גלובס - עיתון העסקים של ישראלאתר נגיש

עמוד הבית  טכנולוגיה

האקרים הבינו ששירותי האחסון הם נקודות התורפה: "מישהו חייב לקחת אחריות"

לקוחות רבים בחברת שירותי האחסון בוקס התלוננו בחודשים האחרונים שהאתרים שלהם קרסו ● בחברה טענו שזו תקלה, אך ריבוי האירועים בתחום, כמו פרשת אטרף וסייברסרב, מציגים תמונה עגומה: הלקוחות חשופים לפגיעה, אף גורם ממשלתי לא לוקח אחריות והתוקפים חוגגים

פורסם בתאריך: 14.06.2022, 12:00 מאת: נבו טרבלסי
האקרים הבינו ששירותי האחסון הם נקודות תורפה / צילום: Unsplash, Jackson Simmer
האקרים הבינו ששירותי האחסון הם נקודות תורפה / צילום: Unsplash, Jackson Simmer

תקלה ממושכת בשירותי חברת האחסון Box הובילה בחודש שעבר להגשת תובענה ייצוגית כנגד החברה המספקת שירותי אחסון ואירוח אתרי אינטרנט. לקוחות רבים התלוננו כי האתרים שלהם קרסו והחברה, מצידה, הסבירה ש"כחלק מפעולות תחזוקה נמחק ווליום בסטורג המרכזי, שגרם לנפילה של השרתים השיתופיים של החברה".

בבוקס ציינו אז שהם מסייעים ללקוחות הזקוקים לעזרה, אולם "הלחץ הכבד לא מאפשר להגיע לכולם". איילה (שם בדוי), שבחודש אוקטובר עלתה עם אתר מכירות לכלי בית, היא אחת מהנפגעות. במשך חודשיים, האתר שלה, הדרך היחידה שלקוחות יכולים לרכוש את מוצריה, לא עבד.

"במשך חודשיים לא היה לי איך להתפרנס. הקמתי עסק חדש, התחלתי לבנות את המותג ואנשים התחילו להביע עניין - והם הרסו לי את המותג ואת השם. רק עליתי וישר נעלמתי", היא הסבירה בשיחה עם גלובס. איילה סיפרה שהיא בנתה קמפיינים ומבצעים שמוכנים לחגים, אבל שבוע לפני החג האתר שלה קרס ומאז לא עלה.

היא פנתה לחברה בכל צורה, ולא קיבלה מענה. "האתר שלי זה הבייבי שלי שטיפחתי וגידלתי אותו למשך שנה. בהתחלה הייתי חסרת אונים, מהר מאוד התחלתי לכעוס בצורה משוגעת לגמרי, שלחתי לחברה מלא מיילים, הודעות והתרעות מעורכי הדין. אחרי חודשיים האתר חזר וישר משכתי אותו לחברת אחסון אחרת".

וזאת לא הפעם הראשונה שחברת בוקס מסתבכת ככה: בתחילת השבוע התקיים דיון בבית המשפט המחוזי בת"א סביב תובענה ייצוגית שהוגשה בשנת 2020 ונמשכת עד היום, גם שם נפגעו אלפי אתרים אחרים.

טרנד תקיפות שהתחיל לפני עשור

בוקס היא לא החברה היחידה שמתפרסמת בגלל אירועים שליליים. בין האירועים המתוקשרים, יש את תקיפת שרתי Upress ביום ירושלים האיראני, בו אתרים רבים הוחשכו, ובמקומם הופיעו כתובות נאצה נגד מדינת ישראל. אך אחד האירועים האחרונים הזכורים בהקשר זה הוא פרשת סייברסרב (Cyberserve) - באוקטובר 2021 קבוצת Black Shadow, המזוהה עם איראן, פרצה לשרתי חברת האירוח וגרמה להשבתה.

