בסתיו של שנת 2020 עלתה לכותרות פרשה שבמסגרתה מידע של אלפי ישראלים נלקח משרתי סוכנות הביטוח שירביט ופורסם ברבים, לאחר שהחברה סירבה לשלם כופר עבורו. ההאקרים, שהזדהו כחברי כנופיית "בלאק שאדו", עשו קרקס שלם מההתרחשות, בניסיון לגרוף כמה שקלים, ופרסמו את כל הניסיונות הגמלוניים למשא ומתן מטעם מומחים ששכרה חברת הביטוח, שמצידה המשיכה לטעון שמדובר באיראנים, על אף היעדרה של הוכחה חותכת לכך.
חודשים מספר מאוחר יותר פורסמו טענות שלפיהן מידע על אלפי אזרחים נלקח משרתי "החברה לאוטומציה", המנהלת את המידע של רשויות מקומיות וגופים שלטוניים אחרים, על ידי האקר מלזי שהסתתר מאחורי הכינוי "צבי זעיר", והוצע למכירה ברשת.
שני המקרים הללו מצטרפים לשורה ארוכה של אירועים המציגים את הרשת הישראלית כנתונה למלחמה בלתי פוסקת מול אויבים מרושעים שתוקפים את מערכותיה ללא הפסק ורק בדרך נס, וכמובן הגניוס הסייבר־ישראלי, נמנע אסון גדול. המציאות, כמו תמיד, שונה ממה שהנרטיב הזה מנסה לצייר.
מנצלים את תרבות ה״סמוך״
"אי־הבנות והזנחה יוצרות יותר בלבול בעולמנו מאשר הונאה וזדון", כתב יוהאן פון גתה ב"ייסורי ורתר הצעיר", וסיכם היטב את מצב הסייבר במדינת ישראל.
בשנים האחרונות פועלים חברי ואני, עם חוקרים אחרים, להצביע על דליפות מידע משמעותיות משלל גופים אזרחים וממשלתיים במדינת ישראל ולהביא לסגירתן. נחשפנו למידע על מיליוני אזרחים במאות מערכות ישראליות, מידע רגיש ובעל פוטנציאל נזק משמעותי לחייהם של רבים.
הסיבה לכמויות האדירות של המידע שאליו נחשפנו אינה נעוצה ביכולתנו העל־אנושית ללחוש לרשתות, אלא פשוט בחובבנות ובחוסר המקצועיות שאנחנו מכירים מכל תחום אחר, ושבאופן צפוי לחלוטין נמצא גם במערכות ממוחשבות המחזיקות את המידע של כולנו.
ה"צבי הזעיר", ההאקר המלזי שטען שבידיו המידע של החברה לאוטומציה (שלא ברור אם באמת היה בידיו מלכתחילה), לא היה צריך ללכת רחוק. המידע הזה נחשף עוד ב־2018, כאשר חלק ממערכות ההגנה שנועדו לשמור על המידע פשוט כובו ואפשרו גישה לכולו, וכך היה אפשר לראות מאות אלפי תעודות זהות, פרטי תשלומים, מערכות טאבו, ועוד. המתחרה העיקרית של החברה לאוטומציה, חברת MAST, שגם היא מנהלת מידע של רשויות מקומיות, חשפה את המידע על מאות אלפי אזרחים, כולל צילומי תעודות הזהות שלהם ומידע רב נוסף.
אלה רק שתי דוגמאות קטנות מתוך שורה ארוכה של מערכות שהגנותיהן פשוט לא הוקמו באופן טוב מספיק. אפשר לציין גם, ברשימה חלקית ביותר, את מערכת הגיוס של שירות בתי הסוהר; מערכות חברת אל על; מערכות של משרד החינוך; מערכות נמל אשדוד; משרד האוצר; המשרד להגנת הסביבה; משרד הבריאות; בזק; יס; אלבר; סנו; מגדל שוקי הון; אודיוקודס; קבוצת שלמה; קבוצת נעמן; אלביט; בית ההשקעות אקסלנס; קסטרו; אלדן; מפעל הפיס; סלקום; מנורה; תנובה; משרד הפרסום מקאן; ואפילו מערכות משטרת ישראל.
שוב, לא מדובר כאן ביכולות־על, אלא בניצול תרבות ה"סמוך" והבנת הדינמיקה הישראלית העצובה של הגנת הסייבר.
