מי מגן עלינו מפריצת הגבולות הווירטואלים?

המטה ללוחמת סייבר שייסד בחגיגיות נתניהו לפני שבעה חודשים כלל לא הוקם, אתרי המוסד והשב"כ כבר נפרצו ולמשטרה אין מספיק חוקרים

שרה ליבוביץ-דר | 13/1/2012 10:23

תגיות: האקרים,גניבת פרטי כרטיסי אשראי

"אני יכול לעשות כל דבר, הדמיון פה הוא הגבול. אני יכול להפוך את כל הרמזורים בתל אביב לאדומים, לגנוב כסף מחשבונות בנק ולהוזיל את מחיר הדלק לצרכנים. אני מסוגל להשבית חשמל לעיר שלמה, אני יכול לשנות ציונים של סטודנטים באוניברסיטאות ושל תלמידים בבתי הספר ולהעלות בקלות את ציוני הפסיכומטרי. היכולות האלה מפתחות אצלי סוג של מגלומניה.

מתוך קובץ נתוני האשראי שפורסם ברשת .

אני אומר לעצמי שבמקום לעשות את המבחן הפסיכומטרי יכולתי פשוט להיכנס למחשב של מרכז הבחינות ולתת לעצמי ציון 800. ראיתי האקרים עושים דברים כאלה. האקרים ביטלו לעצמם את דרישות התשלום עבור נסיעה בכביש שש וביטלו דוחות חניה על ידי חדירה למחשבים של העירייה. אנחנו אוהבים להוכיח לעצמנו שאנחנו חכמים יותר ממי שבנה את מערכת המחשב שאליה אנחנו פורצים, זה כיף".

הדברים האלה נאמרים על ידי א', האקר בן 27, שכבר בגיל 15 התחיל לפרוץ לאתרים שונים ברשת. אבל ה"כיף" שנגרם מעצם היכולת להביס את המערכת התברר בשבוע שעבר כאיום אסטרטגי חדש על מדינת ישראל. לא ברור אם עומאר חביב הוא האקר סעודי, כפי שהוא מציג את עצמו, או סטודנט מאיחוד האמירויות שעובד כמלצר במקסיקו כפי שטוען הבלוגר אמיר פדידה.

מה שבטוח זה שהוא חדר לאתרי אינטרנט מקומיים וחשף את הפרטים האישיים של יותר מ-20 אלף ישראלים, בהם מספרי כרטיסי אשראי, שמות, טלפונים ומיילים אישיים. "יש לי מידע על כל הישראלים", הוא אמר לאתר גאוקר, "גם על המתים. אני רוצה שהישראלים יפחדו ויהיו בפאניקה. אני רוצה להיות הסיוט שלהם".

זה בהחלט סיוט, והרשויות בישראל עוד לא מצאו לו תשובה הולמת. בשבוע שעבר, לראשונה, אישר גורם ישראלי רשמי שהממשלה רואה בהתקפת ההאקר הסעודי אירוע טרור לכל דבר. "ישראל נמצאת תחת מתקפת מחשבים. פגיעה כזו היא הפרת הריבונות שלנו. זו פעולת טרור ויש להתייחס אליה ככזו", אמר סגן שר החוץ דני איילון.

"צריך להעביר מסר שלפיו כל מי שפוגע בישראל או מתכנן לפגוע בישראל גם במרחב הקיברנטי ייפגע. הוא לא יהיה חסין מפעולות תגובה ישראליות. ארצות הברית הודיעה באופן רשמי שכל פגיעה במרחב הקיברנטי שלה תיחשב כהכרזת מלחמה והיא תגיב עליה אפילו בירי טילים. זו אמת מידה טובה לכולנו".

אפשר כמובן להתייחס בביטול להכרזות המתלהמות, אבל עם יחידה משטרתית קטנה, קובץ תקנות לטיפול בנושא שעדיין לא אושרו בכנסת ומטה ללוחמת סייבר שהוקם בחופזה לפני שבוע במשרד ראש הממשלה, נראה שהן לא רחוקות מהמציאות.