חלק גדול מהאתרים נפרצו ומידע דלף - אחד מהם היה אתר אטרף של הקהילה הגאה. אטרף הכיל מידע אודות משתמשים להט"בים רבים, לצד נתונים אישיים כמו סטטוס יציאה מהארון ומידע רפואי על מחלות מין. החקירה עדיין מתנהלת ברשות להגנת הפרטיות, אך הדיווחים מעלים תמונה מדאיגה על רמת אבטחת המידע שהייתה שם - משמירת נתונים בצורה לא מוצפנת ועד התעלמות מאזהרות מערך הסייבר.

 

טרנד התקיפות והפריצות הוא לא חדש. כבר בינואר 2012 מאות אלפי ישראליים נכנסו לפאניקה: האקר שהזדהה כסעודי, ובהמשך התגלה כאיראני, תקף מספר שירותי מחשוב בישראל והפיץ מידע אישי הכולל כ-400 אלף מספרי כרטיסי אשראי. הרשות למשפט וטכנולוגיה במשרד המשפטים חקרה את האירוע, והגיעה למסקנה שמקור הידע היה שירות אחסון אתרים באשדוד.

יורם הכהן, מנכ"ל איגוד האינטרנט הישראלי, מי שהיה בזמנו ראש הרשות למשפט וטכנולוגיה, מספר כי אותו שירות אחסון היה ברמה נמוכה מאוד. "נתקלנו בשירות ההוסטינג של שני החבר’ה האלה, הם ניהלו שירות עבור לקוחות רבים. רמת אבטחת המידע שם הייתה רעה מאוד וזה למעשה מה שאיפשר את כל המתקפה הזו".

בעקבות זאת, כראש הרשות הוא קידם את תקנות אבטחת מידע והגנת הפרטיות שחוקקו לאחר 6 שנים, בשנת 2018. "בזמנו הבנתי שיש פה אירוע וחייבת להיות חקיקה אחת שתכפה את הניהול הנכון בהיבטי אבטחת מידע. למדינה לקח 6 שנים לחוקק אותן, ולמרות שכיום יש משפט חקיקתי, עדכני ומודרני, עדיין אין אכיפה".

"מישהו חייב לקחת אחריות על המצב"

לפי מערך הסייבר הלאומי, הרגולטור לתשתיות קריטיות במדינת ישראל בתחום הגנת סייבר, קיימת עלייה בניסיונות התקיפה נגד שירותים שכאלה - 30 אירועים בשנה וחצי האחרונות. גורם בכיר בשוק אמר לגלובס כי ההאקרים הבינו שהבטן הרכה היא חברות האחסון. "ההאקרים עצלנים. במקום שהם יעבדו קשה וינסו לתקוף חברה אחת עם אבטחת מידע גבוהה, הם פורצים לשירות אירוח אתרים ודרכו מגיעים לעשרות אלפי אתרים אחרים.

"זה מגוחך שכלי תקיפה שקיים במשק 8-9 שנים, עדיין מצליח להפיל חברות אחסון - וזה מה שקורה כרגע. יכול להיות שלא תהיה פגיעה משמעותית בתשתיות מדינה, אבל הסכנה התודעתית היא עצומה".

שנה אחרי שנה מערך הסייבר הלאומי מוציא על בסיס יומי התרעות לאלפי גופים במשק ועדיין אין שינוי מהותי. "יש פה כשל שוק מטורף שלא מטופל, והממשלה חייבת לקבל החלטה", תקף הגורם הבכיר. "מישהו חייב לקחת אחריות על המצב הנוכחי".

מומחים בתעשייה מסבירים כי אחת הסיבות שהגענו למצב הזה היא שמדובר בסקטור ללא רגולטור - כל אחד יכול להקים חוות שרתים בביתו. ניצן עמר, ראש מכלול עמידות במערך הסייבר הלאומי, אמר לגלובס כי נוצר מצב שמידע של גופים מתחומים שונים מאוחסן באותה חברה ביחד. "לדוגמה, אין חברת אחסון שמתמחה רק בבריאות. במקרה של תקיפת סייבר התוקף יכול לכוון למידע מסוים ולהגיע למידע רגיש יותר שנמצא שם, ובכך יש בעייתיות ברורה".

