אתר ארכיון האינטרנט – "מכונת הזמן" שלוקחת את המשתמשים להיסטוריה של הרשת – נפרץ אמש (ד') במתקפת מניעת שירות מבוזרת (DDoS), ופריטי המידע של 31 מיליון משתמשים נגנבו. למשתמשים שנכנסו לאתר לאחר הפריצה קפצה בחלון נפרד אזהרת ג'אווה סקריפט שההאקר כתב, שבה הם נשאלו: "האם הרגשת אי פעם כאילו ארכיון האינטרנט כל הזמן עומד על סף פריצה קטסטרופלית? זה מה שקרה עכשיו". ההודעה קראה ל-31 מיליון המשתמשים לבדוק ב-HIBP (שירות ששולח התראות לגולשים האם המידע שלהם נגנב) האם הפרטים שלהם חשופים לשחקן האיום. מייסד HIBP, טרוי האנט, מסר ל-BleepingComputer כי ההאקר העלה לשירות קובץ SQL בנפח של 6.4 גיגה-בייט, שכולל נתונים אודות משתמשים רשומים. שם הקובץ הוא ia_users.sql. בהודעה של HIBP נמסר כי פרטי החשבונות של 54% מהמשתמשים הרשומים לארכיון האינטרנט כבר נמצאים בשירות – מפריצות קודמות. "חתימת הזמן" של רוב הנתונים שנגנבו הפעם היא ה-28 בספטמבר, ויש להניח שזה התאריך שבו אירעה הפריצה. ברווסטר קאהל, מייסד ארכיון האינטרנט, אישר את דבר הפריצה היום לפנות בוקר (שעון ישראל), בפוסט בחשבון ה-X שלו, שבו הוא כתב כי "מתקפת ה-DDoS נפתרה לעת עתה. בוצעה השחתה של אתר האינטרנט שלנו באמצעות ספריית JS, ונגנבו שמות משתמש, כתובות מייל וסיסמאות מוצפנות". "מה שעשינו", המשיך, "הוא להשבית את ספריית ה-JS, 'קרצפנו' את המערכות שלנו ושדרגנו את האבטחה. נשתף עוד מידע ככל שיהיה לנו". ארכיון האינטרנט הוא ארגון אמריקני ללא כוונות רווח, שמאפשר לגולשים לגלוש לעמודי אינטרנט מסוימים של אתרים שונים משנים עברו. הארכיון נוסד ב-1996, מטרתו המוצהרת היא לאפשר "גישה אוניברסלית לכלל הידע" והוא מכיל תיעוד של מאות מיליארדי אתרים. הארכיון כולל חומרים מפרויקטים אחרים, בהם ארכיון התמונות של נאס"א והקטלוג של ספריית ויקיפדיה. רוב הנתונים שעולים אליו נאספים אוטומטית, על ידי מערכות שסורקות את הרשת, אולם הוא מאפשר גם לגולשים לשתף נתונים ולהעלות – וגם להוריד – חומר שנמצא במרחב הדיגיטל.

משרד המשפטים האמריקני שוקל נקיטת צעדים משמעותיים נגד גוגל בעקבות פסיקת הגבלים עסקיים דרמטית שמצאה כי ענקית הטכנולוגיה מנהלת מונופול לא חוקי בתחום החיפוש המקוון. המשרד, כך לפי דיווחים בתקשורת, שוקל אפשרות לפרק את החברה, או לכל הפחות לדרוש ממנה ביצועם של שינויים מהותיים בשיטות העסקיות שלה. פעולות פוטנציאליות אלו מגיעות לאחר שבאוגוסט האחרון, בסיכומו של משפט הגבלים עסקיים נגד הענקית ממאונטיין וויו, צידד השופטף עמית מהטה, במשרד המשפטים, שהאשים את החברה בהפעלת מונופול בלתי חוקי בתחום החיפוש אונליין, באמצעות כלי Google Search שלה. השופט פסק כי גוגל מתנהלת כמונופול, משום שהיא שולטת ב-90% משוק החיפוש ברשת בארה"ב, עם נתח גבוה אף יותר במכשירים ניידים. במשפט הוצגו שלל ראיות להתנהלות גוגל, כולל להסכמים שהיא מכוננת, באמצעות תשלומי עתק, עם יצרניות טלפונים לשם התקנת מנוע החיפוש שלה כברירת מחדל במכשיריהן. Here’s our statement on today’s decision in the DOJ case: “This decision recognizes that Google offers the best search engine, but concludes that we shouldn’t be allowed to make it easily available. We appreciate the Court’s finding that Google is ‘the industry’s highest quality… — News from Google (@NewsFromGoogle) August 5, 2024 בתגובה לפסיקה זו מאוגוסט, קנט ווקר, נשיא גוגל לעניינים גלובליים, צייץ ב-X: "החלטה זו מכירה בכך שגוגל מציעה את מנוע החיפוש הטוב ביותר, אך מסיקה שאסור לאפשר לנו להפוך אותו לזמין בקלות. אנו מעריכים את קביעתו של בית המשפט שגוגל היא 'מנוע החיפוש האיכותי ביותר בתעשייה, אשר זיכה את גוגל באמון של מאות מיליוני משתמשים יומיים'; שגוגל 'מזמן היה מנוע החיפוש הטוב ביותר, במיוחד במכשירים ניידים'; ש-'המשיכו לחדש בחיפוש'; וכי 'אפל ומוזילה מעריכות מדי פעם את איכות החיפוש של גוגל ביחס ליריביה ומוצאות את זו של גוגל כעדיפה'. ככל שתהליך זה נמשך, נמשיך להתמקד בייצור מוצרים שאנשים מוצאים שהם שימושיים וקלים לשימוש". התיק הנוכחי בו מדובר נחשב לסכסוך ההגבלים העסקיים המשמעותי