במערב הסייבר הפרוע
חוק המחשבים הישראלי, כדרכם של חוקים, מפגר בעשרות שנים אחרי ההתקדמות הטכנולוגית, וקיים קונצנזוס רחב בקרב אנשי המקצוע שנדרש לעדכן אותו, ויפה שעה אחת קודם. חשבו על כברת הדרך שעשתה הטכנולוגיה מאז חוקק, לפני כמעט שלושה עשורים, אז עבדנו על מחשבים כבדים ונייחים שלא רבים מהם היו מחוברים לרשת בכלל; וכיום אפילו המקרר שולח לנו בוואטסאפ הודעה שריבת התאנים החביבה עלינו עוד מעט ונגמרת.
אפילו המושגים בחוק הזה עמומים וניתנים לפרשנות שונה בהקשר המודרני, מה שמבלבל גם את השופטים הנדרשים להשתמש בו כדי לזכות או להרשיע נאשמים. למשל, החוק מדבר על "חדירה לחומר מחשב", אך לא מסביר מהי אותה חדירה בדיוק, מה שהופך כמעט כל גישה למידע לנתונה לפרשנות מחמירה.
אותו מושג גם מדבר על "חומר מחשב" ומגדיר אותו כ"תוכנה או מידע", ובאותו סעיף מגדיר מידע כ"נתונים, סימנים, מושגים או הוראות, למעט תוכנה, המובעים בשפה קריאת מחשב", מה שמותיר את המידע הקריא על ידי אדם מחוץ להגדרה המצמצמת הזו. מובן שכוונת המחוקק הייתה שונה, אבל לשון החוק אינה משקפת את הכוונה הזו בצורה טובה מספיק ומשאירה המון מקום לרצון הטוב, או הפחות טוב, של הפרקליטות והשופטים.
אלו הן רק כמה דוגמאות לחוסר הרלוונטיות של החוק הישראלי למציאות אבטחת המידע המודרנית, ובכך הופך שדה הקרב הזה למערב פרוע שבו הכללים מוכתבים בידי השריף אשר ברצונו מאפשר וברצונו מגביל.
נוסף על החוק, קיימת גם יחידה במשרד המשפטים אשר נקראת "הרשות להגנת הפרטיות" ושתפקידה, על הנייר, הוא להגן על המידע הפרטי של כולנו. למה רק על הנייר? מכיוון שבמשך שנים ארוכות מנעו גורמים אינטרסנטים שונים מתן סמכויות אמיתיות ליחידה הזו, והיא נותרה נמר של נייר שאין בידיו סמכויות אמיתיות, ופרט לפרסום חוות דעת מצקצקות והטלת קנסות של אלפי שקלים בודדים, במקרה הטוב, אינה יכולה לעשות עוד דבר.
אנשים טובים עובדים שם, באמת. אנשים שערך השמירה על פרטיות האזרחים עומד לנגד עיניהם, אבל אין בידם את הכלים לפעול לטובת הציבור.
יחידה ממשלתית נוספת פועלת תחת משרד ראש הממשלה תחת השם "מערך הסייבר" והוקמה כדי לנסות ולהכניס סדר במערב הפרוע הזה, אך גם היא נטולה סמכויות של ממש. פרט לאפשרות לבקש יפה, אין באפשרות עובדי היחידה הזו לכפות על ארגון להגן על המידע שברשותו, ולמרות הרבה רצון טוב, וניסיון כן לעשות שינוי, גם הם מוגבלים על ידי החור בחוק הישראלי בכל מה שנוגע לפרטיות ברשת.
בשנים האחרונות נוצרה טיוטה של הצעת חוק חדש יחסית אשר נועדה להסדיר את מעמד הארגון הזה, תחת השם "חוק הסייבר", אבל בישראל כמו בישראל, גופי הביטחון קפצו עליה כמוצאי שלל רב והכניסו בה כמות גדולה כל כך של עיזים עד שלא נותר שום סיכוי שהיא תעבור ותהפוך לחוק.
