בעקבות פרשת ההאקר הסעודי שחשף פרטים של כרטיסי אשראי השייכים לישראלים והמלחמה הקיברנטית שהתפתחה מאז בינו ובין האקר ישראלי בשם חניבעל, התעוררו לא מעט שאלות וחששות בקרב אזרחי ישראל והעיקרית שבהן היא האם הם מוגנים בעולם הווירטואלי.
אחד התרחישים בהקשר זה ידוע בשם 'פרל הארבור אלקטרוני' (בדומה לתקיפת הפתע של היפנים על ארה"ב במלחמת העולם השנייה) והוא מתאר אירוע בו מדינת ישראל מתעוררת למצב בו מרבית מערכות המחשוב שלה הושבתו וברחוב שוררת אנרכיה. מים, מזון, טיפול רפואי, אכיפת חוק, תחבורה וכל שירות אחר המבוסס על מחשבים הפסיק לפעול. האם תרחיש כזה אפשרי והאם מדינת ישראל ערוכה אליו? רמז: לא ממש.
על הכוונת: מוסדות מסחריים וממשלתיים
"אין איום ישיר על האדם הפרטי", אומר שי בליצבלאו מנכ"ל חברת מגלן טכנולוגיות להגנת מידע. "במרבית המקרים, האיומים בסייבר הם עקיפים על מוסדות מסחריים או ממשלתיים המספקים לו שירותים. בתי חולים, חברות מזון קמעונאיות וחברות שירותים, כולם נמצאים על הכוונת של ההאקרים ולא על כולן יש פיקוח ממשלתי בנושא אבטחת מידע", הוא מסביר.
למרות הביקורת שיש כלפי אותם עסקים שלא אבטחו את רשומות כרטיסי האשראי, כדאי לדעת כי מרבית בתי העסק הפרטיים בישראל לא מפוקחים על ידי רשות ממשלתית ואין עליהם חובה לאבטח את מערכות המחשוב.
הסיבה לכך אינה רק העדר מודעות, אלא הבנה כי דרישה כזו תחייב את העסקים להשקיע כספים רבים שיתגלגלו לצרכן הסופי בדמות העלאת מחירים. ובעידן של מחאות חברתיות אף גורם ממשלתי, ביטחוני או פרטי לא רוצה להיתפס בין הכוונות של הצרכנים.
השב"כ שומר עלינו, בערך
חשוב לציין כי מרבית התשתיות בישראל נשענות על מערכות מחשוב וככאלו, הן מהוות מטרות לגיטימיות למתקפות סייבר. תקשורת קווית או סלולרית, בנקאות, ביטוח, מים, חשמל, מוסדות ביטחון וחירום. כולן נכנסו מזמן לבנק המטרות של מדינות עויינות וארגוני טרור.
"הנחת העבודה אומרת שלכולם יש יכולות תקיפה בסייבר אך הן ישתמשו בהן רק בעת עימות צבאי", אומר בליצבלאו. "בעיה נוספת שממעטים לדון בה היא העובדה שאין ביזור גיאוגרפי מספיק של מערכות המחשוב. זה נכון גם לסקטור הפרטי וגם לממשלתי. ריכוזיות יתר זו יכולה להוות עקב אכילס בעת עימות צבאי".
יחד עם זאת, בשונה מהמצב בשוק העסקי או ממוסדות ממשלתיים שאינם מפוקחים, בכל הקשור לתשתיות קריטיות וחיוניות למדינה האחריות היא על השב"כ.
בליצבלאו אומר: "התשתיות הלאומיות הקריטיות מפוקחות על ידי הרשות הממלכתית לאבטחת מידע של שירות הביטחון הכללי והן מנותקות מהאינטרנט. מכאן, שהסיכוי לפגיעה מאוד נמוך מצד האקרים ברשת. בנוסף, מדובר במערכות שיש להן מנגנוני ביטחון מכניים וממוחשבים להגנה כפולה ולכן הסיכוי לאסון נמוך יותר".
מדינות ערב מתקדמות הרבה יותר מישראל
אם היינו רגילים לחשוב כי יש לישראל יתרון איכותי בשדה הקרב, מסתבר כי בעולם הווירטואלי המצב שונה. מדינות ערב מתקדמות מאוד ביכולות הסייבר שלהן. אחת הסיבות לכך היא האפשרות לרכוש ציוד ללוחמת סייבר בלי פיקוח.
מחשבים, סמארטפונים, שרתים ומערכות לוחמה אלקטרונית. בעולם הווירטואלי כל התקן דיגיטלי הופך לכלי נשק או לחילופין, לנקודת תורפה. עובדה זו הופכת להיות הבעיה הגדולה ביותר של ישראל. מצד אחד התקדמות הטכנולוגיה בעולם מגדילה את קהל היעד של תעשיית ההייטק המקומית ומצד שני היא מצמצמת את הפער ביכולות השחקנים בשדה הקרב הווירטואלי.
בישראל לא משקיעים מספיק בלימוד הסייבר
"אין בארץ מספיק השקעה במחקר הסייבר באקדמיה", מזהיר בליצבלאו. "גם אם מבצעים מחקרים, עד שמסיימים אותם, הם כבר לא רלוונטיים. צריך לזכור כי מדובר על עולם המתפתח בצורה מהירה מאוד. מחקר אקדמי על נושאים הקשורים לסייבר צריך לקחת שלושה או ארבעה חודשים ולא שנתיים כמו היום. חייבים לשנות את השיטה", הוא מוסיף.
