לפני פחות משבועיים נפגעו ארגונים ממרבית מדינות העולם במתקפת הסייבר WannaCry. התקיפה המחישה עד כמה האויב האמיתי בתחום אבטחת המידע הדיגיטלי אינו פצחן (האקר) שמסתתר במחשכים במרתף ביתו, אלא דווקא עובד בתוך הארגון שממנו דלף המידע.
מי שביצעו את המתקפה השתמשו בכלים של הסוכנות לביטחון לאומי של ארה"ב (NSA), שדלפו ממחשבי הסוכנות. מחשבים אלה מנותקים מהרשת – והדלפת המידע מתוכם התאפשרה ככל הנראה רק בעזרת עובד של הסוכנות, ולא בעקבות פריצה מבחוץ. כלי הפריצה הופצו ברשת בשבועות האחרונים על ידי קבוצת ההאקרים Shadow Brokers.
ארגונים ממקדים חלק ניכר ממאמצי האבטחה שלהם בהתמגנות מפני פגיעה מבחוץ, במניעת חדירתו של גורם עוין למערכותיהם, אך "איום מבפנים" (Insider threat) הוא איום סייבר חמור לא פחות. חלק בלתי-מבוטל מהנזקים הקשים לארגונים נגרמו על ידי תוקפים המוכרים לארגון, שאף היו מורשים לעבוד במערכות המחשב שלו או מועסקים בו.
הדוגמה המפורסמת ביותר היא של אדוארד סנודן, עובד במיקור חוץ לשעבר ב-NSA, שב-2013 הדליף לעיתונות פרטים על תוכניות ריגול מסווגות של הסוכנות. הדוגמה המקומית הטובה ביותר היא גניבת פרטיהם של 9 מיליון ישראלים מרשות האוכלוסין ב-2006, שבוצעה על ידי עובד מיקור חוץ של משרד העבודה והרווחה, ששימש מתכנת ומנהל מאגרי מידע. העובד העביר עותק של המרשם לחבר שסחר במידע, וכך נבנתה תוכנת אגרון, שהופצה ברשת ועדיין נמצאת בידיהם של אנשים רבים שאי-אפשר לאתר.
מקרה מפורסם נוסף הוא זה של ענת קם, ששירתה בלשכה של אלוף פיקוד מרכז בשנים 2005-2007. סיווג ביטחוני גבוה העניק לה גישה למסמכים סודיים במיוחד, ולפני שחרורה היא העתיקה כ-2,000 מסמכים מסווגים, והעבירה אותם למחשב באישי בביתה. קם צרבה את המסמכים על שני דיסקים, לקחה אותם לביתה והעבירה את המידע למחשבה האישי. בגין פעולות אלה ריצתה קם עונש מאסר של שנתיים וחודשיים.
גם אלירן רוזניס, שהיה עובד לאומי קארד, גנב מאגר מידע ובו מספרי כרטיסי האשראי של כ-2 מיליון לקוחות. בנובמבר 2014 ניסה רוזניס לסחוט את מנהלי הבנק ואיים כי אם לא ישולמו לו דמי כופר, הוא ימכור את המידע ברשת.
טביעות אצבע - רק למי שירצה בכך
בשנים האחרונות מוקם בישראל המאגר הביומטרי של משרד הפנים – המאגר הגדול ביותר של מידע על אזרחי המדינה. החל מ-1 ביוני תהיה זאת חובה חוקית להצטרף אליו. המאגר הוקם כחלק מפרויקט תיעוד לאומי חכם ונועד להחליף את תעודות הזהות והדרכונים בתעודות ביומטריות. ב-2013 יצא לדרכו הפיילוט, לאחר שחוק שב-2011 עבר בכנסת "חוק אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע" וקבע תקופת מבחן. בתקופת המבחן נאספו יותר מ-1.1 מיליון נתונים ביומטריים של ישראלים, הכוללים תמונת טביעות אצבע ותמונת פנים.
בפברואר 2017 אושר החוק, בגרסתו המרוככת, במליאת הכנסת. על פי החוק, המאגר הביומטרי יכלול תווי פנים, ואילו טביעות האצבע יהיו בגדר רשות. כך, תוקפה של תעודת הזהות החכמה שתונפק למי שמסרב לכלול בה את טביעת אצבע יהיה חמש שנים – במקום עשר שנים למי שמכליל גם את טביעות האצבע במאגר.