ביותר במגזר הטכנולוגי מאז העימות של ממשלת ארה"ב עם מיקרוסופט בשנת 2001. התיק המסוים נגד גוגל התמקד בדומיננטיות שלה בשוק מנועי החיפוש, אבל יש עוד דומים לו המתנהלים במקביל, כחלק ממהלכים משפטיים רחבים יותר נגד הפרות, לכאורה, שמבצעת החברה בכללי ההגבלים עסקיים בארה"ב. Breaking: Google just confirmed that the U.S. DOJ is seeking, among other changes, to force Google to split off Chrome and Android. pic.twitter.com/hm0ehiZFfh — Mishaal Rahman (@MishaalRahman) October 9, 2024 מה רוצה ה-DOJ שגוגל תעשה? משרד המשפטים ביקש שינויים שונים ומהותיים באופן שבו מפיצה החברה את כלי החיפוש שלה, צוברת נתונים, עורכת מונטיזציה של מודעות ומציגה את תוצאות החיפוש לגולשים. כעת שוקל הממשל האמריקני גם, כך דווח אתמול (ד'), אפשרויות שיכולות להיות כרוכות בשינויים מבניים בחברה עצמה, כמו למשל דרישה שגוגל תמכור את מערכת ההפעלה שלה אנדרואיד או את דפדפן כרום לגוף אחר. בנוסף, משרד המשפטים עשוי לבקש לאסור את הסכמי ברירת המחדל של גוגל עם צדדים שלישיים, ולדרוש מהחברה להעמיד את נתוני החיפוש שלה כך שיהיו זמינים למתחרים. The DoJ released its remedy framework for the US Google case suggesting a data sharing (see image). Doesn't seem like a great idea to me for a few reasons (cont…) pic.twitter.com/cm8kTyZcFv — Todd (@daviest_) October 10, 2024 גוגל מתחה ביקורת על הדרישות המוצעות וטענה שהן "רדיקליות". החברה הביעה בתגובתה דאגה מכך שבקשותיו של משרד המשפטים "חורגות הרבה מעבר לסוגיות המשפטיות הספציפיות במקרה זה". החברה צפויה לערער על כל החלטה שתתקבל בעניינה, מה שעתיד להאריך את התהליך למשך שנים ואולי אף להביאו לבסוף להכרעת בית המשפט העליון של ארה"ב. תבוסה נוספת שמהווה עוד איום על ההגמוניה של החברה יצוין כי התפתחות החדשה הזו באה בעקבות תבוסה של גוגל במשפט מול חבר מושבעים שנערך עקב תביעתה של יצרנית המשחק המצליח פורטנייט ( Fortnite) אפיק גיימס (Epic Games) נגדה. תיק זה עסק בשיטות העבודה של החברה בחנות היישומים שלה, Google Play Store. אחרי מספר גלגולים בבית המשפט אפיק זכתה בתביעתה זו בסוף השנה שעברה. גול חויבה לפתוח אותה לתחרות. ה-Play Store. צילום: Shutterstock השבוע (ב'), כפי שדיווחנו, הוציא השופט הפדרלי האמון על המקרה, ג'יימס דונאטו, צו בית המשפט המחייב את גוגל לפתוח את המערכת האקולוגית של אפליקציית האנדרואיד שלה לתחרות, על ידי כך שתאפשר למשתמשים להוריד חנויות אפליקציות של צד שלישי דרך ה-Play Store, וזאת במשך שלוש השנים הבאות. בנוסף, גוגל חייבת לאפשר למפתחי אפליקציות להשתמש במערכות חיוב משלהם לטובת רכישות של משתמשים בתוך האפליקציה, החל מנובמבר 2024 עד נובמבר 2027. בית המשפט גם הורה לגוגל להסיר את הוראותיה האוסרות על מפתחי אפליקציות לקשר משתמשים ולקוחות אל אפשרויות תשלום חיצוניות, ועליה אף להודיע ​​על כך למשתמשים. יתר על כן, נאסר על גוגל להעביר תשלומים ליצרני מכשירים סלולריים, על מנת שיתקינו מראש את חנות האפליקציות שלה במכשיריהם, והיא אף אינה רשאית לסכם איתם או עם מפיצי אפליקציות אחרים על חלוקת הכנסות שנוצרו מחנותה בתמורה לבלעדיות בהצעתן למשתמשים. הצו אמור להיכנס לתוקף ב-1 בנובמבר, כדי לספק לגוגל זמן לציית לשינויים ולשנות את הנהלים הנוכחיים שלה, אך גוגל כבר הצהירה על כוונתה לערער גם על פסק דין זה. כך או כך, בפני ענקית הטק עומדים אתגרים משפטים משמעותיים, בזמן שאיום הפירוק החדש תלוי מעל ראשה. נזכיר כי גוגל גם עומדת גם בפני תביעה נפרדת של משרד המשפטים, יחד עם 17 מדינות, שטוענות ששיטות הפרסום שלה נוגדות תחרות. התוצאה של מקרים אלו יכולה להשפיע על פתרונות פוטנציאליים בפעולות אחרות בתחום ההגבלים העסקיים שמבצע הממשל נגד חברות טכנולוגיה גדולות. פעולות אחרונות אלו של ה-DOJ מייצגות שינוי משמעותי בגישת הממשלה להסדרת ענקיות טכנולוגיה, בשונה מהרתיעה ההיסטורית של הממשל להתערב בפעילותן של חברות שכאלה. ענקיות טק אחרות, כולל אמזון, אפל ומטא, מסובכות כיום גם הן באופן דומה בסכסוכי הגבלים עסקיים בארה"ב ואף באירופה.

