0

אבטחת אתרים – ההבטחה שבאבטחה

נכתב ע"י דרור גליקסמן, שותף בחברת Webwhile ומשווק אינטרנטי סידרתי

נסיונות חדירה ופגיעה במערכות מידע הפכו לאיום אסטרטגי של ממש על ארגונים גדולים וקטנים כאחד. האיום הינו איום טרור לכל דבר, איום יומיומי, מתמשך, עיקש, המתעצם בהיקפיו, בפגיעותיו ובתחכומו . לאחרונה, ככל שיותר ויותר מפעילויות ומערכות הליבה של הארגון ממוצבות בסביבת ה-web , עולה חשיבותה של מערכת אבטחת מידע נאותה לאתרי האינטרנט הארגוניים והחיצוניים. הנזק העלול להגרם לחברה, לארגון או לעיתים אף למדינה כתוצאה מפריצת עומק לאתריה יכול להיות הרסני. לא מדובר רק בנזק תדמיתי שגם בו אין לזלזל, כי אם בנזק כלכלי ותשתיתי שעשויים לשתק ארגונים ולעיתים כלכלות שלמות.על מנת ולהתמודד עם האיום ההולך ומתעצם נדרשים הארגונים לפתרון רב שכבתי המורכב ממעגלי אבטחה שונים להגנה ממגוון הולך וגדל של איומים. כבר בשנת 2002 הצהיר יו"ר מיקרוסופט, ביל גייטס, כנגד ביקורת לא מבוטלת , על יוזמת Trustworthy Computing שמתעדף בחברת מיקרוסופט את נושא אבטחת המידע לעדיפות עליונה. בשנת 2004 הבית הלבן הוציא נייר עמדה ובו הכרה בסכנה הכלכלית והבטחונית הנשקפת כתוצאה מפריצות אפשריות למערכות מידע. מאז דווחו מאות אלפי מקרים של פריצות לאתרי אינטרנט ובכללם דווח על האקר טורקי בשם iSKORPiTX שפרץ ל-21,549 אתרים במהלך יממה אחת. חדשות לבקרים מתקבלים דיווחים אפילו שהאתרים הרשמיים של האו"ם, גופי ממשלה ובטחון ברחבי העולם נפרצים ותוכנם מוחלף.

בצל האיום, משגשגת לה תעשיית אבטחת המידע. למרות התדמית ההיסטורית שלה, לא מדובר היום בקבוצות אקס- אקרים משודרגות. על מנת ולהתמודד עם האיום צמחה תעשיית האבטחה לנפחים מדהימים והתמסדה. חברות רבות בה קבלו מעמד של חברות ציבוריות ענקיות הפועלות כתעשיות בטחוניות לכל דבר. אולם כמו בתעשיות רבות גם כאן האינטרסים של התעשייה ושל הארגונים אינה תמיד זהים.

גדר ההפרדה

תעשיית אבטחת המידע מעוניינת למכור לארגונים פתרונות יקרים. הפתרונות היקרים ביותר ארוזים במארזים יקרים. הם יושבים על ארוניות המחשבים וכמובן שיש להם ניראות. מנהלי הIT אוהבים את הניראות של המכשירים הארוזים היטב, במיוחד בסיורים עם מנהלים ומבקרים בחוות השרתים. המכשירים (אפליינסס) מקנים תחושת ביטחון, הם מראים לבוסים שנעשתה השקעה "רצינית" באבטחת המידע. לא מפתיע שאנשי השיווק של התעשייה זיהו את הצורך הפסיכולוגי של תחושת הבטחון בארגונים והיום מכשירי פיירוולים יקרים שבעבר הסתפקו ברכיבה על שרתי לינוקס פשוטים, ארוזים בדרך כלל במארזי פלסטיק יעודיים ונוצצים.