סיבה נוספת שמעלים המומחים למצב הקיים היא המודעות ותג המחיר. כשאדם רוצה להקים אתר ופונה לחברת אירוח אתרים, הוא מחפש את החבילה הזולה ביותר ולא מבין עד הסוף מה כלול בה. אין לו שום הבנה לדרוש הגנה או לשאול את השאלות הנכונות. גם החברות עצמן, וזו טענה חריפה שעולה, עלולות להעדיף שהלקוחות ייקחו את החבילה הזולה וכך הן לא יצטרכו להשקיע דבר.

פער משמעותי בין החקיקה לפרקטיקה

החובות על שירותי אחסון אתרים חלות בחוק הגנת הפרטיות, מתוקף היותם מחזיקים במאגרי מידע. לכן, ברשות להגנת הפרטיות פועלים באפיקים חשובים כדי להשתלט על הכאוס, אך סמכותיהם מוגבלות ולא כל אירוע שקשור לשירותי אחסון בהכרח קשור לענייני פרטיות (בדומה לבוקס).

בנוסף, ברשות להגנת הפרטיות מבינים שבין החקיקה לפרקטיקה יש פער - החברות אינן מכירות את החובות החלות עליהן ולא בקיאות בצורת ניהול מאגר המידע, ניהול ההרשאות ורמות האבטחה.

ב־2020 החליטה הרשות לבחון את מגזר חברות אחסון ועיבוד מידע. היא פנתה ל-36 גופים המנהלים שירותי אחסון ועיבוד מאגרי מידע בישראל. לפי הממצאים, "אין עמידה מספקת בהוראות החוק והתקנות". הליקויים המרכזיים הצביעו על אי ביצוע סקר סיכונים ומבחני חדירה תקופתיים, ובעיקר כשל רוחבי הנובע מרמת מודעות נמוכה של גופים למלוא חובותיהם על פי החוק והתקנות.

בעקבות ממצאי הדוח, הרשות הבהירה לתעשייה מי נחשב למחזיק במאגר מידע על פי החוק. מי שמחזיק במאגר מידע חייב להירשם ברשות להגנת הפרטיות ולוודא שהוא שומר על המידע כהוגן. הרשות הבהירה בדוח כי "מחזיק" הוא גם מי שמעניק שירותי אחסון או גיבוי לאחרים.

כחלק מתוכנית העבודה של הרשות לשנת 2023, נשקלת האפשרות לבצע הליך פיקוח נוסף בשירותי אחסון בישראל על מנת לבדוק שהליקויים תוקנו. לצד זאת, אחת הבעיות היא שאין לרשות כלי אכיפה רלוונטיים ומספקים לצורך אכיפה אפקטיבית של החוק.
בעיקרון, הענישה המרכזית של הרשות חזקה מדי - השבתת השירות עד תיקון הלקויים. ענישה זו לא אפקטיבית במקרים קטנים ולכן מקודם תיקון חקיקה שאמור לאפשר לרשות להטיל עיצומים כספיים על הפרות, מה שצפוי להגביר את הציות של גופים מכלל מגזרי המשק.

יורם הכהן ומומחים נוספים העלו הצעה להקים זרוע מאוחדת של הגופים הרלוונטיים. "מצד אחד, למערך הסייבר אין את הסמכות הפורמלית בסקטור הזה אבל יש לו יכולות מחקר וניטור. מצד שני, לרשות להגנת הפרטיות יש את הסמכויות, המשאבים והכלים בחוק. השאלה הגדולה ביותר היא למה אין שיתוף פעולה ממוסד ביניהן?", שואל הכהן.
אחת ההצעות שעלו בתקופה האחרונה היא להקים גוף היברידי, בדומה למוקד 105 לשמירה על ילדים ברשת, כך שכל גוף יביא לשולחן את היכולות שלו וכך הם ישתפו פעולה נגד איומים אפשריים ויספקו מענה הוליסטי יותר לאירועים.