שרתי הממשלה קרסו, גם אתרי המוסד והשב"כ נפלו

"ישראל חשופה להתקפות סייבר שיכולות לשתק מערכות שמפעילות את המדינה, אנו נערכים מבעוד מועד לאיום זה", הכריז נתניהו בחודש מאי האחרון במסיבת עיתונאים חגיגית, שבה הודיע על הקמת המטה ללוחמת סייבר.

"האיומים על ישראל יכולים לבוא מכיוונים שונים", אמר ראש הממשלה, "אנחנו נערכים בצורה מאוד מסודרת ובזמן הנכון ובאמצעים הדרושים כדי לטפל באיומי ההווה ובעיקר באיומי העתיד. ניתן לטפל בהם, לנטרל אותם ולתת הגנה למדינת ישראל אם מתארגנים נכון. החלטנו על השקעה של מאות מיליוני שקלים בשנים הקרובות".

"גם אם המטה היה מוקם, השפעתו היתה שולית", פרופ' בן ישראל יוסי אלוני

פרופ' יצחק בן-ישראל, האיש שהתווה את תוכנית העבודה של המטה בסיוע צוות של 70 מומחים, היה חגיגי לא פחות. "אם נעשה כל מה שאושר היום נהיה מרכז עולמי, דבר שיתרום לכלכלה ולהגנה הלאומית. גם במישור הבינלאומי יתחזק מעמדנו", הבטיח במסיבת העיתונאים.

בנובמבר קרסו שרתי הממשלה והפילו איתם עשרות אתרים ממשלתיים, בהם אלה של המוסד והשב"כ. זמן קצר לפני כן פורסם ביוטיוב סרטון של ארגון ההאקרים "אנונימוס", שפרץ בעבר לאתרים של הצבא האמריקאי והסי-אייאי. בסרטון איים הארגון להפיל אתרים ישראליים בתגובה לסיכול המשט הטורקי. יממה חלפה בטרם תוקנה התקלה.

הגורמים האחראים טענו שמדובר בתקלה פנימית ברכיב החומרה בשרתים, אולם בדיון בין משרדי שנערך לאחרונה עלתה סברה כי האקרים זרים התקיפו את השרתים של ממשלת ישראל בניסיון לבחון את אמצעי האבטחה. בין היתר התברר בדיון כי המטה לביטחון לאומי והצבא לא עודכנו בזמן אמת לגבי נפילת האתרים, והוחלט לערוך בקרוב תרגיל לבדיקת אירועים מסוג זה בהשתתפות מטה הסייבר במשרד ראש הממשלה.

למרות זאת, לא קרה הרבה בתחום אבטחת המידע בשבעת החודשים שעברו מאז ההכרזה החגיגית של נתניהו על הקמת

המטה. במשרד ראש הממשלה מסרבים לומר מה תקציבו של הגוף החדש, בנימוק שחלק ממנו קשור לתחום הביטחוני ולא ניתן לחשוף אותו. תת אלוף במילואים יאיר כהן, בעבר מפקד יחידת המודיעין 8200, שהיה אמור לעמוד בראש המטה, הודיע שבהעדר תקציב ראוי הוא אינו מעוניין בתפקיד.

בסופו של דבר הוקם המטה רק בשבוע שעבר, וד"ר אביתר מתניה, שהיה אחראי במשרד הביטחון על קורס הצוערים "תלפיות", מונה לעמוד בראשו. גם המומחים האופטימיים ביותר בתחום לא מאמינים שהמטה יוכל לספק מענה לכל ניסיונות הפריצה לאתרים ישראליים מצד האקרים עוינים.

בימים הקרובים ייפתח בצבא קורס ראשון למגיני סייבר. גורם במשרד הביטחון אומר שבצבא מייחסים חשיבות למלחמה הקיברנטית ומתכוונים להשקיע בתחום לא רק כוח אדם אלא גם מאות מיליוני שקלים בחמש השנים הבאות. בארצות הברית פורסם לאחרונה שרבע מההאקרים האמריקאים עובדים בשיתוף פעולה עם הממשל.