במקום להסדיר את האסור והמותר, אנשי שב"כ דחפו להכניס מערכות ניטור לתוך הרשתות של גופים מסחריים, מה שלא יאפשר לחברות בינלאומיות לעבוד בישראל ולקטר ההייטק הישראלי להפוך לקרונית פחם נטושה בשולי תחנה נידחת; היא מבקשת לכפות על ארגונים להכניס אנשי שב"כ לנבכי מערכות המחשוב שלהם ולבצע בה שינויים כפויים גם כשהפגיעה הצפויה במשק אינה מצדיקה זאת.
הרעיון שאנשי שב"כ יוכלו לצוות על חברות בינלאומיות אשר להן משרדים בישראל אולי נראה הגיוני למי שבילה את חייו במנגנון ההיררכי והביורוקרטי של שירותי הביטחון הישראלי, אבל כל מי שעבד אפילו שבוע אחד בתאגיד בינלאומי מבין שלא ככה עובדים הדברים, ובשיחות עם אנשי מנגנון הם אישרו בפני כי החברות הגדולות כבר העבירו את המסר הזה בצורה שאינה משתמעת לשתי פנים.
הבעיה היא שמרגע שהוגשה הטיוטה הזו, כבר יש "תהליך", ואי אפשר להתחיל חקיקה חדשה, כך שאנחנו נותרים בלימבו של היעדר חוק מצד אחד, וקיומה של טיוטה שלעולם לא תהפוך לחוק מאידך.
מצווה ועונש בצידה
לחלל הזה נכנסנו אנחנו, קבוצה לא מאורגנת של חוקרי אבטחה מקצועיים וחובבים, לעשות את כל מה שעושים האקרים מרושעים מרחבי העולם, אבל לא במטרה לקחת את המידע, אלא כדי להצביע על החורים במערכות הישראליות המחזיקות אותו כדי שיסגרו אותם וימנעו את דליפתו.
אבל כמו שאומרים, לא קלה היא לא קלה דרכנו, ואנחנו נאלצים להתמודד עם שלל איומים ותביעות מצד הגופים המחזיקים את המידע הדולף, בשל הכשל המנגנוני שתואר לעיל.
בעולם ישנו מונח שנקרא "אסגרה אחראית" (Responsible Disclosure) – חוקרי אבטחה מעבירים מידע על חולשות לבעלי המערכות כדי שיטפלו בהן. בדרך כלל, בעלי המערכות אסירי תודה על האסגרה שהגיעה אליהם בטרם פושעים והאקרים ניצלו אותה כדי לגנוב את המידע או להשתלט על המערכות, ופעמים רבות מציעים תשורות שונות, כספיות או אחרות, למדווחים.
בארץ המצב קצת שונה. בשעה שישנם גופים רבים שמקבלים את הדיווחים ברוח החיובית שבה הם ניתנו, גופים אחרים שולחים מיד עורכי דין, ובמקרים בודדים הוטחו כלפינו גם איומים באלימות פיזית. דיווח שניתן לאחת החברות הגדולות במשק נענה ב"נשלח עליך את השב"כ", וארגון ממשלתי שקיבל דיווח פעל (למרבה המזל בלא הצלחה) למעצר החוקרים שהיו מעורבים באסגרה.
החוק, כפי שראינו, לא מתייחס כלל לפעילות שנועדה להגברת האבטחה בלא גרימת נזק. מבחינתו גישה למידע הנגיש ברשת היא "חדירה" אסורה, והוא מתעלם מהעובדה שכל ילד במלזיה יכול לעשות בדיוק את אותו הדבר, לקחת את המידע ולפרסם אותו תוך גרימת נזק גדול.
ה"סכנה הקיומית"
מובן שישנן התקפות אמיתיות מאוד על תשתיות ישראליות, אך כאלה יש בנמצא גם בכל מדינה אחרת. קוסטה ריקה, למשל, נפלה השנה קורבן למתקפת כופרה עצומה ששיתקה אותה כמעט לחלוטין; בתי חולים בכל רחבי ארה"ב מותקפים גם הם, וכמה מהם שותקו לכמה ימים בקמפיין שנטען שהוביל למותם של מספר חולים; בסין תקפו האקרים מאגרי מידע והוציאו למכירה מידע על מעל מיליארד אזרחים; שירותי הממשלה האלבנית שותקו ביולי השנה והורדו מהרשת; באיראן הותקפו מפעלי פלדה, דבר שגרם לפגיעה בפעילותם; מערכות נורווגיות סבלו ממתקפת מניעת שירות; מערכות נמל לונדון הותקפו גם הן ונאלצו להפסיק את פעילותן לזמן מה; וזו רשימה מהחודשים האחרונים בלבד.
