ספטמבר השחור, גרסת הסייבר

על המאבק בתקיפות סייבר אמון ארגון שתקציבו רבע מיליארד שקל בשנה וסמכויותיו לגבי המגזר האזרחי הן פרסום ברושורים

שתפו כתבה במיילשתפו כתבה במייל
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקים
האקרים מתקפת סייבר

ספטמבר 2021 ייזכר כספטמבר השחור של מתקפות הסייבר בסטארטאפ ניישן. האקר, כנראה מלזי, הצליח לגנוב מידע על אזרחים ישראלים מתוך מערכת City4U המטפלת במידע של הרשויות המקומיות, והציע אותו למכירה. חברת CySource חשפה שבפורום איראני מוביל פורסמה רשימת אתרים ישראלים שניתן לפרוץ אליהם. נתונים של מאות אלפי לקוחות של רשתות שיווק ישראליות הועמדו למכירה ברשת האפילה. מתקפה על חברת Voicenter המספקת שירות מוקד לקוחות בענן ללקוחות כמו Gett, פרטנר, סימילרווב ומובילאיי, גרמה לדליפת כמות אדירה של שיחות מוקלטות. טרה־בייטים של מידע אישי על הסגל והסטודנטים באוניברסיטת בר־אילן הוצעו לכל המרבה במחיר.

בצירוף מקרים מעניין, פרסם מערך הסייבר הלאומי באמצע ספטמבר גרסה 2.0 של מסמך בשם "תורת ההגנה בסייבר לארגון". זהו מדריך יישומי שאמור לסייע למנהלי חברות וארגונים לבנות תוכנית הגנת סייבר. על פי המדריך, תוכנית ההגנה צריכה להתבסס על תרחישי התקיפה הרלוונטיים לארגון ועל ראיית היריב התוקף; ובעיקר, על השקעה בהתאם לפוטנציאל הנזק שייגרם לארגון כתוצאה מתקיפה, מה שמכונה בשפה עסקית: ניהול סיכונים.

אתר "יזראל דיפנס" פרסם שעל פי סקר שבוצע על ידי הלמ"ס ומערך הסייבר, אחד מארבעה ארגונים במשק מכיר את תורת ההגנה לארגון של המערך, ו־83% מאלו המכירים, עושים בה שימוש. אם הנתון הזה היה מדויק, לא היינו מגיעים אל "ספטמבר השחור". המציאות היא שלמדריך גדוש האינפורמציה של מערך הסייבר יש ערך של ברושור.

מערך הסייבר הלאומי הוקם ב־2015 ומאז ממתין לחוק סייבר המבושש לבוא. רגע לפני הקמת הממשלה הנוכחית, עדיין בתוך הכאוס הפוליטי, נעשה ניסיון להעביר בהליך מחטפי חקיקה שהיתה אמורה להפוך את המערך לאחד הגורמים החזקים ביותר במשק, ול"אח גדול" יודע־כל. רעש תקשורתי וביקורת חריפה מצד האוצר בלמו את הצעד הזה. אבל זה לא ניצחון, כי אירועי ספטמבר מלמדים שמסגרת פיקוח ואכיפה לצורך הגנת סייבר בארגונים וחברות היא הכרחית. מצד אחר, נדרש שינוי פרדיגמה יסודי בתפישת האכיפה.

ראשית, אין להפקיד את הפיקוח על הסייבר האזרחי בידי גוף ביטחוני. מערך הסייבר הלאומי הוקם כגוף ביטחוני, שב"כ 2, כדי להגן על תשתיות מדינה קריטיות. הבוס שלו הוא ראש הממשלה והוא אינו כפוף לחוק חופש המידע. כשגוף ביטחוני מקבל סמכויות חדירה נרחבות למערכות מחשוב פרטיות, בוודאי שמתעוררים חששות. יתרה מזאת, כשיש לגוף סודי כזה סמכות לקבוע, למשל, מתי חברות פרטיות יודיעו ללקוחות על התרחשות אירוע סייבר, החשש הוא שלא טובת הצרכנים תעמוד לנגד עיני מקבלי ההחלטה. כמו כן, על פי תזכיר החוק האחרון, הסמכויות שמקנה החוק למערך הסייבר יהיו נתונות גם לשב"כ. לשם מה הכפילות? כדי שכלל המגזר האזרחי יצטרך להכפיף עצמו למלחמה הפנימית בין ארגוני הביטחון?

אבל השאלה היא עקרונית: האם נכון שגוף ביטחוני ינהל את הפיקוח על מתקפות סייבר במגזר האזרחי? מתקפות כאלה אמנם יכולות להגיע ממדינות אויב, והן איום ביטחוני בדיוק כמו טילים על אשקלון, אולם רבים מההאקרים פועלים דווקא ממניעים פליליים וכספיים, ובנוסף החשיבה לגבי ניהול סיכוני סייבר במגזר הפרטי צריכה להיות בעיקרה מוטת ניהול סיכונים כספי, ולא ביטחונית. אכן, לא תמיד אפשר לדעת מה מקור התקיפה, אבל אלה החיים במרחב הדיגיטלי. השב"כ או גוף דומה לא צריכים ליהפך לגורמים משמעותיים בעבודה מול גופים אזרחיים שאינם חשודים בדבר, ולא להיות רגולטור של המגזר הפרטי.

שנית, אין להפוך את מערך הסייבר ל"רגולטור של רגולטורים". כיום, הנחיות ההתגוננות לגופים שונים עוברות דרך הדרג המקצועי בממשלה שאמון על פעילותם. כך למשל, מערך הסייבר במשרד הבריאות הנחה את קופות החולים בנושא. לפי הצעת החקיקה, למערך הסייבר הלאומי תהיה סמכות ישירה על גופים אלה. התפישה הזאת בעייתית, ראשית כי היא מסירה אחריות מרגולטורים ייעודיים ותיצור מצב שבו לא יהיה להם תמריץ לפתח מומחיות בתחומים חיוניים אלה. שנית, כי היא יוצרת כפילויות.

שלישית, נדרשת התבוננות הוליסטית מצד הממשלה על מערך הגנת סייבר. אין כל טעם בחיזוק רשות אחת – מערך הסייבר הלאומי, בלי תיקונים מהותיים בחוק הגנת הפרטיות ובלי חיזוק הרשות לפרטיות וסמכויותיה. מרחב הסייבר האזרחי, חלק ניכר מן הפריצות מיועד לאסוף מאגרי מידע אישי ולהשתמש בהם לסחיטה או מסחר בנתונים. ניהול סיכונים בחברה שבה מנהלים יודעים שגם אם ידלוף מידע פרטי בגלל מתקפת סייבר אי אפשר יהיה להגיש נגדם תובענה ייצוגית, לא ייתן להם תמריץ להשקיע באבטחת סייבר.

הדי.אן.איי של מערך הסייבר לא מתאים לסמכויותיו. זהו ארגון שתקציבו רבע מיליארד שקל בשנה וסמכויותיו לגבי המגזר האזרחי הן פרסום ברושורים. הרחבת סמכויותיו תביא לפיקוח יתר ביטחוני על המגזר הפרטי. ובינתיים, כל גוף שייפגע כי לא דאג לאבטחה טובה, יפרסם, כפי שעשו בעזות מצח כמה הגופים בספטמבר השחור, שהוא "בקשר עם מערך הסייבר הלאומי". אם זה לא היה מחייב אותי להחליף סיסמאות ופרטי כרטיס אשראי שנגנבו, הייתי צוחקת.

ד"ר תהילה שוורץ אלטשולר היא עמיתה בכירה במכון הישראלי לדמוקרטיה

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר TheMarker