האירוע מתחיל באמבולנס ובו אישה במצב קריטי. האמבולנס עשה את דרכו במהירות לבית חולים הממוקם בעיר דיסלדורף בגרמניה. כמקובל, הצוות יצר קשר עם בית החולים ודיווח על מצבה הרפואי של האישה ועל שעת הגעתם הצפויה. ההתרעה מראש אמורה לתת לבית החולים הזדמנות להכין את כל מה שנדרש בשביל להתמודד באופן מיטבי עם המצב.
עם זאת, בית החולים העביר לצוות באמבולנס תשובה לא צפויה. נאמר להם כי בעקבות התקפת סייבר על מערכות המידע של בית החולים, הם אינם יכולים לקבל מטופלים חדשים. האמבולנס הופנה לבית חולים חלופי הנמצא במרחק 32 ק"מ מבית החולים המקורי. בעקבות השינוי ביעד, הטיפול באישה התעכב בשעה. היא מתה זמן קצר לאחר מכן.
התובעים שחקרו את האירוע הצהירו, כי אם יצליחו להוכיח שהאישה מתה בעקבות אירוע הסייבר, הם יאשימו את ההאקרים בהריגה. הם הסבירו שעל אף שככל הנראה האישה הייתה מתה בכל מקרה (לאור גילה ומצבה הקריטי), מבחינה חוקית הם לא צריכים להוכיח שאירוע הסייבר הרג אותה. כדי להאשים את ההאקרים בהריגה, מספיק שיוכיחו שבעקבות האירוע היא מתה מוקדם יותר, גם אם רק שעתיים מוקדם יותר.
אך לאחר חודשים של חקירה התובעים החליטו שלא לטעון כי התקפת הסייבר היא האחראית למותה של האישה.
אך אל תטעו. זה לא אומר שהתקפת הסייבר לא אחראית למותה של האישה. במידה מסוימת אפשר לומר שההחלטה היא טכנית במהותה. כפי שציינו התובעים, אין להם את כלים החוקיים המספקים בשביל להוכיח שהתקפת הסייבר היא זו שהרגה את האישה.
בין אם המוות נגרם באופן ישיר על-ידי התקפת הסייבר ובין אם לא, ברור שהוא הושפע ממנה. במחקר שבוצע על-ידי ארבע חוקרים מאוניברסיטת שפילד באנגליה נחקר הקשר בין המרחק של חולה מבית החולים לסיכויים שלו לשרוד אירועים קריטיים. המחקר מצא כי על כל 10 ק"מ מרחק מבית החולים, הסיכון למוות עולה ב- 1% בממוצע.
כנראה שלעולם לא נדע עד כמה הדוק או רופף הקשר בין התקפת הסייבר על בית החולים למותה של האישה. עם זאת מה שצריך להיות ברור לכל הוא - אירועי סייבר יכולים להרוג אותנו.
זו לא הפעם הראשונה
הפריצה לאתר ההיכרויות אשלי מדיסון היא ככל הנראה המקרה המפורסם ביותר בו אירוע סייבר הוביל למותם של אנשים. אשלי מדיסון, למקרה שאתם לא מכירים, בשונה מאתר היכרויות רגיל, אינו פונה לרווקים אלא דווקא לכאלה הנמצאים במערכת יחסים. זהו אתר למציאת בן או בת זוג לבגוד איתם.
יום בהיר אחד, האקרים פורצים לשרתי אשלי מדיסון וגונבים מידע רב על כלל המשתמשים באתר ובכלל זה שמותיהם והמיילים שלהם. ההאקרים לא מסתפקים בזה ומחליטים לפרסם את המידע שנגנב. שני אנשים, איש משטרה וכומר, ששמותיהם הודלפו, לא יכלו לשאת את הבושה, והתאבדו.
במקרה אחר, מחשב השייך לגבר מרומניה נדבק בתוכנת כופר שהציגה לו הודעה מזויפת מטעם המשטרה ובה נאמר כי הוא הפר מספר חוקים, וכי הוא הוקלט בצפייה באתרי פורנו. ההודעה טענה שהאלטרנטיבות שלו הן לשלם קנס או להיכנס לכלא. כתוצאה מהבושה האיש תלה את עצמו ואת בנו בן הארבע. אכן נורא.
ישיר מול עקיף
אולי אתם חושבים שיש הבדל בין התקפות סייבר שמובילות למוות באופן ישיר (פגיעה בקוצב לב, יצירת פיצוץ במפעל וכדומה) לבין התקפות סייבר בהן המוות הוא עקיף (התאבדויות). ואם כך אתם חושבים - אתם צודקים.