גם בישראל לא מעט האקרים אומרים שהם מסייעים למשרד הביטחון ולצבא. "אני לא רוצה להרחיב את הדיבור", אומר ע', האקר ששירת ביחידה 8200 וממשיך לסייע לצבא ככל שנדרש. "עשיתי דברים חשובים. חברי לתחום יודעים מה אני עושה".

תסמכו רק על עצמכם

פרופ' יצחק בן-ישראל אומר שלא צריך לתלות תקוות רבות מדי בגוף החדש. "גם אם המטה היה מוקם לפני כמה חודשים, השפעתו על האירוע מהשבוע שעבר הייתה שולית בלבד. עובדי המטה אינם חיילים שבולמים בגופם מתקפות של האקרים. התפקיד העיקרי של המטה הוא לדאוג שחברות יעשו מה שצריך לעשות כדי שהאתרים יגנו על המידע".

"הפעולה העיקרית שצריכה להתבצע היא שמירה הדוקה על המספרים של כרטיסי האשראי של אנשים שהעבירו את הפרטים האלה לאתרים. מי שלא שומר על המידע ייענש. מטה כזה אמור ליזום חקיקה, וחקיקה כזו הייתה יוצרת מודעות אצל האזרחים. אני יכול להגיד שבאופן אישי, אם אני הייתי מוסר לאתר אינטרנט כלשהו את מספר כרטיס האשראי שלי והיו פורצים לכרטיס, הייתי תובע את האתר. צריך לגרום לחברות לשמור על המידע וזה תהליך ארוך".

לדעתך, החקיקה הקיימת מספיקה?
"אני לא משפטן. התייחסתי לבעיה בכללותה. מטה ברמה הלאומית צריך להגן על האזרחים, לדאוג שיהיו סטנדרטים ושתהיה מודעות של הציבור לסטנדרטים האלה".

גורם במשרד ראש הממשלה אומר ש"רק בחודש אוגוסט החליטה הממשלה על הקמת המטה. הפעולות להקמת המטה נמצאות בעיצומן, מטבע הדברים התהליך אורך זמן. בחודשים הקרובים יפעל המטה להסדרת כלל הפעילות, שתכלול חקיקה ותקינה בתחום שמטרתה לשפר את יכולת ההגנה במגזר הפרטי והציבורי".

בכל מקרה, המטה ללוחמת סייבר הוא רק אחד הגופים שאמורים להתמודד עם התקפות של האקרים, יחד עם המפלג לפשעי מחשב במשטרת ישראל, משרד המשפטים, החברות המסחריות שעושות עסקים באינטרנט ועוד. וכמו בכל מקרה שבו כמה ארגונים שותפים באחריות, אף אחד לא אחראי באמת.

"כבר לפני 20 שנה הייתי מעורב בחקירות של האקרים, אבל ראיתי שאין עם מי לדבר במשטרה, חשבו שאני ממציא דברים", מספר עו"ד בועז גוטמן, שהקים את המפלג לפשעי מחשב במשטרה לפני 13 שנים. "בכירי המשטרה לא ידעו להבדיל בין אינטרקום לאינטרנט. מתוך רצון לקדם את הקמת המפלג לעבירות מחשב הוצאתי מכיסי 8,000 שקל , כתבתי מקראה על לוחמת סייבר, עשיתי 50 עותקים ושלחתי לכל העולם. טיילתי בכל מקום כדי להסביר שהמשטרה זקוקה למפלג שיטפל בפשעי מחשב".

"אחרי כמה חודשים זה התחיל להתגלגל, הכשירו כמה עשרות שוטרים בחקירה של עבירות מחשב, אבל גם אחרי שהמפלג קם, ראשי מפלגים אחרים צחקו עלי, מסכן, בטח נדפק לו משהו בראש. לאט לאט הם הבינו שלא צריך להצטלם עם ארגזי מסמכים, מעתיקים את הדיסק הקשיח במחשב ונגמר הסיפור".