רוצה לומר: לא מדובר באנטישמיות או בשנאת ישראל, ככה זה בכל העולם. ארגוני פשיעה או גורמים אידיאולוגיים תוקפים כל מערכת שהם יכולים, פשוט כי הם יכולים. יש שם כסף, ויש מי שישלם עבור המידע או הפסקת המתקפה. זהו איום אמיתי, אבל הייחוס של כל מתקפה כזו למפלצת האיראנית עושה עוול לעובדות ונותנת תירוצים להמשך חוסר הטיפול.
ובכן, כמעט. יש מספר יוצאי דופן אצלנו בישראל, והבולט בהם הוא מבצע שנתי תחת השם "אופ־איזראל" (OpIsrael) שנועד "למחוק את ישראל מהרשת" ושמאורגן, לכאורה, על ידי קבוצות אנטי־ישראליות. אפעס, התוקפים כל כך חובבנים שהאתרים היחידים שבהם הם מצליחים לפגוע זניחים ועלובים כל כך, שנותר רק להודות למזל הטוב שאלה האויבים העומדים מול מערכות הרשת הישראלית. או כמו שאמר אחד הגנרלים הישראלים: ישראל הפסידה בכל המלחמות בהן השתתפה. הדבר היחיד שהציל אותה היה שהאויבים שלה הפסידו קצת קודם.
המבצע הזה, שמפומפם מדי שנה בתקשורת הישראלית חובבת הפחד והאיומים, עלוב כל כך עד שקבוצה של חוקרי אבטחה ישראלים שמאסו בפומפוזיות של האירוע החליטו לתקוף חזרה. הם הצליחו להשתלט על מחשבי חלק מהתוקפים, פתחו את מצלמות הרשת שלהם, וחשפו שמדובר בילדים בגילאי העשרה המוקדמים. אכן, סכנה קיומית.
מכפיל כוח אזרחי
אי שם בשנת 2007 התגלע סכסוך בין רוסיה לשכנתה אסטוניה על אודות העברה של פסל רוסי ממקום אחד למקום אחר. בימים ובשבועות שלאחר מכן הייתה נתונה אסטוניה למתקפת סייבר משמעותית ששיתקה רבות מהתשתיות במדינה, וכשהאשימה הממשלה האסטונית את הממשלה הרוסית, היתממה זו האחרונה ואמרה שמדובר ב"התארגנות אזרחית פטריוטית ספונטנית" ושאין לה יד בעניין. אותה "התארגנות ספונטנית" התעוררה שוב בסכסוך הרוסי מול גאורגיה וגם אז רחצה הממשלה הרוסית את ידיה בטענה שזוהי פעילות אזרחית ולא מאורגנת.
במהלך הפלישה הנוכחית לאוקראינה שתי המדינות נהנות מפעילות "עצמאית" של קבוצות האקרים הפוגעות בתשתיות המדינה הנגדית ושלכאורה אינן מאורגנות על ידי גורמים ממשלתיים. קבוצות פליליות, הפועלות כבר שנים בתחום הפריצות והסחיטה, שינו כיוון והן לוקחות חלק פעיל בלחימה המקוונת, תוך שהן מנצלות את הידע הרב שצברו בתקיפות ארגונים מסחריים כדי לסייע לכוחות הלוחמים בצד שלהן.
גם בסין יש קבוצות "עצמאיות" לכאורה של האקרים הפועלות זה שנים מבצע כסף, אך לעיתים "נתקפות" ברגשות פטריוטים ומבצעות תקיפות שלו היו מבוצעות על ידי גורמים ממשלתיים רשמיים, היו לכך השלכות בלתי נעימות לחלוטין.
להבדיל אלפי הבדלות, מכפיל הוכח שעליו אנחנו מדברים הוא הגנתי ולא התקפתי. קבוצה של אנשים שתורמים מזמנם ומכישרונם כדי לגרום למידע של כולנו להיות קצת יותר בטוח על ידי ביצוע אותן פעולות שיעשו הגורמים הזרים, רק עם מטרה חיובית.
