האזעקות ששיבשו את שגרת חייהם של תושבי ירושלים ואילת הן, ככל הנראה, תוצאה של מתקפת סייבר לא מתוחכמת במיוחד אשר ניצלה חור אבטחת מידע בהקמת מערכות הכריזה המקומיות. האירוע הזה הינו קצה הקרחון של שגרה יומיומית של ניסיונות לתקיפות סייבר, אליה חלק גדול מאזרחי ישראל נחשפים בשנים האחרונות. סקר שערך איגוד האינטרנט הישראלי לפני כמה חודשים גילה נתון מדהים לפיו 49% מהאזרחים, או קרובי משפחה שלהם, דיווחו שסבלו מפגיעת סייבר מסוגים שונים.
- חשד למתקפת סייבר על מערכות כריזה בירושלים ובאילת
- שורת אתרי ממשלה קרסו בזה אחר זה, המשרדים עודכנו: זו מתקפת סייבר
יש לפתוח בצפירת הרגעה מסויגת - מתקפת הסייבר על מערך האזעקות לא פגעה בתשתית שמדינת ישראל מגדירה כ"קריטית" כמו חשמל, מים, גז ועוד. כמו כן, לא נפגע מערך ההתרעה הלאומי המופעל על ידי פיקוד העורף. יש הבדל תהומי בין הצלחה של גורם זר לפגוע בפעילות פיקוד העורף ומערכת האזעקות המופעלת על ידו, לבין האירוע המקומי הנוכחי.
יחד עם זאת, האירוע הזה ממחיש פער בלתי נסבל בין יכולות ההגנה המצוינות של המדינה על "תשתית מחשוב קריטית", לבין ההגנה בשאר המגזר האזרחי. ברמת התודעה, האפקט הטרוריסטי יכול להיות דומה, שכן אף שאותן מערכות כריזה בירושלים ואילת אינן מוגדרות כקריטיות, עבור אותם תושבים שנחרדו למשמע אזעקות הדבר לא ממש משנה.
לפני כמה חודשים סערה המדינה כשהאקרים פרצו לחברת אחסון אתרים, שאיחסנה בשרתיה, בין השאר, את אתר ההיכרויות לקהילה הלהט"בית "אטרף", והדליפו ממנו את פרטיהם של ישראלים וישראליות רבים, תוך שימוש במידע האינטימי ביותר שלהם. גם במקרה ההוא ההתקפה לא הייתה על "תשתית קריטית" – אך זה לא מעניין את הצעירים והצעירות, חלקם בארון, שפרטיהם הודלפו ברשתות החברתיות. מבחינתם האישית מדובר במגה פיגוע, פיגוע פרטיות נורא.
הגופים האמונים על הגנת סייבר בישראל, ובראשם מערך הסייבר הלאומי, יכולים ויודעים לפעול במהירות, בנחישות וגם באפקטיביות כאשר מדובר בגופים, בדרך כלל גדולים, הנכנסים לסמכות האסדרה שלו לתשתיות מחשוב חשובות. אך אזרחים ועסקים בינוניים וקטנים, וגם רשויות מוניציפליות וארגוני חברה אזרחית, חשופים מדי יום לניסיונות למתקפות כופר, לפריצה למיילים ולמחשבים, להתקנה של נוזקות שונות, להשתלטות על מאגרי מידע רגישים שקשורים לפעילותם. לגבי אלה, מקומה של המדינה בהגנה כמעט נפקד. יש מקרים בודדים, דוגמת אירוע "אטרף", שהפגיעה בעסק הבינוני עלתה למועדות ציבורית, אך בשאר המקרים נשאר האזרח, או העסק הקטן, לבדו להתמודד עם האירוע ועליו גם להיערך אליו.
האירועים האחרונים של תקיפות סייבר על עסקים קטנים ובינוניים ועל אזרחים פשוטים הראו כי ברוב המקרים היה אפשר למנוע, בסבירות גבוהה מאוד, את הצלחת התקיפה. לצורך כך, יש ליישם מספר כללי אצבע ("עשרת דברות הסייבר"), שיישומם יקשה באופן משמעותי על התוקפים, וישלח אותם לחפש יעד קל יותר.