"גם אחרי הקמתו מפקדי המפלג לעבירות מחשב הביעו אכזבה מיכולות המשטרה בתחום. סגן ניצב מאיר זוהר, שהחליף את גוטמן בתפקיד, הודה במאמר שכתב בעיתון "מראות המשטרה" ש"יכולתו של פורץ המחשבים המקצועי גבוהה מזאת של חוקרי המשטרה".

גוטמן אומר שעשרה חוקרים אכן אינם יכולים להשתלט על כל פשעי המחשב. "יש היום במשטרה חוקרי מחשב טובים שיודעים לקרוא ולכתוב אנגלית, שעברו קורסים טובים ויודעים לשאול את השאלות הנכונות. אין צורך ב-200 חוקרים , מספיק אם יהיו כ-30 חוקרים פעילים".

אחת הבעיות, לדברי גוטמן, היא שרוב עבירות המחשב כלל לא מדווחות למשטרה. "אנשים וארגונים שנפלו קורבן לעבירות מחשב חשים מבוכה ולא רצים למשטרה. אני עצמי, בעבודתי כעורך דין בתחום, ממליץ בדרך כלל לקורבנות פשיעת מחשבים לסגור את הפרשה בשקט. לפני זמן מה נקראתי למשרד בעזריאלי שנראה כמו בסרטים".

"התברר שעובד לשעבר גנב לחברה את כל המידע הממוחשב שלה ואיים לפרסם אותו אם לא יקבל פיצויים מוגדלים. אמרתי להם שאם הם יתלוננו עליו הם יהיו מאוד צודקים, אבל אז המידע יתפרסם. הם החליטו לסגור את הפרשה בשקט. יש הרבה מקרים כאלה. מחקר אמריקאי מצא ש-60 אחוז מהקורבנות כלל לא פונים לרשויות, אני מניח שאצלנו המספרים דומים".

"משרד המשפטים מתנהג כאילו אין סיבה למהר להכין את חוק הגנת הפרטיות", עמוד הפייסבוק של ההאקר הסעודי עומאר חביב. צילום מסך

עו"ד חיים רביה, מומחה לעבירות מחשב, מפנה את האצבע המאשימה לעבר משרד המשפטים. "נדרשת מהפכה עמוקה בחוק הגנת הפרטיות כדי להתאימו לתקופה המודרנית. משרד המשפטים מתנהג כאילו יש לנו הרבה זמן ואין שום סיבה למהר להכין את החוק המתאים לימינו אלה.

לפי החוק הישראלי, הפריצה לאתרים היא עבירה פלילית שעונשה עד חמש שנות מאסר. אלה שמספרי כרטיסי האשראי שלהם נחשפו מקבלים הגנה טובה על פי חוק כרטיסי חיוב, וכשהם מודיעים לחברת כרטיסי האשראי שהם לא ביצעו את העסקה, הכסף מוחזר להם. הבעיה היא בחוק הגנת הפרטיות שהוא חוק מיושן.

החלק של החוק שעוסק במאגרי מידע נחקק ב-86' ולא צפה את עידן האינטרנט. הרשות לטכנולוגיה במשרד המשפטים פרסמה תקנות חדשות לאבטחת מידע, אבל לא קידמה את הנושא, הטיוטה לא הפכה לתקנות של ממש, וכך אנחנו חיים בלי תקנות מספקות בתחום. במאי 2009 הגישה ועדת שופמן, שהייתי חבר בה, תזכיר שהמליץ לשנות את חוק הגנת הפרטיות כך שיתאים לעידן החדש ומאז לא נעשה כלום".

מה צריך היה לעשות?
"ועדת שופמן המליצה שכמו בקליפורניה, בעלי אתרים יהיו חייבים לדווח לציבור על פגיעה במאגרים. נדרשת מהפכה עמוקה בשורה של הוראות כמו מחיקת מידע שאינו דרוש יותר, הצפנת מידעים מסוגים מסוימים".

