אבטחת מידע ובנקאות מקוונת 

אמון הוא מרכיב בסיסי בכל מערכת יחסים באשר היא. הוא הכרחי אף יותר כאשר מדובר במערכת יחסים בין לקוח ומוסד פיננסי האמור להגן על מידע רגיש ונכסים מפני איומים ברשת. הקהילה הפיננסית מתמודדת באופן יום-יומי עם איומים מקוונים על מאגרי המידע שלה ושל לקוחותיה. מהם האיומים המרכזיים כיום ומהם הפתרונות וההגנות המומלצות - על כך במאמר זה.

מספר הולך וגדל של לקוחות מבצע כיום את פעולותיו הבנקאיות בצורה מקוונת. אין ספק כי בנקאות מקוונת מציעה ללקוח נוחות, חיסכון בזמן וזמינות, אולם לכל אלה נוספים גם איומי אבטחת מידע שונים. מעשי השוד האלימים שהופנו כנגד הבנקים עד לפרוץ מהפכת המחשוב הבנקאית, הפכו בשנים האחרונות לפשעי מחשב: פריצות למאגרי מידע, גניבות זהויות ומעשי הונאה ממוחשבים.

הנפגעים העיקריים מהפשעים הממוחשבים האלה הם הבנקים. דו"ח שפורסם בפברואר 2010 על-ידי חברת Javelin & Strategy Research, חברה מובילה המתמחה במחקרים מטעם מוסדות פיננסים בינלאומיים, מעלה כי ההפסד הכלכלי שנגרם כתוצאה מגניבת זהויות של משתמשים בשנת 2009 הסתכם בכ-54 מיליארד דולר. זאת לעומת 48 מיליארד דולר בשנה הקודמת (עליה של למעלה מ-12%). אולם, פריצות במערכות האבטחה של חברות ומוסדות פיננסים ובעיקר של בנקים אינן מתמצות רק בהפסד כלכלי ישיר אלא יכולות להשפיע גם על מוניטין הבנק ושלוחותיו. פגיעה באבטחת המידע עלולה להוביל לתביעות ייצוגיות ופרסום שלילי שסופם בהפסד כספי רב, אם כי עקיף, למוסד. האחריות, אם כן, מוטלת על כתפיהם של קברניטי הבנק ולכן זהו רק הכרחי כי הם ינקטו בצעדים מונעים, וימפו את דרכי הפעולה המומלצות לציות לתקנות אבטחת המידע. מנגנוני האבטחה המינימאליים אינם מספיקים עוד. יש לחקור ולהבין מהם האיומים הקיימים ומהן דרכי הפעולה והמניעה העומדות לרשות הבנקים.

מחקרים שונים שנערכו בשנים האחרונות מוכיחים את חשיבותה של מערכת מאובטחת. מנתוני המחקר של Identity Theft Resource Center, ארגון ללא מטרות רווח החוקר גניבות זהויות בעולם ואת דרכי מניעתן, עולה כי מתוך מדגם של 498 מקרי פריצות שדווחו - רק 6 פריצות היו למאגרי מידע מאובטחים ומוצפנים. דו"ח נוסף של חברת Verizon Business, חברה בינלאומית לפתרונות תקשורת, אינטרנט ואבטחת מידע שפורסם באוקטובר 2010, מראה שארגונים אשר אבטחו את מערכות הנתונים שלהם לפי תקני אבטחת מידע קשיחים, הקטינו את הסיכוי לפריצות בארגוניהם בחמישים אחוז. נתונים אלה מוכיחים עד כמה חשוב להבין את האיומים ולפעול כנגדם. הקצאת משאבים ואבטחת המידע יועילו בסופו של יום בשמירה על מוניטין המוסד והתפתחותו הכלכלית.

סוג התקפות פופולארי במיוחד הוא גניבת זהות של בעל חשבון. גניבת הזהות מאפשרת לתוקף לבצע מגוון רחב של פעולות, החל מפעולות פשוטות כגון זיוף המחאות, ועד חבלה בחשבונות הבנק באמצעים וירטואליים. מכיוון שלא מדובר בגניבה פיסית של אמצעי הזדהות (כגון גניבת כרטיסי אשראי), התוקף לא משתמש באמצעים אלימים פיסיים כדי להשיג את המידע הנחוץ לפריצה, ובמקרים רבים אף משתמש בתחבולות שונות הגורמות למשתמש התמים למסור לו את המידע מרצונו. חשוב אף לשים לב שגניבת זהות יכולה להתבצע באמצעות שורה של התקפות שונות, כאשר כל אחת מההתקפות דורשת סוג שונה של אמצעי הגנה ואבטחה.

אלו סוגים שונים של התקפות קיימים כיום ומהם ההגנות והפתרונות המומלצים?

פישינג (Phising): פישינג היא אחת ההתקפות השכיחות והבולטות ביותר כיום על מוסדות פיננסיים. בפישינג התוקף משיג סיסמאות ומידע בדרכי מרמה, בדרך-כלל באמצעות שליחת קישור או הודעה לחשבון המייל של הגולש. הקישור מוביל את הגולש לאתר המתחזה להיות אתר לגיטימי (בדרך כלל של הבנק המותקף). המשתמש התמים מתבקש להזין את פרטיו האישים כגון סיסמאות, שם משתמש וכדומה. בסוף שנת 2009, הוטמייל, שירות הדואר האלקטרוני של מייקרוסופט, ג'ימייל, השירות המקביל של גוגל, ושירותים שונים של חברת יאהו, היו קורבנות של מתקפת פישינג. באותה מתקפה נפרצו אלפי חשבונות דואר אלקטרוני. הפריצה לחשבונות הדואר אפשרה לתוקפים לגלות סיסמאות ושמות משתמשים של לקוחות האתרים שונים, סיסמאות אשר סייעו בפריצה לאתרים נוספים.