בכל יום אני מוצא את עצמי נכנס כמה וכמה, ועוד כמה, פעמים לרשתות החברתיות. אני משתמש הרבה, שלא לומר מכור, בארבע רשתות חברתיות – פייסבוק, אינסטגרם, ווטסאפ ויוטיוב. אני רואה וקורא שם מה עושים חבריי, חוזה בתמונות יפות ומתעדכן בחדשות. אלא שאת זה, כניוז פריק, אני עושה לא רק ברשתות החברתיות, כי אם גם באתרים המסורתיים ובטלוויזיה. למילה "מכור" יש קונוטציות שליליות, אבל נראה שאני לא מאוד יוצא דופן ברמות השימוש שלי. היום (ה') חל יום בריאות הנפש השנתי. מדובר ביום עולמי, שחוק ייעודי שחוקקה הכנסת מחייב לציין אותו גם בישראל – בדיון במליאת הכנסת, בבית הנשיא, במערכת הבריאות, במשרדים שונים של הממשלה, במערכת המשפט, במשטרה, ברשויות המקומיות ובצה"ל. המחוקקים שלנו הבינו שמדובר בנושא חשוב מאין כמותו, ונראה שזאת הסיבה שהם קבעו שהיום הזה יצוין בהיקף כה נרחב. הרשתות החברתיות ממכרות על ידי כך שהן מנצלות את העובדה ששימוש בהן מביא את המוח לשחרר דופמין – הורמון שמביא אתו תחושות של אושר ורוגע. אלא שהתחושות האלה הן קצרות טווח, מה שגורם לנו לרצות להמשיך אותן – כלומר, שהמוח ישחרר עוד דופמין, ולכן אנחנו ממשיכים להשתמש באותו דבר שהביא לשחרור הראשוני של ההורמון – הרשתות החברתיות. שורה של מחקרים מעידים על ההשפעות השליליות של הרשתות החברתיות על בריאות הנפש. עיקר הממצאים הם ששימוש בסושיאל מדיה גורם לעלייה ברמות החרדה והדיכאון אצל רבים מהמשתמשים, ובמיוחד בקרב מתבגרים ומבוגרים צעירים. מחקר שנערך בארצות הברית הראה עלייה בתפוצה של דיכאון קליני מ-8.7% ב-2005 ל-11.3% ב-2014. הנתונים האלה נכונים ללפני עשור, בטרם עידן הטיקטוק, ששוחררה לאוויר העולם שנתיים אחר כך ופופולרית במיוחד בקרב משתמשים צעירים. מאחר שהשימוש ברשתות החברתיות עלה מאז 2014, יש להניח שהסטרס והדיכאון בקרב המשתמשים עלה בהתאם. השפעה שלילית, בעיקר על בני נוער וצעירים. צילום: ShutterStock מהצד השני קיימים מומחים ומחקרים שמבקרים את המחקרים שמצביעים על ההשפעה השלילית של השימוש ברשתות החברתיות על בריאות הנפש, וקובעים שהממצאים שלהם "חלשים" או "לא עקביים". מחקרים אחרים אף מצאו השפעה חיובית שלהן על הבריאות הנפשית, בעיקר של להט"בים ושל מתמודדי נפש. יש בזה היגיון לא מועט – הרשתות החברתיות יכולות לספק מרחב לתמיכה, שיתוף ושיח מעצים בין אנשים. כמי שיש לו OCD והוא הומו, אני יכול להעיד על עצמי – הן על ההשפעות החיוביות והן על אלה השליליות של הרשתות החברתיות עליי. אמנם, לא אחת עולות אצלי רמות הלחץ והחרדה כשאני קורא פוסט זה או אחר, וצפייה בתמונות של גברים חתיכים ודאי משפיעה על הדימוי העצמי שלי, אלא שלפעמים אני גם מוצא בסושיאל תמיכה ומזדהה עם תכנים שכתבו אנשים אחרים – בין אם זו דעה פוליטית שדומה לשלי ובין אם זו התמודדות אישית שלהם עם מצב לא נעים בחיים. אני מניח שלא אחטא לאמת אם אכתוב שבשנים הקרובות תגדל ההתמכרות לרשתות החברתיות, שמשכללות עם הזמן את הכלים שלהן