לצד זאת, דווקא משום שמדובר בנושא מורכב, יש הטוענים שנדרשת התערבות של רגולטור שייקח תחתיו את כולו. כך, יכפיפו תחתיו את שירותי האחסון והוא יהיה אחראי על הסקטור הזה בכל מובן - הוא יבנה פרקטיקות מקובלות ושיטה ברורה להתנהלות, וידע לדרוש עמידה בתקן אבטחת המידע. עם זאת, המבקרים חוששים כי עשוי להיות כאן "מגדל בבל רגולטורי" שיגרום לבלבול רב יותר

עוד כתבות

ישראל לשם וקרן כהן חזון / צילום: רמי זרנגר

"לידה אני תלמיד בכיתה א": עורך הדין הבכיר והיזמת המצליחה חושפים את השותפות

20 שנה שישראל (רלי) לשם וקרן כהן חזון הולכים יחד, וחברת תורפז תעשיות שהקימו, שמפתחת ומייצרת תמציות טעם וריח, כבר שווה 1.7 מיליארד שקל וחולשת על 17 חברות ● הוא בעל אחד ממשרדי עורכי הדין הגדולים בארץ אבל מרגיש לידה "כמו בכיתה א'" ● היא תעשיינית בנשמה אבל זוקפת לו הרבה מההצלחה ● זה ראיון זוגי ראשון

מפגין מניף שלט עם ''מהפכת אינתיפאדה'' בוושינגטון. תמיכות מפורשות באלימות / צילום: Associated Press, Lindsey Wasson

״אינתיפאדה עולמית״ מתפשטת בקמפוסים של ארה״ב אבל היא עשויה לחזק דווקא את הימין

זה מה שקרה למחאות הענק נגד מלחמת וייטנם ולמרד הסטודנטים בצרפת לפני 60 שנה ● התנועה הנוכחית מעתיקה בהצלחה גוברת את דפוסי הפעולה של המאבק נגד אפרטהייד לפני 40 שנה ● ישראל הופכת למנוף של שינוי

בנק אוף אמריקה / צילום: Shutterstock, Tero Vesalainen

השקל יטוס, הריבית תרד ומה יקרה לאינפלציה? התחזית האופטימית של בנק אוף אמריקה לישראל

בנק ההשקעות הוציא בחג תחזית אופטימית לכלכלה הישראלית: הצמיחה ב-2024 תעמוד על 2.4%, לעומת צפי של 2% מצד בנק ישראל ותחזית לצמיחה כמעט אפסית של S&P ● במידה וחוסר הוודאות יתפוגג, מעריכים בבנק כי השקל יכול להתחזק ולהגיע לשער של 3.5 שקלים לדולר

אזרבייג'אן איירליינס / צילום: Shutterstock

הכירו את חברת התעופה שרוצה להטיס אתכם במקום אלה שברחו

אזרבייג'ן איירליינס (AZAL), חברת התעופה הלאומית של אחת מידידותיה הקרובות ביותר של ישראל, מראה שהיא כאן כדי להישאר ● "בחודשי הקיץ נעלה את תדירות הטיסות, בין יוני לספטמבר AZAL תפעיל 11 טיסות בשבוע", אומר בני קורמאייב, נציג החברה בארץ

השופט איתן אורנשטיין / צילום: דוברות בתי המשפט

פסק הבורר של אורנשטיין בתיק גרטנר נגד גרטלר נחשף. כל הפרטים

מאבק משפטי בן 14 שנה בין האחים משה ומנדי גרטנר למיליארדר דן גרטלר הוכרע בפסק בוררות של השופט בדימוס איתן אורנשטיין ● לגלובס נודע כי 95% מהתביעה של האחים גרטנר נדחתה • ערב החג ביקש גרטלר לפסול את אורנשטיין מתפקידו כבורר בתיק, אך נדחה ● הטענות לתרמית ומצגי השווא שטענו האחים נדחו

"מדינה קטנה, הגנה אדירה": בעולם עדיין מתפעלים מישראל

גלובס מגיש מדי יום סקירה קצרה של ידיעות מעניינות מהתקשורת העולמית על ישראל במלחמה • והפעם: נשיא סוריה בשאר אסד מנסה לשדר עסקים כרגיל, איראן ממשיכה לפתח את תוכנית הגרעין, בכירה בריטית קוראת לממלכה ללמוד מירושלים כיצד מפתחים מערך הגנה ראוי, ואונר"א שחלק מאנשיה התגלו כטרוריסטים באה בטענות לישראל ● כותרות העיתונים בעולם