"באירן למשל, יש את אוניברסיטת שריף ואת המכון לחקר צפנים באוניברסיטת איספהאן שנחשב לאחד המובילים בעולם. אם לא יהיה שינוי במחקר האקדמי של הסייבר בהיבט הגנתי והתקפי, בעוד שלוש שנים נשאר הרחק מאחור", הוא טוען.
למרות זאת, קיימים נסיונות לשנות את המצב ולאחרונה הוקם 'המרכז האקדמי דן' המשמש כמכללה ייעודית לתחומי הטכנולוגיה שהיא ניסיון ראשון למסגר מוסד אקדמאי לפי תחום מקצועי. "ניתן לומר כי במידה מסויימת, ישראל מפתחת תלות מקצועית בארצות הברית בכל הקשור לעולם הסייבר. חסרון נוסף קשור לעובדה כי אוניברסיטאות בסין הנחשבת למתקדמת בתחום משתפות פעולה עם מדינות ערב יותר מאשר עם מוסדות בארץ".
תרחיש אימים
עולם הסייבר משנה את תפיסת הסיכונים והופך את הסקטור העסקי כמי שמספק שירותים לאזרחים, לנקודה קריטית הקובעת את חוסנו של העורף הישראלי. פרשת פרסום כרטיסי האשראי באינטרנט היא רק דוגמא לפגיעה אפשרית בחוסנה הכלכלי של המדינה. לא צריך לנחש מה היה קורה אם אותו האקר היה מצליח להגיע למידע רגיש יותר.
"על פי הערכות שלנו, בחמש השנים הקרובות יתרחש אירוע סייבר קריטי בישראל", זאת, אומר בליצבלאו אם לא יחול שינוי בקרב מקבלי ההחלטות בקרוב בכל הקשור להתמודדות עם הנושא".
שתי דוגאמות שיכולות להמחיש כיצד פגיעה במערכות השונות יכולה להשפיע בצורה מיידית ומהותית על אזרחי ישראל.
בבתי חולים יש נגישות גבוהה עבור כל אדם בשל ריבוי רשתות פתוחות ומחשבים ושימוש נרחב ויומי בהן על ידי אזרחים רבים. הדבר הופך אותן למטרות קלות לפגיעה, ללא האבטחה הנדרשת. כך למשל ניתן לשתול במערכות אלה וירוס שידע לשתק אותן בזמן שהוא קולט אירוע קריטי. כשהתוכנה תזהה "תנועה" חריגה (כמו הוצאה ועדכון תיקים רפואיים רבים) היא תשתק את כל מערכות ולמעשה תהפוך את כל המידע הרפואי החשוב ללא נגיש בכלל.
כך גורמי טרור יכולים לבצע פיגוע משולב בעולם האמיתי והווירטואלי. ברגע שבתי החולים יחלו לקבל לשעריהם נפגעים פיזית, מערכות המחשוב שלהן עם כל הנתונים ישותקו במקביל. זה אמנם לא קרה ומדובר בתסריט בלבד אך לפי הערכת מומחי האבטחה המידע שבידיהם והניסיון שלהם בתחום תרחיש זה ריאלי מתמיד ויכול לקרות בכל רגע אם המוסדות לא יגבירו את מערכת אבטחת המידע שלהם.
גם חברות מסחריות ותעשיות שונות נמצאות בסכנה, זאת בעיקר בגלל שהן שיש להם שלל לקוחות בכל רחבי הארץ שמקבלים מהן משלוחים ומידע מדי יום וגורמים רבים נגישים לשתי המערכות הללו בדוגמת ספקים נותני שירותים.
על שתי דוגמאות אלו חלות תקנות רגולטוריות בנושאים רבים. הגנת פרטיות וחיסיון מידע, מגבלות של משרד הבריאות ועוד. עם זאת, אין בישראל של היום שום תקנה שמחייבת ארגונים וגופים (שלא הוגדרו כרגישים במיוחד או תשתיות לאומיות) להגן על מערכותיהן מפני התקפות סייבר. זאת, על אף שלהתקפת סייבר מוצלחת יכולות להיות השלכות הרסניות ובעייתיות על חיי היום יום של אזרחי ישראל.
אבל לא הכל לגמרי אבוד, כצעד ראשון בכיוון החליט ראש הממשלה, בנימין נתניהו, להקים מטה סייבר לאומי שיפעל להעלאת המודעות ויכין את המדינה לאיומים של העולם החדש שלטענתם "יוביל את פיתוח התחום הקיברנטי בארץ, יתאם בין הגורמים השונים העוסקים בתחום, ירחיב את ההגנה על תשתיות לאומיות מפני התקפות קיברנטיות ויעודד את קידום הנושא בתחום התעשייתי".
בינתיים נראה כי למרות היוזמה הברוכה, בעיות בירוקרטיות בהעברת התקציב ממשרד הביטחון למטה הסייבר מעכבות את פעילותו. לנו רק נשאר לקוות כי הבעיות יפתרו לפני אותו אירוע סייבר משמעותי.
>> לא תאמינו כמה קל לפרוץ למחשב שלכם
תגובת משרד הבריאות: מערכות המידע במשרד הבריאות מאובטחות בהתאם לחשיבותן, חלקן על ידי התאמה לתקנים בינלאומיים בנושא, תקנים שאושרו ואומצו על ידי מערכות ביטחוניות וממשלתיות. חלק אחר של תשתיות המידע מאובטח, בהתאם לרמת חשיבותם על ידי הנחיית מוסדות ביטחון ממלכתיים. האתרים של המשרד ש"הותקפו" - הופעלו עליהם עומסים חריגים והם נחסמו זמנית, אולם לא בוצעה חדירה לתוך מערכות המחשבים.