מפייסבוק לבר רפאלי

431 מיליון בני אדם ב-24 מדינות היו קורבנות של פשעי מחשב בשנה האחרונה על פי דוח נורטון לפשעי מחשב. בארצות הברית מדי דקה 141 בני אדם נופלים קורבן לפשעי מחשב שונים. על פי הדוח האחרון של המרכז האמריקאי לתלונות על פשעי אינטרנט, התקבלו אצלו בשנה האחרונה שני מיליון תלונות ועוד 27 מיליון גולשים נכנסו לאתר של המרכז כדי לחפש מידע.

הנזק הנגרם מפשעי האינטרנט בארצות הברית הגיע בשנת 2011 ל-139 מיליארד דולר בארצות הברית ול-388 מיליארד דולר בעולם כולו. לשם השוואה, שוק ההרואין, קוקאין ומריחואנה מגיע ל-288 מיליארד דולר. חברה אמריקאית ממוצעת מוציאה כשישה מיליון דולר על אבטחת מידע, כך על פי סקר של מכון פונמון מאוגוסט האחרון, שקובע שרמת הפשיעה הווירטואלית עולה בהתמדה.

בשנים האחרונות אירעו פריצות מחשבים בממדים גדולים בכל רחבי העולם. מתקפה על האתר של חברת סוני לפני כחצי שנה גרמה לדליפת פרטיהם של 70 מיליון משתמשי המשחק פלייסטיישן, ביניהם, על פי הערכות, 120 אלף ישראלים. הנזק שנגרם לחברה נאמד בשני מיליארד דולר. בנובמבר הודיעה פייסבוק כי מדי יום נעשים 600 אלף ניסיונות פריצה לחשבונות, רובם נחסמים.

בינואר 2011 הוטל קנס של 360 מיליון דולר על אזרח אמריקאי בשם פיליפ פורמבסקי, שפרץ ל-116 אלף חשבונות פייסבוק ושלח באמצעותם כשבעה מיליון הודעות זבל. עוד קודם פרסם חוקר אבטחת מידע אמריקאי, רון באואלס, קובץ המכיל פרטים אישיים של למעלה ממאה מיליון משתמשי פייסבוק.
וזה לא הכל.

בנובמבר שעבר נפרץ אתר משחקים בדרום קוריאה, והאקרים העתיקו מידע אישי של 13 מיליון מנויים. שלושה חודשים קודם נפרצו באותה מדינה 35 מיליון חשבונות של משתמשים בפורטל בלוגרים. החשד נפל על האקרים סינים שמיוחסות להם פריצות ענק לאתרים בכל רחבי העולם.

מחשבים ואתרים של הפנטגון, נאסד"ק, לוקהיד מרטין, סיטיבנק, בואינג, קרן המטבע הבינלאומית, הסי-איי-אי, הסנאט האמריקאי, הוועד האולימפי הבינלאומי, האו"ם, נאס"א, מחשבי הממשל באסטוניה, יאהו, אמזון, סי-אן-אן, "ניו יורק טיימס", מיקרוסופט וגם מטה הבחירות של ברק אובמה ב-2008, הם בין הקורבנות הבולטים של האקרים בשנים האחרונות.

בישראל נפרצו חשבונות פייסבוק של אנשים בהפקת "האח הגדול", האקרים חדרו למערכות המחשב הפנימיות של שני משרדי עורכי דין גדולים, וגם אתר האינטרנט של בנימין נתניהו נפרץ. בקיץ פרץ האקר ישראלי למחשב של בר רפאלי וגנב תמונות, סרטונים וקבצים נוספים. גם יוזמי "מחאת הקוטג" טענו שגורמים עוינים השתלטו על דף הקבוצה בפייסבוק, מחקו הודעות והעלו מידע שקרי.

ביוני 2010 נפרצו כאלף אתרים ישראליים על ידי האקרים טורקים, בהם האתר "ליכודניק". בתגובה תקפו האקרים ישראלים אתרי ממשל טורקיים. גם המתקפה האחרונה גררה תקיפות נקמה של האקרים ישראלים על אתרים סעודיים.

