בעקבות פרשת הפריצה לחברת הביטוח שירביט, שלחה רשות שוק ההון ביטוח וחיסכון למנהלי הגופים המוסדיים מכתב לא שגרתי עם הנחיות לחיזוק הגנת הסייבר. בין ההוראות - הנחיה להגביר את הפיקוח על עובדים משמעותיים, והנחיות להדק את הבקרה על תיבות מייל של עובדים לשעבר ושל עובדים בחופשה.
תחת הכותרת "חידוד היערכות סייבר בגופים המוסדיים", מנחה הרשות את מנהלי הגופים המוסדיים "לוודא סגירת חשבונות וביטול הרשאות של עובדים אשר סיימו את תפקידם בחברה". הנחיה זו היא ההנחיה הראשונה במכתב ונובעת ככל הנראה מהפקת לקחים ממשבר שירביט ומפרצות האבטחה, שייתכן שהן אלה שאפשרו את הפריצה לחברת הביטוח. עוד מומלץ לבחון ניטר פעילות של משתמשים שנמצאים בחופשות ממושכות.
בסעיף אחר ממליצה הרשות "לשקול" את הגברת הניטור של פעילותם של "משתמשים אפליקטיביים ומשתמשים חזקים". הכוונה ב"משתמשים חזקים" היא לאו דווקא לעובדים בכירים אלא למשתמשים שיש להם הרשאות גישה רבות למערכת הארגון.
סיכון לגניבת זהות
בעקבות העובדה שבמשבר שירביט הודלפו לרשת על ידי ההאקרים אלפי מסמכים, בהם צילומי תעודות זהות ורישיונות נהיגה, מנחה הרשות את הגופים המוסדיים להימנע ככל הניתן משימוש בנתונים מתוך תיעוד רשמי בתהליכי הזדהות והרשמה. אם לא כן, הרשות ממליצה "לכל הפחות להטמיע בקרות מפצות במערכות הדורשות שימוש בנתונים אלה".
כיום משמש תאריך הנפקת תעודת הזהות כאמצעי אימות זיהוי נפוץ בפניות של אזרחים לקבלת שרות מגופים רשמיים. החשש הוא שככל שיסתובבו צילומי תעודות זהות בשוק השחור של פושעי הסייבר - יגדל הסיכון לגניבת זהות והתחזות של גורמים עוינים, פליליים או אחרים, לאזרחים ישראלים.
גורמים בתעשייה שבחנו את ההמלצות של הרשות, אמרו כי הן טובות, אך הגדירו אותן כלא מספקות. לדברי הגורמים, הרשות נמנעה מלחייב את החברות בפעולות אפקטיביות יותר כמו "הפרדת רשתות מלאה בין מערכות הליבה לבין מחשבי עובדים ודרישה להזדהות דו-שלבית מעובדים".
הגנה על פרטי תעודת זהות
סוגיית השימוש בפרטים מזהים מתוך תעודות רשמיות נדונה בהרחבה השבוע בוועדת המדע של הכנסת. בדיון - שאליו זומנו נציגי מערך הסייבר הלאומי, רשות ההגנה על הפרטיות, רשות שוק ההון והביטוח, משרדי ממשלה וארגונים העוסקים בפרטיות ובאבטחת מידע - נשמעו קריאות לזרז את הגבלת השימוש באמצעי זיהוי מתוך תעודות זהות.
יו"ר הוועדה, ח"כ עינב קאבלה (כחול לבן) אמרה בדיון, כי "חייבים לפעול כנגד מידע עודף הנשמר כיום במאגרי מידע שונים. גם חברות צריכות לתת על כך את הדעת וגם ברמה הלאומית נדרש לקבוע כללים. בעניין זה אף הגשתי הצעת חוק העוסקת בהגנה על פרטי תעודת זהות, ונועדה לאסור שמירת פרטי תעודות זהות ודרכונים או העתק שלהם על ידי גופים לא-ממשלתיים".
באשר לשימוש בנתון זה על ידי גופים ממשלתיים, אמרה ח"כ קאבלה, כי "צריך להפסיק לעשות שימוש בתאריכי הנפקת תעודת זהות בכלל הגופים, בוודאי על ידי משרדי הממשלה שעדיין עושים זאת. אני מצפה לדיווח מרשות התקשוב הממשלתי כי הדבר בוצע".
גם נציג מערך הסייבר, היועץ המשפטי עו"ד עמית אשכנזי, שהשתתף בדיון, התייחס לנושא ואמר כי "מערך הסייבר דורש הפסקה מיידית של זיהוי בשירותים עם תאריך הנפקת תעודת זהות. אנחנו דורשים לא לעשות שימוש בכלל בזיהוי של תאריך הנפקת תעודת זהות".
עו"ד אשכנזי סיפר לוועדה כי מערך הסייבר הוציא הנחיות בנושא, "אבל מי שמנהל את הסיכון זה רשות התקשוב, והם מנהלים את הסיכון הזה". על כך אמר לוועדה מנהל היחידה לסיכוני סייבר ברשות התקשוב הממשלתי, גדעון קונפינו, כי הממשלה פועלת לביטול הדרגתי של ההליך, וכי "בימים הקרובים זה יבוטל בהזדהות להר הכסף והר הביטוח".
לדבריו, "אנחנו פועלים כבר היום אל מול משרד האוצר להעביר את הר הביטוח ואת הר הכסף להעביר את הזיהוי לזיהוי הממשלתי. המדינה צריכה או לאסור צילום תעודת זהות וככה זיהוי זה לא ייפגע, או שצריכים להעביר את תאריך ההנפקה לגב התעודה".