במשך כל הדיונים על הצעת חוק המאגר הביומטרי התריעו שורה של אנשי מדע וטכנולוגיה, אקדמאים ומומחי מחשבים ואבטחת מידע בפני חברי הכנסת וראש הממשלה על הסיכונים הכרוכים בהפעלת מאגר כזה. בשלושה מכתבים שנשלחו בין 2009 ל-2015, שעליהם חתמו 74 פרופסורים ודוקטורים, רובם מומחי סייבר, הוצגו ההשלכות של קיום המאגר – פגיעה בפרטיות האזרחים, חשיפת הנתונים הביומטריים של כלל אזרחי ישראל לפריצה ודליפה או ניצול לרעה של נתונים אלה. אולי מפתיע לגלות כי הסיכון המרכזי אינו פריצה של גורם עוין חיצוני, אלא הסכנה של דליפת מידע מבפנים.
הרשות הביומטרית – רשות עצמאית במשרד הפנים – שקיבלה לידיה את הסמכות לנהל את פרויקט תיעוד לאומי חכם על פי החוק, פירסמה לקראת תום תקופת המבחן דו"ח, שבו היא מתייחסת לאבטחת המאגר. הסעיף מסביר כי המאגר נמצא במערכת מנותקת, כלומר, מחשב שאינו מקושר בשום דרך למערכות אחרות או לעולם החיצון באינטרנט או בכל קישור מקוון. עוד מוסבר כי הנתונים הביומטריים מוצפנים לצד מספר מזהה ייחודי ומוצפן. את הקישור בין נתונים ביומטריים לתעודת הזהות של האדם אפשר לבצע במערכות נפרדות ממערכת המאגר, ורק על ידי עובדים ספורים בעלי סיווג והרשאה מיוחדים, שאינם עובדי הרשות הביומטרית.
אולם "רשת מופרדת המייצרת ביטחון היא קונספט שגוי", אומר דורון אופק, מנהל חברת SuSE ישראל, המפתחת ותומכת במערכות מבוססות לינוקס, ומראשי התנועה לזכויות דיגיטליות. "נכון שרשת מנותקת ממזערת את הסיכוי לפריצה מבחוץ, אך זה קורה. באחרונה, למשל, דלפו המון קבצים וכלים של ה-FBI. בסופו של דבר גם מחשבים מנותקים דולפים. אנחנו בעידן שבו הכל בעל פוטנציאל דליפה, וצריך לשקול מה אנחנו בונים ומה לא".
האם מתקפות סייבר יכולות לפגוע במאגר הביומטרי?
"כן. הרי איך המידע מגיע למחשב של המאגר אם הוא לא עובר דרך מחשב של משרד הפנים? האזרח נותן את הנתונים הביומטריים שלו בסניף משרד הפנים, ובתוך 72 שעות מעבירים את המידע למאגר הקבוע. זהו מידע עם ערך גבוה, והמון גורמים ירצו להשיג אותו – האקרים וגם מדינות שעושות את הדברים האלה. הוכחות לכך אפשר לקבל ממתקפות הסייבר בזמן מערכות הבחירות האחרונות בארה"ב ובצרפת".
מתקפת הסייבר העולמית האחרונה מדגישה לא רק את האיום מבפנים, אלא גם את הסוגיה של התמודדות המדינה עם דליפת מידע רגיש על אזרחיה, כפי שמסביר עו"ד אילן שדי, יו"ר ועדת אינטרנט וסייבר בלשכת עורכי הדין. "שאלה מרכזית היא מי ייתן את הדין על דליפת מידע רגיש כזה ותוצאותיה ההרסניות", הוא אומר. "המציאות מוכיחה כי איש לא נתן את הדין על דליפת המידע ממאגרים ממשלתיים רגישים אחרים שנודעו, כגון דליפת המידע מרשות המסים, הרבנות ונט המשפט. הרשות למשפט וטכנולוגיה, האמונה על הסדרה ופיקוח על מאגרי המידע, פירסמה באחרונה את תקנות האבטחה המפרטות את חובת בעל המאגר להגן על המידע, לרבות אמצעי ההגנה. כן יש בידה סמכויות אכיפה פלילית. אני תמה – אם עלי כאדם פרטי חלה חובה כזאת, שבצדה סנקציה, אז על אחת כמה וכמה מצופה היה שכך יידרש מהמדינה".
"אי־אפשר למנוע דליפה לחלוטין"
ממחקר שערכה IBM בשנה שעברה, שבו נבחנו כלל תקיפות הסייבר בחברות פרטיות, עולה כי 55% מהתקיפות הגיעו מתוך החברה. במחקר נוסף, שפירסמה באחרונה חברת NTT Security, נבחנו 6.2 מיליארד מתקפות סייבר ונמצא כי 19% מהן כוונו כלפי משרדים ממשלתיים. בישראל, הנחשבת מובילת סייבר עולמית, יש כמה חברות וסטארט-אפים העוסקים במתן פתרונות לאיומים המגיעים גם מתוך הארגון.
