מהכנסת: חשיפת כרטיסי אשראי ישראלים על-ידי האקרים זרים

נושאים , , , ,   | בתאריך 11-01-2012

לפני מספר ימים הוזמנתי בדחיפות לישיבה של ועדת הכלכלה של הכנסת לדיון בנושא: "חשיפת כרטיסי אשראי ישראלים על-ידי האקרים זרים":
http://portal.knesset.gov.il/com3kalkala/he-IL/Messages/02090112.htm

הנסיעה לכנסת היא כמו נסיעה לחו"ל. יוצאים שלוש שעות קודם, חונים בחניה ולוקחים שאטל לכנסת. כדי להכנס לבניין הכנסת עוברים את משטרת הגבולות עם בדיקות בטחוניות מוקפדות, רק שהפעם לא שואלים אותך אם מישהו נתן לך משהו לקחת, או אם ארזת לבד.

בתחילת הדיון ביקש יו"ר ועדת הכלכלה – ח"כ שאמה-הכהן מחברות האשראי להציג את עמדתן. כל חברות האשראי סיפרו על מערכות האבטחה הנפלאות שברשותן ואף חבר הכנסת שאמה ציין, שראה זאת במו עיניו בביקור שעשה בחברת ישראכרט. חברות האשראי התפארו איך התמודדו במהירות וביעילות במקרה האחרון של חשיפת כרטיסי האשראי והכריזו שהלקוחות מבוטחים מפני כל נזק כספי. כמו כן, קודקודי האבטחה בחברות האשראי ציינו שברמה עולמית, מקרה זה הוא בסדר גודל קטן וידועים מקרים בעולם בהם נחשפו מליוני מספרי כרטיסי אשראי ע"י האקרים.

אולם, כשנשאלו חברות האשראי על תקן PCI-DSS וישומו בשטח, היו קצת גימגומים ונראה שהאחראים על הבטחון (ומבלי להכליל) לא מבינים לעומק את התקן ובעצמם הודו שיש להם קשיים באכיפת התקן על בעלי אתרי מסחר אלקטרוני. התאריכים ליישום התקן לבעלי האתרים נדחה פעם אחר פעם וכרגע תאריך היעד הוא מרץ 2012.

בהזדמנות זאת, אני ממליץ לחברות האשראי לארגן קורס והשתלמות בנושא אבטחה ותקן PCI-DSS לכל העוסקים במלאכה בארגונם, כך שיוכלו להעלות את רמת הידע וההתמודדות בנושא. ועל כך נכתב על ידי מחלקת שירות לקוחות של טרנזילה לפני זמן לא רב: חברות סליקה, חברות אשראי, תקן PCI ומה שביניהם.

ד"ר נמרוד קוזלובסקי מאוניברסיטת ת"א טען שהבעיה המרכזית אינה חשיפת מספרי כרטיסי האשראי, כפי הנראה במבט ראשון, מה עוד שהבעיה נפתרה ביעילות ובזמן קצר ע"י חברות האשראי. לטענתו, הבעיה המרכזית היא חשיפת פרטים אישיים של מספר רב של אזרחים, מה שיכול ליצור נזק לטווח הארוך כאשר אותם אזרחים חשופים למקרי התחזות וגניבת זהויות בעתיד.

ד"ר נמרוד קוזלובסקי הציע שתי דרכים מהותיות, פשוטות ומעניינות להתמודדות עם הבעיה. אני מצר על כך שדברים חשובים אילו כלל לא צוינו בסיכום הדיון כפי שמוצג באתר הכנסת בלינק לעיל. להלן עקרי הצעותיו של ד"ר נמרוד קוזלובסקי:

1. יישום רגולטורי של חוק דומה לזה שנחקק במדינת קליפורניה, בו מוטלת אחריות על בעלי אתרים המנהלים ואוספים מידע על אזרחים. החוק בעיקרו כולל חובת אבטחת אתרים ברמה מינימלית וחובת דיווח מיידי במקרה של פריצה לאתר, הן לרשויות והן לאזרחים הרשומים באותו אתר.
2. הצטרפות ישראל לאמנה בינלאומית למלחמה בפשעי מחשב ואינטרנט (אמנת בודפשט), שתאפשר למשטרת ישראל ושאר רשויות אכיפת החוק לפעול תוך שיתוף פעולה בינלאומי. זאת מכיוון שעבירות אינטרנט חובקות עולם.

אני אישית סבור שכל ההאקרים בעולם מודעים לחוסר היכולת של ישראל לפעול כנגדם וכך הם פועלים בצורה חופשית, במיוחד האקרים מארצות האיסלם, שם הם אף נחשבים לגיבורים לאומיים.
שיתוף פעולה עם ה-FBI והאינטרפול יכול מאד לעזור ואני אישית נוכחתי שבמקרה מסויים של הונאה, כאשר משטרת ישראל הפעילה את האינטרפול, התגובה היתה מיידית ועם תוצאות בשטח.
(הסיפור של סליקת כרטיסי אשראי טרנזילה וחברת סוני העולמית)

ניתן להגיב כאן