ראשי » עסקים » טכנולוגיה גלוש ב - nrg מעריב מהסלולר

אזהרה ללקוחות קרן הפנסיה: "האתר שאליו נכנסת אינו מומלץ לגלישה"

את הגולשים באתר קרן מקפת מקדמת הודעה מפתיעה המזהירה מפני בעיית אבטחה. מנכ"ל מגלן טכנולוגיות אבטחת מידע: "האזהרה עשויה להעיד על התרשלות בתחזוקת האתר - העלולה להביא לפריצתו". עמיתים: "האתר מוצפן ברמת האבטחה המקובלת"

יהודה שרוני ושגיא כהן | 26/1/2011 8:43

חוסכים שמעוניינים לבקר באתרי האינטרנט של קרנות עמיתים המנהלים את כספי קרנות הפנסיה הוותיקות, צפויים להיתקל בכיתוב יוצא דופן: "האתר אינו מאובטח ואינו מומלץ לגלישה". אזהרה זו משוגרת על ידי הדפדפן ומופיעה בכניסה לאתר של קרן מקפת, בכתובת online.makefet.co.il.

אתרי האינטרנט של הקרנות מיועדים לסייע לללקוחות המעוניינים לקבל מידע על הנעשה בקרנות שלהם. האתר מכיל מידע אישי על החסכונות של החברים בקרן, וכן ניתן לקבל באמצעותו מידע על דרכי ההשקעות של קרנות הפנסיה ועל התשואות שהן הניבו. אך החוסכים שביקשו לגלוש באתר חשו באי נוחות רבה לנוכח ההזהרה שבה ניתקלו, ועלה חשש שמישהו נוסף עלול לעשות שימוש במידע.

זמן קצר לאחר התערבות עסקים חלה תפנית מפתיעה נוספת. הכניסה לאתרים נחסמה ובמשך זמן מה לא ניתן היה לגלוש באתרי הקרנות.

שי בליצבלאו, מנכ"ל מגלן טכנולוגיות הגנת מידע, מסביר כי הסיבה להודעת האזהרה המופיעה בפני הגולשים אינה מעידה בהכרח על פרצה באבטחת האתר - אך יכולה להעיד על בעיות אפשריות אחרות שעלולות לחשוף את האתר בפני פריצות.

"הודעה סטנדרטית"

לדברי בליצבלאו, כאשר אתר אינטרנט עובד עם פרוטוקול מאובטח הוא נדרש לקבל אישור מצד שלישי - גוף בינלאומי מסוים - שהאתר אכן מאובטח והגישה אליו מוצפנת. אישור זה, שמהווה מעין תעודה (Certificate), ניתן לאתר תמורת תשלום בכל שנה מחדש. במקרה של מקפת פג התוקף של האישור כבר ב-25 בספטמבר 2010. האישור לא עודכן מאז, ולכן מופיעה הודעת ההזהרה.

"הם פשוט לא רכשו את האישור בזמן", מסביר בליצבלאו. לדבריו, יכולה להיות בעיה פרוצדורלית, בירוקרטית או אדמינסרטיבית הגורמת לעיכוב מתן האישור החדש. "אם פג תוקף האישור בספטמבר - הם היו צריכים לטפל בזה. זה כמו לנסוע על כביש בלי רישיון", הוא אומר.

בליצבלאו מדגיש כי היעדר האישור לא בהכרח מעיד על בעיות באיכות האבטחה של האתר של מקפת, אך באותה נשימה מוסיף כי "התרשלות בתחזוקה של האתר יכולה להעיד על התרשלויות נוספות שעלולות להביא לפריצה לאתר.

הרי אם מנהלי האתר לא עדכנו את האישור, ייתכן שהם לא עדכנו את שאר אמצעי האבטחה החשובים". בליצבלאו אף מספר כי בעבר הופצו וירוסים שחיפשו אתרים שה-Certificate שלהם פג, מתוך הנחה שאלה אתרים שהאבטחה בהם מוזנחת יותר.

בנוסף לכך, בליצבלאו אף מעריך שאם האקר יבקש להשבית את האתר על ידי מתקפה מסוג "מניעת שירות" הוא יוכל לעשות זאת בקלות יחסית מכל מחשב ביתי. עם זאת, הוא מוסיף כי זה מצב לא שונה בהרבה מאתרים אחרים בארץ, כולל אתרים ממשלתיים מסוימים.

בתגובה לפניית עסקים נמסר מעמיתים: "אתר מקפת מתוחזק על ידי IBM ומוצפן ברמת אבטחה המקובלת באתרים רבים. האתר הוא לצפייה בלבד ואינו מאפשר בשום צורה את שינוי נתוני העמית. ההודעה בפתח האתר היא סטנדרטית והיא כתובה בפתיחה של אתרים רבים".

קרנות עמיתים מנוהלות על-ידי יעל אנדורן והן מאגדות מאות אלפי מבוטחים בקרנות הפנסיה הוותיקות.