מומחים מחברות סייבר מדגישים כי אין מערכות שעמידות לחלוטין בפני פריצות – גם אם הן מנותקות מהרשת. לדבריהם, זהו איום שצריך להתחשב בו ברצינות, ובמיוחד כשמדובר במערכת שבה מידע רגיש, כמו המאגר הביומטרי. "גם מערכת סגורה לחלוטין חשופה לתוקף מבפנים, למשל כפי שקרה במקרה של סנודן", אומר יאיר שדה, דירקטור בכיר לניהול מוצר בחברת סייברארק, שנסחרת בנאסד"ק לפי שווי של 1.7 מיליארד דולר ומכניסה יותר מ-200 מיליון דולר בשנה.
פעילותה של סייברארק מתמקדת בבעלי הרשאות פריווילגיות (בעלי הרשאה גבוהה) – משתמשים שעבודתם מצריכה הרשאות למקומות חשובים בארגון, ולמעשה מחזיקים ב"מפתחות" למידע רגיש. החברה מנהלת את ההרשאות האלה, כדי לוודא שעובדים אינם נכנסים למקומות אסורים ו"סגורים", ובמטרה לאמת את זהותם של המשתמשים. כדי לעשות זאת, לומדות המערכות של החברה את התנהגות המשתמשים, ומזהות דפוסי פעולה ופעולות בלתי-שגרתיות.
שדה מוסיף כי גם למערכות מורכבות כמו המאגר הביומטרי יש נקודות תורפה. "למאגר כזה אפשר לפרוץ החל בדרכים המוכרות, כמו הכנסת התקני USB, ועד דרכים מורכבות יותר, כמו ניצול חולשות במערכת ההפעלה, העברת קבצים לא מאובטחת וניצול חורים בתוכנות אבטחה (כפי שהיה בפריצה לחברת בואינג, שהתחילה בפריצה לחברת אבטחת המידע RSA). במערכת סגורה, על אחת כמה וכמה מערכת רגישה כמו המאגר הביומטרי, הנחת העבודה צריכה להיות שהתוקף כבר בפנים, ולכן ההגנה מבפנים היא קריטית".
עידן טנדלר, מנכ"ל ומייסד פורטסקייל (Fortscale), אומר כי "כמעט בלתי-אפשרי למנוע בצורה מלאה לחלוטין דליפה, גם לא ממאגר שלכאורה לא מחובר לרשת". טנדלר, בוגר היחידה הצבאית 8200, עוסק בתחום אבטחת המידע כ-15 שנה והקים את פורטסקייל ב-2012 עם ד"ר יונה הולנדר. החברה מספקת אבטחה שמזהה ומונעת זליגה של מידע על ידי עובדים, או באמצעות גניבה של זהויות העובדים. מערכת האבטחה עושה זאת על ידי ניתוח אוטומטי של הפרופיל ההתנהגותי של העובדים וזיהוי חריגות בהתנהגותם.
טנדלר מוסיף כי אי-אפשר להבטיח ניתוק מוחלט מקישוריות. "ראשית, המאגר הביומטרי ככל הנראה לא יהיה מנותק מכל קישוריות – למשל, למאגרים או ליישומים אחרים שבהם עלולים להיות חולשות או פריצות. שנית, הניתוק מהרשת אינו מבטיח הגנה מפני איום מבפנים, כלומר עובדים בעלי הרשאות להשתמש במאגר, שיכולים להזליג מידע בזדון או שלא בזדון".
עמיחי שולמן, מייסד ומנהל טכנולוגיות ראשי בחברת אבטחת המידע אימפרבה, מציע להתייחס לאבטחת מחשבים מנותקים כסיכון קיים. "ברור שתיתכן זליגה", הוא אומר, "בפרט כשהמחשבה על מאגר המנותק מכל רשת אינה ריאלית, והדיון באפשרות כזאת יוצר אשליה. גם אם המאגר עצמו נמצא במחשב מנותק במרתף אפל, הרי שנגזרות שלו יימצאו במקומות רבים. לכן אני חושב שכל תוכנית אבטחה של מאגר כזה חייבת להביא בחשבון חיבור רשתי". אימפרבה מתמקדת באבטחת נכסים דיגיטליים ומאגרי מידע. היא רשומה כחברה אמריקאית, ונסחרת בנאסד"ק לפי שווי של מעל 1.6 מיליארד דולר. החברה הוקמה ב-2002 בידי הישראלים שלמה קרמר, מיקי בודאי ושולמן.