כדי שזה בדיוק מה שיקרה, ואיתה יגדלו רמות הלחץ והחרדה מהשימוש בהן. מה שנותר הוא לקוות שזה לא יקרה לא רק קריאות: הרשות שלקחה את הנושא צעד קדימה הקשר בין השימוש ברשתות החברתיות לבריאות הנפש משך את תשומת ליבם של רבים מהארגונים שעוסקים בנושא, בארצות הברית ובמדינות נוספות. משרד הבריאות האמריקני הוציא קריאה לחברות המנהלות אותן להעדיף את הרווחה הנפשית של המשתמשים על פני שורת הרווח שלהן. הקריאה הזאת אולי נכונה, אבל תמימה משהו. בנוסף, האקדמיה האמריקנית לרפואת ילדים מזהירה כי "השימוש ברשתות החברתיות וזמן המסך נקשרים לעלייה בסיכונים שניצבים בפני ילדים ומתבגרים, כגון חוסר בתשומת לב, יותר אגרסיות, הערכה עצמית נמוכה ודיכאון". מי שהלכה צעד קדימה היא עיריית ניו יורק, שהשנה הגדירה את הרשתות החברתיות כאיום לבריאות הציבור. היא אף תבעה את טיקטוק, מטא, סנאפ ויוטיוב, כדי שיישאו באחריות לחלקן במשבר בריאות הנפש בארצות הברית. מעניין יהיה לראות מה יעלה בגורל התביעה הזאת. מה עושים כדי לטפל בתופעה? מאמר שפרסמה קנטה מינמיטאני, חוקרת באוניברסיטת סטנפורד, כולל המלצות כיצד לטפל בסוגיה, וקורא "לתקוף" את הנושא מכיוונים רבים. הראשון הוא רגולציה על חברות המדיה החברתית, כך שהעדפת בריאות הנפש של המשתמשים על פני שורת הרווח תהיה כלל שיחייב אותן ולא קריאה בלבד. היא כותבת שאפשר לחייב אותן לספק למשתמשים כלים להערכת הבריאות הנפשית שלהם ולספק אמצעים לתמיכה נפשית. לאור ההתנגדות החזקה הצפויה מצד משתמשים וחברות הסושיאל מדיה (בין היתר באמצעות אנשי יחסי הציבור הרבים שהן מעסיקות ושלל הלוביסטים שהן מפעילות), הכותבת ממליצה לרשויות לאסוף את המידע המעודכן ביותר בנושא לפני שהן מחילות את הרגולציה ולהסביר את הנחיצות של הכללים החדשים. לצד הצעדים נגד החברות, היא ממליצה שמומחי בריאות נפש יעדכנו את תוכניות הטיפול שלהם כך שיכללו גם את ההשפעות הנפשיות של המדיה החברתית, ולנו, המשתמשים, היא מציעה ללמוד כיצד אנחנו יכולים לקחת אחריות על הבריאות הנפשית שלנו בעידן הסושיאל. כיצד? למדוד כמה זמן אנחנו גולשים בפייסבוק, אינסטגרם, X ודומיותיהן, לכוון את הפיד שלנו כך שיכלול יותר ויותר תוכן חיובי (לרשתות החברתיות יש כלים שמאפשרים לנו להחליט אילו סוגים של תכנים אנחנו מעוניינים לראות שם), ולהקטין את ביצוע הפעילויות וקשירת הקשרים עם אנשים שאנחנו עושים אונליין, לטובת האופליין. כלומר: לחזור לדרכים ה-"ישנות". המלצות מה לעשות ברמה האישית כדי לשפר את בריאות הנפש אל מול השימוש ברשתות החברתיות, כמו אלה שממליצה מינמיטאני, הן דברים שהם בבחינת "קל להגיד וקשה לעשות". וחוץ מזה, קטונתי מלהמליץ בנושא – אני לא חוקר ולא מומחה בריאות נפש. מה שכן, אני מניח שלא אחטא לאמת אם אכתוב שבשנים הקרובות תגדל ההתמכרות לרשתות החברתיות, שמשכללות עם הזמן את הכלים שלהן כדי שזה בדיוק מה שיקרה, ואיתה יגדלו רמות הלחץ והחרדה מהשימוש בהן. מה שנותר הוא לקוות שזה לא יקרה.

