מאמר דעה

מי מגן עלינו במרחב הדיגיטלי

| מאת:

מתקפת הסייבר על בית החולים הלל יפה התאפשרה כי לא יצרנו חיסוניות דיגיטלית – ולא רק שם. כדי שזה יקרה, ישראל זקוקה לחוק סייבר שיקבע מסגרת פיקוח ואכיפה, ויספק תמריץ מיידי לגופים וארגונים שמחזיקים מידע אישי ורגיש להשקיע באבטחת סייבר

shutterstock

אישה מתה בשל עיכוב בטיפול בחדר מיון עקב מתקפת סייבר על מערכות המיחשוב של בית החולים. אני מודה שכשכתבתי את השורה הזאת לפני כמה חודשים לטובת מחקר שייצא בקרוב, קיוויתי שהתסריט לא יתממש. אבל, למרבה הצער, בית החולים הלל יפה מלקק את פצעי מערכות המחשוב שלו שטרם חזרו לפעול, ונכון לעכשיו עדיין לא ברור האם היו נפגעים בגוף או בנפש בשל המתקפה. דמיינו לעצמכם את גודל המהומה: חולת סרטן שקרסה בביתה מגיעה לחדר המיון והתיק הרפואי שלה איננו זמין; ילד בן חמש עם חום גבוה מגיע עם הוריו המבוהלים ובדיקות הדם הדחופות שנערכו לו צריכות להגיע בחזרה על נייר עם שליח; מערכת זימון התורים לא מתפקדת; רופאה לא יכולה לבדוק במערכת מה המינון הנכון של תרופה או להתייעץ מהר עם קולגה; לא ניתן להוציא מהמחשב מכתבי שחרור; וכל זה בלי שדיברנו על מערכות המצלמות, החשמל והחמצן הממוחשבות.

משרד הבריאות המשיך ודיווח במהלך סוף השבוע על בתי חולים נוספים שהותקפו, ואם ללמוד מן הניסיון בשנה האחרונה, ידם של האקרים רודפי בצע מזה ושל מדינות עוינות מזה עודנה נטויה. בתי חולים ומוסדות בריאות תמיד נחשבים למטרה נוחה כי הם נוטים לשלם כופר, העיקר לא לשתק את המערכות שלהם.

העניין הוא שכל זה מתרחש משום שהשומר נרדם בשער, או במילים אחרות: לא יצרנו חיסוניות דיגיטלית. בשנים האחרונות עברו בתי החולים תהליך דיגיטציה מואץ, שכלל מיחשוב של מערכות המידע. כולנו נהנים מהקידמה, אלא שמתברר שההגנה על כל המערך הדיגיטלי הזה היא שערורייתית. אדגיש: רוב המתקפות שחזינו בהן בתקופה האחרונה אינן מתקפות שמזהות חולשה נדירה שלא הייתה עד היום ושהיה צריך להיות גאון סייבר כדי להבחין בהן, אלא נובעות, בפשטות, מרשלנות: היעדר עדכון של מערכות הפעלה ושל תוכנות, סיסמאות לא חזקות, בלגן במתן הרשאות גישה למערכת, אי יצירה של מערכי גיבוי למידע שמנותקים מהמערכת הרגילה.

מגפת הקורונה העצימה את החששות ממתקפות סייבר בגלל התלות הגוברת במערכות הנשלטות מרחוק. כל אלה מצטרפים לחששות מפני פגיעה בתשתיות חשמל ומים, גניבת זהות וכרטיסי אשראי, וגניבת מאגרי מידע פרטי ענקיים שעלולים להימכר בשוק השחור של האינטרנט ואפילו לשמש בין היתר כדי לנסות להטות תוצאות בחירות. כך, לצד היתרונות העצומים שבמרחב הסייבר לכלכלה ולחברה בכללותה, רוחב המתקפות, מספר הגופים שאליהם הן מכוונות והנזק הכלכלי, יחד עם רמת המיסוד של ארגוני הפשע המאורגן או המדינות העוינות שמאחוריהן – עולים בקצב מסחרר.

אז מי מגן עלינו כשאנחנו מהגרים בהמונינו למרחב הדיגיטלי? ובכן, בשנת 2015 הוקם במשרד ראש הממשלה מערך הסייבר הלאומי, אבל עד היום הזה אין לו מסגרת בחקיקה. לכן, המסמכים והמדריכים (הטובים כשלעצמם) שהמערך מוציא הם לא יותר מאשר ברושורים ללא סמכויות אכיפה, שיאפשרו מתן קנסות מינהליים לגופים שכשלו בהגנת הסייבר שלהם, הטלת אחריות על ראשי הגופים האלה ואפילו "ניימינג אנד שיימינג" לגופים רשלניים. יתרה מזאת, אין תמריצים לגופים וארגונים שמחזיקים הררי מידע אישי ורגיש להשקיע באבטחת סייבר. זאת מאחר ובניגוד לארה"ב ואירופה, תובענה ייצוגית כנגד גוף (בין אם זו חברת ביטוח וכרטיסי אשראי או בית חולים) שהתרשל באבטחת המידע כמעט אינה אפשרית בישראל. לו מנכ"ל של חברה היה יודע כי הוא עלול להיתבע במיליונים בעקבות מתקפת סייבר שיצרה דליפת מידע אישי, ניהול הסיכונים שלו היה אחר.

לכן, יש חשיבות עליונה בחקיקת חוק סייבר שתקבע מסגרת פיקוח ואכיפה. אלא שכשסוגרים את הפירצה הזאת, יש לעגן את הפיקוח בידי רשות ממשלתית חזקה ובעלת סמכויות, ולא בידי גוף בטחוני דמוי שב"כ, שעלול להפוך בתורו לאח גדול יודע כל כשמדובר בחברות נעליים, מזון, אשראי או בתי חולים. ובד בבד, חובה לפתח אוריינות, מודעות ומומחיות בתחום הגנת סייבר בכל משרד ממשלתי. אין גם טעם בחיזוק מערך הסייבר ללא תיקונים משמעותיים בחוק הגנת הפרטיות וחיזוק הרשות לפרטיות, שיאפשרו, כאמור, לבוא חשבון עם מי שהתרשלו לשמור על המידע הפרטי שלנו. והחשוב ביותר: אחריות אישית. כמו בעניין החיסונים, גם בחיסוניות הדיגיטלית, הגורם האנושי הוא החוליה החשובה ביותר בשרשרת.

פורסם לראשונה ב-Ynet