שנים, אך נקודת האור בסיפור המתמשך הזה היא שמרגע שהטיפול בחקירה הועבר ליחידה מיוחדת שמתמחה בפשיעה מקוונת, הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים (רמו"ט), החקירה נכנסה להילוך גבוה ופוענחה יחסית במהירות. לכן עסקים קטנים או גדולים חייבים להבין שמידע שווה הון, ופגיעה בו היא פשע לכל דבר אשר מחייב מעורבות של רשויות החוק.