מתקפות סייבר על רשתות קמעונאיות: לוחמה כלכלית בגרסא עכשווית – חלק א
This post is also available in: 
English (אנגלית)
תאגיד סירס (נאסד"ק: SHLD) העולמי, הודיע ביום שישי האחרון (ה-10 לאוקטובר) כי כמה מסניפי רשת K-Mart (מתוך 1200 ברחבי ארה"ב) הנמצאת בבעלותו, "נפלו קורבן למתקפת סייבר".
מערכת התשלומים של החברה נפרצה כבר בתחילת חודש ספטמבר, כך מוסרת סוכנות הידיעות רויטרס, וקיים חשש כי נתונים של כרטיסי תשלום של הרשת (כרטיסי אשראי ייעודיים של קיי מארט) וכרטיסי אשראי כלליים נגנבו.
גילוי הזדונה (malware), בוצע על ידי צוות ה-IT של החברה, אשר גם התקין "טלאי" תוכנה (Patch) שבעזרתו נסגרה הפרצה והוסרה התוכנה הזדונית, שמקורה עדיין לא ידוע. הצוות, אשר נעזר בחברה חיצונית לאבטחת מידע, ממשיך לפעול בשיתוף פעולה עם הבנקים והמערכת הפינאנסית, כמו גם בשיתוף סוכנויות אכיפת חוק פדרליות, על מנת לאתר את מקור התקיפה.
מניית סירס ירדה בכמעט 6% עם היוודע דבר התקיפה והפירצה והנזק העלול להגיע בעקבותיהן. זאת, ימים ספורים לאחר שמספר ספקים מרכזיים של הרשת הודיעו כי הם מעכבים אספקת סחורות לרשת עקב חשש מבעיות נזילות של סירס.
ההודעה המרגיעה של סירס, הנסיבות הלא נוחות בהן האירוע קרה וגם הסבר קצר על "מערכת תשלומים" – דסק הטכנולוגיות של i-HLS.com עושה קצת סדר:
התקפת הסייבר הנוכחית על קיי מארט היא חלק מסידרת תקיפות על רשתות קמעונאיות, בין הבולטות שבהן ניתן להזכיר את רשת 'טרגט', 'הום דיפו' ועוד. ייתכן והסיבה לרצף המתקפות הנוכחיות היא חסר מאוד גדול באמצעי אבטחת מידע ובכוח אדם רלבנטי ומיומן, בעיקר עקב שולי הרווח הזעירים בהם פועלות הרשתות האלו, אך למרבה הצער דומה שהמציאות כואבת בהרבה וחמורה לא פחות.
הנחת המוצא חייבת להיות כי רובם המוחלט של הגופים המסחריים, מנפח פעילות מסוים ומעלה, (ובוודאי ציבוריים, פיננסיים, ממשלתיים, צבאיים, אקדמיים, תשתיתיים ועוד) נמצאים כל הזמן תחת מתקפת סייבר כלשהי מסיבות שונות (כלכליות, ביטחוניות, מדיניות ואפילו אישיות) ובנסיבות מגוונות (מצוקת כ"א מיומן, פרצות מזמינות, חוסר באמצעי אבטחה) ובהיקפים משתנים.
אל מול הפגיעות (vulnerability) הברורה של מערכות מחשוב המשרתות תשתיות קריטיות (חשמל, מים, גרעין, תחבורה וכו') מצטיירת מתקפת סייבר על רשת חנויות ביגוד או "עשה זאת בעצמך" שלה אלפי סניפים ברחבי ארה"ב – כמשנית בחשיבותה ובוודאי שלא "סקסית".
אולם מדובר בטעות יסודית שיש לעקרה מן השורש ולהקצות משאבים אדירים, מודעות וחינוך כדי להילחם בה. ב-"מערכת התשלומים" של קיי מארט נמצאים כל פרטי כרטיסי האשראי של כל לקוחותיה אי פעם (וכנראה שרוב אזרחי ארה"ב נכללים בקטגוריה זו), כתובותיהם, כתובות דוא"ל, מספרי הטלפון, Pin Code לטובת אימות חתימה עצמית ודוגמאות חתימה – וכל זה רק מצד הלקוחות.