נועם זילברשטיין, מנכ''ל HP Indigo / צילום: רמי זרנגר

מהמפעל של טנק מרכבה לניהול אלפי עובדים ברחבי העולם

כשהציעו לנועם זילברשטיין להצטרף לחברת הדפוס הדיגיטלי HP אינדיגו הוא לא ממש התלהב ● אך ביקור אחד במפעלי החברה שינה את הכל: "ידעתי שיש פה הזדמנות אדירה למהפכה שעוד לא קרתה"

פט גלסינגר, מנכ''ל אינטל / צילום: ap, Seth Wenig

אינטל פיספסה את התחזיות, פרסמה תחזית קודרת והמניה צוללת

הרווח המתואם היה 18 סנט למניה לעומת צפי לרווח של 14 סנט ● חטיבת היצור הכניסה רק 4.4 מיליארד דולר וירדה בכ-10% ברבעון הראשון ביחס לרבעון המקביל אשתקד ● המניה יורדת ב-9% במסחר המאוחר, אובדן של 13.5 מיליארד דולר בערב אחד

אברהם אסף / צילום: תמר מצפי

אברהם אסף, מייסד ובעל השליטה בקבוצת אמנת, נפטר בגיל 83

אסף הפך לבעל השליטה באמנת לאחר שרק לפני ארבעה ימים רכש את ההחזקות של שותפו לייסוד החברה, שמואל בר אור, (22.17%) תמורת כ-21.7 מיליון שקל ● מי שצפוי להמשיך אותו הוא בנו, סגן יו"ר החברה, ערן אסף

פרופ' אוריאל אבולוף / צילום: יוסי זמיר

די לפוליטיקה של פחדים: המומחה שמסביר איך ניתן להתמודד עם השסעים בחברה הישראלית

פרופ' אוריאל אבולוף, מומחה לפוליטיקה של הפחד, משוכנע שהחברה הישראלית מונעת מחשש תמידי לגורלה - מה שתורם לשסע הפנימי בה גם היום ● "ברגע שמתעורר הפחד, אנו מתקשים לחשוב ולהושיט יד לאנשים אחרים מחוץ למעגל" ● בראיון לגלובס הוא מסביר איך ניתן לשנות זאת ומה המפתח להשבת האמון בינינו

הדולר מתחזק בחדות מול השקל

הדולר בשיא של חמישה חודשים אל מול השקל. מהן הסיבות?

השקל נחלש בחדות הן מול הדולר והן מול האירו ● הכלכלנים הבכירים מסבירים כי מעבר למתיחות הגיאופוליטית מול איראן ולצד ההסלמה בצפון, גם גורמים בינלאומיים תורמים להיחלשות המטבע המקומי

סאטיה נאדלה, מנכ''ל ויו''ר מיקרוסופט / צילום: Associated Press, Mark Lennihan

מיקרוסופט עקפה את הציפיות; המניה מזנקת במסחר המאוחר

הכנסות החברה היו 61.9, ב-19% לעומת הרבעון המקביל אשתקד ● הרווח למניה 2.94 דולר למניה, מעל הצפי ● המניה עולה ב-5% במסחר המאוחר

מערכת הספיידר של רפאל / צילום: רפאל

הפגישה באתונה, החשש מטורקיה ומערכות ההגנה שיוון רוצה מישראל

מערכת ההגנה האווירית "ספיידר" של רפאל מספקת פתרונות הגנה אווירית בטווחים שונים, לרבות מל"טים וטילים בליסטיים לטווחים קצרים ● ההתעניינות מצידה של יוון במערכת הגיעה לאחר שארה"ב הודיעה לאתונה כי אושרה להם מכירת 40 מטוסי קרב מדגם F-35

