דו"ח טכנולוגיפריצת הסייבר והתגובה הצינית: זה לא פיגוע איראני, זה מחדל ישראלי
דו"ח טכנולוגי
פריצת הסייבר והתגובה הצינית: זה לא פיגוע איראני, זה מחדל ישראלי
ההודעה של סייברסרב כי "התריעה" על כוונתם של ההאקרים לפרסם מידע ו"דרשה להסיר" חשבונות טלגרם - מגוחכת; ואולם החלק המקומם בתגובת החברה הוא הניסיון לבצע ספין ולמצב את הפריצה כטרור בין-מדינתי נגד חברי הקהילה הגאה
חברת סייברסרב התריעה. כן כן, בדיוק מה שקראתם. חברת פיתוח ואירוח האתרים שמערכותיה נפרצו על ידי קבוצת ההאקרים "בלק שאדו", פריצה שהובילה לגניבת וחשיפת מאגר המשתמשים באתר ההיכרויות הלהטב"קים אטרף – במה שיהפוך כנראה לאחד מאסונות הפרטיות הגדולים בהיסטוריה של הרשת הישראלית – שוברת שתיקה תקשורתית ומבשרת שהיא התריעה.
לא, לא התריעה מפני פרצות אבטחה שדורשות טיפול וזכתה להתעלמות מוחלטת. את זה עשה מערך הסייבר בשנה האחרונה, כמה פעמים, כשהמתעלמת היתה סייברסרב.
"בשנה האחרונה התריע מערך הסייבר הלאומי לחברה מספר פעמים על היותה חשופה לתקיפה", נמסר מהמערך כבר ביום שבת. היא גם לא התריעה על הצורך לבצע טיפול הגנתי רוחבי למערכות שלה. את זה עשה חוקר אבטחה עצמאי, המלצה שהחברה התעלמה ממנה לדבריו.
סייברסרב גם לא התריעה טרם הפריצה שהשרתים, שמאוחסנים בחוות השרתים של נטוויז'ן, חשופים למתקפה ויש לאבטח אותם. את זה עשתה נטוויז'ן עצמה. "אנשי נטווי'ז'ן התריעו בפני סייברסרב על החשיפה של השרתים שלהם, הציעו להם לרכוש חבילת אבטחת מידע, ואף שלחו הצעה מסודרת, אך סורבו בנימוס", נמסר אתמול מהחברה.
אז על מה התריעה סייברסרב? הנה, במילותיה של החברה עצמה: "התרענו בפני הרשויות במדינת ישראל על כוונתם של ההאקרים לפרסם את הרשומות". כלומר, אחרי שהתעלמה מאזהרות של גורמי מקצוע, אחרי ששרתיה נפרצו ונגנב מידע רגיש במיוחד, מידע שפרסומו הוא עניין של חיים ומוות, לא פחות; ואחרי שהתוקפים, שכבר לא היססו בעבר לפרסם מידע אישי רגיש, הודיעו שבכוונתם לפרסם את המידע; אחרי כל זה, סייברסרב התריעה שההאקרים יפרסמו אותו. תודה רבה באמת, אבל בשביל לדעת את זה אני יכול לעקוב אחרי ערוצי הטלגרם של התוקפים. לא צריך שאתם תתווכו לי את מה שהם אומרים בגלוי לכל העולם.
בסייברסרב ביקשו, סליחה "דרשו", להסיר את החשבונות
אבל זה לא הכל, כי סייברסרב לא הסתפקה בהתרעה. "דרשנו את הסרתם המיידית של חשבונות הטלגרם", היא מסרה עוד בתגובה. דרשה ממי? מטלגרם עצמה, או ממערך הסייבר? אולי מההאקרים שיפסיקו להיות כאלו לא נחמדים? לא ברור מהתגובה. לא שזה משנה. כי באינטרנט, והנה סקופ מיוחד בשבילכם, חשבונות טלגרם הם לא הדרך היחידה להפיץ מידע. יש שמועות לא מבוססות שיש פלטפורמות אחרות שמאפשרות גם הן לכל מי שחפץ בכך לכתוב ולהפיץ מידע ככל העולה על רוחו, ללא פיקוח מינימלי. מי שרוצה, כך מעדכנים אותי עכשיו באוזנייה, יכול אפילו לפתוח חשבון טלגרם חדש במקום זה שנחסם, ולהמשיך להשתמש בפלטפורמה כמקודם. אבל בסייברסרב ביקשו, סליחה "דרשו", להסיר את החשבונות. ולא סתם להסיר, אלא להסיר מיידית. טוב שעשיתם משהו, באמת. אתם יודעים, אגב, מה היה יותר יעיל? להקשיב לאזהרות ולאבטח את המערכות שלכם כמו שצריך.
