כתבה למוסף השבת של העיתון מקור ראשון (מצורף הגליון עמוד 3)מוסף משפטי מקור ראשון
מלחמת הסייבר או מחדל אבטחת מידע?/ ד"ר נמרוד קוזלובסקי, עו"ד
מלחמת הסייבר הראשונה? טרור דיגיטלי? ואנדאליזם אינטרנטי? הרבה פרשנויות וכותרות עוררו התקריות של השבועות האחרונים. בתקריות אלה, האקרים זרים תקפו מטרות ישראליות כדי להביא לחשיפת פרטי אמצעי תשלום ופרטים אישיים של מאות אלפי ישראלים וכן למניעת שירות זמנית מאתרים ישראליים ובהם אתרי הבורסה ואל על. והנה, דומה כי הפרשנים בלהיטותם לספק כותרות מיהרו לשלב לתקריות אלה תרחישים שבינם לבין האירועים שקרו אין ולו דבר (התקפת על מערכות המים של ישראל?! תקיפת הכור הגרעיני במתקפת סייבר?! – מה לאלה ולאירועים שחווינו?).
לא מדובר באירוע הנוכחי בלוחמת סייבר בין מדינות או בתרחיש הצריך להדיר שינה מעינינו לגבי הגנתן של תשתיות לאומיות. אין מדובר בתוקפים מתוחכמים או באירוע פריצה ייחודי שמחייב היערכות מערכתית של גופי הבטחון, כמו שהיו מי שמיהרו להציע. מדובר במתקפות מקובלות שמקורן בקבוצות עוינות לישראל שמנצלות חולשה במערך ההגנה האינטרנטי. התקפות מניעת השירות הן מציאות קיימת עמה מתמודדים אתרים סמליים במדינה במצב עימות וגניבת פרטים אישיים וגניבת זהות הן מנת חלקן של מדינות רבות.
ואולם, האם העובדה שמדובר במתקפה שכיחה אומרת כי אין יסוד לדאגה? ההיפך הוא הנכון! המתקפות, ובראשן הפריצה לאתרים לשם חשיפת פרטי גולשים, הוכיחו כי בידי גורמים עוינים היכולת, בקלות רבה לפגוע במשתמשים הישראליים בזירה הדיגיטלית וכי היה מחדל בהיערכות למניעת התקפות מעין אלה. ישראל כמדינה מוגנת היטב בסייבר. הישראלי באינטרנט עומד חשוף בצריח.
הגיעה העת לקרוא לילד בשמו: מדובר ברשלנות חמורה באבטחת מידע. נוצלו פרצות בסיסיות שכל גורם עוין עם מקלדת והכשרה בסיסית ביסודות הפריצה למחשבים (האקינג) יכול לנצל. מדובר במערכת חקיקה מחוררת ושאינה מעודכנת ,שלא מייצרת תמריצים לבעלי אתרים שמחזיקים פרטים אישיים רגישים להתמגן ולו אף בהגנה בסיסית. מדובר בכשל של מערכת אכיפת החוק והבקרה לבצע איתור מוקדם של פגיעויות ולנקוט צעדים כדי לחייב התמגנות ולמנוע חשיפת הגולשים לנזק.
בשיעור ראשון בקורס אבטחת מידע לומדים שמניעה מוקדמת הינה יעילה וזולה בעוד שחקירת אירוע בדיעבד וצמצום נזקי אירוע הם יקרים ובעלי יעילות מוגבלת. כנגד התקפות מחשב רבות, ובהן ההתקפות שחזינו בשבועות האחרונים, די בבדיקת חדירות שגרתית בכלים דומים לאלה שמשמשים את התוקף כדי לאתר את הפרצות והפגיעויות של אתר היעד או מאגר המידע ולהטליא את טלאי האבטחה הנדרש. בדיקה מוקדמת של פגמי האבטחה מזהה את חולשת האבטחה לפני שתוקף מוצא אותם – ובכלים דומים - ומאפשרת מניעה מוקדמת.
שיעור בסיסי נוסף באבטחת מידע ילמדנו כי משאירע אירוע אבטחת מידע חיוני לחקור את האירוע כדי למנוע הישנות אירוע דומה וכן חשוב לדווח לנפגעים הפוטנציאליים של אירוע אבטחת המידע כדי לאפשר להם לנקוט צעדי מניעה. הקורבנות האמיתיים אינם האתרים שנפרצו אלא האנשים שפרטיהם נחשפו ועלולים למצוא עצמם קורבן לגניבת זהות. כך לדוגמא, אם מאגר מידע מחזיק פרטים אישיים רגישים של לקוחות ובהם ססמאות גישה, הרי שדיווח לבעל הססמא כי בוצעה פריצה למאגר, תאפשר לו להחליף ססמא ולבצע בקרה על שימושים חשודים. בדרך זו ניתן למנוע את התרחבות הפגיעה והשימושים לרעה במידע שנגנב.