הפרויקט במתחם כנרית. האכלוס רחוק / הדמיה: מתוך אתר החברה

הסיפור הלא ייאמן על 40 דירות יוקרה במגדל בתל אביב שעומדות ריקות

40 דירות חדשות ונוצצות ממתינות לאכלוס באחד המגדלים היוקרתיים של תל אביב, אבל צפויות להישאר ריקות עוד תקופה ארוכה ● ההתעקשות על דיור בר השגה במתחם תקעה את המדינה עם עשרות דירות שמי בכלל יכול להרשות לעצמו

סונדאר פיצ'אי, מנכ''ל גוגל / צילום: Associated Press, Tsering Topgyal

גוגל את היכתה את הציפיות ותחלק לראשונה דיבידנד; המניה מזנקת ב-13% במסחר המאוחר

הכנסות החברה היו הרבה מעל הציפיות, 80 מיליארד דולר לעומת צפי של 78.6 מיליארד ● הרווח היה 1.89 דולר למניה, ב-20% מעל הצפי ● החברה תחלק לראשונה בתולדותיה דיבידנד ותבצע רכישה חוזרת של מניות

צילומים: שלומי יוסף, עמית שאבי (ידיעות אחרונות), עיבוד: גלובס

2,800 שקל לשעה, תיקים מתוקשרים ותיבת פנדורה: החיים החדשים של השופט שבמחלוקת

הדיל שהוביל למינויו לנשיא בית המשפט המחוזי בתל אביב שב לאחרונה לרדוף את השופט בדימוס איתן אורנשטיין ● גלובס צולל לנבכי הקריירה החדשה שאימץ לעצמו כבורר–על, לחמ"ל שהקים כדי להתמודד עם ההקלטות המביכות ולשאלה המרחפת מעל לכל - איך תשפיע הפרשה על עתידו המקצועי?

וול סטריט / צילום: Shutterstock

שבוע המסחר הטוב מנובמבר: נאסד"ק קפץ ב-2%

מניית גוגל זינקה בכ-10%● אינטל איבדה כ-9% ● מדד ניקיי הוסיף 0.8%, מדד שנחאי התחזק ב-1.2%, מדד שנזן עלה ב-2.2% וקוספי הוסיף 1% ● נעילות ירוקות גם בבורסות אירופה ● ה-PCE - מדד האינפלציה המרכזי של הפד - עלה ב-2.8% בחודש מרץ, גבוה מהצפוי

ג'נסן הואנג, מנכ''ל אנבידיה / צילום: Shutterstock

החברה הלוהטת בעולם יצאה למסע רכישות בישראל. ויש גם חדשות רעות

ענקית השבבים אנבידיה משלימה בימים אלה רכישה של שתיים מהחברות המובילות בפיתוח מוצרי בינה מלאכותית בישראל ● בה בעת, מחקר חדש של סטנדפורד מסמן מגמה מדאיגה: קצב ההגירה השלילית של מוחות בתחום ה־AI מישראל שני רק להודו ● אז למה המומחים אופטימיים?

השר לביטחון לאומי, איתמר בן גביר / צילום: מארק ישראל סלם - הג'רוזלם פוסט

השר בן גביר נפגע בתאונת דרכים: מצבו קל-בינוני

בן גביר הגיע לזירת הפיגוע ברמלה, התראיין וכשעזב את המקום - היה מעורב בתאונת דרכים • רכבו של השר התהפך והוא פונה לטיפול רפואי • לפי עד ראייה: רכב השר חצה באור אדום • ארבעה בני אדם נוספים נפצעו בתאונה, מצבם קל-בינוני

אילוסטרציה: טלי בוגדנובסקי, צילומים: AP (Daniel Cole, Toby Melville)

״הטיסות יוצאות״, מכריז סונאק, ומוכן לגרש את המהגרים

מנהיג השמאל הקיצוני בצרפת "יודע את ההבדל בין יהודי לבין צלף של צה"ל" ● טראמפ מרשה לקונגרס לסייע לאוקראינה ● "הטיסות יוצאות", מכריז ראש ממשלת בריטניה, ומוכן לגרש מהגרים ● טסלה מאבדת את הדמוקרטים ● חמישה אירועים מהשבוע שהיה בעולם