חדשות טכנולוגיה

בלי יד מכוונת: אומת הסייבר נחשפה בחולשתה

הפריצה לחברת שירביט חשפה את מערך ההגנה של ישראל במערומיו. שלל גופים – ממערך הסייבר, דרך הרשות להגנת הפרטיות ועד היחידה להגנת הסייבר – לא תיפקדו כמצופה. זו התוצאה כשלאף גורם אין סמכות גורפת, מספר הגופים רק גדל והחקיקה נותרת מיושנת מאחור ומתירה קנס של 25 אלף שקל בלבד לרשות לפרטיות

רפאל קאהאן, עומר כביר ועמיר קורץ 06:4707.12.20

מערך ההגנה המורכב של ״אומת הסייבר״ נחשף השבוע במערומיו. על אף שלישראל יש מספר לא מבוטל של מערכים, רשויות ויחידות שהמילה ״סייבר״ מוצמדת לשמם, גם שבוע אחרי הפריצה לשירביט עדיין לא ברור מי מהם אחראי לטיפול באירוע כזה ובעיקר מה נעשה כדי למנוע את הפעם הבאה.

 

לישראל יש את כל הכלים שמאפשרים לה להילחם ביעילות באיומי סייבר. אבל כדי שאלה יפעלו כראוי צריך ראש שיתווה מדיניות ברורה ומעטפת משפטית וחוקית שתסדיר את הסמכויות של כל גורם, ואת זה אין כיום בישראל. למרות שלל הנעלמים והביקורת על התנהלותה של שירביט באירוע הפריצה ואחריו, החברה אינה האשם היחיד באירוע. למעשה, כל שרשרת הגורמים שאמורים לסייע ולהיאבק באיומי ואירועי סייבר לא תיפקדה כפי שהיה מצופה ממערך מסודר.

 

 

״כמו שהתפקיד של המדינה הוא להגן על אזרחים מפריצות לבתים, כך היא צריכה להגן על אזרחים גם מפריצות סייבר״, אומר ל"כלכליסט" ההאקר נעם רותם, שחשף בין השאר את פרשת אלקטור בה פנקס הבוחרים של הליכוד דלף לרשת.

 

מימין: מנכ"ל שירביט צביקה ליבושור וההאקר נעם רותם. "לא קיימים נהלים" מימין: מנכ"ל שירביט צביקה ליבושור וההאקר נעם רותם. "לא קיימים נהלים" צילום: יוטיוב, עמית שאבי

 

הבעיה, מסביר רותם, היא היעדר מדיניות כוללת בנושא: ״המדינה הוציאה כל מיני המלצות להתמודדות לפני ואחרי, אבל אלו דברים ברמה הטכנית, כמו תדאגו לשים אנטי וירוס. אבל ברמת המדיניות לא קיימים נהלים. נניח שיש לי ארגון שמחזיק מידע של עובדי מדינה, מה הטקטיקה של מו"מ במקרה של מתקפת כופר? מי אחראי לניהול המו"מ? מה מותר לתת ומה לא? נהלים כאלו לא קיימים. מפילים את האחריות על חברות פרטיות, בלי מדיניות ברורה מצד גופי המדינה שזה התפקיד שלהם״.

 

קנס של 25 אלף שקל

 

מערך הסייבר, הרשות להגנת הפרטיות והיחידה להגנת הסייבר במשרד הדיגיטל החדש (וחסר הסמכויות) הם רק חלק מהגופים השונים שטומנים ידם בצלחת הסייבר הלאומית, אבל לאף אחד מהם אין סמכות גורפת על השאר. זהו כנראה עוד ביטוי של הרעה החולה הידועה שבה כל גורם מנסה לשמור על חלקת האלוהים הקטנה שלו ולעזאזל עם כל השאר.

