סוגיית הסייבר סווגה כ"אתגר לאומי" בארה"ב אך יש עוד דרך ארוכה ליישום המדיניות בשטח. ומה קורה בישראל? גופים ללא סמכות והיעדר רגולציה בנושא
בחודש מאי 2021 הנשיא ביידן חתם על צו נשיאותי המחייב את כל הרשויות הפדרליות להגביר ולחזק את אבטחת הסייבר מפני איומים ומתקפות סייבר.
אירועי הסייבר החמורים בשנת 2020 בהן הותקפו יעדים אסטרטגיים: SolarWinds, Microsoft Exchange וחברת האנרגיה Colonial Pipeline האיצו את ההחלטה של ביידן לנקוט בצעד מחייב כלפי הרשויות ולייצר סטנדרטיזציה חדשה בתחום אבטחת הסייבר.
זהו צעד ראשון שהממשל נוקט כדי להגביר את הגנת הסייבר הלאומית אך הוא לא מספיק. הממשק האמריקני עובד עם חברות וארגונים רבים מהסקטור הפרטי. האירוע של חברת האנרגיה Colonial Pipeline היא דוגמא לכך שחיזוק הגנה במוסדות ממשלתיים אינו מספיק. חלק גדול מהתשתיות במדינה מופעלות על יד המגזר הפרטי, ואותן חברות קובעות בעצמן את ההשקעות שלהן באבטחת סייבר.
הצו הנשיאותי מחייב, בין היתר, את הרשויות והסוכנויות הפדרליות ביישום האמצעים הבאים:
• שיתוף מידע בין חברות פרטיות לרשויות פדרליות בתחום הCyber Security כך שמידע על איומים, זליגת מידע ופריצות
יועברו בסנכרון מלא בדגש על הממשקים או המערכות המשותפות.
• אימוץ והטמעה של תקני אבטחת סייבר ברמה גבוהה ומתקדמת יותר בממשל הפדרלי למשל הגברת קצב המעבר
לשירותי ענן מאובטחים, אימוץ התפיסה של מודל Zero-trust ושימוש באמצעי אבטחה נוספים כמו אימות רב שלבי והצפנה.
• קביעת מתווה אבטחה לפיתוח תוכנות הנמכרות לממשלה, כולל דרישה לשמור על שקיפות שתאפשר לציבור להכיר את
תכונות האבטחה המיושמות במוצרים
• הקמת ועדת חקירה לאירועי סייבר – בה ישבו נציגים מטעם המגזר הפרטי ומטעם הממשלה. הועדה תתכנס בעקבות
אירועי סייבר משמעותיים ותדון באירוע, תנתח את התקרית ותגיש המלצות פרקטיות לשיפור אבטחת המידע.
• גיבוש תכנית תגובה לאירועי אבטחה – יצירת סטנדרטיזציה באופן התגובה וההתמודדות של רשויות הממשל הפדרלי עם
אירועי סייבר לאומיים.
• שיפור והגברת הנראות ברשת של הארגונים הממשלתיים – הטמעת מערכות זיהוי ותגובה (EDR)
• שיפור יכולות התחקור והתיקון (Remediation) – גיבוש הנחיות לשמירה על לוגים במערכת הדרושים לתחקור ולמידה
לאחר מתקפת סייבר ולעתים גם יכולים להתריע עוד לפני.
בחודש אוגוסט ביידן כינס ועידה בסוגיית אבטחת הסייבר, אותה הגדיר כ"אתגר ליבה לביטחון הלאומי". בוועידה השתתפו בכירי מיקרוסופט, אמזון ועוד. ביידן קרא למגזר הפרטי לסייע למאמץ הלאומי להילחם במתקפות הסייבר ואמר "רוב התשתיות הקריטיות שלנו הן בבעלות הסקטור הפרטי ומופעלות על ידו, והממשל הפדרלי לא יכול להתמודד עם האתגר הזה לבד. לכן הזמנתי את כולכם כי לכם יש את הכוח, היכולת והאחריות להעלות את הרף בתחום אבטחת המידע. יש לנו הרבה עבודה לעשות"
ומה קורה בישראל?
בשנה האחרונה ישראל חווה מתקפות סייבר ממוקדות כמו המקרה של בית החולים הלל יפה ובתי חולים נוספים שנפגעו באותו השבוע. ארגונים פרטיים גם מותקפים באופן תדיר, אך החשש הגדול הוא מפגיעה בתשתיות קריטיות של המדינה כמו חברת חשמל, מים ומוסדות ממשלתיים. לפני כמה שבועות המוסד לביטוח לאומי הותקף במתקפת Ddos. מטעמם נמסר שפרטי הלקוחות לא דלפו אך מה היה קורה אם כן? מדובר במידע רגיש מאד של כל תושבי ישראל ושימוש לרעה במידע הזה יכול לחשוף את התושבים לגורמים עוינים.