מפתיע ככל שזה יהיה, החוק בישראל לא מספק מענה בסיסי לסוגיות אלה. החקיקה הרלוונטית בישראל היא חוק הגנת הפרטיות שחוקק בראשית שנות ה – 80 על בסיס עבודת ועדה משנות ה – 70. הנחות המוצא של החוק מיושנות ולא מתאימות למציאות ימינו. ההנחה הבסיסית היא שישנם מאגרי מידע מועטים והניתנים לבקרה (מציאות שהייתה נכונה לאותם ימים) וכי ההגנה המרכזית על הפרטיות היא בהקפדה על הסכמה במסירת פרטים ובזכויות בעל המידע לבקר את המידע הנאגר עליו. ההתייחסות לאבטחת מידע היא אגבית ונקבעה חובת כללית על בעל מאגר מידע לנקוט אבטחת מידע סבירה. מעבר לזה – אין.
במישור התמריצים החוק לוקה בחסר. אין בחוק תמריצים ראויים לאתר או לבעל מאגר מידע להתמגן מראש (וכך המציאות היא שבעלי אתרים ומאגרי מידע מעדיפים להחצין את הסיכון לפגיעה על משתמשיהם). אין חובות בדיקת אבטחת מידע יזומות. אין הסמכה של גופים המורשים לספק אישורי אבטחת מידע או חובה להיעזר בשירותיהם. אין מבנה ראוי של אחריות וחבות לנזקי אבטחת מידע. אין מבנה ראוי של תביעות (לדוגמא תביעה ייצוגית או תביעה ללא הוכחת נזק) שייצור אכיפה פרטית נאותה.
גם במישור האיתור המוקדם והדיווח החוק חסר. אין בחוק מנגונים להבטחת איתור מוקדם של אירוע אבטחת מידע (על ידי בדיקה יזומה של האתר או הרשות המוסמכת). אין חובות חקירה ודיווח על אירועי אבטחת מידע. אין חובה כללית ליידע את בעלי המידע שנפגע על הפגיעה במידע ולאפשר להם להקטין את הנזק ולמנוע המשך פגיעה.
ובנוסף, אם אירע אירוע אבטחת מידע, החוק הקיים מספק כלים מוגבלים לרשויות החקירה ואכיפת החוק. כל עוד תזכיר החקיקה בעניין סמכויות חיפוש הכולל פרק על חיפוש ותפיסה דיגיטלייים לא מקודם בכנסת, הכלים בידי רשויות החקירה מוגבלים. גם במישור הבינלאומי קשורות ידיהן של רשויות החקירה בישראל, כל עוד ישראל אינה מצטרפת לאמנה הבינלאומית להתמודדות עם פשעי מחשב (אמנת בודפשט, 2001) ונכנסת למעגל המדינות הזוכות לשיתוף במודיעין על התקפות ולסיוע בחקירת פשעי מחשב, שתמיד, מטבעם, מערבים היבט בינלאומי.
מה עלינו לעשות? התשובה פשוטה: להשלים את החסרים האמורים בחקיקה ובאכיפה. יש לייסד מערכת תמריצים ראויה לאתרים ולבעלי מאגרי מידע להתמגן מראש – לאסור איסוף מידע אישי רגיש מזהה ללא עמידה ברף מינימום של אבטחת מידע ולחייב בדיקת אבטחה עצמאית בלתי תלויה להבטיח עמידה ברף לאלה שאוספים מידע. יש לייסד מערכת חובות לאיתור מוקדם של פגמי אבטחת מידע וחקירת אירועי אבטחה. חובות אלה צריכות לכלול גם בדיקת חדירות יזומה של האתרים וגם בדיקות מדגמיות מצד הרשות למשפט וטכנולוגיה שסנקציות בצידן לאתרים כושלים. יש לייסד חובת דיווח לרשויות ולנפגעים הפוטנציאליים של אירוע אבטחת מידע לאפשר את מזעור הנזק. לצד כל אלה יש להוסיף את מערך האחריות והחבויות על אירועי אבטחה מידע ואת ההגנות למי שהתמגן (כתמריץ להתמגן) ואת כלי התביעה והאכיפה הפרטית. צעדים אלה כולם יכולים להיעשות בחקיקה פשוטה, שאינה נדרשת להיכנס לנבכי סטנדרטים של אבטחת מידע, אלא אך קובעת תמריצים, מערך חבויות והגנות ומנגנונים יעילים לאכיפה פרטית וציבורית. את תקן אבטחת המידע ההולם, בעלי המקצוע כבר ידעו לבחור היטב, אם יהיה תמריץ לנקוט בו.
לצד זה, נדרשת החקיקה המורכבת יותר של סדרי הדין לחיפוש ותפיסה דיגיטליים, הכוללת איזונים ובלמים בין סמכויות חקירה וזכויות אדם. יש לקדם חקיקה זו תוך עמידה על האיזונים הראויים בה. ובמישור הבינלאומי, על ישראל לחתום מיידית על אמנת בודפשט ולאשרר אותה, שאם לא כן ניוותר בדד עם אירועי אבטחת המידע שמתרחשים עלינו, ללא עזרה וסיוע בינלאומי כנדרש.
כולי תקווה ששעת הכושר שנפלה לידינו של מודעות הציבור ונכונות המחוקק לעשות מעשה, תנוצל היטב לתקן את הדורש תיקון בחוק ובמנגוני האכיפה והבקרה.