קשה להאמין שקיים היום ארגון במדינת ישראל שלא משתמש בטכנולוגיית ענן. עם זאת, ארגונים שונים טרם העבירו את מאגרי המידע שלהם לסביבת הענן, זאת מסיבות שונות – רגולציה, חוסר בידע מתאים, חשש מפני האמינות של טכנולוגיית הענן, עלויות ועוד. על מנת לוודא שארגונים שטרם עשו כן יבצעו את המעבר ("מיגרציה" בשפה המקצועית) בצורה מושכלת, פרסמה לאחרונה הרשות להגנת הפרטיות מסמך שמציג את האתגרים במעבר של מאגרי מידע לענן. במסמך נכתב ש"המעבר לשימוש בטכנולוגיית ענן טומן בחובו יתרונות משמעותיים לצד אתגרים רבים, בעיקר בכל הנוגע לביצוע המיגרציה באופן מאובטח, תוך שמירה על המידע הרגיש שנמצא במאגרי המידע המצויים במערכות המחשוב והיישומים השונים של הארגון". המסמך ממשיך ומפרט את האתגרים הקיימים במעבר לענן ומתעכב על הנושא החשוב מכל – חוסר אסטרטגיה במעבר לענן. מסתמן שארגונים רבים מקבלים את ההחלטה לעבור לענן ממניעים שונים ומבצעים את המעבר בלי בחינה מעמיקה של כלל המשמעויות – בדגש על אבטחה ופרטיות. מכיוון שמדובר בתהליך מורכב שלוקחות בו חלק מרבית מחלקות הארגון – החל מהנהלת הארגון וכלה בצוותי המחשוב, חשוב לבצע אותו בצורה מסודרת, מדורגת ומתועדת (רצוי, כמובן, להיעזר ולהתייעץ עם אנשי מקצוע שמתמחים בתחום). סיכוני אבטחה לאחר שהארגון קיבל החלטה אסטרטגית לעבור לענן, עליו לפרוט את התהליך לשלבים אופרטיביים-טכנולוגיים. יש לקבל החלטות, כגון אילו מערכות ובסיסי נתונים יועברו לענן, באיזה ענן להשתמש ואילו אמצעי הגנה ופיקוח יש לפרוס בענן. יש לציין, כי על אף שצוותי IT בארגונים הם לרוב מנוסים, הרי שהידע והניסיון שלהם לעיתים אינו רלוונטי לסביבות ענן, ולכן עלולים להיווצר פערים שיובילו לסיכוני אבטחה מיותרים. בין סיכונים אלו מונה המסמך את הסיכונים הבאים: הגדרות שגויות; ממשקי API שלא אובטחו כראוי; חוסר התאמה של הארכיטקטורה הנוכחית – (Incompatibility of current architecture); אובדן נתונים (Data Loss); סיכוני אבטחה, שכוללים: איומים פנימיים, שגיאות מקריות, התקפות חיצוניות, תוכנות זדוניות, הגדרת תצורה שגויה ברשת, מתן הרשאות גישה באופן שגוי, בעיות בצד של ספק הענן, הפרות חוזיות, הפרות תאימות ועוד. בהקשר זה, ראוי לציין, כי חובות אבטחת המידע הקבועות בתקנות הגנת הפרטיות חלות על הארגון  ומחייבות אותו (בהתאם לרמת האבטחה החלה על מאגרי המידע של הארגון) גם בעת ביצוע מיגרציה לענן. אסור לטעות ולהניח שברגע שמידע "עלה לענן" הוא באחריות ספק הענן. על פי מודל האחריות המשותפת, ספק הענן אחראי לאבטחת התשתית, ואילו ההגנה על המידע בתוך הענן חלה על הלקוח. לכן, כחלק מהמעבר יש לבחון אילו אמצעי בקרה ואבטחה יש ליישם בסביבת הענן. רצוי ליישם אמצעים כאלו ,שיאפשרו לארגון לתפעל את האבטחה בענן על אף שאנשי האבטחה אינם מומחי ענן בעצמם – כגון כלים שמשלבים אוטומציות ובינה מלאכותית לבדיקה שהגדרות הענן נכונות, לסימולציה של התקפות ולתכנון של תגובות אבטחתיות. "מכיוון שהסיכונים שטמונים בענן הם כאלו שתקרית אבטחה אחת יכולה לחשוף כמויות מידע עצומות, יש לוודא שהמעבר מבוצע בצורה מאובטחת ותוך הטמעת אמצעי אבטחה ובקרה מספקים" סוגיה נוספת שארגונים צריכים לקחת בכובד ראש היא איזה מידע יאוחסן בענן. בהינתן שהשיקולים האחרים (רגולציה, עלות) מאפשרים זאת, הרי שניתן לאחסן בענן כמות בלתי מוגבלת של מידע בצורה מאובטחת יחסית. אבל- יש לזכור כי טעויות בקונפיגורציה של ענן עלול להפוך את המידע הזה לנגיש לתוקפים, מה שהוביל כבר לדליפות מידע בקנה מידע ענקי. לכן יש לבחון איזה מידע עולה לענן וכיצד הוא מאובטח (מוצפן, שהגישה אליו מוגבלת, ועוד). הרשות מזכירה, כי "ארגונים נדרשים לבחון, אחת לשנה, אם אין המידע שהם שומרים