באוגוסט 2021 פורסם שמשרד התקשורת מתכנן להעלות את סף אבטחת המידע בחברות התקשורת על רקע איומי הסייבר המתגברים. המשרד נשען על רגולציה במדינות שונות שמקדמות היערכות בנושא בשל החשיבות הרבה שלו. על פי המסמך שפורסם, חברות התקשורת מהוות שירות חיוני בעל חשיבות מרכזית לציבור ולמשק בן בשגרה והן בזמן חירום ולפיכך הן יעד אטרקטיבי לגורמים עוינים.
המרחב התשתיתי שלהן הוא עצום ולכן גם חשוף יותר לאיומים. טכנולוגיות חדשות הצפויות עם כניסת דור-5 מגדילות את מרחב האיומים ודורשות לבחון את הצורך בהתערבות רגולטורית נרחבת יותר.
מטרת האסדרה של משרד התקשורת היא להבטיח ששירותי התקשורת הניתנים על ידי המפעילים מוגנים בצורה אחודה ומיטבית מפני ההשפעות של מתקפות סייבר ולייצר תאימות לסטנדרטיזציה בינלאומית לאסדרת הגנת סייבר אצל מפעילי תקשורת.
ישראל לא ערוכה למתקפות סייבר
נשיא ארה"ב ג'ו ביידן הציב את סוגיית הסייבר בראש סדר העדיפויות שלו ומתייחס לסוגייה כאתגר לאומי.
בישראל זה לא סוד שלוחמה מדינית מהווה איום משמעותי על בטחונה של ישראל. לפי דיווחים בתקשורת, בשנת 2020 איראן תקפה תשתיות מים וביוב בישראל, שהגיבה בתקיפת סייבר נגד תשתיות בנמל איראני בבנדר עבאס. ובשנת 2021 דווחו תקיפות על ארגונים ישראלים שמאחורי התקיפות מזוהות קבוצות תקיפה אירניות.
ישראל הצליחה עד כה להתמודד עם תקיפות הסייבר נגד תשתיות כאלה בלי שנגרם לה נזק רב, אך היא עלולה להיות פגיעה יותר ככל שיואץ מרוץ החימוש בתחום הסייבר ואיראן תשכלל את יכולותיה.
מבקר המדינה מתניהו אנגלמן התארח בנובמבר 2021 בכנס אילת לעיתונות והתייחס להיערכות ישראל למתקפות הסייבר ואמר "המתקפות האחרונות על אתר אטרף ובית החולים הלל יפה ממחישות שישראל לא ערוכה למתקפות סייבר". כאשר נשאל האם לדעתו מדינת ישראל, כמי שמאוד חשופה למתקפות סייבר, נערכה בהתאם לאיום, ענה: "לטעמי לא. כשהגעתי למשרד לפני למעלה משנתיים פתחתי אגף לביקורת סייבר. הפריצה האחרונה לאתר 'אטרף' פוגעת בזכות היסודית לפרטיות. המתקפות נגד אתר 'אטרף' ונגד בית החולים הלל יפה ממחישות שישראל לא ערוכה למתקפות סייבר".
בהיעדר רגולציה, פיקוח וסמכות של מערך הסייבר על מוסדות ממשלתיים וחברות מהסקטור הפרטי, האחריות על אבטחת המידע של האזרחים ושל לקוחות החברות מוטלת על כתפי הנהלות הארגונים ושיקולים פנימיים שלהם. כל ארגון מתקצב ומנהל את אבטחת המידע של הארגון על פי שיקולים פנימיים שלו.
האם נדרשת רגולציה בישראל?
הטכנולוגיה מתפתחת בקצב אקספוננציאלי, המרוץ להגנה על המשתמשים הוא מרוץ אינסופי.
על המדינה להיערך לכך בדיוק כמו שהיא נערכת בגזרה הביטחונית. לוחמת סייבר היא לא פחות חשובה ולכן, רגולציה ופיקוח מטעם המדינה הכרחיים. רגולציה שמחייבת סטנדרט אחיד לכל הארגונים כדי להבטיח הגנה על הלקוחות ועל האזרחים מפני שימוש לרעה במידע שלהם.
זהו אמור להיות אינטרס לאומי משותף גם לסקטור הציבורי וגם לסקטור הפרטי ומעבר לערך המוסף הבטחוני הוא גם ייצר ערך מוסף כלכלי במובן של שמירה על המשכיות ורציפות עסקית.
האחריות להוביל את המתווה מוטל על המדינה ועליה לפעול לטובת האזרחים שלה ולהגן מפני שימוש בפרטים שלהם לרעה.
למדינת ישראל כמובן יש גם אינטרס לשמור על תשתיות המדינה – תשתיות החשמל, מים, אנרגיה – שבעת מתקפה ישתקו מדינה שלמה, יביכו את הממשלה ויעמידו בסיכון את אזרחיה.
מדינת ישראל חייבת להתייחס לסוגייה כאתגר לאומי ולא רק לאמץ את עמדתו של נשיא ארה"ב ביידן, אלא גם ליישם בפועל.
מתקפת הכופר הבאה ממש מעבר לפינה והתוצאות עלולות להיות הרסניות.