כשהשוער מחמיץ: למה לא מספרים לנו על פאשלות של חברות סייבר?

האשמת הקורבן? 

אוהבים סטטיסטיקות כלליות? אחד מכל שישה אנשים בעולם הוא סיני; אחד מכל שישה מדבר אנגלית; ואחד מכל 15 נפגע מפריצת סייבר ספציפית אחת, שנחשפה ביום ו' האחרון. כן, פרטיהם של חצי מיליארד איש נגנבו ממערכות רשת מלונות מריוט במשך שנים ארוכות. למריוט יש יותר מ-6,000 מלונות ברוב מדינות העולם, ב-30 מותגים שונים, ביניהם ריץ-קרלטון ורנסנס. כשאתה ביזנס גדול בתחום התיירות והנופש, ברור לך שאנשים יעבירו אליך הרבה פרטים אישיים, בדרך כלל בלי לחשוב פעמיים; וברור שהאקרים ינסו לדוג את הפרטים הללו; ושכדי שהביזנס שלך יישאר גדול, אתה צריך לבנות לו וואחד חומת אבטחה.

עדיין לא ברור אם מריוט בנו מערכת אבטחה גרועה, הותקפו בידי האקר שהיה מוכשר דיו כדי לפצח מערכת אבטחה טובה, או שילוב של השניים. מה שבטוח, החברה הזו קצת תתקשה לפנות לאנשים שדואגים להגנה על המידע שלהם. לא בלי למלמל "לא, מאז עשינו המון שינויים ועכשיו הכל ממש, ממש-ממש מאובטח" ולקוות שהקליינט ישתכנע. היא תחטוף נזק תדמיתי יקר, ויתכן שגם עונשים וקנסות - אם יתגלה שהתרשלה בהגנה על המידע.

ואיך שזה נראה כרגע, יש סיכוי יותר מסביר שאכן היתה כאן התרשלות: מריוט רכשה ב-2016 את רשת מלונות Starwood, שבמערכותיה התגלה הפריצה. היא התגלתה רק לאחרונה, ולפי הודעת מריוט, כנראה שנוצרה עוד ב-2014. רכישת Starwood עלתה לה 13.6 מיליארד דולר, והיתה אחד המהלכים האסטרטגיים הכי חשובים בהיסטוריה של מריוט - מהלך שהפך אותה לרשת המלונות הכי גדולה בעולם. מהלך כזה כולל, מטבע הדברים, סקירת אבטחה מעמיקה; אף אחד לא קונה בית עם שלד במרתף. לפי החברה, נגנב מידע גם ממערכות מותגים אחרים של הרשת, כך שיש לנו כאן אינדיקציה לפורץ שמצליח לנוע אנכית, ולעבור מרשת נגועה אחת לאחרת. מה שמעלה שאלה מעניינת: מריוט פישלה לכאורה; מי עוד פישל? האם יש כאן שוער שזינק ופספס - או כלל לא ידע שמגיע כדור?

למריוט היתה כנראה רשימה מאוד ארוכה של ספקי אבטחת מידע; תעשיית הסייבר בנויה כך שאין אף חברה גדולה שמספקת חבילת שירותים כולללת שהיא יעילה דיה, ולכן לתאגידים יש המון ספקים: הפיירוול, כלי אבטחת המייל, תוכנת בקרת הגישה, כלי אבטחת נקודות הקצה ברשת, תוכנת ניהול תוכנות האבטחה האחרות וכולי - כל אחת מגיעה ממפתחת אחרת, ולעיתים קרובות יש לאותו התאגיד כמה סוגים של כלי אבטחה מאותו סוג, בגלל שלחטיבות שונות יש צרכים שונים ותקציבים שונים. נניח שהחברה שלכם רוצה לקנות איזה אנטי וירוס; לא נראה לכם הוגן לדעת איך נראה הרקורד של כל ספק?

תעשיית האבטחה יודעת לשתף פעולה וחברות סייבר יכולות להעביר ביניהן מידע על ליקויים - בכנסים, בפגישות ובמופעים מקצועיים אחרים. אבל העולם שמחוץ לברנז'ה לא ידע מי כשל והיכן בצורה מפורטת. כל מה שהוא יקבל יהיה את התחקיר הציבורי: לאחר כל פריצה גדולה משתחרר פומבית ניתוח אירוע שמראה ניתוח טכני מעמיק: באיזו תוכנת פריצה השתמש התוקף, כיצד עבדה בשטח, אילו פרצות ניצלה והיכן היו נקודות הכשל שתוקנו. אבל נדיר שתמצאו בו אצבע מאשימה או לקיחת אחריות.