במאגר רב מן הנדרש". היות ששטח האחסון בענן הוא בלתי מוגבל, קיימת נטייה של ארגונים לשמור מידע רב יותר מהנחוץ, ולשמור אותו לתקופות מידע ארוכות מכפי שצריך. שמירה של מידע עודף מגבירה את הסיכון שתתרחש דליפת מידע, וכשתתרחש דליפה כזו – את ממדיה והשפעתה. לכן יש לשקול לשלב במערכות האבטחה נוהל, שבו פעם בתקופה מסויימת (נניח חודש) המערכת מוחקת נתונים ישנים שאין יותר צורך לשומרם. סיכום אחסון בסיסי נתוני בענן רלוונטי כמעט לכל סוגי הארגונים. כמו כל שינוי במערכת ה-IT של הארגון, גם שינוי זה יש לבצע בצורה מושכלת ולאחר חשיבה אסטרטגית. מכיוון שהסיכונים שטמונים בענן הם כאלו שתקרית אבטחה אחת יכולה לחשוף כמויות מידע עצומות, יש לוודא שהמעבר מבוצע בצורה מאובטחת ותוך הטמעת אמצעי אבטחה ובקרה מספקים, וכך להימנע מתסמונת "יהיה בסדר" הישראלית כל כך.   הכותב הוא מנכ"ל סקייהוק סקיוריטי.

ועדת הסחר הפדרלית של ארה"ב, ה-FTC, הודיעה אתמול (ד') כי הגיעה להסכם עם מריוט אינטרנשיונל (Marriott International) והחברה הבת שלה, סטארווד (Starwood Hotels & Resorts Worldwide), שהן ידאגו ליישם תוכנית אבטחת מידע חזקה במיוחד, לצורך פתרון כישלון החברות בעבר ביישום אבטחת מידע סבירה על הדאטה שבבעלותן. מדובר במענה מתבקש המגיע אחרי התנהלות החברות שהובילה לשלוש פרצות נתונים גדולות בין השנים 2014 עד 2020, אשר השפיעו על יותר מ-344 מיליון לקוחות החברות ברחבי העולם. לדברי סמואל לוין, מנהל הלשכה להגנת הצרכן של ה-FTC, "נוהלי האבטחה הגרועים של מריוט הובילו להפרות מרובות שהשפיעו על מאות מיליוני לקוחות. הפעולה של ה-FTC היום, בתיאום עם שותפינו במדינה, תבטיח שמריוט תשפר את נוהלי אבטחת המידע שלה בבתי מלון ברחבי העולם". ההסדר שהוצג גם מחייב את מריוט לסייע ללקוחותיה ולבדוק חשבונות תגמולי נאמנות, לפי בקשת לקוח, ולשחזר נקודות נאמנות שנגנבו. בנוסף, מריוט הסכימה לשלם קנס של 52 מיליון דולר ל-49 מדינות ולמחוז קולומביה, כדי לפתור האשמות דומות בענייני אבטחת מידע. ההפרות, שהתרחשו באותן שש שנים ועד ל-2020, כללו חשיפה של כמויות משמעותיות של מידע אישי, כולל שמות, כתובות דואר, כתובות דואר אלקטרוני, מספרי טלפון, תאריכי לידה ופרטי חשבון נאמנות ממאות מיליוני הצרכנים לקוחות החברה. הפרות אלו לא זוהו במשך תקופות ממושכות, מה שאפשר לשחקנים זדוניים לגשת לנתונים רגישים. בהצהרה מטעמה לאחר פרסום ההסדר ציינה ענקית המלונות כי "הגנה על הנתונים האישיים של האורחים נותרה בראש סדר העדיפויות של מריוט". היא הוסיפה ש-"החלטות אלה מאשרות את המשך ההתמקדות וההשקעות המשמעותיות של החברה בתחזוקה והתאמת התוכניות והמערכות שלה כדי להעריך, לזהות ולנהל סיכונים כתוצאה מאיומי אבטחת סייבר מתפתחים".  עם זאת החברה הדגישה בהודעתה שאינה נושאת באחריות ישירה לאירועים. "כפי שצוין בהסכמים עם ה-FTC והתובעים הכלליים של המדינה, מריוט לא מודה באחריות ביחס להאשמות הבסיסיות", כתבה מריוט. FTC takes action against Marriott and Starwood over multiple data breaches: https://t.co/0WaH8IrvhQ /1 — FTC (@FTC) October 9, 2024 שלוש הפרות חמורות שלא אובחנו נזכיר כי ב-2019 עדכנה מריוט שחקירה פנימית שביצעה הראתה שמאז 2014 הצליחו האקרים לגשת למסד הנתונים של הזמנת האורחים בחטיבת סטארווד שלה בארה"ב, ושבין הפרטים שעלולים היו להיחשף לתוקפים נכללו מספרי הדרכון ומספרי כרטיסי אשראי של הלקוחות. מריוט רכשה את סטארווד ב-2016, אך החשיפה של מידע על הלקוחות התגלתה לה רק אחרי 4 שנים תמימות. מאגר זה של סטארווד חדל להמצא בשימוש בפעולות עסקיות של הרשת כבר לפני כחמש שנים. התגובה הבריטית להפרה החמורה הגיעה עוד ב-2019, כשרשת מלונות מריוט