רוב המדינות בעולם מטילות עונשי מאסר על האקרים שפורצים לאתרים. אבל למרות הסיכוי להיענש בחמש שנות מאסר, עו"ד רביה אומר שרוב ההאקרים לא ממש מרגישים מאוימים.

מחשבים ואתרים של הפנטגון, נאסד''ק, סיטיבנק, קרן המטבע הבינלאומית, הסי-איי-אי, הסנאט האמריקאי ומטה הבחירות של אובמה ב-2008 היו קורבנות להאקרים בשנים האחרונות. מתחם הפנטגון צילום ארכיון: אי-פי

אלוהים עשה טובה

"האביב הערבי רומם את אנשי המחשבים הערבים", אומר מונדיר בדיר, האקר תושב כפר קאסם שהפך למומחה לאבטחת מידע. "הם קיבלו תיאבון. אנחנו נתקלים בפריצות שלהם מדי יום. המצב עכשיו די גרוע והוא יהיה הרבה יותר גרוע". לדבריו, המסקנה שעולה מהפרשה האחרונה היא אחת: אנשים צריכים להיות זהירים ולא למהר לתת פרטים של כרטיסי אשראי.

בדיר, בן 37, הוא האקר ידוע שעובד בשנים האחרונות כיועץ אבטחת מידע בעולם הערבי. הוא גדל בכפר קאסם, עיוור מלידה, בעל חוש טכני יוצא דופן. לפני כעשר שנים הואשם יחד עם שני אחיו, מוזהאר ושאדי, עיוורים אף הם, בפריצה למרכזיות טלפונים של בזק, שינוי הקצאת קווי טלפון וביצוע שיחות טלפון על חשבון מרכזיות שונות, בהן מרכזיית גלי צה"ל. הם הורשעו בחדירה למחשבים ונפסקו להם עונשים שבין חצי שנה של עבודות שירות לחמש שנות מאסר.

מונדיר, המוח המשפחתי, מאמין שהוא מבין איך עובד הראש של האקר ממוצע. "אלוהים עשה לנו טובה, לקח לנו את הראייה ונתן לנו פיצוי בתחומים אחרים. יש לי חוש שמיעה יוצא דופן שסייע לי לפרוץ בעבר. אני יודע איך האקר יכול לחמוד את המערכת. האקר מחפש את החולשות ואת הפרצות של המערכת, כמו גנב שיודע איפה הוא יכול לחתוך את הברזלים של הסורגים".

אחרי שריצה חמש שנות מאסר בפועל, החליט מונדיר לעבור לצד השני. "כמאבטח מידע אני, למעשה, האקר מורשה. אני חולה על פריצות מחשבים, וכמאבטח אני מבצע פריצות בצורה חוקית. היום אנחנו פורצים ברישיון, לא כמו פעם. בעלי אתרים מבקשים שנפרוץ לאתר שלהם כדי לגלות את נקודות החולשה.

בארץ פחדו מאיתנו בגלל העבר שלנו, במדינות ערב יש לנו הרבה עבודה. הם חיים בפחד מההאקרים הישראלים, ובאותה מידה בישראל פוחדים מההאקרים הערבים. בתקופה האחרונה יש הרבה פריצות של אנשי מחשבים ערבים. זאת הפעם הראשונה שהם קיבלו ביטוי ויצאו החוצה, והם לא מתכוונים להפסיק. מלחמת הסייבר רק תגבר. אתמול צץ האקר סעודי, היום מתברר שהוא מקסיקני, זה לא משנה. רק אתמול טיפלתי באתר סעודי שטען שהאקרים ישראלים פרצו אליו".

אז איך אפשר להתגונן?
"בצורה פשוטה, פשוט לא למהר לחלק מספרים של כרטיסי אשראי. אין מערכת ממוגנת באופן מוחלט. כשאנשים לא ימהרו למסור את הפרטים שלהם, נעבור שלב גדול מאוד. הגולשים צריכים להגן על עצמם ולא לחכות שחברות כרטיסי האשראי או אתרי האינטרנט יגנו עליהם".