 

מערך הסייבר הלאומי למשל אחראי על הגנת מרחב הסייבר האזרחי של מדינת ישראל, על המדיניות במרחב זה, על בניין הכוח הלאומי בתחום הסייבר ועל קידום וביסוס עוצמתה של ישראל בתחום. המערך הוא הגוף החשוב ביותר במשוואה הזו. הוא כפוף ישירות למשרד ראש הממשלה ומשמש כגורם מקצועי מייעץ לרה''מ בכל הנוגע למדיניות הסייבר הלאומית. כיום עומד בראשו יגאל אונא, לשעבר בכיר בשב''כ שגם ניכס למערך (ובצדק) חלק מהסמכויות שהיו בעבר שמורות לשירות הביטחון, וביניהן הגנה ופיקוח על משרדי ממשלה, ביטוח לאומי, רשויות שונות וכן חברות ממשלתיות.

 

המערך הוא גוף מתקדם יחסית ולו שלל יחידות וביניהן המכלול המבצעי העוסק בהגנת המשק כאשר מתרחשות תקיפות משמעותיות ברמה הלאומית. המכלול עובד עם גופי הביטחון והמשטרה. למערך הסייבר אין סמכויות אכיפה משלו והוא מספק שירותי ייעוץ, הנחיה והכוונה בלבד. כמו כן המערך אינו יכול לקבוע מדיניות או לפקח על יישומה. בסופו של דבר מדובר בגוף מייעץ בעיקר, שלו גם יכולות פיתוח טכנולוגיות. בנוסף המערך אחראי על המרכז הארצי לניהול אירועי סייבר (CERT) שמטפל באירועי סייבר במרחב האזרחי במדינה. כמו כן הוא מפעיל קו חירום בחינם – 119 – שמיועד לדיווח על אירועים ולסיוע במידע לחברות ואזרחים.

 

במשרד המשפטים אפשר למצוא את הרשות להגנת הפרטיות והיא הגורם המשמעותי העיקרי שעוסק בהגנה על מאגרי מידע בישראל. במקור הרשות נקראה בשם רמו''ט (הרשות למשפט, טכנולוגיה ומידע). מדובר בגוף מייעץ בלבד בשלב הזה. ולא באשמתו. חוק הפרטיות המסדיר את סמכויותיו אמנם כולל סעיפים המעניקים לרשות סמכויות אכיפה, כמו למשל אלה של רשות האכיפה והגבייה של משרד האוצר, אך בפועל התקנות הנלוות לחוק הפרטיות שחוקק עוד ב־1981 לא מעניקות לרשות שיניים. כך למשל היא לא יכולה לקנוס או להטיל עיצומים משמעותיים על אלה העוברים על החוק. היא יכולה להמליץ על העמדה לדין בדומה למשטרה או על תביעה אזרחית. החוק כן קובע שיש לבעלי תפקידים במשק אחריות אישית ואף קובע עונש של עד שנת מאסר למי שנמצא אחראי, למשל.

 

עם זאת לרשות הפרטיות יש הרבה יותר שיניים מאשר למערך הסייבר. ב־2017 אישרה ועדת החוקה, חוק ומשפט של הכנסת את תקנות הגנת הפרטיות (אבטחת מידע), שקבעה שרת המשפטים דאז, ושמפרטות את האופן שבו מיושמת חובת אבטחת המידע המוטלת בחוק על כל גורם המנהל או מעבד מאגר המכיל מידע אישי. התקנות קובעות מנגנונים ודרישות שמטרתם הפיכה של אבטחת המידע לחלק מניהול כל ארגון או חברה. בין שאר החידושים, מטילות התקנות חובת דיווח על אירועי אבטחה חמורים לרשות להגנת הפרטיות ולפי דרישתה גם לאנשים שעליהם המידע שנחשף. על פי הודעת הרשות, במקרה הנוכחי שירביט אכן דיווחה כנדרש על האירוע לרשות כמו כן לנפגעים על דליפת הנתונים שלהם.