האבסורד

האבסורד הוא שהסכנה העיקרית לאתרי אינטרנט אינה דווקא נובעת מהשכבה התשתיתית ה"קשה". מרבית הפריצות היום לאתרי אינטרנט פשוט עוקפות את חומות האבטחה ומנצלות פרצות אפליקטיביות. קוד מרושל בו נכתב האתר, מערכת הפעלה לא מעודכנת, תוכנות מסדי נתונים וסביבות פיתוח מיושנות משאירים אתרים חשופים ופגיעותם כיום כמעט וודאית.
בתוך שעות מעליתו לאוויר של אתר חדש כבר ניתן להבחין ברישומי השרת בסריקות עוינות לקראת נסיונות חדירה. רובם ברמה בסיסית אולם פרצה שתתגלה קוראת לגנב וסביר להניח שהאתר יפרץ, תכניו יוחלפו, יגנבו ולעיתים אף יעלמו כלא היו.

הם מפחדים

ראשוני הנפגעים הינם אתרים שלהם מרכיבי מסחר אלקטרוני. לא מעט מחקרים מעידים על כך שהצמיחה בענף נפגעת בעיקר מחששות הקונים. הקונים הפוטנציאלים חוששים ליפול קורבן לגניבת פרטיהם, פרטי כרטיסי האשראי שלהם ולגניבת זהויות כתוצאה מפריצה לאתר בו הם קנו. קונים רבים החשופים מזה שנים להשמצות סביב נושאי אבטחת המידע ובתפיסת מציאות מודרנית של נרדפות בעולם מוכה טרור, מצביעים ברגליהם, נוטשים את עלות הקנייה ונמנעים מקנייה אינטרנטית באון ליין.

גם כאן האבסורד הוא גדול. בעלי אתרים מתהדרים בכך שהאתר שלהם מוגן על ידי מפתח (Secured Socket Layer) SSL. מה שאין הם מספרים הוא זה שפריט האבטחה ה"אס-אס-אלי" אכן חשוב אך מגן בלבד בזמן ההתקשרויות בין הגולשים לדף הקנייה בחנות האלקטרונית, אולם הפגיעות האפליקטיבית של האתרים עדיין עומדת בעינה.

מוכנות

לנוכח האיום המתגבר בולטת בחדשונתה חברת אבטחת מידע אמריקאית בשם Scan Alert ומוצר בשם Hacker Safe.
החברה הצומחת במהירות, זיהתה את בעיית האבטחה ואת בעית נטישת עגלת הקניות ויצאה לשוק עם פתרון אמיתי ונועז שנלחם הן בבעיית האבטחה האפליקטיבית והן במשבר האמון של הקונים בחנויות הוירטואליות. Scan Alert חיברה רשימה דינמית שמונה היום למעלה מעשרת אלפים סוגים שונים שמהוות כ-99.9% מהתקפות האקרים הידועות היום. בלב התהליך עומד שירות סריקה המדמה התקפה מורכבת על האתר. האתרים נסרקים ברמה יומית חודשים או רבעונית. בעל האתר מקבל בזמן אמת דו"ח המפרט את הפרצות ורמת הפגיעות של מערכותיו כולל המלצות כיצד לתקנם.

החברה מאפשרת לבעלי אתרים השוכרים את שירותיה שעמדו בקריטריונים טובים של אבטחת מידע לקבל חותמת דינמית Hacker Safe המדברת בעד עצמה, תורמת למיצוב האתר ומשפרת את תחושת הביטחון של הגולשים והקונים באתר. חברות בנקאיות, חברות סליקה וכרטיסי אשראי אימצו את השירות כסטנדרט לתקני אבטחת מידע.

החזר מיידי

סוחרים שישמו את המלצות האבטחה מדווחים על גידול של כ-10% ברכישות עקב ירידה בנטישת הקונים. מעטות הן מערכות ה- IT שבהם ניתן לקבל החזר על ההשקעה באופן כה ישיר ומידי. בהשקעה של עשרות דולרים בודדים, ניתן לקבל גידול מידי ברכישות באתרים ולא פחות מכך, שקט נפשי ותחושת ביטחון אמיתית.