שולמן הוא אחד מ-GO7 – "קבוצת השבעה", יוזמה המאגדת שבעה מומחי סייבר ישראלים המשתפים פעולה עם הבנקים הגדולים בעולם, לטובת זיהוי וניתוח מגמות ואיומי סייבר עתידיים. לדבריו, "ניתן לתכנן את המאגר הביומטרי ואת השימושים בו כך שגם פריצה חיצונית של גורם מפנים שאינו יריב מדינה היא קשה מאוד. יתרה מכך, ניתן להערכתי לשלב אמצעים שיתריעו מבעוד מועד על ניסיונות תקיפה, ויאפשרו לאחראים עליו לשנות את סדרי האבטחה אם יידרשו לכך".
שולמן מוסיף כי "בפועל, כבר קיים מאגר מידע ביומטרי המורכב מדגימות שמוסרים אנשים המתגייסים לצבא (רוב אזרחי ישראל), שעל רמת האבטחה שלו לא מתקיים דיון ציבורי כלל. בנוסף, קיים מאגר גדל והולך של נתונים ביומטריים של אזרחי ישראל המוחזק בידי מדינות זרות, ארה"ב בפרט. לגבי מאגר זה אין לנו כל שליטה".
"לא תזיק קצת צניעות מול הטכנולוגיה"
הדיון על המאגר הביומטרי מתקיים כבר שנים רבות, אך לא מתקיים דיון ציבורי לגבי ההשלכות של דליפת מידע ממאגרים שכבר קיימים ומכילים מידע על כלל האזרחים. "צריך להתייחס לכך באופן רחב – המאגר בעייתי, אך הבעיה רחבה בהרבה", אומר אופק. "קיימים לא מעט מאגרים ביומטריים למשרדים וארגונים – כמו לשכת התעסוקה ומשרד הרישוי. ב-1975, כחלק מהסקת המסקנות כתוצאה ממלחמת יום כיפור, הקים צה"ל מאגר שתכליתו לזהות חיילים. כרגע אין לנו מושג מהם השימושים שייעשו במאגר הביומטרי בעתיד, כי הוא אינו מוגדר. כל משרד ממשלתי עושה מה שבא לו. אם דולפים שניים-שלושה מאגרים ואני יכול לחבר אותם ולבצע הצלבה, יש לי פצצה מתקתקת ביד. מרשם האוכלוסין כבר דלף וזמין, זה לא תרחיש שלא קרה. ישראל היא המדינה היחידה בעולם שמרשם האוכלוסין שלה דלף ופתוח כיום לעולם".
חוק המאגר הביומטרי אמנם ייכנס לתוקפו ביוני, אך הליך החקיקה לא הושלם במלואו, שכן תקנות הקובעות מה יהיו השימושים הנוספים בו עדיין לא נקבעו. למשל, המשטרה מבקשת לקבל לידיה זכות להעביר שאילתות למנהלי המאגר, כדי לקבל הצלבות לטביעות אצבע. "השימוש הראשוני הוא לזהות את האדם כדי שלא תתבצע גניבת זהות. איננו יודעים לנבא מה המשטרה או כל גוף אחר יעשו במידע הזה", אומר אופק. "אם נניח שיש 15 אלף שוטרים וכל שוטר יבקש בכל יום מידע לגבי שני אזרחים, זה כבר 30 אלף איש ביום. ואיננו יודעים להגיד אם המשטרה תמחק את המידע או תשמור אותו אצלה. זהו תרחיש סביר ואפשרי".
לצד ההצעות בעניין אבטחת המאגר, שדי מציע לחזור לנקודת הפתיחה ולחשוב שוב על עצם הקמת המאגר וקביעתו כחובה. "איני בטוח שבשלה העת ליצור מאגר כה רגיש. תחושתי היא שאנו עדיין לא שם. איני אומר 'לעולם לא', אבל עיצרו רגע, צאו להפסקה. לא תזיק קצת צניעות מול הטכנולוגיה השועטת קדימה. רק לאחר שנדע בוודאות כי בשלה העת, אפשר יהיה להקים את המאגר".
מהרשות לניהול המאגר הביומטרי נמסר: "מיפוי האיומים והסיכונים הפוטנציאליים למאגר בוצע לפני תקופת המבחן, בהובלת משרד ראש הממשלה ובשיתוף גורמי הביטחון. המיפוי מתעדכן מעת לעת ומתוקף על ידי הגורמים המוסמכים.