הבינלאומית נקנסה על ידי הרשויות בממלכה המאוחדת בסכום של 99 מיליון פאונד (כ-125 מיליוני דולרים באותם ימים), לנוכח הפרת הסייבר בקנה המידה הגדול שהתגלתה במחשביה, ושהותירה מיליוני נתונים אישיים של לקוחות בסיכון. נציבות המידע הבריטית, ה-ICO, הודיעה בנובמבר 2018 כי קיבלה בשורה על אירוע הסייבר במריוט ואמרה שההפרה חשפה מגוון נתונים אישיים של לקוחות הרשת, ש-7 מיליון מהנפגעים הפוטנציאליים, מתוך מאות המיליונים האחרים שיתכן שנפגעו, היו תושבי בריטניה. אם לשוב לצעדי ה-FTC – כחלק מההסדר שנקבע כעת, על מריוט וסטארווד ייאסר להציג מצג שווא של שיטות איסוף הנתונים, התחזוקה, השימוש, המחיקה או החשיפה שלהן. כמו כן, עליהן להקים, ליישם ולתחזק תוכנית אבטחת מידע מקיפה ולעבור הערכה עצמאית של צד שלישי מדי שנתיים. החלטת ועדת הסחר האמריקנית משמשת תזכורת מכרעת לחברות לתעדף אמצעי אבטחת מידע חזקים, כדי להגן על המידע של לקוחותיהן, למנוע הפרות עתידיות של נתוניהם, וכמובן גם על מנת להימנע מפגיעה בשמן הטוב ומסנקציות שיטילו עליהן הרשויות.

אוקראינה תקפה בסייבר את חברת התקשורת הממלכתית הרוסית VGTRK ושיבשה את פעילותה, כך דווח השבוע (ב'). המתקפה התרחשה בליל ה-7 באוקטובר, ו-VGTRK תיארה אותה כ"מתקפת האקרים חסרת תקדים". עם זאת נמסר כי לא נגרם נזק משמעותי, וכי תאגיד התקשורת הממלכתי פועל כרגיל, למרות ניסיונות השיבוש של שידורי הרדיו והטלוויזיה. מאידך, כלי התקשורת הרוסי Gazeta.ru דיווח, בהסתמך על מקור שזוהותו לא פורסמה, כי ההאקרים מחקו את כלל הנתונים שבשרתי החברה, כולל גיבויים.  באותו יום חגג שליט רוסיה, ולדימיר פוטין, את יום הולדתו ה-72. לפי רויטרס, "האקרים אוקראינים 'בירכו' את פוטין ביום הולדתו בביצוע מתקפת סייבר רחבת היקף על חברת שידורי הטלוויזיה והרדיו הממלכתית הרוסית". מומחים העריכו כי המתקפה היא פרי עבודתה של קבוצת האקרים פרו-אוקראינית בשם Sudo rm-RF. ממשלת רוסיה מסרה כי "חקירת המתקפה נמשכת והיא עולה בקנה אחד עם האג'נדה האנטי-רוסית של המערב". ⚡️New SSSCIP's report on russian cyber operations is out! – updated statistics for H1 2024 – new hacker groups and attack methods – key findings and insights based on comprehensive analysis of actual cases. Learn about these and more in the new report ????https://t.co/0dHCbYNrsQ pic.twitter.com/xRWNUJj2Do — SSSCIP Ukraine (@SSSCIP) September 23, 2024 1,739 אירועי סייבר באוקראינה במחצית הראשונה של 2024 המתקפה נערכה ברקע המשך מתקפות הסייבר ההדדיות שבין רוסיה לאוקראינה, וכעוד ממד במלחמה ביניהן, שהחלה בפברואר 2022. השירות הממלכתי של אוקראינה לתקשורת מיוחדת והגנת מידע, ה-SSSCIP, פרסם דו"ח בסוף החודש שעבר, בו נכתב כי חלה עלייה בהיקף מתקפות הסייבר המכוונות לארגונים ממגזרי הביטחון, ההגנה והאנרגיה: 1,739 אירועי סייבר נרשמו במחצית הראשונה של 2024, נתון המשקף עלייה של 19% לעומת התקופה המקבילה ב-2023. 48 מהמתקפות הוגדרו כקריטיות, או שהיו ברמת חומרה גבוהה. יותר מ־1,600 מהאירועים סווגו בדרגת חומרה בינונית. לפי ה-SSSCIP, "בשנתיים האחרונות, היריבים (משמע, רוסיה – י"ה) עברו מביצוע של התקפות הרסניות, למתקפות שמטרתן להבטיח דריסת רגל חשאית במערכות הקורבן, כדי לחלץ ממנו מידע רגיש. השנה היינו עדים לתפנית בפעילות שלהם. הם תקפו כל מה שקשור ישירות לזירת המלחמה, לרבות מתקפות על ספקיות שירותים – במטרה לשמור על פרופיל נמוך מחד ומאידך להיות בעלי נוכחות במערכות הקשורות למלחמה ולפוליטיקה. ההאקרים כבר לא רק מנצלים חולשות בכל מקום שבו הם יכולים, אלא מתמקדים כעת באזורים קריטיים להצלחה ולתמיכה בפעולות הצבאיות שלהם".

