מה הקשר בין האקר שגנב פרטי DNA והמשכנתא שתכננת לקחת?

גונבים אתכם

השבוע נודע שאתר הגינאולוגיה MyHeritage נפרץ ופרטי מייל של 92 מיליון איש נגנבו בידי האקרים. עבורם, היה זה ככל הנראה פרס ניחומים: סביר להניח שההאקרים חיפשו משהו אחר לגמרי - מידע DNA.

מדובר במידע בעל ערך רב לפושעים, משום שהוא יותר מבוקש משנהוג לחשוב: ה-DNA הוא קוד המקור שלנו, ועצם גניבתו נשמעת נורא מפחידה - ולכן, מוסדות רפואיים ימהרו לשלם כל כופר למי שגנב אותו, כדי שיחזיר - ולא יספר לציבור. הרי אף אחד לא יתאשפז מרצונו במקום ממנו גונבים DNA. זה לא משנה שהאקרים לא עוסקים בגנטיקה ורק יימכרו את המידע - עדיין מפחיד לדעת שגנבו משהו שהוא לא רק שלך, אלא אתה.

ויש עוד לקוחות שמוכנים לשלם הון על מידע גנטי: חברות ביטוח ובנקים. יש למשפחה שלך היסטוריה של מחלות לב? חכה חביבי, ממך ניקח יותר כסף; הכבד שלך הוא לא גרויסע מציאה? מצטערים, משכנתא ל-30 שנה זה לאנשים בריאים. ההאקרים מוכרים מאגרים לסוחרי מידע, שבתורם מגיעים ללקוחות ואז לך תסביר לחברת הביטוח שאתה בריא והרופא שלך חותם על זה; היא יודעת שלך יש סיכוי לחלות, גם אם לא ביצעת בדיקה גנטית ומדובר בהסתברות של אחד למיליון.

למיי הריטג' אמנם יש רק מידע גנטי מאוד בסיסי, ללא ניתוח רפואי מעמיק, אך לא חסרות חברות שמציעות שירותי ניתוח גנטי ברשת - וכולן מהוות יעד איכות לפושעי סייבר. ולכן, יש מקום להחלת נהלי אבטחה קפדניים יותר על כל מי שמעלה לרשת DNA. אפשר למשל, לשמור את המידע על שרת שאינו מקוון, ואז לצמצם מאוד את הסיכוי שייגנב. איך אמר סבא שלי? אם אינך רוצה שמשהו ייפול, הנח אותו על הרצפה.

אני צריכה את הטלפון שלך

לפייסבוק יש מיגרנה מצלצלת חדשה: החברה העבירה מידע על משתמשיה לכ-60 חברות חומרה ותוכנה, ביניהן אפל, סמסונג, וואווי ואחרות. חשיפת העסקה עוררה זעם רב בארה"ב, בה עדיין מנסים מחוקקים להחליט האם צריך להעניש את החברה על פרשת קיימברידג' אנליטיקה. הדמיון היחיד בין הפרשות הוא בכך שבשני המקרים הועבר מידע של משתמשים לצד שלישי בחשאי, ללא ידיעתם. למה עשתה זאת פייסבוק? למה נתנה את המידע שלכם לחברות שבנו את הטלפונים שקניתם?

הסיבה היא שלפייסבוק אין טלפון משלה. הרשת החברתית היא שירות מקוון שתלוי במכשירים שיריצו אותו. העסקאות עם יצרניות המכשירים נחתמו לפני כעשר שנים, כשפייסבוק ניסתה לצמוח במהירות ולא היה לה תקציב שיווק מתאים. מה עשתה? העניקה ליצרניות מידע עלינו כדי שיסכימו להתקין מראש את אפליקציית פייסבוק על כל טלפון שנרכוש - ולא יחסמו אותה או ירימו שירות משלהן.

