TechTalkדרושה בדחיפות: רגולציה רחבה יותר בתחום הסייבר
TechTalk
דרושה בדחיפות: רגולציה רחבה יותר בתחום הסייבר
האחריות על הגנת הנכסים הדיגיטליים מוטלת היום על אנשים פרטיים ועל חברות. זה לא תקין. אודי לוי, מנכ"ל וממייסדי חברת מודיעין סייבר קובוובס, סבור שהגיע הזמן לרגולציה ולסנקציות שיופעלו על גופים פרטיים שלא מגינים על עצמם ובכך מסכנים את המידע של המשתמשים שלהם
המסקנה הבלתי נמנעת בעקבות מתקפות הסייבר האחרונות הוא שיש צורך ברגולציה בתחום הסייבר, אחריות והגנה נוספת מצד המדינה. כידוע, קבוצת ההאקרים בלאק שאדו הצליחה לפרוץ לשרתי אתר בניית ואירוח האתרים (Hosting) סייברסרב. 24 שעות לאחר הפריצה החלו ההאקרים לפרסם מידע משני אתרים - חברת התחבורה קווים ואתר ההכרויות לקהילת הלהט"ב אטרף. מקרה דומה קרה לפני כשנה, אז אותה קבוצה הצליחה לפרוץ לשרתים של חברת הביטוח שירביט.
תחום הסייבר מתפתח במהירות וכך גם הטכנולוגיות והכלים המשתמשים להגנה, אך לצערנו כך גם היכולות של התוקפים. זה שדה מוקדשים שאין בו תמרורים. בכל התחומים בחיינו, למעט האינטרנט, יש הנחיות, חוקים ורגולציה. בתחום הזה אין רגולציה והנחיות שעומדות בקצב ההתפתחות הטכנולוגית, או כזו שמתייחסת לארגונים קטנים או לאנשים פרטיים. בשעה שחברת החשמל או המים חייבות לעמוד ברגולציה בתחום הסייבר, חברות פרטיות קטנות ואנשים פרטיים – כל אחד לעצמו.
מערך הגנת הסייבר מתייחס לנכסים ולתשתיות לאומיים: חברות חשמל, מים,ומשרדים ממשלתיים. הוא למעשה מגן על גבולות המדינה. ההגנה על הנכסים הדיגיטליים המסחריים והפרטיים, לעומת זאת, אינה מפוקחת. אנחנו כבר יודעים שמערך הסייבר התריע בפני חברת סייברסרב ששרתיה חשופים לפריצה, ויותר מפעם אחת. התראות הן פחות או יותר הדבר היחיד שהמערך הזה יכול לעשות כשמדובר בארגונים פרטיים. זה צריך להשתנות.
אם יש שרת פתוח ורשות הסייבר מזהה אותו, אין לה סמכות לפעול מעבר להתראה. כמו שהרשות לניירות ערך מחוייבת לוודא שאין הלבנת הון בחברות הנסחרות או מעשים לא חוקיים אחרים, כך גם צריך לקרות בתחום הסייבר
יש כברת דרך לעשות כדי להבטיח הגנה ראויה על הנכסים הדיגיליים. בעולם הפיננסי, למשל, מדינות מטילות קנסות גדולים על בנקים ומוסדות פיננסיים שלא עושים מספיק כדי למנוע הלבנות הון או מימון טרור. בתחום הסייבר אין מקבילה דומה. אם יש שרת פתוח ורשות הסייבר מזהה אותו, אין לה סמכות לפעול מעבר להתראה. כמו שהרשות לניירות ערך מחוייבת לוודא שאין הלבנת הון בחברות הנסחרות או מעשים לא חוקיים אחרים, כך גם צריך לקרות בתחום הסייבר.
נכון לרגע זה, האחריות על הגנת הנכסים הדיגיטליים שייכת לאנשים פרטיים או לחברות. כשמישהו נרשם לאתר הכרויות, הוא לא מתעסק בכמה האתר מוגן. אין הגדרה של מה נחוץ ומחייב. יתכן שצריך סוג של רגולציה וסנקציות שיופעלו על גופים פרטיים שלא מגינים על עצמם ובכך מסכנים את המידע של המשתמשים שלהם. הסייבר הוא עולם חדש והרגולטור צריך להדביק את הפער.
המחוקק צריך להעניק לרשות להגנת הסייבר סמכויות נוספות, כאלה שיאפשרו לוודא שהאתרים מוגנים. בשנים האחרונות הואץ התהליך הדיגיטלי ולאנשים רבים יש נכסים דיגיטליים רבים, בעלי ערך רגשי או כספי. חשוב לציין: במתקפות האחרונות נפגעו חברות מסחריות ואנשים פרטיים שהמידע שלהם הופץ. זה הטרנד החדש במתקפות סייבר. ההאקרים מטווחים גם אנשים פרטיים. פרסום של הפרטים האישיים של משתמשי אטרף מוכיח את זה.
מתקפות על נכסים לאומיים יכולת להביא לתוקפים מוניטין בינלאומי. תקיפות בנקים או חברות גדולות מניבות כספי כופר. לחברות הגדולות יש את הכסף וגם ביטוח למקרים כאלה. זה לא כך עם חברות קטנות ואנשים פרטיים. הגיע הזמן שהמדינה תבין שגם גופים קטנים ופרטיים זקוקים להגנה, או לפחות להנחיות ברורות בתחום. זה משפיע על כולם. זה טרור. גם אם הוא אישי.
אודי לוי, מנכ"ל וממייסדי חברת מודיעין סייבר קובוובס (Cobwebs Technologies)