ספטמבר השחור, גרסת הסייבר
מי מגן על הישראלים כשהם מהגרים בהמוניהם למרחב הדיגיטלי? מתקפת הסייבר על בית החולים הלל יפה מבהירה פעם נוספת את מה שהפך ברור כבר מזמן – כדי שחברות וארגונים יתחילו להגן על עצמם ועלינו במרחב הווירטואלי ישראל חייבת חוק סייבר, עם מסגרת יעילה של פיקוח ואכיפה, ואולי הכי חשוב – פעולות משמעותיות לטובת חיזוק ההגנה על הפרטיות שלנו
ספטמבר 2021 ייזכר כספטמבר השחור של מתקפות הסייבר בסטארטאפ ניישן. האקר, כנראה מלזי, הצליח לגנוב מידע על אזרחים ישראלים מתוך מערכת City4U המטפלת במידע של הרשויות המקומיות והציע אותו למכירה. חברת CySource חשפה שבפורום איראני מוביל פורסמה רשימת אתרים ישראלים שניתן לפרוץ אליהם ובהם רשת שיווק מוצרי חשמל, הוצאה לאור, חברה שמעניקה שירותי מחשוב לגופים מוניציפליים וגם משרדי עורכי דין. נתונים של מאות אלפי לקוחות של רשתות שיווק ישראליות הועמדו למכירה ברשת האפילה. מתקפה על חברת VOICENTER המספקת שירות מוקד לקוחות בענן ומשרתת לקוחות כמו גט, פרטנר, סימילר ווב ומובייל-איי גרמה לדליפת כמות בלתי נתפסת של שיחות מוקלטות. אוניברסיטת בר אילן צפתה בטרה-בייטים של מידע אישי של הסגל והסטודנטים שלה מוצע לכל המרבה במחיר.
בצירוף מקרים מעניין פרסם מערך הסייבר הלאומי באמצע ספטמבר גרסה 2.0 של מסמך בשם "תורת ההגנה בסייבר לארגון". מדובר במדריך יישומי שאמור לסייע למנהלי חברות וארגונים לבנות תוכנית הגנת סייבר. על פי המדריך, תוכנית ההגנה צריכה להתבסס על תרחישי התקיפה הרלוונטיים לארגון ועל ראיית היריב התוקף; ובעיקר - על השקעה בהתאם לפוטנציאל הנזק שייגרם לארגון כתוצאה מתקיפה, מה שמכונה בשפה עסקית: ניהול סיכונים.
אתר "איזראל דיפנס" פרסם שסקר שבוצע על ידי הלמ"ס ומערך הסייבר מלמד שאחד מארבעה ארגונים במשק מכירים את תורת ההגנה לארגון של המערך, וכי 83% מאלו המכירים, עושים בה שימוש. אם הנתון הזה היה מדוייק, לא היינו מגיעים אל ספטמבר השחור. המציאות היא שלמדריך גדוש האינפורמציה של מערך הסייבר יש ערך של ברושור. הוא אמור להגן על התעשיה ועל האזרחים, אבל אפילו שיימינג רגולטורי אי אפשר לעשות בהיעדר סמכויות אכיפה מעוגנות בחוק.
מערך הסייבר הלאומי הוקם בשנת 2015 בהחלטת ממשלה ומאז ממתין לחוק סייבר המבושש לבוא. רגע לפני הקמת הממשלה הנוכחית, עדיין בתוך הכאוס הפוליטי, נעשה ניסיון להעביר בהליך מחטפי וללא דיון מקדמי, חקיקה שהיתה אמורה להפוך את המערך לאחד הגורמים החזקים ביותר במשק, ולאח גדול יודע כל. בשל רעש תקשורתי וביקורת חריפה מצד האוצר, הצעד הזה נבלם. אבל זה איננו ניצחון משום שארועי "ספטמבר השחור" מלמדים שמסגרת פיקוח ואכיפה לצורך הגנת סייבר בארגונים וחברות היא הכרחית. מצד שני, נדרש שינוי פרדיגמה יסודי בתפיסת האכיפה הנדרשת.