ואל תגידו שסייברסרב לא מנסה לעזור. היא משתפת פעולה עם מערך הסייבר ורשות הפרטיות, וגם מבקשת "מהגולשים ומכלי התקשורת לעשות כל שניתן על מנת למנוע פרסומם של פרטים וחומרים אישיים" (כי אם אפשר להטיל אחריות על הגופים שחושפים את ערוות החברה, אז למה לא), אפילו העמידו לרשות משתמשי אטרף "מוקד מידע אנונימי" (03-5370569). ראשית, נחמד שאתם נותנים לאנשים שעולמם חרב עליהם בגלל חשיפת מידע רגיש אפשרות לקצת אנונימיות טלפונית. אם לא ברשת, לפחות בפלטפורמה שהיתה הדבר החם בשנות ה-80. ושנית, איזה כבר מידע תתנו להם במוקד? החיים שלך נדפקו וכל העולם עכשיו יודע שאתה גיי, מקווה שאתה לא חי בקהילה שבה עלולים לרצוח אותך בגלל זה?
קו מידע וסיוע מוצלח יותר מספקת האגודה למען הלהט"ב בטלפון *2982 ובווטסאפ 058-6205591. פועל בימים א׳-ה׳ בין 17:00-19:00 ובין 19:30-22:30
אבל אלו אפילו לא החלקים המרתיחים ביותר בתגובה של סייברסרב. החלקים האלו מגיעים כשהחברה, במהלך ציני להחריד, מנסה לבצע ספין ולמצב את הפרצה לא כמחדל מחריד שלה, אלא את המתקפה כלא פחות מאקט של טרור בין-מדינתי, ואת עצמה כקורבן מסכן וחסר אונים. "מדובר בפיגוע תודעה איראני מתוכנן וממוקד נגד אזרחי ישראל והקהילה הגאה", קובעת סייברסרב. אולי על סמך מידע מודיעיני רגיש שקיבלה ממקורותיה במוסד.
בואו נפרק את זה. ראשית, המונח "פיגוע תודעתי". פופולרי בשנים האחרונות להצמיד לכל משהו לא נעים שקורה את המילה המקדימה "פיגוע". וככה זכינו לפנינים כמו "פיגוע כלכלי", "פיגוע תעמולתי", אפילו מהלכים בינלאומיים לגיטימיים שכונו "פיגוע מדיני". כי מה אומר יותר פיגוע מפנייה לאומות המאוחדות. עכשיו מעשירה סייברסרב את אוצר המלים שלנו עם הביטוי "פיגוע תודעתי". נגד התודעה של מי? לא ברור. למה פיגוע? כי נחשף מידע אישי כמו שנחשף באינספור דליפות ופריצות מידע אחרות? גם לא ברור. אבל בואו נתקע שם פיגוע, נראה ככה כקרבן של גורמים חזקים ומתוחכמים, אולי נסחוט כמה נקודות סימפטיה מההמונים. כמי שהתבגר בשנות ה-90 של המאה הקודמת והחל לעבוד בתקשורת בעשור הראשון של המאה הנוכחית, אני מעדיף לשמור את המלה פיגוע לתקריות כמו אוטובוסים/מסעדות/בית קפה מתפוצצים או ירי קטלני. שבו בשקט, לא היה כאן שום פיגוע.
זו פרשה נוראה ומזעזעת, אבל היא לא פיגוע. היא מחדל. מחדל של סייברסרב שהתעלמה מאזהרות חוזרות ונשנות מצד גורמים מקצועיים ורשמיים, שלא נקטה בצעדים הדרושים על מנת למנוע חדירה למערכות שלה וגניבת מידע רגיש, ושגם עתה לא לוקחת אחריות ברמה הבסיסית ביותר. לא מודה באשמה, לא אומרת "טעינו", בעלי החברה מסתתרים בחושך מאחורי דוברים ויח"צנים במקום לעמוד מול המצלמות ולכל הפחות להתנצל בפני הקרבנות.
אם באמת רוצים להשוות את המצב לפיגוע, הוא שקול לכך שמחבל מתאבד יוצא בדרכו להתפוצץ במסעדה. השב"כ, המשטרה, גורמי ביטחון אחרים – כולם מתריעים בפני המסעדה שהמחבל מתקרב, אבל היא לא עושה כלום. המחבל כבר עומד בפתח הכניסה, והמסעדה לא עושה כלום. הוא נכנס פנימה, אומר "הנה אני מתפוצץ", והיא עדיין לא עושה כלום. ואחרי שהוא כבר התפוצץ וגבה קרבנות, בעלי המסעדה נעלמים בחור אפל, משאירים מאחוריהם רק פתק עם מספר טלפון לקבלת "מידע אנונימי".
חלון הזדמנויות לשינוי מדיניות
זה כמובן, לא יכול להתרחש במציאות. כי בעולם הלא מקוון, כשמדובר בהתרעות ביטחוניות אמיתיות, לגורמים הרלוונטים יש סמכות לנקוט בצעדים הנדרשים גם אם המטרה המיועדת לא מבכרת לשתף פעולה. וכמו שכבר כתבתי כאן השבוע, זה לא המצב בתחום הסייבר והגנת המידע, היכן שהסמכות של מערך הסייבר והרשות להגנת הפרטיות מוגבלת ובנויה בעיקר על הרצון הטוב והנכונות של הגוף הרלוונטי לשתף פעולה.
