דו"ח חדש של האף.בי.איי האמריקני שנערך בשיתוף עם המכון האמריקאי לאבטחת מחשבים (Institute Computer Security) מגלה נתונים מפתיעים על התנהגות ארגונים כאשר הם מגלים שמחשבי הארגון שלהם נפרצו, וכאשר מתגלות אצלם בעיות אבטחת מידע קריטיות.
מהדו"ח על 2003 שפורסם לאחרונה עולה כי מחצית מהארגונים שמגלים פרצות באבטחת מידע אינם מדווחים על כך למשטרה או לרשויות אחרות, ומעדיפים לפתור את הבעיות בעצמם, בתוך החברה. לפי הדו"ח, כאשר ארגונים אמריקאים גילו שמחשבי הארגון שלהם נפרצו, 93% מהם מיהרו לפתור מיידית את בעיית פירצת האבטחה והחזירו את מחשבי הארגון לתפקוד תקין. ואולם 50% מהם בחרו שלא לדווח על המקרה לרשויות. רק 30% מהם בחרו לדווח למשטרה ו-20% בחרו לדווח לגוף המפקח עליהם כגון הרגולטורים השונים.
כאשר נשאלו הארגונים מדוע אין הם מדווחים על הפרצות לרשויות החוק, 70% ענו שזה בגלל חשש מפרסומת רעה לעסק שלהם, 61% חששו שהמתחרים ינצלו את הבעיה, 53% טענו כי הם לא ידעו שיש באפשרותם לדווח על המקרה כעבירה על החוק, ואילו 56% טענו שפתרון הבעיה בתוך החברה באמצעים אזרחיים ללא עזרת רשויות החוק הוא בעיניהם הפתרון היעיל ביותר.
"דפוס ההתנהגות הזה יוצר בעיה כאשר ממשלות רוצות ליצור שיתופי פעולה בין ארגונים כדי למנוע פגיעה באבטחת מידע של תשתיות לאומיות קריטיות", אומר אייל אדר, מנכ"ל חברת היעוץ לאבטחת מידע iTcon. "לכן, כדי לשנות את תרבות ההסתרה הזו וליצור שיתופי פעולה צריך להשקיע מאמצעים רבים".
נתון מפתיע נוסף העולה מהדו"ח הוא הסיבה לפריצה למחשבים ארגוניים. "הנטייה הכללית היא לחשוב שרוב הפריצות למחשבים נועדו לגנוב פרטים שיאפשרו גניבות פיננסיות, אבל זה לא המצב. הדו"ח מראה שהרוב המכריע של הפריצות נעשה מתוך ונדליזם טהור ורצון להרוס, ואילו רק חלק קטן נעשה בגלל אפשרות להשגת רווח פיננסי", אומר אדר. כאשר נבדקו הסיבות לפריצות לאתרי אינטרנט של ארגונים, התגלה כי 36% מהן נעשו בגלל ונדליזם לשמו, 35% נעשו כדי למנוע מהאתר לתת שירות - גם כן סוג של ונדליזם - ואילו רק 4% נעשו לצורך גניבה פיננסית ו-6% כדי לגנוב מידע על עסקות שונות.
סך הנזקים וההפסדים המצטברים לארגונים האמריקאים ב-2003 מפריצות אבטחת מידע הוא 201.7 מיליון דולר.
מחצית מהארגונים שמגלים פריצת מידע אינם מדווחים על כך לרשויות
גלית ימיני
24.3.2004 / 7:52