התקפות המובילות למוות באופן ישיר היוו את הבסיס לסרטים רבים. כולנו מכירים סצנות בהן האקרים מייצרים פיצוץ במפעלים, מזהמים מאגרי מים, משגרים טיל גרעיני, מטביעים ספינות וגורמים לרכבות להתנגש. אירועים מסוג זה נוטעים פחד בלב אנשים. ובעוד שאינני מכיר מקרה של תקיפה ישירה שהוביל למוות במציאות, ברור שזה רק עניין של זמן.
עם זאת, בינתיים דווקא התרחישים העקיפים (כדוגמת התקפת סייבר שהובילה לדלף מידע שהוביל להתאבדות), צריכים להעסיק אותנו הרבה יותר. זאת משני טעמים עיקריים. האחד, בתרחישים אלו אנשים מתים בפועל ולא רק בתיאוריה. השני, אירוע של מוות ישיר יכול להיגרם על-ידי התקפת סייבר רק במקומות מאוד ספציפיים (בתי חולים, מתקנים גרעיניים וכיוצ"ב). מוות עקיף יכול להיגרם בעקבות אירוע סייבר כמעט בכל ארגון בעולם.
אנחנו מחזיקים בסודות שלכם
מנהלים רבים הולכים כל בוקר לעבודה, מקבלים החלטות עסקיות, מקיימים פגישות עסקיות, יוצאים לארוחת צהריים עסקית במסעדה הנחמדה מעבר לכביש ואינם מודעים בכלל לעובדה שאירוע סייבר בחברה שלהם יכול להוביל, באופן עקיף, למותם של אנשים.
דמיינו למשל את התסריט הבא: כחלק מהתקפת סייבר על חברה גדולה, האקרים מאיימים לפרסם מידע רגיש שהם גנבו אם החברה לא תשלם כופר. לאחר התייעצויות רבות, הנהלת החברה מחליטה שלא לשלם. אותנו לא יסחטו, הם אומרים לעצמם. באופן צפוי, ההאקרים מפרסמים באינטרנט את כלל תכתובות הדואר של החברה. כיוון שחלק מהמיילים מכילים גם התכתבויות אישיות, מהר מאוד מסתבר ששמרית, מנהלת משאבי האנוש, פתחה חשבון באתר פנטזיות סאדו ; עידן, מנהל הפיתוח, חושב לחזור בשאלה ולא יודע איך להודיע על כך למשפחתו ; וג'ינה, ממחלקת הכספים, מנהלת רומן עם יהושע מהאפסנאות. מאוחר יותר באותו הערב בעלה של ג'ינה, טיפוס חמום מוח וקנאי, מסגיר את עצמו למשטרה ומסביר שאת גופתו של יהושע הם יוכלו למצוא מתחת למלגזה.
תסריט "הבעל הקנאי שרוצח את המאהב של אשתו" הינו רק דוגמה אחת מני רבות לתסריטי סייבר מסכני חיים שיכולים להתרחש בחברות "רגילות" לחלוטין.
הפער התפיסתי
אם תשאלו כל שומר ביומו הראשון לעבודה, בין אם הוא מוצב בכניסה לבית ספר, לקניון, או לבניין משרדים ענק, הוא יגיד לכם שתפקידו כולל הגנה על חיי אדם. עולם ההגנה הפיזית מכיר באחריות הרבה המוטלת על כתפיהם של אנשי הביטחון. שומרים מקבלים אקדחים ומסבירים להם שאם הם לא יעשו את עבודתם כהלכה, אפשר שאנשים ימותו.
בעולם הסייבר, לעומת זאת, קיים פער תפיסתי. מנכ"לים, מקבלי החלטות ומנהלים טכנולוגים רבים מתקשים לקבל כי בעולם הסייבר, מעשיהם, או היעדרם, עלולים להוביל למותם של אנשים. הפער התפיסתי עלול לתפוס אותנו לא מוכנים כאשר איומים אלו יהפכו להיות נפוצים יותר.
אך יש עוד היבט לעניין. בתחילת המאמר ציינתי, כי התובעים בגרמניה שקלו להאשים את ההאקרים בהריגה. מה שלא ציינתי הוא שבאותה נשימה ציינו שתובעים שאם אכן יאשימו את ההאקרים בהריגה, הם יצטרכו לתבוע גם את צוות בית החולים.
ככל שהאנושות הופכת להיות יותר תלויה בטכנולוגיה, כך מרחב האחריות של מקבלי החלטות ומנהלים טכנולוגים צומח. אירוע סייבר ימשיכו להוביל, באופן ישיר או עקיף, למותם של אנשים. לא רחוק היום בו אירוע משמעותי מספיק, יוביל לשינוי יסודי היסוד של תעשיית הסייבר ותפיסת תפקידה. ואל לנו להיות מופתעים אם מנהליו של ארגון שלא השקיע מספיק בסייבר, יועמדו לדין בעקבות אירוע מסכן חיים.
הכותב הוא שותף-מייסד ב"סייטקטיק ניהול משברי סייבר