כיום זה נראה מיותר, שכן רוב משתמשי המובייל הם גם משתמשי פייסבוק. צוקרברג ביטא בעבר חרטה על שלא הצליח להיכנס לשוק המובייל (שני נסיונות, הפייסבוק-פון של htc ולאנצ'ר פייסבוק home, כשלו) - מה שחייב אותו על חתימת עסקאות כאלה עם יצרניות חיצוניות. הן, מצידן, שמחו מאוד לקבל מידע על המשתמש, מידע שלא יכלה לשלוף מתוך הטלפון עצמו.

אבל צוקרברג לומד מטעויות - וזו כנראה אחת הסיבות שפייסבוק קנתה את יצרנית משקפי ה-VR אוקולוס; אם בעתיד יחליפו משקפיים חכמים את הטלפונים, פייסבוק תהיה במרכז המגרש ולא רק תשב בטריבונה.

אז מה, את רוצה לעבוד בגוגל?

גוגל נתפסת כמקום שנהדר לעבוד בו: חזית הטכנולוגיה, היוקרה וכמובן המשכורות הן מוקדי משיכה גדולים. אבל גם בתאגיד הזה, שנתפס כמודרני וליברלי, התמונה שונה מאוד עבור נשים: כמה עובדות לשעבר הגישו תביעות על אפלייה בשכרן, עיכוב קידומים ומגבלות נוספות שהוטלו עליהן משום שהן נשים שפועלות בחברה גברית.

השבוע התכנס דירקטוריון אלפבית, החברה האם של גוגל, כדי לדון בצורך במדיניות שיוויון סדורה - כזו שתתקן את העוול הזה, תעשה את העובדות והעובדים שמחים יותר, ותקל על גיוס כ"א איכותי גם בעתיד.

ומה החליט הדירקטוריון? שוואלה, לא בא לו. בעלי המניות קבעו שלא צריך איזו מדיניות אחודה, שנשים מרוויחות מספיק - ופסל את הצעות השינוי שהעלו מנהלים בגוגל. חברי הדירקטוריון הצביעו נגד, ופסלו על הדרך גם הצעות שנוגעות לגיוון כ"א, כלומר שכירה וקידום של בני מיעוטים. מעניין מה חשב על כך סונדאר פיצ'אי, יליד צ'נאי שבהודו ומנכ"ל גוגל.

ההחלטה של הדירקטוריון אומללה משום שהיא משמרת מצב פסול אתית, אך גם בגלל איך שזה ישפיע עליה בעתיד: גוגל היא הפנים שלה, ועובדות יחשבו פעמיים לפני שיגיעו לווירילי, וויימו, קאליקו, דיפ מיינד, ג'יגסו, סיידווק ושאר החברות של אלפבית. אחת המלחמות הקשות ביותר בין חברות הטכנולוגיה היא על שכירת עובדים מוכשרים. כל החברות משלמות המון כסף, ולכן המפתחים והחוקרים הטובים ביותר יגיעו למקום בו גם התפקיד וגם הסביבה ייקסמו להם. ובגלל הדירקטוריון קצר הרואי, כנראה שיותר מועמדים יבחרו באפל, פייסבוק ואמזון.

חדשות רעות לתלמה ולואיז

הסרט "תלמה ולואיז" מסתיים בדרמה גדולה: שתי הנשים, שרצחו אנס ועתה נמלטות למקסיקו כשהמשטרה בעקבותיהן, מגיעות לשפת הגרנד קניון ומוקפות בניידות. בהחלטה לשמור על החופש שלהן, ממשיכות השתיים לנסוע אל מעבר לצוק (צר לי על הספוילר, אבל זה סרט מ-1991; היה לכם די זמן). מקסיקו נחשבה תמיד למפלטו של הפושע האמריקאי; הסתבכת? סע לטיחואנה וחייך לשוטר במעבר הגבול. עתה נראה שנגמרה החגיגה: ממשלת ארה"ב התקינה מערכת זיהוי פנים חכמה במעבר הגבול, והיא מנטרת ומזהה כל מי שנוסע לשם - תייר ופושע כאחד.