גוגל, בשיתוף פעולה עם הארגון למאבק בהונאות רשת (GASA) ועם הפדרציה לחקר ה-DNS, הכריזו על פרויקט חדש בשם Global Signal Excange (ובקיצור GSE), כדי להגביר את המאבק בניסיונות ההונאה נגד הגולשים באינטרנט. הפרויקט החדש אמור לשמש כסוג של מסלקה/בורסה, שבה מרכזים באופן גלובלי אותות אזהרה אודות שחקנים מרושעים, כדי לחזק עוד יותר את יכולות הזיהוי והאיתור של הפעילות שלהם – וכך לאפשר שיבוש מהיר יותר של הונאות במגזרים, פלטפורמות ושירותים שונים. המטרה היא ליצור פתרון יעיל וידידותי למשתמש בקנה מידה אינטרנטי, ונגיש לארגונים זכאים, כאשר GASA והפדרציה ינהלו את הגישה. לפי GASA, צרכנים ברחבי העולם מפסידים מעל טריליון דולר בשנה בגלל הונאות מקוונות. במחקר שערך הארגון באחרונה נחשף כי 78% חוו לפחות ניסיון הונאה אחד בשנה האחרונה. עם זאת, רק 59% דיווחו על כך, ו-24% אמרו שהם לא מאמינים שדיווח יעשה שינוי. 45% ציינו כי המצב מחמיר. "אנחנו יודעים מניסיון כי המאבק בהונאות ובארגוני הפשיעה העומדים מאחוריהן דורש שיתוף פעולה חזק בין התעשייה, עסקים, החברה האזרחית וממשלות, על מנת להילחם בשחקנים הרעים ולהגן על המשתמשים. אנחנו מחויבים לתרום את חלקנו להגנה על משתמשים, כולל באמצעות עבודתנו המתמשכת בפיתוח כלים, פרסום מחקרים ושיתוף מומחיות ומידע עם אחרים, כדי להגן על אנשים אונליין", נכתב בבלוג של גוגל. כחברה כמייסדת, גוגל תתרום לפרויקט החדש יותר מ-150 אלף אותות על שחקנים מרושעים מפלטפורמת הקניות שלה. המטרה היא להגדיל את המספר במהרה, במיוחד עם עסקים שמתמקדים באספקת אבטחה ללקוחות קצה.

בפעם הבאה שתסקרו את הפיד שלכם באינסטגרם ובפייסבוק, ייתכן שתראו מודעת וידיאו שנערכה באמצעות AI. הסיבה לכך היא שמטא בודקת יכולות חדשות לעריכת וידיאו באמצעות בינה מלאכותית, שיאפשרו למפרסמים להנפיש תמונה וכן להרחיב את גבולות הסרטון. עם כלי אנימציית ה-AI, מפרסמים יכולים להעלות תמונה סטטית ולאחר מכן להשתמש בכלי של מטא כדי "ליצור" סרטון. כפי שניתן לראות בדוגמה זו, כלי ה-AI של מטא גורם לתותים ברקע לרחף באטיות סביב הצנצנת. אנימציית AI של מטא. צילום: מטא הכלים החדשים יכולים גם להגדיל סרטון קיים. הוא משתמש בבינה מלאכותית כדי ליצור "פיקסלים בלתי נראים בכל מסגרת וידיאו" כדי להגדילה, בדומה לכמה כלי עריכת תמונות באמצעות AI, המאפשרים להרחיב את הרקע של תמונה. מטא מתחילה להפיץ את התכונות הללו כעת, ומתכננת להפוך אותן לזמינות יותר בתחילת השנה הבאה. החידושים האלה מבוססים על תכונות ה-AI הקיימות של מטא עבור מפרסמים, שכבר מאפשרות לחברות להשתמש בטקסט ותמונה שנוצרו באמצעות AI בעת יצירת מודעות. מודעות אלו יופיעו גם בכרטיסיית הווידיאו החדשה במסך מלא שתגיע לפייסבוק. Meta היא לא הפלטפורמה היחידה שמאפשרת למפרסמים ליצור מודעות עם AI. בחודש שעבר אמזון השיקה כלי בינה מלאכותית שיוצר קליפים המבוססים על תמונות של מוצר, וגם טיק-טוק בוחנת שימוש באווטרים שנוצרו בבינה מלאכותית במודעות.