מתקפת סייבר | צילום: גטי אימג'ס
שעירים לעזאזל: שני פסקי דין חדשים מטלטלים את תעשיית הסייבר
מנהל אבטחת המידע לשעבר של אובר הורשע בהסתרת מידע על פריצת סייבר לחברה בשנת 2016, לאחר שניסה להגן על פרטי המשתמשים וניהל מו"מ עם התוקפים. גם האקרית שלא גנבה דבר ורק ניסתה להתריע על פרצות בבנק קפיטל וואן הורשעה. לא, זו לא הדרך להילחם בתופעה
השבוע ניתנו פסקי דין בשני משפטים מתוקשרים המחוברים לעולמות הסייבר והגנת המשתמשים בעולמות הארגוניים. הראשון, שניתן אמש (ד'), הרשיע את מנהל אבטחת המידע של אובר לשעבר, ג'וזף סאליבן, בשיבוש הליכי משפט והסתרת מידע על התרחשותו של פשע פדרלי. הבסיס להרשעה היה האשמתו כי הסתיר את היקף ואת חומרת הפריצה לשרתי אובר ב-2016, בה נגנבו נתונים של כ-7 מיליון נהגים וכ-50 מיליון משתמשים, בעיקר מפני הרגולטורים. המשפט השני, שהסתיים לפני יומיים (ג'), שחרר לחופשי, עם עונש על תנאי של 5 שנים, את ההאקרית פייג' ת'ומפסון, שפרצה למחשבי הבנק האמריקאי קפיטל וואן ב-2019 וגנבה נתונים של כ-100 מיליון משתמשים.
הפריצות לאובר ולקפיטל וואן סימנו שני אחראים שונים - אחד מצד המגינים ואנשי אבטחת המידע והשני מצד ההאקרים "הלבנים" - כלומר, האקרים שלא ממנפים את הפריצות שלהם לרווח אישי אלא מנסים לסמן את פרצות האבטחה במערכות מחשוב ממשלתיות ובחברות טכנולוגיה. המקרה של סאליבן הוא אולי המדאיג ביותר: בית המשפט הטיל למעשה על הש"ג את האחריות על הסתרת הפריצה וסיוע לכך, למרות שהוא היה כפוף למנכ''ל (ומייסד החברה) דאז - טראוויס קאלניק. הפריצה לאובר היתה מהגדולות לסוגה באותן שנים ועוררה סערה ציבורית רבה בגלל ניסיון הטיוח של החברה שעליו למעשה נשפט סאליבן.
סאליבן הוא כיום סמנכ''ל אבטחת המידע של קלאודפלייר (CloudFlare) - מחברות תשתית האינטרנט הגדולות והחשובות בעולם. ההרשעה עשויה להפוך אותו כעת לסוג של מצורע בעולם הסייבר הארגוני ולחסום אותו מכל אפשרות תעסוקה עתידית בתחומו. אבל יותר מכל השינוי העיקרי כאן הוא מסר לסמנכ''לי אבטחת מידע ארגוניים בכל מקום: יש לכם אחריות אישית ופלילית על כל מהלך שאתם מבצעים במסגרת התפקיד שלכם גם אם מדובר בהוראה מגבוה. במילים אחרות, איש הסייבר של החברה נמצא בין הפטיש לסדן - מצד אחד הוא אמור לדאוג לתקינות ולהמשך התפעול השוטף של החברה גם תחת מתקפת סייבר ומנגד הוא צריך להתחשב במגבלות החוק. לפעמים אלה שני אינטרסים סותרים ומנוגדים.
סאליבן ניסה להסתיר את הפריצה מה-FTC (רשות המסחר הפדרלית), שהיתה במהלך חקירה על פריצה אחרת, מוקדמת יותר, למחשבי אובר ושגם היא לא דווחה כנדרש. בנוסף, הוא הסכים לשלם להאקרים את הכופר הנדרש תמורת חתימה על הסכם סודיות במסגרתו הם יתחייבו לא לחשוף את הפריצה באופן פומבי. מכל הבחינות, המהלך הראשון מהווה שיבוש של חקירה והליכי משפט, אם כי לא ברור עד כמה האחריות במקרה הזה גם צריכה להיות מורחבת לבעלי תפקידים נוספים בחברה. קאלניק, למשל, שנחשף לא פעם באירועים שהביכו מאוד את החברה ומשקיעיה, ביניהם חשיפה של הפגנת כוחניות מול הכפופים לו והטרדות מיניות לכאורה כנגד עובדות החברה באירועי חברה שונים. ועדיין, הוא לא זה שהועמד למשפט. יכול להיות שהוא הצליח להתחמק בזכות עו''ד מוצלחים יותר או שהוא באמת לא היה מעורב ישירות - אם כי הדבר נשמע לא סביר - אבל כך או כך האחריות הסופית על אירועים כאלה היתה שלו.
ההרשעה של סאליבן, שיכולה לשלוח אותו לכלא לכמה שנים טובות עשויה לגרום לבכירי סייבר להפוך לראש קטן ולהימנע מלפעול ללא ייעוץ משפטי. זו בעיה, שכן כמו חייל בשדה הקרב או שוטר במהלך אירוע מתגלגל, גם איש סייבר צריך לפעמים לקחת החלטות אפורות כדי להגן על התשתית עליה הוא אמון. כך למשל כיום מקובל מאוד לשלם להאקרים את הכופר שהם דורשים. חברות ביטוחי סייבר אפילו כוללות את הסיכונים האלה בתחשיבי הפרמיות שלהן וחלקן אף מציעות שירותי ייעוץ וסיוע במו''מ מול עברייני סייבר במסגרת הפוליסה. ועדיין, הן נדרשות לדווח על האירוע ישירות לרגולטור - כפי שקובעים חוקי הסייבר האמריקאיים והאירופיים.
העבירות של ת'ומפסון, בכל אופן, לא היו קלות במיוחד: היא הורשעה בשבעה סעיפים של עבירות על חוק המחשבים והתקשורת האמריקאי, שהעונש המקסימלי עליהן מגיע לכ-20 שנות מאסר. בהתחשב בכך שהשופט הסתפק בזמן המעצר עד תום ההליכים שכבר ריצתה וב-5 שנים מאסר על תנאי, מדובר בעונש קל במיוחד. בנק קפיטל וואן נאלץ לשלם כ-250 מיליון דולר פיצויים עקב הפריצה וגניבת הנתונים לכל הלקוחות שנפגעו מכך - זאת, אף על פי שת'ומפסון לא עשתה שימוש בנתונים. מגיניה טוענים שהיא לא התכוונה לפגוע בלקוחות אלא רק לחשוף את הפרצות ואת הזלזול של הבנק באבטחת המידע.
מצד שני, ת'ומפסון לא ממש ביצעה את המהלך בצורה שבה פועלים ציידי פרצות מקצועיים. האקר לבן מזהה את הפרצה, מדווח עליה לרשויות ובמקביל לחברה שבה היא זוהתה. רוב החברות מחזיקות היום בתוכניות באג באונטי המאפשרות לתגמל את ההאקרים על זיהוי פרצות ובאגים. ואולם, על פי כתב האישום, ת'ומפסון, שעבדה באמזון לפני כן, לא ניסתה אפילו לדווח לבנק אלא שמרה את הנתונים בגיטהאב, כשהם חשופים לגולשים. בקיצור, היא אולי קצת פחות תמימה מסאליבן, אבל שניהם בסופו של יום קורבנות סייבר מסוג חדש ומדאיג.