מתקפת הסייבר: חוסר ביטחון הוא המצב הנורמלי החדש
מתקפת הסייבר על ישראל, ב-7 לאפריל, מעוררת את העיסוק בשאלה, האם אנחנו מוכנים? על מידת המוכנות של צה"ל וכוחות הביטחון האחרים אין לנו מידע רב. אבל האם יתר משרדי הממשלה מוכנים? האם החברות הגדולות במשק עשו את כל מה שצריך כדי להיות מוכנות להתקפה אפשרית כזו?
מרחב האינטרנט, בו מתקיימות מתקפות הסייבר, אינו מוגבל לתפיסת המציאות לה התרגלנו לאורך ההיסטוריה המודרנית. במתקפת סייבר אין "אויב בעין". העובדה כי אין לדעת האם האחראי למתקפה הינו גוף ממשלתי-מדינתי, האקר משועמם בן 16, טרוריסט זדוני או אקטיביסט צדקן, מקשה עד מאוד על היערכות מוקדמת של ארגונים לקראת מתקפת סייבר.יש כאלה שאף יקצינו ויאמרו שזו מציאות שצריך להתרגל אליה, כפי שנכתב לאחרונה בדוח מקיף על תעשיית אבטחת הסייבר של ענק ההשקעות בנק אוף אמריקה-מריל לינץ', שהגדיר כי חוסר ביטחון הוא המצב הנורמאלי החדש.
הדוח האמור סיכם סקר מקיף שערך הבנק האמריקאי בנושא. 69% מהנשאלים בו השיבו, שהם חוששים לעתים קרובות או מדי פעם שפרטי כרטיס האשראי שלהם ייגנבו על ידי האקרים ממאגרי מידע של חנויות שבהן הם קנו, זאת לעומת 18% בלבד שהשיבו שהפשע הכי מפחיד בעיניהם הוא פשע שנאה, ואחוז דומה שציין פשעים אחרים כמו הטרדה מינית או רצח. האמריקאי הממוצע, כך נוצר הרושם מהסקר, חושש מהאפשרות שפרטי כרטיס האשראי שלו ייגנבו הרבה יותר מאשר מהאפשרות שיירצח או ייפול קורבן למתקפת טרור.
יתכן ובמידה והסקר היה מתבצע כאן האחוזים ארץ היו קצת שונים, אך הדאגה מפני מתקפות סייבר עדיין גדולה, במיוחד לאור האיומים הרבים על ישראל בנושא. עקב כך, אנו עדים לתהליך "התחמשות" של גופים רבים כנגד כל האיומים האפשריים, כאשר ישנה הבנה גוברת כי אין מדובר עוד בשאלה "האם" יתקפו את הארגון, אלא שאלה של "מתי".
לזו נוספה השאלה "איך", ולא במובן של איך או כיצד יתקפו את הארגון, אלא "איך" הארגון ייערך לכך מבעוד מועד, בצורה נכונה ומקיפה ככל האפשר. המציאות בעולם הסייבר מלמדת כי אין תוכנה המסוגלת להתמודד עם מאה אחוז מהאיומים ולהביא לנטרולם בזמן אמת, אבל ישנה חשיבות רבה להיערכות מוקדמת של הארגון, על כלל מרכיביו, לשם חזרה מהירה לשגרה במינימום נזקים.
- כל התכנים הכי מעניינים - בעמוד הפייסבוק שלנו
החוק הישראלי, קובע חובה כללית בלבד לאבטחת המידע. אין הוראות ברורות כיצד יש ליישם את החובה בפועל, או במילים אחרות, מה מוטל על כל גוף לעשות בנושא אבטחת המידע, כדי להיות חסין מפני תביעות, במקרה והוא יסבול מחדירת האקרים אל תוך מערכות המידע שלו. בדומה אין הוראות ברורות מה החובה החלה על גוף שמתפעל ’עננים’, בהם אגור מידע של ארגונים רבים.
כמו בכל דבר, ראוי שתהא הסדרה ברורה בחוק ובתקנות של נושא אבטחת המידע וההתגוננות מפני מתקפות סייבר. הסדרה כזו צריכה ליצור סטנדרט ברור שבו על גופי הממשלה וחברות לעמוד, סטנדרט שייקח בחשבון את מידת רגישות המידע שיש בידי כל אחד מהם.
אבל למחוקק הישראלי לוקח הרבה זמן לשנות דברים ולא ראוי להמתין לו בנושא הזה. לכן עד שזה יקרה, דומה שגופים ששומרים מידע יצטרכו לקבוע דרוג עצמאי של המידע שהם שומרים ודרכי השמירה עליו. מי שידע לעשות זאת נכון, ימצא מרוויח במבחן הזמן הן לצורך תפעול המערכות שלו עצמו, הן מול אלו, שהמידע שלהם שמור אצלו והן כלפי אחרים, שיבקשו בהמשך להפקיד בידיו מידע בעתיד.
הכותב עומד בראש משרד עורכי הדין דן חי ושות' המתמחה בדיני תקשורת, טכנולוגיה וסייבר
היכנסו לעמוד הפייסבוק החדש של nrg
אקו"ם