בסוף כל משפט של האקר סעודי

עוד לא שקע האבק, וטרם שככו הדי התקפת הסייבר הנוראית של ההאקר הסעודי שגנב פרטים של 400 אלף כרטיסי אשראי - או "רק" 14 אלף, נכון לעכשיו - והרעישה את המדינה (אללי, ברשימה היו שמות של מפורסמים!), וכבר החלו לנחות בתיבת המייל שלי מכתבים מפחידים מטעם חברות אבטחה שונות.

הניסוחים אפוקליפטיים כתמיד: "זוהי רק ההתחלה: טרור סייבר הוא האיום הביטחוני הגדול ביותר של שנת 2012!"; "עליות משמעותיות במספר מתקפות הרשת!"; "התחזית לשנת 2012: מגמת טרור הסייבר הולכת ומתחזקת!".

כבר 15 שנה שאני כותב על אינטרנט, וההודעות מלאות האימה והפאתוס של חברות האבטחה נשארות אותו הדבר. צריך רק להחליף את התאריך ואת מילות המפתח. אם פעם האיומים נשקפו לנו מתוכנות הצ'ט, היום הם מגיעים מהרשתות החברתיות; פעם הודעות דואר היו הדבר הכי מאיים, היום אלה הסלולר והטאבלט שמככבים בתפקיד השער אל סוף העולם.

כמובן שכל חברה מדגישה את האיומים המגיעים מהתחום שבו היא מתמחה, זו טוענת כי הענן פרוץ ומנוקב ככברה, ואילו זו טוענת כי דווקא העסקים הקטנים והבינוניים הם החשופים ביותר. ועל זה נאמר - בסוף כל משפט שהאקר סעודי אומר באנגלית עילגת יושב איש מכירות של חברת אבטחת מידע עם נרגילה ועושה: בו!

למרות כל זאת, אין להמעיט בחומרת המחדל, והמחדל - כמו ברוב המקרים מהסוג הזה - מגיע משורה של כמה אתרי מכירות קטנים עד בינוניים, שככל הנראה הפגינו משהו שנע בין שאננות לזלזול בכל הנוגע להקפדה על פרטי האשראי של לקוחותיהם.

כך שהעובדה שתעשיית האבטחה מצליחה לספק פתרונות מספקים למדי, גם אם לא מושלמים, למרבית האיומים, בכלל לא רלוונטית אם לא משתמשים בה.

אם אתם שואלים אותי, הרי שהחוק חייב לחייב אתרים וגופים המחזיקים פרטים מהסוג הזה לעמוד בסטנדרים מחמירים של אבטחה ולעבור ביקורות תכופות. כמו המחלקה לבטיחות וגהות, רק באינטרנט. אתר שלא מקפיד על אבטחת מידע, לא יורשה למכור. הדבר כבר קיים. "חוק הגנת הפרטיות (התשמ"א-1981)" מדבר על הדברים האלה בדיוק. צריך רק לאכוף את זה.

אין דבר כזה אבטחה הרמטית, ברור, ואין דבר כזה כמו מערכת בלתי חדירה. המלחמה בין ההאקרים למאבטחי המידע היא מלחמה שתימשך לעד, וכך צריך להיות.

אבל הלקח מהפריצה האחרונה חייב להיות ברור וחד: אם אתה רוצה להתעסק עם מידע רגיש על אנשים - תעשה את המקסימום להגן עליהם, לא ביט אחד פחות.