אבטחת מידע לעסקים קטנים – רגולציה "הדור הבא"

לאחרונה נחשפנו כולנו לידיעה המרעישה על האקרים שפרצו לאתרי אינטרנט רבים של עסקים שונים על מנת לגנוב פרטים מזהים אישיים של לקוחותיהם. פריצות אלו נשמעות לאחרונה גם מכיוונם של עסקים קטנים להם אתרי אינטרנט המאפשרים קנייה בטוחה. בנוסף, עסקים קטנים מדווחים על פריצות למחשבי העסק, ככל הנראה לאותה מטרה – גניבת פרטינו וניסיון שימוש בפרטי כרטיסי האשראי.

כפי שנדון בהמשך, האפשרות שנתוני כרטיס האשראי שלנו נשמרים בחברות מצד אחד, וחשופים  לעינו של האקר מצד שני – מחייבת אותנו בשינוי תפיסתי ברמה הרגולטיבית.

ההתפתחויות הטכנולוגיות בעשרים השנים האחרונות הביאו אותנו למצב שבו כל חברה, לא משנה מה גודלה, תלויה בצורה כזו או אחרת במערך הטכנולוגי הקיים בה.

ככל שלחברה ישנם יותר נכסי מידע ארגוניים, כך באופן ישיר, גדל הצורך לשמור עליהם.

רמת האבטחה על נכסי המידע נגזרת מכמה פרמטרים: אופי הארגון, סוג המידע ונכסי המידע השמורים בארגון, השוק המגזרי אליו הוא משתייך ובשנים האחרונות אף לתקינות ורגולציות בהם הארגון מחויב לעמוד. יש לזכור כי התפתחות התקינה והרגולציות נכפו על ארגונים כמעט תמיד מתוך משבר מגזרי.

דוגמאות לכמה תקינות ורגולציות בעולם אבטחת המידע:

עד עכשיו ראינו תקנים ורגולציות המטפלים בנושא אבטחת מידע במגזרים ספציפיים כגון: המגזר הפיננסי (בנקים וחברות כרטיסי אשראי), הביטחוני, הרפואי וכו',

אבל – לאיזה מגזר נשייך את המכולת השכונתית? או הפנצ'רייה העירונית? שניהם הרי לא גופים הנסחרים בבורסה, בטח לא משויכים למגזר בטחוני, למען האמת – שניהם גם לא גופים המתפארים בטכנולוגיה עתירת ידע. ובכל זאת, בעל המכולת השכונתית שלי מסכים שאני ארשום אצלו "חוב", פעם הוא היה שומר את כל הנתונים על דפים ומתייק אותם בקלסר, ואילו היום? אפילו אצלו הכול ממוחשב. יש לו פרטים אישיים אודותיי: שם, כתובת, טלפון, תעודת זהות, שמות בני משפחתי הרשאים "לרשום" אצלו ומספר כרטיס האשראי שלי.

כאן נשאלת שוב השאלה, האם כאשר אני משלם לבעל המכולת בכרטיס אשראי, אני יכול להיות רגוע? האם הקופה שלו בטוחה ומאובטחת? האם בזמן הסליקה, כאשר הוא מעביר את הכרטיס אשראי שלי, הנתונים נשמרים אצלו? התקשורת שהוא מבצע מול חברת האשראי או חברות הסליקה מאובטחת? האם באותו הזמן הוא גם גולש מאותו מחשב לאתרים מפוקפקים, שלא לדבר על תוכנות זדוניות כאלה ואחרות המותקנות באותו מחשב\ קופה …?

אז מי בעצם מבקר את בעל המכולת או הפנצ'רייה ברמת אבטחת מידע ? התשובה – אף אחד !

באופן טבעי כיוון שמדובר בעסקים קטנים, יש צורך לבצע חשיבה, כיצד לא להנחית גזירות בעלות משמעויות פיננסית גדולות. כאלו, שעסקים קטנים יוכלו לעמוד בהן ולהתמיד ביישומן.

לדעתנו, התפתחות התקינה והרגולציה בעולם אבטחת המידע לעסקים קטנים ובינוניים, תהיה חייבת לעבור למודל כזה אשר מחייב את ספקיות התוכנה, החומרה, חברות האשראי והסליקה לספק לאותם עסקים פתרונות הכוללים בתוכם התייחסות לנושאי הליבה באבטחת המידע, כגון: הפרדה קישוריות לאינטרנט בין קופה ובין מחשב המאפשר לאותו עובד במכולת לגלוש להנאתו באינטרנט, אנטי וירוס מובנה ומעודכן, הצפנה של נתונים, גיבוי הנתונים, בקרת גישה והזדהות לקופה, תיעוד רישום ומעקב של פעולות וכו'.

נושא זה דומה מאוד למהפכה שעבר ענף הרכב, בתחילת הדרך יצרניות הרכב לא חויבו לספק תוספות אבטחה כגון חגורות בטיחות, כריות אויר ומחזירי אור, וכל אדם שרכש מכונית היה מחליט האם לרכוש ולהתקין פריטים כאלו כתוספת. משהבינו את חשיבות האמצעים המוזכרים, המחוקק קבע תקינה המחייבת את יצרניות הרכב לשלב את האמצעים הנ'ל כחלק מערכת הבסיס עימו מגיע הרכב. ומכאן שהאחריות עברה מרוכש הרכב, ליצרני הרכב.

 

לסיכום, אין מנוס מיישום פתרונות אבטחת מידע בעסקים קטנים ובינוניים אשר אינם כפופים היום לרגולציות השונות הקיימות עבור עסקים גדולים. ישנה חובה לדעתנו, להתערבות ממשלתית כלשהי בהעברת האחריות לנושא אבטחת המידע בעסקים קטנים מבעל העסק, לספקיות התוכנה, החומרה ואולי אף לחברות הסליקה המספקות לבעל העסק את הכלים הטכנולוגיים למימוש הקניה. זו ככל הנראה תהיה הדרך היחידה והבטוחה ביותר להגן עלינו – הצרכנים הקטנים והפרטיים.

 רק כך, נוכל כולנו לישון בשקט גם בזמן שגילינו שפרצו לחנות הספרים הקטנה בקניון.