זוכרים את סנודן? שלושה סיפורים על זהויות גנובות

אדוארד סנודן, צילום מסך מתוך פוסטר הסרט "Citizen 4"

לפני קצת יותר מעשור יצא בארצות הברית סרט בשם "Identity Thief" ("גנבת זהות") בכיכובם של ג'ייסון בייטמן ומליסה מקארתי. בסרט מסופר איש משפחה חנון למדי (בייטמן) מגלה שנוכלת כריזמטית (מקארתי) גנבה את זהותו, בזבזה את כספו והשאירה אותו להתמודד עם אישומים פליליים. כדי לטהר את שמו, הוא נאלץ לרדוף אחריה בעצמו.

מה שבהוליווד הפכו לקומדיה (די בינונית, יש להודות) הוא אחד הסיוטים הגדולים ביותר של כל אדם בעידן הדיגיטלי: להתעורר בוקר אחד ולגלות שמישהו השתלט על הזהות שלך, רוקן את חשבון הבנק והרס את המוניטין.

לכבוד יום ניהול הזהויות הבינלאומי שמצוין היום ברחבי העולם, החלטנו לחזור לשלושה מהסיפורים הגדולים שבהם גניבת זהות הובילה למשברים חמורים – ולהזכיר: אי אפשר להיות זהירים מדי.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

לפני שנצלול אל הסיפורים כדאי להסתכל על המספרים. בשנת 2024 דווחו בארצות הברית 1,135,291 מקרים של גניבת זהות – עלייה של כמעט 100 אלף מקרים בהשוואה לשנה שקדמה לה. גם בישראל המציאות רחוקה מלהיות רגועה: בשנת 2022 נחשף אירוע חמור בביטוח הלאומי, שבמהלכו נחשפו פרטים של כ-2,000 ישראלים. בדוח מבקר המדינה שפורסם בנובמבר האחרון צוין כי מערך הגנת הסייבר של הביטוח הלאומי לא עודכן במשך עשור שלם. מרגיע? לא ממש.

1. פרשת סנודן

פרשת אדוארד סנודן, אחת הזכורות בהיסטוריה המודרנית, מדגימה איך משתמש פנימי אחד עם הרשאות גישה רחבות מדי יכול למוטט את מעטפת האמון של אחד הגופים הרגישים ביותר בעולם. סנודן, קבלן חיצוני שעבד עם סוכנות ה-NSA, הוריד בשנת 2013 כמויות אדירות של מידע מסווג מבלי שאיש יבחין, והעביר אותו לעיתונאים. מה שנחשף לאחר מכן – מעקב ממשלתי נרחב אחרי אזרחים ומדינות זרות – חולל סערה עולמית. במקרה הזה, שילוב של בקרות גישה הדוקות יותר, ניטור חריגות בזמן אמת וזיהוי דפוסי שימוש חריגים (UEBA) היה יכול אולי לעצור את הדליפה לפני שהפכה למפולת עולמית.

2. חגיגה ב-Target

גם פרשת Target ב-2013 ממחישה היטב עד כמה שרשרת האמון היא קריטית. האקרים הצליחו לחדור לרשת של רשת המרכולים Target וגנבו פרטי אשראי של כ-40 מיליון לקוחות. נקודת הכניסה לא הייתה מתוחכמת במיוחד: ספק שירות מיזוג אוויר קטן, שהחזיק בהרשאות גישה למערכות החברה לצורכי תחזוקה. מכאן הדרך לאסון הייתה קצרה. ניהול זהויות והרשאות של גורמים חיצוניים (third-party access) הוא חובה בסיסית – אבל לא מספיקה. יש להקפיד על מתן גישה מינימלית בלבד (Least Privilege), לבדוק כל משתמש חיצוני כמו כל משתמש פנימי, ולנטר פעילות גם של מי שנראה "מוכר ובטוח".

סניף Target, תמונה: Dreamstime

3. הפריצה ל-SolarWinds

הפריצה ל-SolarWinds בשנת 2020 הוכיחה שגם מערכות ניהול זהויות מתקדמות אינן חסינות. האקרים, שככל הנראה פעלו בשליחות רוסיה, הצליחו לחדור אל עדכון תוכנה של ספקית ה-IT ולהשתיל בתוכו קוד זדוני. ההפצה הרחבה בקרב לקוחות, כולל משרדי ממשלה אמריקאיים, העניקה להם גישה ישירה לרשתות הפנימיות. החלק המתוחכם במתקפה היה זיוף תעודות זהות דיגיטליות (tokens) של Azure Active Directory – מה שאיפשר לתוקפים להיראות כמשתמשים לגיטימיים לחלוטין. אילו הייתה קיימת מדיניות מחמירה יותר של אימות רב-שלבי (MFA), ניטור התנהגות חריגה ואכיפה קפדנית יותר על מודלי זהויות מאוחדות (federated identity), ייתכן שהפרצה הייתה נבלמת בשלבים מוקדמים הרבה יותר.

במבט קדימה, ברור שהאיומים רק הופכים מתוחכמים יותר – ולכן גם הכלים להתמודדות צריכים להשתדרג. לצד אימוץ מלא של גישת אפס אמון (Zero Trust) ואימות רב-שלבי אדפטיבי, יש לשלב פתרונות UEBA מתקדמים המנתחים דפוסי שימוש בזמן אמת, לפתח תשתיות IAM מבוססות ענן עם גמישות ניטור גבוהה, ולנהל בצורה חכמה את כלל הספקים והחיבורים החיצוניים. בעולם שבו הזהות הדיגיטלית היא המטבע היקר ביותר, ההגנה עליה חייבת להיות חכמה, רב-שכבתית – ובעיקר, מתמשכת.