חברות פיננסים גדולות מתמודדות מדי יום עם מאות אלפי מתקפות סייבר; גנבי מידע צריכים להצליח פעם אחת בלבד. השנה התרחשו בארה"ב 3,494 התקפות סייבר מוצלחות נגד מוסדות פיננסיים. בנקים גדולים כמו Capital One, בו נחשפה השבוע גניבת מידע של 100 מיליון לקוחות, הם היעד הן לפצחנים שרוצים להרשים את עמיתיהם, הן לגנבים לצרכים כספיים והן למדינות זרות.
כל מה שהללו צריכים הוא נקודת תורפה בודדת, ולעיתים הם מוצאים אותה – מסביר ניו-יורק טיימס. במקרה של קפיטל, מדובר כנראה בטעות אחת של מי שפיתחו את התוכנה של הבנק; וטעויות פשוטות הן נפוצות למדי כאשר מדובר בביטחון הרשת. כל ארגון גדול ניצב בפני כל כך הרבה איומים מכל כך הרבה כיוונים, עד שקשה להחליט באלו מהם להתמקד. חברת מאסטרקארד מתמודדת עם 460,000 נסיונות תקיפה ביום, זינוק של 70% לעומת אשתקד.
המקרה של קפיטל הוא תזכורת למורכבות ולפגיעות של מערכות מחשב במוסדות פיננסיים גדולים. המורכבות גורמת לכך, שבנקודה כלשהי – מישהו מהמתכנים טועה. בחלק מן המקרים מנצלים הפצחנים חולשה בססמאות, או שולחים דוא"ל הכולל תוכנה זדונית דרכה הם חודרים לרשת הארגונית. במקרים אחרים הם מחפשים תוכנה שלא עודכנה בכל תיקוני האבטחה. טובי הפצחנים בעולם פועלים נגד המוסדות הפיננסיים, וחלקם מקדישים חודשים למציאת הפרצה באחד מהם.
מאז 2005 נחשפו בארה"ב למעלה מ-11 מיליארד מסמכים בשל פרצות אבטחה. בשנים האחרונות נגנבו כמויות עצומות של מידע מחברת שירותי הבריאות אנת'ם, מחברת האשראי אקוויפקס, מחברת המשכנתאות אמריקן פירסט, מחשבונות הדוא"ל של יאהו ואפילו פרטיהם של עובדים בממשל הפדרלי.
הטיימס מסביר, כי במשך עשרות שנים התייחסו רוב המגזרים לאבטחת המידע כאל מטרד יקר. בבנקים הגישה הייתה תמיד שונה, בזכות תקציבי העתק שלהם ומערכות האבטחה המתקדמות יותר. למשל: למאסטרקארד יש בונקר אבטחת מידע במטה שלה במיזורי, שם עובדת קבוצה של מומחי אבטחה. סיטיגרופ מפעילה שלושה מרכזים להגנת סייבר – בניו-יורק, סינגפור ובודפשט. ג'יי.פי מורגן צ'ייס מוציאה מדי שנה 600 מיליון דולר על אבטחת מידע, ואילו בבנק אוף אמריקה מקבל תחום זה צ'ק פתוח.
למרות כל אלו, תוקפים מצליחים לחדור. לדברי מנכ"ל מורגן-צ'ייס, ג'יימי דימון, ייתכן שביטחון המידע הוא האיום הגדול ביותר על המערכת הפיננסית האמריקנית. הבנק שלו היה לפני חמש שנים קורבן למתקפה בה נגנב מידע על 76 מיליון בתי אב. הנזק הממוצע מפרצות אבטחה בארה"ב עומד על 8.2 מיליון דולר; קפיטל כבר הודיעה, שהשנה תשקיע 100 מיליון דולר בתיקון הפרצות. אקוויפקס הודיעה בשבוע שעבר שתשלם פיצוי של 650 מיליון דולר ליישוב תביעה שהוגשה נגדה, בשל פריצה בשנת 2017 בה נגנבו פרטיהם של 147 מיליון לקוחות.
המקרה של קפיטל מביך במיוחד, משום שהוא היה אחד הבנקים הראשונים שעברו למיחשוב ענן – האמור להיות בטוח יותר. מומחי סייבר גם תוהים כיצד הבנק לא זיהה את פעילותה של פייג' תומפסון, החשודה בפריצה, שכן הוא אמור להשתמש בטכנולוגיה המזהה פעילות יוצאת דופן המצביע על נסיונות חדירה. הבנק למד על המתרחש מדוא"ל אנונימי שקיבל ב-17.7.19, שלושה חודשים לאחר הפריצה. חשש נוסף הוא, שהיו עוד פצחנים שהשתמשו בפרצה שזיהתה תומפסון, אך הם לא התגלו וממילא לא ידוע איזה נזק גרמו.
