ישנו פרדוקס ישראלי שקשה ליישב: מצד אחד, המדינה מתגאה, ובצדק, בתואר "מעצמת סייבר", בבוגרי 8200 ובאקזיטים של מיליארדים. מצד שני, באותה מדינה, בית חולים ממשלתי משותק למשך שבועות וניסיונות חדירה למערכות המים מאיימים על בריאות הציבור? הפער הזה, שבין הטכנולוגיה העילית לבין רמת ההגנה הלא-אחידה של התשתיות האזרחיות, הוא לא רק מוזר, הוא גם מסוכן.
במרחב הדיגיטלי, חוסנו של המשק אינו נמדד לפי החוליה החזקה ביותר (חברות ההייטק או התעשיות הביטחוניות), אלא לפי החוליה החלשה - אותו ספק שירותי מחשוב או מוסד רפואי, שדרכם נכנס התוקף בדרכו לגנוב מידע ובמטרה לגרום נזק תפעולי של ממש.
אלו לא "סתם" הפחדות: לפי דו"ח ההגנה הדיגיטלית של מיקרוסופט ל-2025, ישראל היא המדינה השלישית המותקפת ביותר בעולם, בראש ובראשונה במגזר טכנולוגיית המידע; לפי דו"ח של מערך הסייבר הלאומי, הנזק הכלכלי המצטבר למשק מידי שנה נאמד במיליארדי שקלים. המספרים היבשים הללו מסתירים מציאות מטרידה: חלק גדול מהעורף הישראלי אינו ערוך כהלכה לאתגרי הסייבר בהווה, קל וחומר לאלה של העתיד.
אשליית "היד הנעלמה"
ישנה טענה לפיה ארגון חיוני אינו זקוק לממשלה שתורה לו להגן על עצמו, שהרי זהו האינטרס הכלכלי העצמי שלו. אלא שטענה כזו נכונה אולי עבור ענקיות טכנולוגיה גלובליות, או פלטפורמת מסחר דיגיטלית שחרדות לקיום שלהן, אך הגיון זה נכשל פעם אחר פעם במקומות שבהם מערך התמריצים חלש יחסית.
כלכלנים מכנים זאת "החצנות שליליות": מצב שבו הנזק חורג בהרבה מגבולות הארגון המותקף. כשגוף המספק שירותים מהותיים לציבור "חוסך" באבטחה ומשתמש בסיסמה כמו Password1, הנפגע בסוף אינו רק אותו גוף, אלא הציבור הרחב - ודרכו הרציפות התפקודית של המדינה כולה בתחומים קריטיים כמו בריאות, אנרגיה, תחבורה ועוד.
זה קורה לא רק בגלל כסף. הסיבות כוללות חוסר מודעות, תת-דיווח ומעל לכל, א-סימטריה מובנית בשוק. בעוד איומי הסייבר צומחים בקצב מהיר מאוד (בין היתר הודות לאוטומציה ויכולות AI), ההגנה בחלק מהארגונים מתקדמת בקצב איטי בהרבה. עלויות התקיפה יורדות, עלויות ההגנה עולות, והפער רק הולך וגדל עם הזמן.
ההיסטוריה הקרובה שלנו היא תמרור אזהרה. מתקפת הכופרה על בית החולים "הלל יפה" בחדרה ב-2021 עלתה למשלם המסים כ-36 מיליון שקלים בשיקום ישיר. נסיון התקיפה על מערכות המים ב-2020 המחיש שלסייבר יש פוטנציאל לשבש אספקת שירותים חיוניים. ובכל זאת, בקרב גופים חיוניים רבים, ההגנה היא עדיין בגדר המלצה בלבד.
לא בירוקרטיה, אלא חגורת בטיחות
בזמן שאנחנו מתווכחים על נטל הרגולציה וקדושת השוק החופשי, המערב כבר הכריע וקבע כי אי אפשר להפריט את הביטחון הלאומי. ארה"ב, בריטניה ואוסטרליה אימצו חקיקה המחייבת גופים חיוניים לנהל סיכוני סייבר ולדווח על אירועים משמעותיים. האיחוד האירופי אימץ את דירקטיבת NIS2 החדשה, שמציבה סטנדרט ברור ומחייב למאות אלפי עסקים ביבשת, ויותר מהכפילה את היקף המגזרים החיוניים שעליהם חלה האסדרה.
המתנגדים יזהירו תמיד מפני הכבדת העול על המגזר הפרטי, אך אסדרת סייבר מודרנית לא חייבת להיות מפלצת רגולטורית; יהיה נכון יותר לראות אותה כמעין חגורת בטיחות הצמודה לסטנדרטים בין-לאומיים. תקיפות סייבר מוצלחות ואפילו אייקוניות (כמו המתקפה על צינור הנפט קולוניאל פייפליין בארה"ב, או מתקפת WannaCry העולמית) לא נבעו מתחכום עילאי, אלא מרשלנות בסיסית: סיסמאות חלשות, העדר אימות דו-שלבי (MFA), או תוכנות שלא עודכנו בטלאי אבטחה קריטיים. אסדרה חכמה דורשת "היגיינת סייבר" בסיסית, שתצמצם משמעותית את אותם מקרי רשלנות.
אסדרה יעילה כזו גם מחייבת שקיפות. כיום, ארגונים עשויים להסתיר תקיפות מחשש למוניטין והמדינה נותרת עיוורת. השתיקה אולי שומרת על המוניטין של הארגון הבודד בטווח המיידי, אך פוגעת בביטחון של הכלל. חובת דיווח מאפשרת למדינה לנסות ולקדם מעין "חיסון עדר", כלומר, לזהות את האיום, ללמוד אותו ולחסום אותו לפני שהוא מתפשט לארגון הבא. הדיווח לא נועד לחדירה לפרטיות הארגון או ללקוחותיו, אלא ליצירת תמונת מצב טכנולוגית התורמת לאינטרס הציבורי הכללי ובכך להגן על ישראל בתחום הסייבר.
ליישר קו עם העולם המערבי
בעידן שבו האויב יכול לשתק מדינה בלי ירייה אחת, הגנת הסייבר היא חזית של ביטחון לאומי. הציפייה שהשוק יסדיר את עצמו מול תוקפים בחסות מדינתית עברה מהעולם. היעדר האסדרה, שיש מי שיברכו עליו ויראו בו הקלה רגולטורית, עשוי להפוך בקלות לנזק כלכלי, בטחוני ותדמיתי, שעה שישראל מבודדת מהסטנדרט הבין-לאומי.
ישראל חייבת אפוא ליישר קו עם העולם המערבי ולהפסיק לפחד מהמילה "אסדרה". זהו לא צעד שנועד להכביד על המגזר הפרטי, אלא צעד שנועד להרים את חומות ההגנה, החוסן והמוכנות של המשק הישראלי כולו למתקפות סייבר.
הכותב הוא ראש תחום מדיניות רגולציה במערך הסייבר הלאומי