ההאקר א' אומר שעיקר הסכנה לאתרים מגיעה דווקא מגורמי פשיעה.
"כשאתה צעיר זה נראה לך מגניב ומעניין, אתה רוצה לנסות לאתגר את המערכת. כשאתה מתבגר אתה מבין שהאקר הוא גנב ושאתה לא חסין. אם תנסה לחדור למחשב של חברה שלך לשעבר, היא מיד תבין שזה אתה ותגיש תלונה במשטרה, ואם תגנוב כסף מבנק תצטרך להיעזר בארגוני פשיעה שישנעו את הכסף. אני החלטתי שאני לא לוקח עבודה שקשורה לארגוני פשע. מישהו ביקש ממני להביא לו מידע על חברה שרימתה אותו, החלטתי שזה לא מתאים לי, מפני שזה עלול להיות קשור לארגון פשע".

ובכל זאת, יש פיתויים?
"לפני כמה זמן קיבלתי הצעה מפתה במיוחד, תמורת 300 אלף דולר התבקשתי לחשוף מידע על מכרז. חברה התמודדה במכרז מסוים ורצתה לדעת כמה הציעו המתחרות שלה. זו עבודה של שבוע, אבל חששתי שמי שעומד מאחורי הצעת העבודה הנדיבה זה ארגון פשע. אני לא חושש שהם לא ישלמו, אני בטוח שהיו משלמים לי עד השקל האחרון, אבל אני לא מוכן להיות בידיים שלהם, לחיות בפחד שמישהו ידפוק לי בדלת, לדעת שאני חייב להיענות לדרישות של עבריינים".

"יש לי חברים האקרים שעבדו בתמימות עבור ארגוני פשיעה ונאלצו לברוח לפנמה. אני עובד עם הצד הטוב, אני עושה דברים עבור המדינה. בכל מקצוע יש גם צדדים טובים. מישהו החדיר תולעים למחשבים באיראן, זה מבחינתי ניצול היכולות שלך למעשים טובים. מה שההאקר הסעודי עשה זה סתם מעשה ילדותי".

דרושים : אמצעי מניעה

עו"ד נמרוד קוזלובסקי, עורך הספר "פשעי מחשב", אומר שאחרי שלב הפאניקה וההאשמות, צריך עכשיו למצוא פתרונות. לטענתו, האחריות היא של הכנסת, חברות האינטרנט וגורמי האכיפה.

"חברות האינטרנט לא ביצעו אבטחת מידע מתאימה מפני שזה עולה הרבה כסף. הרגולטור נרדם והגיע הזמן שיתעורר. קודם כל, צריך להצטרף לאמנות זרות שעוסקות בתחום, כמו אמנת בודפשט שנכנסה לתוקף ב-2004 וקובעת ש-46 המדינות החתומות עליה ישתפו ביניהן פעולה בחקירת פשעי מחשב. ישראל משום מה לא חתומה על האמנה".

גורם במשרד המשפטים אומר שחתימה על האמנה לא מונעת פשעים אלא רק מסייעת בחקירתם. "גם אם היינו חתומים על האמנה לא היינו מצליחים למנוע את מה שעשה ההאקר בשבוע שעבר".
קוזלובסקי סבור שבאמצעים פשוטים אפשר להתגבר על רוב התקלות.

"צריך לייצר שיטה של מניעה מוקדמת. יש בארץ כמה עשרות חברות שמתמחות בפריצה לאתרים כדי לגלות את נקודות התורפה שלהם. חקיקה שתחייב בעלי אתרים להשתמש בסט הכלים הזה שמצוי בידי כל האקר, תגרום לגילוי פרצות עוד לפני שהאקרים סעודים מגיעים לאתרים ישראליים ותהפוך את האתרים שלנו לבטוחים ברמה כמעט אבסולוטית. גם חיוב בדיווח על פריצה ואיסור על שמירת עודף מידע יעשו עבודה טובה. צריך גם להקים צוות התמודדות עם אירועים כאלה. באירוע האחרון ראינו שלא היה מי שינהל את העניינים.