ברוב המקרים אין חברת אבטחה ספציפית שנושאת באשמה: ההאקרים הם תמיד זריזים יותר, ובהינתן מספיק זמן ומשאבים, יצליחו לעקוף כל הגנה. למעשה, במקרים רבים האשם הוא בחברה המותקפת: לא הקפדתם על תוכנות מעודכנות? שגם מתאימות לפעילות שלכם? והעובדים שלכם לא הודרכו כמו שצריך ומיקי ממחלקת מכירות לחץ על לינק נגוע? זו אשמתכם שחטפתם. אבל ישנם גם מקרים של מוצרים שנכשלים בדיוק במקומות בהם הבטיחו הברושורים שלהם שהם מהטובים בעולם, אם לא הכי.

אני לא חושב שחברות אבטחה צריכות לשאת באחריות פיסקלית לכישלון המוצרים שלהם; להאקרים יש כזה ארגז כלים עצום, שזה הגיוני כמו לתבוע את הרופא שלך לאחר שחטפת מחלה מסוג חדש למרות שהתחסנת למחלות מסוגים מוכרים. בנוסף, ישנן פריצות עם נזקים פיסקליים של עשרות ומאות מיליוני דולרים וחברות סייבר הן לא חברות ביטוח. בעצם, לא מעט מחברות הסייבר מורכבות מעשרה חבר'ה באיזה WeWork, וכל כישלון של המוצר שלהם עלול לעלות מיליונים שאין להם; הראו לי מי בכלל ילך לעבוד בסייבר בעולם כזה. אבל אם אכן כשלו טכנית מוצרים ספציפיים, ולא בגלל סוגיות תפעול, הוגן שחברות הסייבר ייחשפו. הוגן שנדע מי מוכר לנו דברים, והיכן נכשל בעבר.

אני לא דורך על זכויות, רק מוכר תוכנה

איך עובדת Rekognition, מערכת זיהוי הפנים ההמונית של אמזון? היא נועדה לנתח בזמן אמת פיד וידאו ממצלמות אבטחה ואחרות, ולזהות פושעים מבוקשים ואנשים חשודים, ויש כמה וכמה גופי אכיפה בארה"ב שכבר עובדים איתה; האם היא מתבלבלת בין פני אפרו-אמריקאים, בצורה שעלולה להציג עובר אורח תמים כפושע מסוכן? האם היא שומרת נתוני זיהוי של קטינים - דבר שמנוגד לחוק? האם היא מסמנת בני מיעוטים כבעלי סיכוי גבוה יותר להיות עבריינים? כל השאלות הללו בהחלט במקומן ובהחלט ראויות לתשובה. במיוחד בגלל שמערכות זיהוי פנים המוניות כבר הגיעו לשיעורי טעות של 92%.  

אבל אמזון? היא פחות בעניין של תשובות רציניות: במאי האחרון נחשף השימוש הנרחב שעושים כוחות משטרה בתוכנה של אמזון, ואיתם גם ICE, סוכנות ההגירה (זוכרים? זו שהפרידה תינוקות מהוריהם, הכעיסה את עובדי ההייטק וזיעזעה את ארה"ב). מיד הודיעו כמה בעלי מניות בולטים של אמזון שהם לא תומכים בעניין הזה וקבוצה של מאות עובדי אמזון ביקשה מהמנכ"ל ג'ף בזוס לבטל את המוצר הזה.

אבל בזוס לא מתייחס למי שמבקש יפה; אפילו כשהגיע מכתב ממחוקקים, שרצו תשובות לשאלות ששאלתי כאן, הסתפקה החברה בלשלוח תשובות כלליות ומתחמקות: אמזון טענה שרק מי שהוסמך להשתמש בתוכנות זיהוי הפנים שלה קיבל גישה אליהן. היא לא הרחיבה על דיוקים, טעויות, אפליות ושימושים לא ראויים. אז עכשיו התעצבנו המחוקקים, ושלחו לו שאלוות מחדש - והפעם דרשו תשובה עד ה-13 בחודש. לא אופתע לגלות שגם הפעם התשובה תהיה כללית ומתחמקת, בתקווה שהמחוקקים ילכו להציק למישהו אחר.

אני, בתמימותי, סבור שצריכים לחול עונשים כבדים על חברות שמתחמקות ממתן תשובות. אני חושב שחברות צריכות לעמוד מאחורי המעשים שלהן והטעויות שלהן (לרקוגנישן של אמזון, אגב, יש שיעור טעות מופלא. למשל, אינו יודע להבדיל בין פוליטיקאים ופושעים). האיטיות של ההליך הבירוקרטי תמיד משחקת לידי הנבל במקרים האלה, ותאגידים מנצלים את בורות המחוקקים כדי לחמוק מעונשים. זוכרים איך עבר מארק צוקרברג את הסנאט ובית הנבחרים ונתן עדות על סיפור קיימברידג' אנליטיקה, בלי לשלם מחיר על רשלנות במקרה הטוב, תאוות בצע חלולה במקרה הרע? ולכן, כולי תקווה שהמחוקקים יעשו שרירים ויגררו את בזוס להסביר בעצמו מה עושים עם התוכנה שלו, והאם היא פוגעת בזכויות אדם.