ראשית, אין להפקיד את הפיקוח על הסייבר האזרחי בידי גוף בטחוני. מערך הסייבר הלאומי הוקם כגוף בטחוני, שב"כ 2, כדי להגן על תשתיות מדינה קריטיות. הבוס שלו הוא ראש הממשלה. הוא אינו כפוף לחוק חופש המידע. כאשר גוף בטחוני מקבל סמכויות חדירה נרחבות למערכות מיחשוב פרטיות, בוודאי שעולה מיד חשש מפני האח הגדול. יתרה מזאת, כשיש לגוף סודי כזה סמכות לקבוע, למשל, מתי חברות פרטיות יודיעו ללקוחות על התרחשות אירוע סייבר, החשש הוא שלא טובת הצרכנים תעמוד לנגד עיני מקבלי ההחלטה. נזכיר גם שבתזכיר החוק האחרון נמצא ממתק: הסמכויות שמקנה החוק למערך הסייבר יהיו נתונות גם לשב"כ. לשם מה הכפילות? כדי שכלל המגזר האזרחי יצטרך להכפיף עצמו למלחמת הפוליטיקה הפנימית בין ארגוני הביטחון?
אבל השאלה היא עקרונית: האם נכון שגוף בטחוני ינהל את הפיקוח על מתקפות סייבר במגזר האזרחי? מצד אחד, מתקפות כאלה יכולות להגיע ממדינות אוייב והן איום בטחוני בדיוק כמו טפטוף טילים על אשקלון. מצד שני, חלק ניכר מן ההאקרים פועלים ממניעים פליליים וכספיים, ובנוסף החשיבה לגבי ניהול סיכוני סייבר במגזר הפרטי צריכה להיות בעיקרה מוטת ניהול סיכונים כספי ולא ביטחונית. אכן, לא תמיד אפשר לדעת מה מקור התקיפה, אבל אלה החיים במרחב הדיגיטלי. השב"כ או גוף דמוי שב"כ לא צריכים להפוך לגורמים משמעותיים בעבודה מול גופים אזרחיים שאינם חשודים בדבר ובוודאי לא להיות רגולטור של המגזר הפרטי.
שנית, אין להפוך את מערך הסייבר ל"רגולטור של רגולטורים". לפי המצב הקיים היום, הנחיות ההתגוננות לגופים שונים עוברות דרך הדרג המקצועי בממשלה שאמון על פעילותם. כך, למשל, מערך הסייבר במשרד הבריאות הנחה את קופות החולים בנושאי סייבר. לפי הצעת החקיקה, למערך הסייבר הלאומי תהיה סמכות ישירה על גופים אלה. התפיסה הזאת בעייתית, ראשית משום שהיא מסירה אחריות מרגולטורים ייעודיים ותיצור מצב שבו לא יהיה תמריץ לפתח מומחיות בתחומים חיוניים אלה אצל הרגולטורים הייעודיים. שנית, משום שהיא יוצרת כפילויות שהן בסיס ידוע לנטל רגולטורי מיותר.
שלישית, נדרשת התבוננות הוליסטית מצד הממשלה על מערך הגנת סייבר. אין כל טעם בחיזוק רשות אחת – מערך הסייבר הלאומי, בלי תיקונים מהותיים בחוק הגנת הפרטיות ובלי חיזוק מקביל של הרשות לפרטיות וסמכויותיה. ככל שמדובר במרחב הסייבר האזרחי, חלק ניכר מן הפריצות יהיה כדי לאסוף מאגרי מידע אישי ולהשתמש בהם לצורך סחיטה או מסחר בנתונים. ניהול סיכונים בחברה שבה מנהלים יודעים שגם אם ידלוף מידע פרטי בגלל מתקפת סייבר אי אפשר יהיה להגיש נגדם תובענה ייצוגית, לא ייתן להם תמריץ להשקיע באבטחת סייבר.
הדי אן אי של מערך הסייבר לא מתאים לסמכויות שלו. כיום, מדובר בארגון שתקציבו רבע מיליארד שקל בשנה וסמכויותיו לגבי המגזר האזרחי הן פרסום ברושורים. הרחבת הסמכויות בחקיקה תיצור, בתורה, בעיות של פיקוח יתר בטחוני על המגזר הפרטי. ובינתיים, כל גוף במשק שייתפס עם המכנסיים למטה כי לא דאג לאבטחת סייבר נורמלית, יפרסם, כפי שעשו בעזות מצח חלק מן הגופים בספטמבר השחור האחרון, שהוא נמצא "בקשר שוטף עם מערך הסייבר הלאומי". אם זה לא היה מחייב אותי להחליף סיסמאות אישיות ופרטי כרטיס אשראי שנגנבו, הייתי צוחקת.