בעקבות פרסום הנתונים מ-פריצת אשלי מדיסון, הגיע הזמן לדון בכמה מההשלכות הרחבות יותר שיש לפריצה הזו על תאגידים אחרים, במיוחד כשמדובר באחריות.
לשים בצד אםאשלי מדיסון שורדתאו אם זה סתםדפוק לגמרי, הפריצה הזו ושחרור הנתונים על המשתמשים שלה היא ייחודית בעולם שבו הפריצה מתבצעת במהירותהופכים לנורמה.
ראה גם:
היו לנו מספר רב של הפרות מידע על לקוחות במהלך השנים האחרונות - מסוני ועד אדובי ללינקדאין ל-eBay ל-Snapchat לסוני שוב. מה שמייחד את AshleyMadison מרוב ההתקפות הללו הוא שהתוצאה הסופית היא לא רק פרסום כרטיס האשראי, סיסמת החשבון או המידע האישי שלך (תאריך לידה, כתובת, דוא"ל); זה שהסודות החשאיים ביותר של המשתמשים עלולים להיות בסיכון.
איפה האחריות?
התוצאות של התקפות אלו לעיתים רחוקות מזיקות לחברות הממוקדות. חלקם עשויים לחוות מוניטין פגוע (אם כי זה לא מנע מ-Snapchatגיוס מיליארד דולרבמחצית הראשונה של 2015), אך מעטים נפגעו מהותית.
הפריצה של Sony Pictures היא הפריצה הארגונית הגדולה ביותר בכל הזמנים, ובכל זאת סוני קורפ רק מיוחסתפיצוי של 15 מיליון דולרלאירוע.
כתוצאה מכך, אין תמריץ אמיתי לחברות לקבל נוהלי נתונים ואבטחה טובים יותר.
כאשר חברת רכב מוציאה ריקול גדול, לעתים קרובות יש גם קנסות עונשיים. בעבר, יצרניות רכב הואשמו בכך שלא תיקנו ליקויים מבניים או בטיחותיים גדולים, כי זה יעלה יותר מהחזרה. הרגולטורים מענישים כעת באופן מהותי יצרניות רכב שמקבלות החלטות מסוג זה. אחרי הכל, בטיחות האדם לא צריכה להיות במקום השני במאזן.
אין לנו סוג כזה של אחריות בכל הנוגע לבטיחות דיגיטלית, אבל אנחנו צריכים.
זה אמור להיות נכון כפליים עבור חברות כמו AshleyMadison שלוקחות כסף על בסיס בטוחות. פשוט לומר, "היינו קורבנות של מתקפה" כבר לא מספיק טוב, במיוחד אם יתברר שלחברות האלה היו נוהלי אבטחה פחותים מהממים.
כשחברות מעודדות אבטחה אבל לא לוקחות אותה ברצינות
AshleyMadison מכרה את עצמה כפלטפורמה מאובטחת. זֶההתרברבו בביטחון שלולעיתונות.
עם AshleyMadison, עצם טבעו של האתר ומשימת הליבה שלו פירושה שהאבטחה הייתה צריכה להיות הדבר החשוב ביותר בחברה.
עם זאת, יותר ויותר מתברר שזה לא היה המקרה.הגרדיאןדיווח ביום רביעי כי בתוך המסמכים שהודלפו היו הודאות מההנהלה הבכירה כי פרצת נתונים תהיה קטסטרופלית עבור החברה.
בשאלון פנימי, בתגובה לשאלה באיזה תחום הייתם "שונאים לראות שמשהו משתבש", כתב מנכ"ל אשלי מדיסון, נואל בידרמן: "חליפת נתונים, חיסיון הנתונים. הפרת מידע מבפנים תהיה מזיקה מאוד. האם אנחנו עשינו עבודה מספיק טובה בבדיקת כולם, האם אנחנו מסתדרים עם זה?"
ברור שהתשובה לשאלותיו הייתה "לא".
בהצהרות קודמות רמזה בידרמן כי היה זה קבלן חיצוני שהצליח לגשת שוב לנתונים שנחשפו בהדלפה. המידע שפורסם לא היה רק מידע אישי על משתמשים, זה היה גם מידע פנימי על החברה עצמה.
