המדינה כשלה בטיפול בסייבר והחברות ממציאות מתקפות טרור

בפברואר השנה נחשפה ב״כלכליסט״ פרשת אלקטור שבה דלף לרשת מידע מפנקס הבוחרים של הליכוד. לחשיפת הפרשה היה אחראי ההאקר נעם רותם, וגם אחרי פרסומה לא נעשה כמעט דבר בנידון מלבד חקירה של הרשות להגנת הפרטיות בנושא.

היום מספר רותם ל״כלכליסט״ שהטיפול באותה פרשה היווה קו פרשת מים עבורו. הוא הבין אז שהעבודה שהוא עושה ללא תמורה במשך שנים, שבמסגרתה הוא מזהה פרצות אבטחה חמורות בגופים שונים ומדווח עליהן כראוי לגופים הרלבנטיים ולמערך הסייבר במטרה שיתוקנו, לא מצדיקה את התגובות שלהן הוא זוכה. "יש כשל משמעותי אצל הגופים הממשלתיים בטיפול באירועים מהסוג הזה", הוא אמר הבוקר.

"מדובר על מאות דיווחים שגם אני וגם הקולגות שלי העברנו בשנים האחרונות, ופשוט לא קרה כלום. כמה שהבאנו נתונים, לא חשד או חולשות אלא מידע של ממש שדלף על מיליוני ישראלים, לא נעשה שום דבר. לא ברמת הפרטיות, לא ברמת הגנת המידע, כלום. פרט לכמה איומים מרומזים משלל גופים וארגונים. זו לא העבודה שלי ואני לא צריך את הכאב ראש הזה".

רותם מזהה קו ישיר שמחבר בין התגובה הכושלת של המדינה בפרשת אלקטור לבין הפרצה לשירביט והאירועים שמתנהלים סביבה כיום, וסבור שהכשל כאן הוא לא של שירביט לבדה, אלא חלק מבעיה מערכתית עמוקה הרבה יותר, שנוגעת לגופים רבים במשק הישראלי ולגופי הממשל שאמורים לפקח עליהם בתחום הסייבר. התנהלות העבר של המדינה בסוגיות אלו, והתנהלות העתיד אם לא יבוצע שינוי משמעותי, מבטיחות לתפיסתו שהאירוע של שירביט לא יהיה האחרון מסוגו.

לרותם ניסיון ארוך שנים עם פריצות לגופים גדולים. כהאקר עצמאי, הוא זיהה מספר רב של פרצות חמורות יותר ופחות, חלק ניכר מהן נחשפו ב"כלכליסט". הוא מכיר את התחום היטב ויש לו מכ"ם מובנה לזיהוי הברברת שחברות מפיצות כשהן נתפסות בקלקלתן. לכן, הוא מתקומם בכל פעם שהוא שומע את שירביט טוענת שהפרצה למערכותיה היא פעולת "טרור".

"העובדה שזה קרה עכשיו בישראל אין בה שום דבר מיוחד", הוא מסביר. "הניסיון להוריד את האחריות מהחברה ומהגוף המפקח שלא בדק אותה ולקרוא לזה טרור הוא משהו שאני מדבר עליו כבר שנים. סייבר זה לא מדע טילים - יש סט של דברים שצריך לעשות ודברים שלא צריך לעשות, ובמקרה הזה היה כשל בחברה הנפרצת. וכמו החברה הזו, יש עוד מאות גופים במדינת ישראל שחשופים לפרצות. כל מה שהם צריכים לעשות זה את העבודה שלהם, במקום לחכות שיפרצו להם ואז לצעוק שמדובר בטרור".

בפוסט שפרסם רותם בנושא, הוא הבהיר שהמידע שחשפו הפורצים אינו יוצא דופן או רגיש במיוחד, ולדבריו לו היה ארגון טרור מבקש לבצע פיגוע סייבר, הוא עצמו מכיר לפחות עשר מטרות מוצלחות יותר ופגיעות יותר, שלחדירה אליהן יהיו השלכות קשות יותר. "כשכל תעשיית הסייבר הישראלית מבוססת על יוצאי ארגונים ממשלתיים אפלים, כל מקרה סייבר מצטייר כמו פיגוע טרור בינלאומי כי זה פשוט הדבר היחיד שהם מכירים", הוא טען.

רותם סבור כי כדי למנוע פריצות עתידיות מספיקות כמה פעולות בסיסיות, כמו התקנת עדכוני אבטחה על מערכות החברה השונות. אף שפרצות חדשות מתגלות מדי יום, רבים ממקרי דליפת המידע הם תוצאה של פרצות מוכרות וידועות היטב, כאלו שזוהו מזמן, שעדכוני אבטחה מתאימים להן הופצו ושגופים שונים התריעו מפניהן.

בספטמבר 2019, למשל, פרסמתי ב"כלכליסט" בדיקה שערך רותם, ושזיהתה פרצת אבטחה ידועה בעשרות גופים במשק הישראלי, בהם משרדי ממשלה, גופים פיננסיים וחברות ביטוח. פרצה זו זוהתה ברחבי העולם באפריל 2019, ומערך הסייבר הישראלי אף פרסם אזהרה מקומית באוגוסט אותה שנה. אף שתיקון הפרצה הוא עניין של כמה שעות בלבד, אף גוף מאלו שאוזכרו בכתבה לא טרח לבצע אותו כהלכה ולחסום את הפרצה טרם פניית "כלכליסט" (חלקם, אף הכחישו את קיומה במערכותיהם ונאלצו להודות בכך רק אחרי שהוצג להם מידע פנימי שדלף מהן).