גניבת מאגרי סיסמאות: פעמים רבות אנשים משתמשים באותה סיסמא לכמה אתרים. כך, גניבת מאגר מידע של סיסמאות או חדירה למערכת אחסון סיסמאות באתרים פחות מוגנים, יכולות להוביל למעשה לפריצה של עשרות אתרים רגישים אחרים. ביולי השנה פרצו האקרים טורקים לאתרי פיצה האט ישראל, חב"ד והומלס וגנבו מתוכם סיסמאות גישה וכתובות דואר אלקטרוני של 22 אלף משתמשים. רשימת הסיסמאות וכתובות הדואר אלקטרוני פורסמה באתרי האקרים שונים.

הצלחת שני האיומים האחרונים תלויה ביכולת של התוקף לשטות בגולש באופן שהוא יעביר את המידע הרצוי. על הבנק, אם כן, להפעיל כמה מערכות הגנה במקביל אשר ימנעו את החדירה, ביניהן שימוש באמצעי הזדהות מבוססי חומרה. אמצעי זיהוי כאלה מבטיחים שידיעת שם המשתמש והסיסמא אינם מספיקים כדי להזדהות. שימוש באמצעי הזדהות מבוססי חומרה רווח מאד בבנקאות עסקית, כאשר הנזק ללקוח ולבנק מפריצה גדל בגלל אופי העסקאות המבוצעות בחשבונות כאלה. שיטה נוספת, היכולה לעיתים להוות אלטרנטיבה זולה יותר, היא זיהוי משני של הסיסמאות וזהות המשתמש, הבוחן אי התאמה בין המידע המצוי במערכת הבנק לבין הגולש המנסה להזדהות.

האיש שבאמצע (Man in the middle): באיום זה, התוקף שותל באופן אקטיבי מסרים משל עצמו בנתיב הנתונים שבין המשתמש לבין מערכת אימות הנתונים. בפעולה זו, גם אם הבנק מבקש נתוני אימות מסוימים, בוחר התוקף אילו נתונים להציג למשתמש ואיזו תשובה להעביר בחזרה לבנק. לדוגמא, נניח שהבנק אכן משתמש באמצעי זיהוי מבוסס חומרה, הפועלים בשיטת הסיסמא החד פעמית. התוקף שותל תוכנה בין יחידת הקצה לאתר הבנק. כל עוד נדרשת פעולת הזדהות פשוטה, מציג התוקף את הנתונים הנכונים למשתמש, מקבל את סיסמת הגישה החד פעמית שלו ומעביר אותה בחזרה לבנק. כאשר מנסה המשתמש לבצע פעולת העברת כספים, משנה התוקף את מספר החשבון למספר החשבון שלו ושולח את הנתונים לבנק. גם אם הבנק יבקש אישור נוסף מהמשתמש, יציג התוקף את מספר החשבון הנכון של המשתמש ואת האישור המזויף ישלח לבנק.

הגנה אפשרית מפני איום זה היא מערכת אימות נתונים ומפתח הצפנה המנוהל על-ידי הבנק. פעמים רבות הגולשים מתעלמים מההתראות המופיעות על הצג או שאינם מבינים את משמעותם. מבחינה זו, אם האחריות תהיה על המוסד עצמו, אזי המערכת תתריע בפני הבנק כאשר ייווצר חוסר התאמה בין המידע של הבנק ובין המסרים, ואז הגישה תיחסם.

האיש שבדפדפן (Man in the browser): תוכנת סוס טרויאני המשפיעה על דפדפן האינטרנט של הגולש. התוכנה "מתמקמת" בין הגולש ובין הדפדפן עצמו ומשנה ומיירטת מידע שנשלח על-ידי הגולש טרם הגעתו למנגנון האבטחה של האתר. אין סימנים מקדימים או רמזים להמצאות הסוס הטרויאני באתר. ה-silent banker הוא הדוגמא המוכרת ביותר של סוס טרויאני המאיים על מוסדות הבנקים. איום זה חודר למעשה לפרוטוקולים של הבנק ומשנה ומיירט את המידע לחשבון התוקף.

הגנה אפשרית מפני איום זה היא באמצעות ביסוס ערוצי זיהוי נפרדים. הפרדת ערוצי הזיהוי יפחיתו את  האפשרות שהתוקף ימצא בכולם, ומרגע שגישתו תחסם בערוץ אחד - הוא לא יוכל להמשיך הלאה. כמו כן, ניתן לספק סיסמאות חד פעמיות לקראת כל פעולה שמוגדרת על-ידי הבנק כפעולה בעלת סיכון גבוה. כך, לאחר כניסה ראשונית, תשלח סיסמא חד-פעמית באמצעות הודעת  SMSאו הודעה טלפונית אלקטרונית אשר תשמש את הגולש באופן חד פעמי ותקטין את הסיכון לאיום זה.

כותב המאמר הוא יוסי פישלר, מנהל בחטיבת אבטחת ארגונים בחברת סייפנט, מובילה עולמית בתחום של אבטחת מידע.