"בכל מדינות העולם יש ארגונים שנכנסים לפעולה במצב חירום", ממשיך קוזלובסקי. "מטה הסייבר במשרד ראש הממשלה עוסק בתשתיות לאומיות, צריך להקים גוף שיעסוק בצד האזרחי של מתקפת סייבר. בישראל הכל כל כך פרוץ, שהבלוגר אמיר פדידה יכול היה לקפוץ עם החקירה שלו לגבי זהותו של ההאקר, וסיכל למעשה את היכולת לנהל חקירה אפקטיבית מפני שהאקר שזהותו נחשפה ישמיד ראיות. ב-2005 התפוצצה כאן פרשת 'הסוס הטרויאני' ומאז המצב רק החמיר מפני שאף אחד לא עשה כלום".

במשרד המשפטים אומרים שבחוק הגנת הפרטיות קיימת חובה לאבטח מידע. "כנראה שהאתרים שנפרצו לא קיימו את חובת החוק", אומרים במשרד. "בכנסת עבר בקריאה ראשונה תזכיר חוק שמשנה דרמטית את כל הכשלים. ניסחנו תקנות לחוק הגנת הפרטיות שיעברו בקרוב לוועדת חוקה חוק ומשפט בכנסת. אנחנו לא נכשלנו. הרגולטור לא יכול לבדוק איך כל אתר פועל. האשמה היא של מי שמקבל מידע ולא מאבטח אותו".

משה חרלופסקי, מנכ"ל ובעלים של אתר העסקים "עושים עסקים" שנפרץ בשבוע שעבר, כותב ש"באתר לא נמצאו מספרים של כרטיסי אשראי, מאחר שאנחנו לא שומרים על מספרי הכרטיסים. ההאקרים הגיעו לקובץ גיבוי עם פרטים של חברים כמו שמות, מיילים ומספרי טלפון. אנחנו מתחקרים את מה שקרה עם מומחה אבטחה מיוחד על מנת למנוע את הישנות המקרה".

גיא מזרחי, האקר ויועץ לאבטחת מידע, מציע לגולשים להיזהר בהפצת מידע. "זה לא קל. אפילו אני, שמכיר היטב את המערכת, מוצא את עצמי נותן פרטים אישיים. נרשמתי לא מזמן לכנס אבטחת מידע, ביקשו מספר תעודת זהות למרות שאני לא מבין בשביל מה הם היו זקוקים לזה. לא הייתה לי דרך לעקוף את הבקשה ומסרתי את מספר תעודת הזהות שלי.

הדרך היחידה למנוע אירועים כאלה היא פיקוח של הרשויות. לא יכול להיות מצב שכל אתר יוכל לאסוף מספרי תעודות זהות, אבל לא ייתן את הדין כשהאתר נפרץ. מבחינה טכנולוגית, ההאקר הסעודי עשה עבודה פשוטה. מבחינה פסיכולוגית, הייתה לו השפעה רבה. למזלנו הוא לא אדם מתוחכם. האקר רציני היה יכול להשתמש בפרטים של חברי הכנסת ושל אנשי מערכת הביטחון, כדי להזיק להם ולשנות את המערכת הפוליטית בארץ".

ועד שיוסדרו מנגנוני ההגנה והאכיפה בישראל, לשופט הנורווגי שטיין שולברג, שמפעיל אתר העוקב אחר החקיקה בנושא ומרצה בכל רחבי העולם, יש עצה לטיפול בהאקרים. "צריך להקים בית דין בינלאומי שיטפל בפושעי מחשב כפי שבית הדין הבינלאומי בהאג מטפל בעבריינים שביצעו פשעים נגד האנושות", הוא כותב במייל. "זו הדרך היחידה להתמודד מול התופעה".