מתקפות סייבר על רשתות קמעונאיות: לוחמה כלכלית בגרסא עכשווית – חלק ב
This post is also available in: 
English (אנגלית)
חלק ב'
החלק הראשון גולל כיצד התגלתה מתקפת הסייבר, כיצד צוות ה-IT של קיימארט גילתה זדונה (תוכנה זדונית) במחשבי החברה, וכיצד כל זאת מדגיש את פגיעותן של מערכות מחשוב.
דובר תאגיד סירס הודיע כי "מערכת תשלומים" הייתה ככל הנראה יעד התקיפה וממנה נגנבו מספרי כרטיסי אשראי. לא נמסרו כל פרטים על זהות המערכת וגודלה, תפקידיה בארגון ופריסתה, אבל ניתן להניח ברמת וודאות גבוהה שתאגיד ענק כמו סירס משתמש במערכת טכנולוגית מרכזית אחת לניהול רוב הפעילויות שלו והידועה יותר בשמה הטכנולוגי כ-ERP (Enterprise Resource Planning System), כגון זו של חברת SAP הגרמנית.
מערכות ERP מהוות את "נשמת אפו" של הארגון מכיוון שרוב הפעילויות נעשות באמצעותן או בסיוען: הן מנהלות את הקופות וכספי הלקוחות, מבצעות סליקה מול חברות אשראי ומול בנקים, מפיקות תלושי שכר ומעבירות פקודות להפקדות כספים ואף מנהלות את תשלום שכר העובדים והמנהלים ברשת ואת הרכש והספקים של הארגון.
על כן להודעה המינורית על פיה "מספר חנויות נפלו קורבן למתקפת סייבר" מומלץ להתייחס בזהירות הראויה שכן 'מערכת תשלומים' היא גלובלית, כלל רשתית ואיננה מקומית. אין כל הגיון כלכלי, מסחרי, ניהולי או ארגוני לנהל קופות או כל פעילות פיננסית של ארגון ענק בן 1200 סניפים עם 1200 מערכות מחשוב נפרדות, כך שמי שהשיג גישה למידע על כרטיס אשראי בודד, יצליח ככל הנראה, בקלות יחסית, להגיע לכל בסיסי נתונים של מערכת ה-ERP הארגונית ולעשות בה ככל העולה על רוחו, לרבות לשבשה אגב אורחא.
מי שתל את התוכנה הזדונית במחשבי התאגיד וכיצד, אם בכלל, חולץ ממנה מידע כלשהוא והועבר לתוקפים? בכל המקורות הגלויים שסיקרו את האירוע אין לכך רמז, לא נמסרה זהותם, או מידע לגבי חשודים כלשהם כך שניתן רק לשער, למי אם כן, יש אינטרס לתקוף רשת קמעונאית והתשובה היא למעשה "למי לא"?
ייתכן ומדובר בתקיפה מבית. עובד ממורמר, שתול על ידי קבוצת האקרים או בעל מניעים פליליים בעצמו, תקף את מחשבי הארגון בו הוא עובד. רובן המכריע של התקפות הסייבר נגרמות על ידי עובדי הארגון, בידיעתם או שלא-בידיעתם. לחלופין, אלה יכולים להיות מי שיש להם נגישות טובה יחסית למערך המחשוב של החברה כגון קבלני מחשוב, חומרה או תוכנה, ואולי מדובר אפילו בארגון או מדינה הנמצאים בקונפליקט עם ארה"ב ומעוניינים לגרום לה נזק כלכלי ארוך ומצטבר.
מתקפת סייבר שארכה מעל חודש על מחשבי ושרתי תאגיד ענק כמו סירס, יכולה במסגרת הנסיבות האובייקטיביות האחרות שלה (קשיי נזילות) למוטטה כלכלית, לגרום לפיטורי מאה אלף עובדים ולקריסת שרשרת האספקה, רק בגלל הרגישות הזמנית בה היא נמצאת.
ייתכן והגיעה השעה לחוקק 'תקן' אבטחת מידע מחייב ואשר בלעדיו ארגונים מסחריים לא יקבלו רשות ורישיון לגבות כספים מלקוחותיהם או לפעול כלל. בדיוק כפי שקיימת חובה להתקין מטפי כיבוי ולשלט יציאות חירום המפעלים ובמרכולים ובלעדיהם לא ניתן, רגולטורים להפעילם, אין כל סיבה מדוע מותר להפקיר את פרטי כרטיסי האשראי של הלקוחות בידי האקרים ולא לכפות מערכת פיקוח ממשלתית ולו בסיסית ביותר שתסדיר את אבטחת המידע.