אני חוזר לנושא שוב, כי בהתאם למודל שיווי המשקל המקוטע (Punctuated Equilibrium) בתיאוריות של מדיניות ציבורית (המונח שאול מתיאוריית האבולוציה), אחרי עשורים של הזנחה והתעלמות מצד הממשל, אנחנו בעיצומו של אירוע משברי שממקד את תשומת הלב הציבורית בבעיה מהותית. המצב יוצר חלון הזדמנויות שיכול להביא לשינוי מדיניות משמעותי, שלא יכול להתרחש באופן נרחב שכזה בתקופה אחרת. אבל החלון קצר, ייסגר אחרי שהרגע המשברי יחלוף והמערכת תחזור לאיזון. זו הזדמנות שצריך לנצל על מנת להניע שינוי משמעותי בחקיקה הרלוונטית, במטרה לעדכן מדיניות ציבורית שקופאת על שמריה יותר מ-40 שנה.
בעמותת פרטיות ישראל מנסים לנצל את החלון הזה, ובעקבות הפרצה לסייברסרב ומתקפה הכופרה על בית החולים הלל יפה פנו לשר המשפטים גדעון סער בבקשה לקדם תיקון לחוק הגנת הפרטיות. על רקע הבקשה, ייערכו ביום שני הקרוב בכנסת דיונים מקבילים בוועדת הבריאות (תחת הכותרת "התמודדות מערכת הבריאות עם מתקפת הסייבר על בתי חולים") ובוועדת חוקה, חוק ומשפט (תחת הכותרת "ההגנה על הפרטיות ברשתות החברתיות עם התגברות מתקפות הסייבר - האם יש לישראל את הכלים המשפטיים על מנת להגן על פרטיות אזרחיה?").
התשובה לכך פשוטה מאוד: לא. אבל עכשיו יש הזדמנות נדירה לשנות זאת. "אירועי הסייבר האחרונים מדגישים ביתר שאת את מצבה העגום של הזכות לפרטיות בישראל, וחוסר היכולת של המדינה להגן על אזרחיה מפני אירועי סייבר שתכיפותם הולכת וגוברת", אמרה ל"כלכליסט" מנכ"לית פרטיות ישראל, עו"ד נעמה מטרסו קרפל. "לצערי הרב, רק אחרי פגיעה כל כך קשה בפרטיות – הכנסת מתעוררת ומקיימת שני דיונים במקביל.
"משבר הפרטיות בישראל זועק לשמיים. ב-40 השנים שחלפו מאז חקיקת חוק הגנת הפרטיות, הקדמה והטכנולוגיה הציבו בפני הזכות לפרטיות אתגרים שאין להם מענה בחוק הישראלי המיושן. ריבוי האתגרים הטכנולוגיים והמשפטיים בנושא מחייבים את משרד המשפטים לפעול במהרה ולנקוט את מירב המאמצים לעדכון חקיקת דיני הגנת פרטיות מודרניים. פרטיות ישראל בדעה כי לא ניתן להסתפק בהלחמת טלאי חקיקה על גבי החוק הקיים (זה, אגב, המודל התוספתי של צ'רלס לינדבלום, ע"כ), אלא יש לפעול לאימוץ חקיקת חוק הגנת הפרטיות מודרני, שיכלול חיזוק של זכויות נושאי המידע, הגברת החובות המוטלות על מעבדי מידע, חיזוק מעמדה של הרשות להגנת הפרטיות ושיפור ניכר ביכולות האכיפה".
בתור התחלה, מציעה מטרסו קרפל לקדם בדחיפות את תיקון 14 לחוק הגנת הפרטיות, שמחזק את יכולות האכיפה של הרשות להגנת הפרטיות, ותיקון לחוק תובענות ייצוגיות, שיאפשר להגיש תביעות לפי חוק הגנת הפרטיות. "שני התיקונים הללו, שכבר הונחו אי אלו פעמים על שולחנה של הכנסת, יאפשרו לרשות להגנת הפרטיות לאכוף באופן אפקטיבי הפרות של הדין, ומנגד, ירתיעו חברות וארגונים מפני התרשלות בנושאים של פרטיות ואבטחת מידע", היא אמרה. "כמו כן, תיקונים אלו יאפשרו לגשר על הפער, גם אם באופן חלקי ולא מושלם, שבין החקיקה המיושנת לאתגרים העכשוויים. ישראל לא יכולה להיות מעצמה טכנולוגית עם חוקי הגנת מידע משנת 1981, והיא לבטח לא יכולה להרשות לעצמה להזניח נושא כל כך קריטי כמו הגנת הסייבר. למשרד המשפטים ולגדעון סער יש כעת הזדמנות לתקן את עוולות העבר, ולקדם את תיקוני החקיקה הנדרשים, זאת במקביל להתנעת מהלך מקיף ויסודי על הסדר מקיף וחדש שיחזק את החוסן הטכנולוגי של מדינת ישראל".
ההתנהלות של סייברסרב בפרשה ולפניה בעייתית. אבל היא לא הבעיה, רק הסימפטום שלה. והדרך היחידה להתמודד עם הבעיה היא באמצעות תיקון מדיניות משמעותי. שיווי המשקל הופר, זה הרגע לנצל את ההזדמנות ולשנות את המצב.