ההתקנה עוררה תרעומת מצד ארגוני הגנת פרטיות: המצלמות של המערכת פרוסות גם בסביבת מסופי הגבול ומקבלת מידע ממצלמות בערים שסמוכות אליהם - מין אזור ניטור גדול שנוצר כדי לדעת מי מעז להיכנס או לצאת לארץ האפשרויות הבלתי מוגבלות.

המערכת נמצאת בבחינה חשאית כבר כמה חודשים באריזונה וטקסס, במהלכה שופרו יכולותיה לשמור תמונות פנים ביומטריות ולזהות את המצולמים - שיפור די הכרחי, בהתחשב בכך שכלי זיהוי פנים טועים ביותר מ-90% מהמקרים כשהם מופעלים על קבוצה גדולה של אנשים. המידע, אגב, נשמר על שרת ממשלתי כשלמצולמים אין דרך לדעת שנכנסו אליו, או יכולת לבקש שימחקו אותם. מזכיר לכם מישהו? סין מפעילה מערכות זהות בקנה מידה שרק הולך וגדל. אני מאוד מקווה שהתרעומת בארה"ב תהפוך לסופת-אש שתכלה את הפרויקט הזה. הדבר האחרון שאנחנו צריכים בישראל זה ניטור המוני דומה, בטענה ש"באמריקה זה עובד יופי".

היום שאחרי

מה קורה לאחר שמתקפת סייבר מאותרת, מנוטרת, נבלמת ונחסמת? במקרים רבים, בשלב זה רק מתחיל הבלאגן: הכירו את שיקום הסייבר, תחום יקר ובעייתי מאוד. הדוגמה הטרייה ביותר מגיעה אלינו מהעיר אטלנטה: בסוף מרץ נפלו מחשבי העירייה קורבן למתקפת כופר, שניטרלה מאגרי מידע, שיבשה פעילויות וסגרה 8,000 מחשבים. כל 424 התוכנות בהן משתמשת העירייה נחסמו, ביניהן כאלה שמוגדרות כקריטיות לתפקוד העיר. ולאטלנטה יש 6 מיליון תושבים, שהושפעו בצורה ישירה מהמתקפה הזאת. מומחים עוד מנסים לכמת את הנזק הכספי שגרמה המתקפה הזאת, אך אמש נודע שהעירייה תקצה 9.5 מיליון דולר לשיקום המערכות שלה - סכום שיתווסף לתקציב אבטחת מידע של 35 מיליון דולר, שהוצע לפני המתקפה (ולמעשה, העברתו עוכבה בגללה).

 

 

 

מה תעשה העירייה עם הכסף הזה? תתחיל בפרויקט שיקום סייבר ותבנה את מערכותיה מחדש. הוא יתחיל בניתוח מעמיק של מבנה הפריצה שיבצעו מומחים חיצוניים. הם ימליצו על התקנת כלי אבטחה חדשים והחלת נהלים חדשים. העירייה תתחיל לחפש מוצרי סייבר מתאימים, תבחר ותרכוש אותם - לאחר פיילוטים ובדיקות. במקביל להטמעת הכלים, יודרכו מחלקות המחשוב בעירייה כיצד להשתמש בהם ולשלב אותם במוצרי אבטחה קיימים. בזמן ההטמעה, יושפעו לא מעט ממערכות העירייה - מה שעלול לגרור עוד הפסדים ונזקים. לקינוח, יוזמנו האקרים הגנתיים כדי לנסות ולפרוץ את המערכות, כדי לוודא שהרשת עמידה בפני האיום שהפיל אותה בפעם הקודמת. ואני רוצה להתעכב על כך: מדובר במענה לאיום אחד. כנראה שבדיקת מומחי האבטחה תגלה עוד פרצות וסיכונים, שמצריכים מוצרים אחרים, הדרכות אחרות וכן הלאה. וכל התהליך שהזכרתי עולה הרבה כסף; יש מוצרי סייבר שעולים מיליון דולר לשנה, בכפוף לגודל ומבנה הרשת. שיקום הסייבר הוא בעצם, תהליך ההחלמה וההבראה של הקורבן - ובלעדיו, אין אבטחת מידע.