קצרצרים

1. פייסבוק מרחיבה את היצע התוכן בשירות Watch שלה, והפעם לא באיזו סדרת מקור מסקרנת או שידורי ספורט שיביאו את ההמונים. לא, הפעם היא פונה לקהל הגיקי - ומוסיפה לשירות הסטרימינג את השילוש הקדוש של ג'וס ווידון: באפי ציידת הערפדים, אנג'ל ו-Firefly. ילדי שנות התשעים גדלו על הסדרות הללו, והגעתן ל-Watch נועדה למשוך אותם בגלי נוסטלגיה. פייסבוק קצת שכחה שמעריצי הסדרות הללו כבר הורידו את כל הפרקים, צפו בהם מיליון פעם וכנראה לא ימצאו כל ערך בלצפות בהם דווקא דרכה, ועוד עם פרסומות. זו הבעיה של רכישת סדרות לצפייה בשירות סטרימינג חדש: אם יש בעולם נטפליקס, ויוטיוב, ואת כל הטורנטים למיניהם - למה לו לקהל להגיע דווקא אליך? פייסבוק מנסה לפצח את זה ולמשוך צופים עם סדרות מקור שהיא מפתחת, ביניהן תוכנית מתיחות עם קים קרדשיאן; האם זה ישתלם לה? ימים יגידו; אני אישית לא צריך את פייסבוק בשביל לצפות בסדרות מלפני 15 שנה, ונראה לי שאני לא היחיד.

2. בסוף השבוע צץ דיווח לפיו גוגל מתכננת לסגור את שירות הצ'ט Hangouts ב-2020, לפחות את הגרסה הבסיסית שלו שזמינה כאפליקציית מובייל (שאף אחד לא מוריד ביוזמתו, כי אנחנו חיים בעולם שיש בו ווטסאפ) או כחלון צ'ט בג'ימייל שבדפדפן. גרסה עשירה יותר, שנועדה לארגונים, היתה אמורה להמשיך ולחיות, לפי המקור. סקוט ג'ונסון, מנהל הנגאאוטס בגוגל, הגיב בטוויטר ואמר שמדובר בשמועה, ושלוח הזמנים לחיסול השירות שגוי מיסודו - אך שמשתמשיו יועברו לגוגל Chat ולגוגל Meet. אז בעצם גוגל הורגת את הנגאאוטס, אבל לא ברור מתי. לחברה הזאת יש ארבעה-חמישה שירותי צ'ט שונים (לווידאו, למובייל, ארגוני וכולי) ואת כולם מורחת ווטסאפ על הלחם שלה לפני הביס הראשון של ארוחת הבוקר. אולי הגיע הזמן שתאחד את כולם וזהו, או פשוט תוותר ותכלול צ'ט רק בשירותיה לעסקים? בסופו של דבר, היא עושה את הכסף שלה מדברים אחרים ופעילות הצ'ט נראית יותר כניסיון ליישר קו עם פייסבוק מאשר לעשות כסף.

3. לסמסונג יש חיים קשים: וואווי מצמצמת את הפער ומאיימת לקטוף ממנה את המקום הראשון בטבלת המכירות במובייל, וגם מיישרת איתה קו בכל הנוגע לחדשנות; למשל, מכשיר הדגל האחרון של החברה הסינית כבר היה חדשני משמעותית מהגלקסי נוט 9 שלה בתחומי הצילום, הטעינה והאבטחה. והנה מגיעה המכה הבאה: סמסונג מתכננת לגלקסי S10 מסך שיכסה את כל חזיתו, ומצלמת הסלפי פשוט תשב בתוכו, בתוך נקב עגול (המדליפים עוד מתווכחים על האם תשב בפינה או באמצע הדופן העליונה) - והנה, וואווי כבר בנתה טלפון כזה. ואפילו נתנה אחד לג'קסון יי, אליל נוער סיני, ששלף אותו אמש ביום הולדתו ה-18. הטלפון צפוי להיחשף רשמית בקרוב, ואני מקווה בשביל סמסונג שהכינה עבורנו הרבה הפתעות בגלקסי S10; הסינים האלה זריזים להפליא.

4. לפליקס קיילברג, כוכב יערוץ PewDiePie ביוטיוב, יש מעריצים מאוד משונים. אחד מהם הוא האקר מוזר, שהצליח לגרום ל-50,000 מדפסות ברחבי העולם להדפיס הודעה בה התבקשו הקוראים להירשם לערוץ PewDiePie ולהתנתק מאחד ממתחריו הגדולים. ההאקר השתמש במאגר מדפסות פרוצות שמצא במאגר ברשת האפלה, ולא ברור כמה עלה לו הטריק הזה. כשפריצה המונית הופכת למשהו שעושים בשביל הצחוקים, קל להבין כמה חמור מצב אבטחת המידע בעולם. ולמעריצי PewDiePie שרוצים לעזור: תנו לו רעיונות לקליפים, במקום לבצע עבירות מחשב; הצצתי לאחרונה בערוץ שלו ותשמעו - הוא צריך רעיונות.