"המאגר, שמנוהל על ידי רשות ייחודית ועצמאית האחראית לתפעולו, ניהולו ואבטחתו, שמור ומאובטח ביותר, פיזית ולוגית. מערכות המחשוב מנותקות לחלוטין מכל רשת חיצונית, ואין כל אפשרות לשוטט במאגר באינטרנט, או בתשתית מחשוב אחרת כלשהי. המידע השמור במאגר אינו מכיל נתונים ביוגרפיים כלשהם, הוא מוצפן ומאובטח ברמה הגבוהה ביותר והגישה למערכות נתונה בידי מספר מזערי של עובדים – כולם בעלי סיווג ביטחוני גבוה ובעלי הרשאות גישה מיוחדות, לרבות הרשאות שמיות. בנוסף, קיימים מנגנוני בקרה וניטור שייעודם להבטיח את ההגנה על המאגר ולצמצם ככל האפשר את הפגיעה בפרטיות.
"לגבי סוגיית מנהל אבטחת המידע ברשות – לרשות לניהול המאגר הביומטרי היה ויש מנהל אבטחת מידע".
מתנגדי המאגר הביומטרי: לעכב החוק בגלל היעדר מנהל קבוע לרשות
מתנגדי המאגר הביומטרי שלחו בשבוע שעבר מכתב לוועדה המשותפת שדנה בחוק המאגר הביומטרי, שבו הם מבקשים לעכב את כניסת החוק לתוקף בעקבות אי-מינוי מנהל קבוע לרשות לניהול המאגר הביומטרי.
גון קמני פרש מתפקידו כראש הרשות שלושה חודשים לפני מועד השלמת הפיילוט במאגר, ומאז לא נמצא לו מחליף קבוע. קמני, ששימש בתפקיד זה כחמש שנים, החליט לעזוב בספטמבר 2016 ובמקומו מונה אבי חליבה, סמנכ"ל במשרד הפנים, כממלא מקום זמני כראש הרשות.
במכתב שנשלח ליו"ר הוועדה, ח"כ ניסן סלומינסקי, ציינו המתנגדים כי ישנו סעיף בחוק שקובע כי ראש הרשות לניהול המאגר הביומטרי אינו יכול למלא תפקיד נוסף מלבד ניהול הרשות. "מטרת סעיף זה היא לשמור על אבטחת המידע הדרושה ולמנוע ניגודי עניינים מערכתיים. דא עקא, שמר חליבה מכהן במינוי זמני, וכן ממשיך בתפקידו, כך שנוצר מצב שלפיו בפועל יותר מחצי שנה מתנהלת הרשות ללא ראש", נכתב בפנייה.
עו"ד יהונתן קלינגר, היועץ המשפטי של התנועה לזכויות דיגיטליות, הוסיף כי "החוק מחייב שיהיה ראש לרשות. החוק מחייב שזה יהיה מישהו שעובד רק ברשות ולא במקום אחר – כדי למנוע מצב של נאמנויות כפולות. כרגע אבי חליבה ממונה במינוי זמני ומחזיק בשני תפקידים – ראש הרשות ותפקיד נוסף במשרד הפנים. כל עוד הוא נמצא בשני התפקידים ביחד, ברור שהוא אינו יכול לתת את תשומת הלב המלאה בתור ראש רשות ולדאוג לכל ההסדרים החשובים שצריך לדאוג להם בתור ראש רשות.
"לא יכול להיות מצב שבו הרשות הזאת מתנהלת בלי ראש, וכל האזרחים יהיו חייבים להיכנס למאגר. יש פה רשות שממשיכה להתנהל ב'חפיף', ואם היא אינה מתנהלת כמו שצריך – האם אפשר לסמוך עליה עם המידע הפרטי שלנו?"
ממשרד הפנים נמסר בתגובה: "ועדת איתור מונתה לבחירת מועמד מתאים וקיימה כבר כמה דיונים. לאחר סיום התהליך תפורסם הודעה".
לטענה שהעלו מתנגדי המאגר כי הרשות מחפשת גם לאייש את משרת מנהל אבטחת המידע בארגון, נמסר מהרשות: "לרשות לניהול המאגר הביומטרי היה ויש מנהל אבטחת מידע".
עוד ב-TheMarker:
ארגון זיר"ה סגר תוספים ישראלים לקודי
העבודות היחידות שרובוטים לא יקחו: אומנות