זה לא נדיר להשתמש בקבלנים חיצוניים, אפילו לאבטחה, בעולם הארגוני - אבל אם כל העסק שלך מבוסס על הרעיון שמשתמשים יכולים לסמוך על האתר שלך כמקום ללכת אליו להיות סמוי ופרטי - למה שאדם חיצוני יש לך גישה לכל כך הרבה מידע חשוב?
אנחנו לא יודעים הרבה על הנתונים או נוהלי האבטחה של AshleyMadison, אבל אנחנו כן יודעים כי - כמו Sony Pictures - החברה הייתה נוטה לאחסן מסמכים עם סיסמאות ומידע רגיש אחר בפורמט לא מוצפן.
אבטחה לא יכולה להיות מס שפתיים
ב-Sony Pictures, נוהלי ה-IT והאבטחה הפנימיים היו גרועים להחריד. לא רק שעובדי עובדים אוחסנו לעתים קרובות סיסמאות חשובות בקבצים שכותרתם סיסמה - נתונים המכילים מידע משאבי אנוש רגיש אוחסנו לצד מסמכים ונתונים אחרים. וזה לא היה מוצפן.
אפילו יותר מדאיג, לאיש האחראי על האבטחה בסוני הייתה היסטוריה שלרַברְבָנִיעל שימוש באבטחה "מספיק טובה".
בשנת 2007ראיון למגזין CIO, מנהל אבטחת המידע של סוני דיבר על קבלת ההחלטה העסקית "לקבל את הסיכון" של פרצת אבטחה, במקום לשלם יותר כסף כדי להגביר את האבטחה.
עבור אותו בכיר, הוצאה של 10 מיליון דולר על אבטחה כדי למנוע פריצה שעלולה לעלות רק מיליון דולר לא הייתה הגיונית.
בשיחות שניהלתי עם מנהלי מערכות מידע ו-IT במהלך החודשים האחרונים, גישה כזו אינה נדירה בתאגידים גדולים יותר.
אבטחה נתפסת ככל סוג אחר של הערכת סיכונים וההשקעה בו אינה בראש סדר העדיפויות.
זו כנראה אחת הסיבות שאנו רואים כל כך הרבה פרצות נתונים מתרחשות בקצב מואץ כל כך. יותר ויותר מידע רגיש מאוחסן בשרתים בעלי קשרים חיצוניים ולהאקרים (פנימיים או חיצוניים) קל וקל יותר לנצל את האבטחה הרופפת כדי לחשוף את המידע הזה לעולם.
וזה לא מוגבל רק לתאגידים. ראינו ממקור ראשון עד כמה גרועה ממשלת ארה"ב מטפלת באבטחה. בחודש יולי,יותר מ-21 מיליון מספרי תעודת זהותנגנבו מהמשרד לניהול כוח אדם.
איך זה קרה עדיין לא ברור, אבל למרבה הצער, לממשלה הפדרלית אין את הרקורד הטוב ביותר עם אבטחת נתוני עובדים.
הגיע הזמן להטיל אחריות על חברות לכשלי אבטחה
ככל שמתרחשות יותר מהפרות מידע אלו, יותר אנשים רגילים נמצאים בסיכון. כמי שנלחם בגניבת זהות בעבר, אני יכול לומר שקל להפליא למישהו לפתוח קרדיט בשמך עם סוגי המידע שמתפרסמים לעתים קרובות בהתקפות מסוג זה.
עם אשלי מדיסון, הנפילה היא לא בהכרח גניבת זהות אלא הרס של חיים אישיים.
מה שמחריף את הבעיה היא שהיה מעט מאוד פנייה לאנשים שנפלו קורבן לסוגים אלה של פריצות, מלבד תביעה ייצוגית.
זה צריך להשתנות. חברות צריכות לשאת באחריות לביטחון שלהן. צריכות להיות קנסות כאשר מידע נפרץ בקנה מידה גדול - במיוחד אם ביקורת אבטחה חיצונית מראה שלא פעלו לפי שיטות עבודה מומלצות לאבטחה.
עצירת ההאקרים היא קשה כאשר נראה שהחברות שאליהן מתמקדים לא לוקחות ברצינות את האיום של פריצה. אם פגיעה במוניטין אינה מהווה סיכון מספיק, אולי קנס כבד יעזור לשנות את השיחה.