 

בנוסף, במשרד הדיגיטל הלאומי פועלת רשות התקשוב הממשלתית, יחידה פנימית של רשות התקשוב הממשלתי. אולם למעשה אין לה סמכויות מעבר לניהול ההגנה בפועל של מערך המחשוב הממשלתי. מעבר לגופים האלה המהווים את עיקר המערך הממשלתי, לכל רגולטור בתחומו יש סמכות לקבוע גבולות גזרה עבור כל סקטור שעליו הוא מופקד. כך למשל המפקח על הביטוח ורשות ההון, המפקח על הבנקים ומשרד הבריאות אמונים על התווית הנחיות לחברות ולארגונים הסקטוריאליים השונים הנמצאים תחת פיקוחם. בפועל לא ברור אם הגופים האלה בכלל דואגים לבדוק האם הנחיותיהם מיושמות בשטח. לרוב הפרות מתגלות רק לאחר מעשה. גם הפיקוח על הבנקים וגם הפיקוח על הביטוח כתבו כבר לפני כמה שנים מסמכי הנחיות ברורים בכל הנוגע לתחומי אחריות וליישום בפועל של מדיניות אבטחת מידע, אך עד כה לא ברור כמה מהארגונים בישראל אכן עומדים בהנחיות האלה. הפריצה לשירביט כמו גם מספר אירועי סייבר קודמים, מראים שלא תמיד ברור מי מיישם אותם בפועל.

 

"במסגרת הליך האכיפה המנהלי שפתחנו אנו בוחנים האם חברת שירביט הפרה את הוראות חוק הגנת הפרטיות – האופן בו היו הגיבויים, החיבורים, ההרשאות, הסיסמאות, המערכות, הכלים, הנהלים ואפילו גיוס האנשים לארגון. למעשה אנו בוחנים את המוכנות של החברה לפני האירוע ואת פעילותה לאחר שנודע לה על כך וכמובן את מידת הפגיעה בלקוחות עקב דליפת המידע", אומר ל"כלכליסט" עלי קלדרון מנהל מחלקת האכיפה ברשות להגנת הפרטיות.

 

לדברי קלדרון, "ברגע שהחל האירוע שירביט ניתקה את החיבורים שלה למערכות חיצוניות, אינטרנט ומערכות תקשורת אחרות, ואנו נאשר לחברה לחבר אותן מחדש רק אחרי שהמצב יאפשר זאת –  כלומר נאשר את החיבור של מאגרי המידע של החברה למערכות החיצוניות רק אחרי שיבוצעו פעולות שמבחינתנו ימנעו את ההישנות של תקיפות שעלולות להביא לדלף מידע אישי נוסף או ימנעו את ההרחבה של האירוע".

 

ההליך שפתחה הרשות הוא הליך אכיפה מינהלי, סמכות המוקנה לה בחוק (לצד הליך פלילי, שאינו רלוונטי באירוע זה). הבעיה שהחוק הנוכחי, שהוא בן כ־40 שנה לא באמת מרתיע, והקנסות המירביים שמוסמכת הרשות להטיל על חברות המפרות אותו מגיעים ל־25 אלף שקל בלבד לכל היותר עבור כל הפרה, סכום שאינו מרתיע דיו.

 

 

"מגיבים באיומים"

 

"אירועי כופרה קיימים כבר הרבה שנים ברחבי העולם, וגם בישראל מדובר בטרנד שצובר תאוצה״, אומר רותם. "יש מקום להנחיות מצד המדינה כיצד להתמודד עם אירוע כופר בקנה מידה כזה״. רותם מציין שהבעיה אינה השגת המידע: ״הרשת מחוררת ומי שרוצה מידע ישיג אותו. הבעיה היא המוניטיזציה שלו. ברגע שהמדינה מכריזה כחוק שאסור לשלם כופר על מידע גנוב הפושעים יחשבו פעמיים. כל עוד אין מדיניות וכל ארגון מחליט בעצמו, ככה זה נראה".

 

רותם רווי ניסיון של שנים בהתמודדת הן עם גופים ממשלתיים והן עם חברות וארגונים במגזר הפרטי. למעשה הוא והאקרים ״לבנים״ כמוהו מאתרים פירצות ומדווחים עליהן לחברה. הפרקטיקה הזו נפוצה כל כך ברחבי העולם שלחברות בינלאומיות מובילות יש לעיתים ״מחירון״ שלפיו הן מתגמלות האקרים כאלה. בישראל, מספר רותם, המצב שונה לחלוטין. במקום להודות להאקרים ולתגמל אותם חברות ישראליות מגיבות באיומים.

 

"דיווח על פרצה במערכות מחשוב דורש הרבה השקעה ואנרגיה", מספר רותם. "צריך לשכנע את המנכ"ל, ואם אין התעלמות מוחלטת יש לא פעם איומים בתביעות, בהגשת תלונה למשטרה או בפנייה לשב"כ. עד היום, במשך שנים, אף חברה לא הציעה לי שום תמורה. לרוב התגובה היא איומים ובמקרה הטוב איזו תודה רפה. חברות בינלאומיות, כולל חברות ישראליות שלא פונות לקהל ישראלי, לוקחות את העניין ברצינות. הן מבינות שחוקרי אבטחה עצמאיים הם חלק מהמשחק ושאם לא יתנו אפשרות לדווח להן, בלי חשש מהשלכות של איומים ועו"דים, פשוט לא ידווחו להן. וזה מה שקורה כאן בארץ".

 

איך התנהלה העבודה מול מערך הסייבר, כשהיית מדווח להם על פרצות אבטחה?

"זה היה מאוד חד־כיווני. אף אחד ממערך הסייבר מעולם לא פנה אליי או דיבר אתי ביוזמתו, לא עדכנו אותי על מה קורה או מה שלא קורה. עושים טובה כשמקשיבים".

 

בעצם לגופים האלה אין סמכות אכיפה או ענישה, זו בעיה?

"זה נושא מאוד רגיש. מצד אחד, חשוב שתהיה איזו סמכות שמטרתה לאבטח את מרחב הסייבר הישראלי. מצד שני אני לא בטוח שהישות הזו צריכה להיות ממשלתית, כי אני לא יודע אם נכון שלמדינה תהיה סמכות לחטט במידע אזרחי. יש חלופות שנותנות מענה לחלל הזה, שמצד אחד מישהו צריך לקחת אחריות ולאכוף סטנדרטים, ומצד שני אני לא רוצה שזה יהיה שב"כ. אפשר למשל להקים רשות אינטרנט כמו שיש את רשות החשמל ורשות המים".

 

בעולם השכילו להבין שאיום הסייבר לא הולך לשום מקום. בניגוד לישראל, האיחוד האירופי, למשל, התאים את חוקי הפרטיות שלו לעידן המודרני וקבע אחריות מדויקת ופלילית לכל הפרה של הגנה על מידע ונתונים. חוק ה־GDPR הידוע של האיחוד קבע גם קנס מקסימלי של עד 4% מהמחזור השנתי על חברה שיתברר שלא עמדה בדרישות החוק. וכל זה ללא צורך בתביעה נפרדת בבתי המשפט אלא רק על בסיס פעולת חקירה של גורמי האכיפה השונים. החוק כבר יושם במספר מקרים אך עד כה אף חברה עדיין לא "זכתה" לקנס המקסימלי שכנראה נועד בעיקר להרתיע.

 

בארה"ב החוק אמנם פחות אחיד וסמכויות האכיפה הפדרליות מונחות בד''כ על ידי ה־FBI, רשות הסחר ורשות ההון. אך לכל מדינה יש גם סמכות לקבוע את חוקי הסייבר המקומיים שלה. כך למשל חוק הפרטיות שנחקק לאחרונה בקליפורניה משמש כיום כמעין בסיס אליו שאר המדינות מתאימות את עצמן. הוא אמנם פחות חמור ממקבילו האירופי אך הוא הוא הפחיד מספיק את גוגל, פייסבוק ואמזון כדי שאלה ינסו לפעול במרץ כדי לנסות לרכך אותו.