עשרת דיברות הסייבר לאזרחי ישראל – כך תקשו על האקרים לתקוף אתכם
- הגדירו אימות דו שלבי (2FA – 2 Factor Authentication) בכל יישום המאפשר זאת. למדו עוד איך לעשות זאת.
- הקפידו על עדכונים שוטפים של מערכות ההפעלה, התוכנות והאפליקציות במחשב ובסמארטפון שלכם. העדכונים נועדו לסגור פרצות וחורי אבטחה אותם מנצלים האקרים. להרחבה, קראו כאן.
- התקינו תוכנת הגנה איכותית ודאגו לעדכונה השוטף.
- הגדירו סיסמאות חזקות ושונות לכל יישום. סיסמא חזקה היא כזו המורכבת מאותיות גדולות, קטנות, מספרים וסימנים מיוחדים. אל תשתמשו כסיסמא במספר הטלפון או בתאריך הלידה שלכם או מידע אחר שקל לגלות עליכם. וכשאתם מחליפים סיסמא, אל תעברו לסיסמא "הבאה בתור" (למשל P@ssword1 ואז P@ssword2). ככל שהסיסמא תהיה יותר מורכבת, כך יהיה קשה יותר לנחש ולפרוץ אותה. רוצים לדעת עוד על סיסמאות ואיך לשמור עליהן? הכנסו למדריך שלנו בנושא סיסמאות.
- סיסמאות וקודים הם פרטיים ואין להעבירם. גם אם מישהו מוכר מבקש ממך את הסיסמא הפרטית שלך או קוד אימות שנשלח אליך, לעולם אין למסור אותם. בסבירות גבוהה מדובר בהונאה. ראו למשל שיטת פריצה פופולרית לוואטסאפ שגרמה כבר לחסימה של מאות חשבונות של משתמשים.
- דאגו לגיבוי – לא תמיד ניתן למנוע את הפריצה או הנזק. למניעת עוגמת נפש – דאגו לגבות באופן שוטף את כל הדברים החשובים שיש לכם על המחשב והסמארטפון. המלצתנו היא גיבוי בענן. מומלץ לקרוא את המדריך שלנו בנושא על מנת להימנע מאובדן מידע.
- אל תלחצו על קישורים חשודים. חישדו בכל קישור או קובץ שנשלחו אליכם, אפילו אם נשלח ממישהו שאתם מכירים. לפני שאתם נכנסים לקישור כלשהו, וודאו שכתובת ה-URL שמאחורי הקישור נראית הגיונית. האקרים ייצרו לרוב כתובת שתיראה כמעט דומה למקור. אם הקישור מופיע כקישור מקוצר, וודאו מה הקישור שאליו הוא מפנה באחד מהאתרים לבדיקת קישורים מקוצרים. פישינג היא תופעה מאוד פופולרית וכדאי לדעת מה צריך לעשות (ומה לא כדאי לעשות) כדי להימנע מליפול בפח.
- היזהרו ממתנות חינם או מבצעים מפתים. מה שנראה טוב מכדי להיות אמיתי, הוא כנראה הונאה. עוקץ מתנות מאוד פופולרי.
- קיבלת הודעה מהבנק או מחברה מוכרת עם התרעה או קישור לעדכון פרטים, העדיפו תמיד להיכנס לאתר עצמו ולא באמצעות הקישור שקיבלתם.
- רוצים לקנות ברשת? וודאו שאתם קונים באתר מוכר ומהימן. חפשו עליו ביקורות ברשת, וודאו שכתובת ה-URL של האתר נכונה. וודאו שהתקשורת מאובטחת ושרשת ה-wifi בה אתם עושים שימוש היא רשת פרטית שאתם יכולים לסמוך עליה, שהאתר מאובטח ב-https ושמנעול ירוק מופיע בשורת ה-URL לפני שאתם מכניסים מספר כרטיס אשראי. לפני שאתם יוצאים בפעם הבאה למסע קניות אינטרנט, מומלץ לעבור על הכללים שכאן. אם אתם קונים או מוכרים מוצר יד שניה, וודאו שמי שמוכר או קונה מכם אכן אמין ואמיתי. הונאות רבות מבוצעות בדרך זו.
>>> יורם הכהן הוא מנכ"ל איגוד האינטרנט הישראלי ומי שהקים את הרשות להגנת הפרטיות