אפתח ואגיד שבאופן כללי אנחנו מצויים בבעיה. שמעתי את יו"ר לאומי קארד, תמר יסעור, מאשרת שהמידע יצא החוצה מהחברה. כ־2 מיליון רשומות יצאו החוצה, לפי הדיווחים. הדבר היחיד שאפשר להתנחם בנוגע אליו במקרה הזה הוא שהכל נעצר בזמן, ושהפרטים לא הופצו. כרגע לא ברור אם המידע הועתק ושוכפל. בנושא הזה רב כעת הנסתר על הגלוי.
רוצים לקבל עוד עדכונים? הצטרפו לישראל היום בפייסבוק
יש מולנו אתגר והוא מלחיץ. עם זאת, ברמה הבסיסית כולנו צריכים להיות רגועים. הרי בתור האזרח הקטן אנחנו מוגנים מתרחיש שבו מישהו זר קונה בכרטיס האשראי שלנו בעשרות אלפי דולרים. ועוד במקרה הזה ברור שהאחריות היא לא אצלי, האזרח, הרי לא איבדתי את הכרטיס. האחריות היא הרבה מעלי ונמצאת במאגרי המידע של חברת האשראי.
ככלל, בשנים האחרונות מדברים הרבה על האיום הפנימי שניצב מול הארגונים. כיום להאקר חיצוני קשה מאוד לחדור ולהגיע למידע אסטרטגי בלי שיש לו שיתוף פעולה מבפנים. לכן צריך להתייחס לאיומים מבפנים ברצינות רבה יותר. אם בעבר שמענו על מקרי פריצות כאלה פעם או פעמיים בשנה, כעת אנחנו שומעים על מקרים כאלה בעולם בתדירות גבוהה יותר. לאחרונה היה מקרה של פריצה לבנק סיטי ולבנק ג'יי.פי מורגן. יש פה אחריות של הבנק לוודא שהנתונים נשמרים היטב.
יש לציין שאת רוב המתקפות היום בעולם מובילים ארגוני פשע גדולים מאוד, בין שזה מסין ובין שמרוסיה, למשל. "לשמחתנו", השוק הישראלי קטן מדי עבורם והם מעדיפים לתקוף גופים דוגמת ג'יי.פי מורגן ואחרים. עם זאת, במקום שיש בו כסף - הפושעים בסופו של דבר יתפתו.
אין ספק שצריך להתניע את יישום הפתרונות הטכנולוגיים. יש בישראל אנשים ברמה גבוהה וגם הרבה פתרונות. ג'יי.פי מורגן הודיע שישקיע 2 מיליארד דולרים בהגנה על מאגרי הנתונים, אבל זה היה רק אחרי הפריצה. המסקנה היא שהחברות צריכות לעשות, לעבוד ולשתף פעולה. חייבים גם לנעול את הדברים בהיבט הטכנולוגי, בהיבט החינוכי וההדרכתי של העובדים בארגון, וגם בהיבט של מי רשאי לראות את סוגי המידע השונים.
הביא לדפוס: חזי שטרנליכט
הכותב הוא מנהל חטיבת הסייבר של ECI
• • •
"גנבתי כנקמה על היחס שקיבלתי"
"חבורת היורמים", כך מכנים במשטרה את שבעת חברי הילדות שניסו לסחוט את לאומי קארד באמצעות פרטי האשראי של לקוחות החברה. החשוד המרכזי בפרשה, אלירן רוזנס שנעצר בתאילנד, נחת אתמול בארץ בליווי משטרתי.
במהלך חקירתו מסר רוזנס גירסה מלאה וטען בין השאר כי סיים את עבודתו בחברה בעקבות יחסים מעורערים עם הממונים עליו, והמשקעים שנותרו בו מהיחס כלפיו הובילו אותו לעשות את המעשה, מעין נקמה על היחס המשפיל שזכה לו בשלהי תקופת עבודתו. "הייתי מצטיין ולא קידמו אותי", טען.
עם מעצרו באי פאטיה שבתאילנד, שהתאפשר במסגרת תרגיל חקירה שהביא לאיתורו, נמצאו במחשבו האישי ובמקומות מסתור נוספים קבצים שהכילו פרטים של 2.5 מיליון לקוחות לאומי קארד. החשוד, המיוצג על ידי עו"ד בועז קניג, הופתע מהגעת המשטרה. לדברי קניג, שני בלשים ישראלים, שהיו מלווים בשוטרים תאילנדים, פרצו לחדר שבו שהה וכבלו אותו באזיקים. השוטרים, טוען קניג, לא אמרו למרשו שזכותו לסרב להתלוות אליהם, מה שהיה דורש הליכים ממושכים לצורך הסגרתו.
שמותיהם של חמישה חשודים נוספים בפרשה הותרו לפרסום גם כן: זיו דרין, אברהם דוד, אסף מור, אלעד אבולעפיה ומוטי שילון. מעצרם, כמו מעצרו של רוזנס, הוארך עד יום חמישי. עוד נודע כי החשודים, שראו במעשיהם הזדמנות לעשות "כסף קל", פתחו קבוצה בווטסאפ, שבה תיכננו כיצד יחולקו ביניהם המיליונים שיתקבלו ככופר מחברת לאומי קארד. השבעה עבדו יחד בפרויקט טיוב מערכות מחשב בחברה ופוטרו, ונבדקת גם האפשרות שהלכו לעבוד בחברה יחד במטרה להשיג את המידע הפיננסי. הם דרשו כופר בסך מיליוני שקלים ואיימו כי ימכרו את המידע שברשותם, שכלל פרטי כרטיסי אשראי של לקוחות. עם זאת, מידע זה לא כלל את שלוש הספרות שנמצאות בגב הכרטיס.
ראשיתה של הפרשה באי־מייל שנשלח להנהלת הבנק לפני כשבועיים מתאילנד על ידי רוזנס, שבו טען כי העתיק בעת העסקתו קבצים של חברת האשראי, וכאמור דרש כופר כסף תמורת אי פרסום הקבצים או מכירתם באופן שיפגע בחברה. אנשי הביטחון של החברה עירבו את המשטרה. בחקירה הסמויה השתתף צוות משא ומתן באגף המבצעים, שהתחזה להנהלת הבנק וניהל עם רוזנס משא ומתן.
"אני מניח שהוא סבר שיהיה קשה לנו לעצור אותו במדינה כמו תאילנד, שכן שיתוף פעולה עם מדינת עולם שלישי הוא לא עניין של מה בכך", אמר אתמול ראש יחידת הסייבר בלהב 433, סגן ניצב מאיר חיון. "הוא קרא ספרי מתח וריגול אבל לא היה מחובר למציאות. בפועל, שיתוף הפעולה הפורה הביא למעצר המהיר".
איציק סבן טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו