האקר? נסתדר לבד: התעשייה בארץ לא סומכת על רשות הסייבר
הגוף הממשלתי האמון על הנושא נתפס כבלתי רלוונטי; בלי חובת דיווח מקיפה וללא סמכויות חקירה, הרשות הלאומית להגנת סייבר מתקשה לשכנע את החברות במשק הישראלי לפנות אליה בעת פריצות רשת והידבקות בנוזקות
כנס הסייבר השנתי שנערך השבוע באוניברסיטת ת"א היה אמור להיות חגה של הרשות הלאומית להגנת סייבר, או בשמה המוכר יותר רשות הסייבר. אך שיחות שערך "כלכליסט" עם פעילים הענף ההייטק המקומי, ובכלל זה סטארט-אפים, חברות מבוססות, יועצי אבטחת מידע ורגולטורים, מצביעות על חוסר אמון ביכולות היחידה הממשלתית לסייע בהתמודדות עם איומי מתקפות רשת.
- "ישראל וארה"ב יקימו מטה סייבר משותף"
- אינטל הקימה מרכז סייבר בארץ, תשקיע מיליוני דולרים בחברות בתחום
- ארה"ב: האקרים רוסים תקפו מערכות ספירת קולות ב-21 מדינות
יתרה מכך, בשוק הפרטי חוששים מהתערבות המדינה במקרים של תקיפות שכאלה, מודאגים מהטלת אחריות במקרה של תקיפה ופשוט לא סומכים על המדינה שתדע להגן על מידע שרגיש. פעילים בשוק הסייבר אף מפקפקים ביכולותו של גורם ממשלתי להתמודד בהצלחה עם איומי סייבר בהשוואה לשחקנים פרטיים, ודאי בהתחשב בכך שבשלב זה סמכויות האכיפה שניתנו לו מוגבלות.
סקר בקרב מנהלי אבטחה שבוצע לקראת שבוע הסייבר בידי אוניברסיטת ת"א, איגוד האינטרנט הישראלי, חברת הייעוץ דלויט וחברת הסייבר קונפידס מצא ש-24% מהם לא מעוניינים במעורבות גורמים ממשלתיים בניהול משבר סייבר ארגוני. מתוך המשיבים שהתמודדו בפועל עם משבר סייבר בשנה החולפת 45% פנו לסיוע של חברות פרטיות לעומת 32% שפנו לרשות הסייבר.
"חברות לא רוצות שהמדינה תתערב"
הקמת מערך הסייבר הממשלתי בישראל החלה כבר ב-2011 עם הקמת מטה הסייבר הלאומי במשרד ראש הממשלה, הגוף האחראי להטוויית מדיניות והמלצות ולתיאום בין הממשלה והגורמים האזרחיים. בשנה שעברה עלה מערך הסייבר שלב עם הקמת רשות הסייבר, שצפויה לתקציב שנתי של 200–150 מיליון שקל, ואחראית ליישום מדיניות הסייבר והענקת סיוע לגופים אזרחיים.
פעילותה של הרשות מתחלקת בין שני גופים: הראשון הוא CERT - מרכז תגובה וסיוע במקרי של אירועי אבטחת מידע; השני הוא SOC, שנועד להתמודד עם איומים וליישם פעילות נגד תוך שיתוף פעולה עם חברות פרטיות וגופי ביטחון. במובן זה פעילות רשות הסייבר הישראלית שונה מגופים מקבילים בארה"ב או אירופה, שאחראים רק לניהול התראות ואספקת מידע, ולרוב לא מתמודדים בעצמם את איומים אלא משאירים את אחריות זו לרשויות אכיפת החוק או חברות פרטיות.
אלא שבפועל לרשות הסייבר אין שום סמכות אכיפה מול החברות הפרטיות שחוות תקיפות רשת, ואלו אינן מחויבות לפנות אליה. במקום זאת הרשות נאלצת לסמוך על נכונותם של גורמים במשק להשתמש בה כגורם מסייע. "יש היעדר של תקינה לשירותים, מוצרים וספקים. אנחנו רוצים להנגיש שירותים בתקינה וולנטרית", הבהיר רפאל פרנקו, ראש האגף למגזר האזרחי ברשות הסייבר, בדברים שנשא במהלך הכנס. לעומת ישראל, בארה"ב ובאירופה חברות דווקא מחויבות לדווח על מתקפות האקרים שפגעו בהן, אם כי לא תמיד הן עושות כן ולא אחת פריצות מתגלות רק בדיעבד.
"חברות לא מעוניינות שהמדינה תתערב להן בעניינים ללא צורך, בטח כשמדובר בנושאי סייבר", פקפק גורם בכיר בתחום אבטחת המידע באחת מחברות הייעוץ הגדולות בעולם. "חברות שהותקפו חוששות שברגע שהמדינה תיכנס לעניינים, וברגע שתהיה רגולציה שתפקח עליהן, הן עשויות למצוא את עצמן מואשמות בתוצאות התקיפה. אף אחד לא רוצה לחטוף קנס או סנקציות".
עם זאת, לדבריו חוסר הרצון להסתייע בגורמי מדינה נובע מחששות ממשיים יותר מפחד מפני ענישה. "טיפול באירוע סייבר כולל העברת מידע, והחברות פשוט לא סומכות על המדינה שתדע להגן על המידע שלהן", אמר. "אירוע סייבר פוגע בחברה כספית, עסקית וגם במוניטין. אלה נתונים רגישים שלא בטוח שחברות ירצו לראות אותם מאוחסנים אצל גורם ממשלתי. הסכנה והנזק הפוטנציאלי גדולים במקרה והמידע יזלוג החוצה איכשהו".
במקום לפנות לסיוע מרשות הסייבר, חברות רבות מעדיפות לפנות לסיוע בשוק הפרטי, שמסוגל לספק מענה לרוב המוחלט של הדרישות בתחום, החל מהקמת מערך אבטחת מידע ועד ניטור וניהול אירועים מתפתחים. "הקמת מרכז התראות לאומי הוא בזבוז של כסף", טען גיא מזרחי, מנכ"ל חברת אבטחת המידע סייבריה. "זה שירות שחברות יכולות לקבל בשוק הפרטי בעלויות זניחות (מאות עד אלפי דולרים בודדים - ר"ק)"
חובת דיווח מוטלת רק על פריצות למאגרי מידע
היעדר חובת דיווח אחידה על גופים עסקיים שנופלים קורבן לתקיפות רשת הפכה את הרגולציה בתחום אבטחת המידע לסוג של גבינה שוויצרית. רשויות הביטחון כגון השב"כ, משרד הביטחון וצה"ל מספקים הגנה לעצמם ולתשתיות קריטיות. חוק חדש שצפוי להיכנס לתוקף בשבועות הקרובים יעביר לידי רשות הסייבר חלק מסמכויות השב"כ בתחום אבטחת הרשת, באופן שיהפוך אותה לרגולטור עבור חלק מגופי התשתית, בהם מאגרי הגז תמר ולוויתן וחברת החשמל. אך החוק לא אומר בצורה אם הרשות צריכה רק לפקח על יישום המדיניות או לאכוף את היישום בפועל.
נוסף לאלה, גופים פיננסיים כמו הבנקים וחברות הביטוח כפופים לרגולציה של בנק ישראל ורשות שוק ההון (בעבר הפיקוח על הביטוח במשרד האוצר). אך יתר החברות במשק אינן כפופות לשום חובת דיווח על תקיפות רשת, למעט במקרים של פריצות למאגרי מידע. תקיפות למטרת גניבת שמות משתמשים, ריגול או דרישות כופר לא חייבות בשום דיווח. גם אם לידי רשות הסייבר מגיע מידע על פריצות רשת לחברה, אין לה בשלב זה שום סמכויות לכפות חקירה או אכיפה. משטרת ישראל, שהיא הגוף היחיד בשלב זה שמוסמך לחקור פשעי רשת, ספגה ביקורת חריפה ממבקר המדינה על ניהול מערך הסייבר שלה, שאפילו לא מקטלג את תקיפות הרשת בנפרד מעבירות פליליות.
בחברות הביטוח מקדמים מצדם סוג של רגולציה עקיפה. "חברת ביטוח יכולה לחייב מבוטח ברף מסוים כדי לקבל ביטוח", הסביר שי סימקין, מנכ"ל סוכנות הביטוח האודן ישראל. "זה כמו ביטוח על רכב או בית - האם היית מתקין קודן או אזעקה אם הביטוח לא היה מחייב אותך?". אך פוליסות הביטוח לא מחייבות בדיקה תקופתית של אמצעי הסייבר והוכחה של האפקטיביות שלהם.
האתגרים שרשות הסייבר הצעירה מתמודדת איתם רבים. אם לא תצליח לשכנע את השוק הפרטי שכדאי לו לעבוד איתה, בין אם בהתנדבות ובין אם מתוקף חובת דיווח, קשה לראות אותה מצדיקה את קיומה.