7 באוקטובר הבא? תחזית הסייבר הקודרת של דו״ח המבקר

אנשים נוטים ׳ליפול׳ לתפיסה שגויה לפיה המידע הפרטי שלהם מוגן על ידי האתר שבו הם משתמשים, במיוחד אם מדובר באתר רשמי של המדינה או הרשות המקומית. השבוע זה הוכח אחרת: דו״ח המבקר שפורסם בתחום הגנת הסייבר - אינו מבשר טובות וממצאיו מטרידים, במיוחד לאור העלייה המתמדת בניסיונות תקיפות סייבר נגד אתרים ישראלים וסמלי ממשל. במסגרת הדו״ח, דווח כי הגנת הסייבר של רשויות מקומיות רבות סובלת מפערים משמעותיים, ובהם היעדר תוכנית עבודה להתמודדות עם אירועי סייבר וחוסר בתקציב ייעודי לאבטחת מידע.

מדובר בעניין המעוגן בחוק. זה מחייב מילת הקדמה על ״חוק הגנת הפרטיות״, הקובע שורה של חובות ומגבלות החלות על בעל מאגר מידע במטרה להגן על פרטיותם של האנשים שמידע אודותיהם קיים בו. במילים אחרות, על כל בעל מאגר מידע מוטלת החובה לאבטח אותו כראוי. אך עם זאת, לא קיים סטנדרט רשמי של המדינה וחמור מכך - אין אכיפה משמעותית בכלל ובפרט באתרים הרשמיים של המדינה ובאתרים של תשתיות קריטיות כמו מערכות אנרגיה, בריאות ופיננסים. במציאות שבה כל מערכת מקושרת לאחרות, חדירה למערכת של רשות מקומית יכולה לשמש כשער למתקפות נרחבות יותר, המשפיעות על תשתיות קריטיות כמו מים, חשמל, תחבורה ועוד.

התקפות על תשתיות קריטיות הופכות להיות חלק בלתי נפרד מעימותים צבאיים כפי שאנו רואים במלחמה בין רוסיה לאוקראינה. באמצעות מתקפות סייבר ניתן למנוע ממדינת אויב ומתושביה גישה למערכת סחר וכספים, לחסום תנועות כספים, למנוע העברת הוראות סחר, לאסוף מידע ולחשוף פרטים רגישים, להקפיא חשבונות בנק ומנוע או פשוט להגביל משיכות כספים. המתקפות מתווספות להתקפות קינטיות ומעצימות את הפגיעה במשק האויב. תפקוד המשק במדינה הנתקפת נפגע משמעותית.

יתרה מכך, תחום ההאקינג משתכלל והופך קל יותר מתמיד. מהפכת ה-AI מורידה את רף הכניסה ונוצר מצב בו כל חובבן יכול לתקוף ארגונים ומוסדות. הטכנולוגיה מאפשרת יצירה, יחסית פשוטה, של ׳תקיפות חדשות׳ ומאפשרת למעשה פוטנציאל לקבל הרבה יותר התקפות המיוצרות ע״י הרבה אנשים. הרבה יותר ממה שחווינו עד כה כשהתוקפים היו צריכים להיות מקצוענים כדי לפתוח בקמפיין התקפה מסובך.

נדב אביטל | צילום: אימפרבה

דוגמה טובה לנזק הפוטנציאלי הצפוי אפשר לראות באירוע שקרה במהלך סוף השבוע האחרון בו עדכון תוכנה כושל לאחד ממוצרי חברת הסייבר האמריקאית CrowdStrike גרם לתקלת מחשוב ענקית בשורה של גופים בישראל ובעולם. דוגמה זו, למרות שלא מדובר בהתקפת סייבר, ממחישה את הצורך הקריטי בניהול סיכונים בשרשרת האספקה ואבטחת המידע, כך שארגונים חייבים לוודא כי ספקי התוכנה שלהם נוקטים באמצעי אבטחה מחמירים ולבצע מיפוי מקיף של מערכות המחשוב בארגון ורכיבי התוכנה הנמצאים בהם.

ישנם שני מפתחות עיקריים להצלחה - הראשון הוא בהיערכות מקיפה ובבניית תוכנית סדורה להתמודדות עם איומי סייבר. הרשויות המקומיות חייבות להשקיע בתקציבים ייעודיים להכשרת כוח אדם מיומן, להתקנת מערכות הגנה מתקדמות ולבניית מערך תגובה מהיר ויעיל למתקפות סייבר. בלי צעדים אלו, הן ימשיכו להיות פגיעות, והנזק הפוטנציאלי ימשיך לגדול. המפתח השני הוא בעדכון החקיקה ובאכיפה נוקשה כלפי ארגונים כולל רשויות מקומיות. לכן, כל עוד המצב לא ישתנה והמדינה לא תכריח ארגונים להפנים את חובתם לאבטחה ולהטמיע פתרונות שינטרו גישות חריגות למידע רגיש – נמשיך לראות פריצות שעלולות להוביל לדלף נתונים, מסמכים מסווגים ואף השבתה כללית של מערכות קריטיות.

חוסר המוכנות של הרשויות המקומיות הוא בעיה דחופה הדורשת פעולה מיידית. יש לנקוט בצעדים מתאימים להבטחת ההגנה על התשתיות המקומיות, לעדכן חקיקה, לדאוג לאכיפה, להכשיר צוותים מיומנים ולהתקין מערכות הגנה חכמות. השקעה בעתיד הסייבר של הרשויות המקומיות היא לא רק צורך, אלא חובה.

נדב אביטל הוא ראש קבוצת מחקר ואיומים בחברת אימפרבה