זו הדרך שבה בחרנו לעבוד, ולמרבה השמחה הדרך הזו מצאה אוזן קשבת גם במנגנוני הכוח במדינה, החל בראש מחלקת הסייבר בפרקליטות ד"ר חיים ויסמונסקי וכלה במערך הסייבר אשר הקים מסלול ייחודי לסיוע במהלך תהליך האסגרה במסגרת תכנית VDP בראשות טום אלכסנדרוביץ'.
מדובר ביוזמה אשר נמצאת בחיתוליה, אבל כבר מראה תוצאות יפות עם סגירתם של מאות חורי אבטחה במערכות ישראליות, חורים אשר בחלקם כבר מצאנו ראיות שהיו בשימוש על ידי גורמים זרים, דבר שחמק עד כה מעיניהם של בעלי המערכות.
אין מקל ואין גזר
אבל לסמוך על רצונם הטוב של חוקרי אבטחה שעושים את עבודתם בזמנם הפנוי זה לא מספיק. הפתרון היחיד לשיפור המצב חייב לבוא בצורה של רגולציה כמו זו שקיימת כמעט בכל תחום אחר בחיינו. לא ייתכן שגם כשמתגלה פרצה שהיא תוצאה של רשלנות ועצלנות גרידא – אין שום השלכות לארגון האחראי עליה. לא ייתכן שכל ארגון יכול לשמור עלינו נתונים אישיים, רפואיים, פיננסיים, ופרטים רגישים אחרים ולא לעמוד בשום סטנדרט אבטחתי בסיסי.
תשאלו מאה מנהלים שיש ברשותם מאה אלף שקלים אם היו מעדיפים להשקיע אותם בשיווק והגדלת ההכנסות או בביצוע סקר אבטחת מידע, ואסתכן ואנחש שכמעט כולם ייקחו את האפשרות הראשונה. כשאין השלכות – אין תמריץ להשקיע באבטחת מידע, וגם כשקורה הגרוע מכל, תמיד אפשר להאשים את האיראנים, כי ממילא אף אחד לא יודע להגיד אחרת.
יתר על כן, עדיף לאותם מנהלים שאיראנים ייקחו להם את המידע מאשר שאזרחים ימצאו אותו, כי שם בדיוק עובר הקו בין "קורבנות" לבין "רשלנות". כשהאויב לוקח את המידע שלך כחלק ממלחמה רחבה יותר, אתה קורבן ויש לרחם עליך. לעומת זאת, אם עובר אורח מצביע על חור בגדר שדרכו המידע שלך יכול פתאום להתגלות – הרשלנות היא שלך ושלך בלבד.
גם האסדרה בתחום הגופים המקצועיים חסרה. כל אחד או אחת יכולים להכריז על עצמם "מומחי סייבר" ולהתחיל לחלק עצות לגופים שחולשים על מידע בסדרי גודל מפחידים, תוך שהם נותנים תחושה של ביטחון מזויף לדירקטוריון הארגון. כמות החובבנים פה בארץ, המציעים את שירותיהם ונשכרים על ידי חברות ענק לבצע בדיקות אבטחה ולתת חותמת איכות בלא שיש שום דבר מאחוריה, אינה הגיונית.
יצא לי לשבת במשרדי המנכ"לים של כמה חברות כאלה ששלפו דוח אחרי דוח של "מומחי אבטחה" כאלה שאישרו את בטיחות המערכות שלהם בשעה שכל ילד בן 7 יכול היה לשלוף את כל המידע מתוכן, תוך כדי בהייה משועממת בפרק של סדרת המאנגה החביבה עליו.
בעולם ישנן אסדרות כגון ה־GDPR, אשר לצד הנחיות ברורות כיצד יש לשמור על המידע מאיימות בקנסות אשר יכולים להגיע לעשרות מיליוני יורו במידה וההנחיות האלה אינן נשמרות. אצלנו, עד שלא תהיה אסדרה של התחום, אנחנו צפויים להמשיך ולסבול מ"אסונות" דליפות מידע, לספוק כפיים בייאוש, ולזעוק למעלה לשמיים "למה?"
העניין הוא שאנחנו יודעים בדיוק למה, ובוחרים לחכות לאירנים עם מגש כסף ועליו כל המידע העסיסי של כולנו.