 

מהרשות להגנת הפרטיות נמסר בתגובה: "בכל מקרה של התרחשות אירוע אבטחה חמור בגוף כלשהו, חלה עליו חובת דיווח לרשות, כפי שאכן נעשה במקרה זה. לאחר קבלת דיווח פועלת הרשות בהתאם לסמכויותיה".

 

ממערך הסייבר נמסר שהוא מלווה את חברת שירביט, מבצע חקירה פורנזית, ושלא לקח כל חלק בהחלטות החברה בנושא הסחיטה. תגובת המערך מעידה על כך שאין סמכות אחת שמרכזת את הטיפול באירוע, אלא מספר רב של גופים שכל אחד מהם אחראי על היבט אחר שלו. מהמערך נמסר שהוא ״אמון על היבטי החקירה של מתקפת הסייבר עצמה, בעוד שהרגולטור (רשות שוק ההון) פועל מול החברות השונות בהתאם לסמכויות שניתנו לו״.

 

* * *

 

דו"חות שירביט לפני המתקפה

 

"העבודה מהבית מגדילה את הסיכון לתקיפות סייבר"

 

דו"חות שירביט לרבעון השלישי של שנת 2020, שפורסמו ימים אחדים לפני תקיפת שרתי החברה, חושפים כי היא הייתה מודעת לחולשתה מול תקיפות סייבר, בשל המעבר לעבודה מהבית בעקבות משבר הקורונה.

 

בשלב זה לא ניתן למצוא את הדו"חות כיוון שאתר החברה חסום, ודו"חות אלה טרם עלו לאתר רשות שוק ההון. הדו"חות צפויים להתפרסם היום באתר רשות ההון. העלאתם לאתר הרשות התעכבה כיוון ששירביט לא הספיקה לשלוח את הדו"חות לרשות לפני התקיפה שהשביתה את שרתיה, ולכן ביצעה בימים האחרונים את העברתם לרשות באופן ידני.

 

ואולם הדו"חות הגיעו לידי "כלכליסט". "המעבר לעבודה נרחבת של עובדים מהבית והשימוש במגוון של טכנולוגיות, מגדיל את הסיכון לתקיפות סייבר ואת חשיפת החברה להתממשות סיכוני סייבר", נכתב בדו"חות. "אירוע סייבר עלול לגרום נזק לחברה ולמידע שלה ולשבש פעילות".

 

על אף שמידע זה לא מופיע בדו"חות, שירביט טוענת כי היא מבוטחת בביטוח סייבר אולם מסרבת למסור מי הגוף המבטח בטענה שמדובר במידע עסקי חסוי.

 

בסך הכל, הציגה שירביט במסגרת הדו"חות שלה, נתונים כספיים נאים, עם עליה של יותר מפי שלושה ברווח הכולל לרבעון השלישי. הרווח הכולל ברבעון זה עמד על 10.5 מיליון שקל לעומת רווח 2.8 מיליון שקל בלבד בתקופה המקבילה אשתקד. עוד דיווחה החברה על יחס כושר פרעון הגבוה ביותר בענף הביטוח - 238%.

 

היקף הפרמיות ברבעון השלישי ירד ב־6.7% בעיקר בשל הקיפאון בתחום ביטוחי החו"ל שנבע מהמשבר, וכן בגלל שחיקת המחירים בביטוחי רכב, תחום הפעילות המרכזי שלה. הפרמיות לרבעון השלישי הסתכמו ב־109.3 מיליון שקל בהשוואה ל־117.3 מיליון שקל בתקופה המקבילה.

נעמי צורף

x