בשלב זה לא ידוע עדיין איך חדרו ההאקרים למערכות שירביט. אך אם הם עשו זאת באמצעות פרצה שהיתה כבר ידועה ושהחברה כשלה בטיפולה, אף אחד לא יופתע. בדיוק כפי שכל הפרשה, כולל ההתנהלות סביבה, אינה נטולת תקדים בתחום הסייבר העולמי. "אמנם רק עכשיו מתרחש אירוע סייבר עם פרופיל ציבורי גבוה, אך מערך הסייבר עצמו דיווח שהשנה היו יותר מ-200 אירועי כופרה שכאלה", אמר רותם לדו"ח טכנולוגי. "ההבדל היחיד כאן הוא הפרופיל הציבורי, ולעניות דעתי זה נעשה על מנת לשלוח מסר לבאים בתור. והבאים בתור כבר מוכנים. זו לא שאלה של האם זה יקרה, אלא מתי זה יקרה.

"ברגע שאתה מייצר פרסונה של ארגון שלא יהסס לפגוע, המנכ"ל הבא שיקבל פנייה מאותו ארגון יחשוב אם הוא רוצה להיות השירביט הבאה או לשלם כמה שקלים שיהיו משמעותיים פחות מהנזק ששירביט כבר ספגה (בהיבטים כמו פגיעה תדמיתית, קנסות רגולטוריים וכו' - ע"כ). זו עוד דרך לעשות כסף. לא טרור, אלא סוג של פשיעה. אלו דברים שקיימים בעולם, אף אחד לא המציא פה שום דבר".

וזו בדיוק הנקודה שבה מתגלה גם הכשל של המדינה בכל הנוגע לתחום הגנת הסייבר, הוסיף רותם: "אירועי כופרה קיימים כבר הרבה שנים ברחבי העולם, וגם בישראל מדובר בטרנד שצובר תאוצה. המדינה פרסמה כל מיני המלצות להתמודדות לפני ואחרי, דברים קטנים שניתן לבצע ברמה הטכנית, כמו לדאוג להתקין תוכנת אנטי-וירוס במחשבים המשרדיים. אבל מה לגבי טיפול במדיניות? נניח שיש לי ארגון שמחזיק במידע של עובדי מדינה. מה הטקטיקה של המו"מ במקרה של מתקפת כופר? מי אחראי לניהול המו"מ? מה מותר לתת ומה לא? נהלים כאלו לא קיימים. מפילים את האחריות על חברות פרטיות, בלי מדיניות ברורה מצד גופי המדינה שזה התפקיד שלהם.

"כמו שהתפקיד של המדינה הוא להגן על אזרחים מפריצות לבתים, כך התפקיד שלה הוא להגן על אזרחים מפריצות למערכות. יש מקום להנחיות מצד המדינה להתמודדות עם אירוע כופר בקנה מידה כזה. הבעיה היא פחות המידע, כי הרשת מחוררת ומי שרוצה אותו יהיה לו. הבעיה היא המוניטיזציה שלו. ברגע שהמדינה מכריזה כחוק שאסור לשלם כופר על מידע גנוב, הפושעים יחשבו פעמיים. כל עוד אין מדיניות וכל ארגון מחליט בעצמו, ככה זה נראה".

היעדר מדיניות ממשלתית מובנת משקף במידה רבה את הגישה הרווחת במשק ביחס להגנת סייבר, שבמסגרתה גופים רבים לא רואים בתחום סוגיה מהותית בליבת הפעילות שלהם אלא משהו נלווה ולא מרכזי במיוחד. גישה זו גם משתקפת ביחס של גופים שונים לחוקרי אבטחת מידע והאקרים עצמאיים שמדווחים להם על פרצות אבטחה שזיהו במערכותיהם. במקום להודות להם, לתגמל אותם ולהפנים את הצורך באבטחת המערכות - הם מגיבים בחשדנות ובתוקפנות.

"דיווח על פרצה במערכות מחשוב דורש הרבה השקעה ואנרגיה", סיכם רותם. "צריך לשכנע את המנכ"ל, ואם אין התעלמות מוחלטת, האקרים שחושפים ליקויים כאלה זוכים לא פעם לאיומים בתביעות, בהגשת תלונה למשטרה או בפנייה לשב"כ. חברות בינלאומיות, כולל חברות ישראליות שלא פונות לקהל ישראלי, לוקחות את העניין ברצינות. הן מבינות שחוקרי אבטחה עצמאיים הם חלק מהמשחק, ושאם לא ייתנו אפשרות לדווח להן, בלי חשש מהשלכות של איומים ועו"ד, פשוט לא ידווחו להן. וזה מה שקורה כאן בארץ".

רותם מעריך שכל ההתנהלות סביב פרשת שירביט רק תחריף את המצב, שכן היא צפויה למשוך פורצים וארגוני פשיעה נוספים שינסו לגרוף קופה על חשבון חברות ישראליות ומידע של ישראלים. אם החברות המקומיות ימשיכו לטמון את הראש בחול בשגרה ולהגיב בצרחות "טרור! טרור!" בכל פעם שמתגלה פרצה מביכה במערכותיהן, ואם הגופים הרלבנטיים כמו מערך הסייבר לא יתעשתו ויגבשו מדיניות מסודרת להתמודדות עם אירועים כאלו, הפרצה הבאה, האירוע המביך והמתוקשר הבא, הם לא שאלה של אם אלא שאלה של מתי.