"ההאקר הסעודי": עידן חדש במרחב הסייבר הישראלי

חשיפת הפרטים האישיים של אלפי ישראלים גרמה אמנם לבהלה, אך היא גם העלתה לכותרות את המלחמה היומיומית המתקיימת במרחבי הרשת. רם לוי ועו"ד דב האוסן-כוריאל מבקשים לשרטט את תכנית הפעולה הנחוצה על מנת להגן על תשתיות המדינה. מאמר מיוחד ל"ישראל דיפנס"

בתחילת החודש ביצע האקר סעודי המכונה 0xOmar פריצה לאתרי אינטרנט ישראלים, שתוצאותיה היו חשיפת פרטים אישיים ונתונים של כרטיסי האשראי של עשרות אלפי ישראלים. האירוע גרם לחוויה ציבורית חדשה לאזרחי מדינת ישראל, שעיקרה ניסיון לשבש אורך החיים התקין. מיד לאחר פרסום הפריצה והודעת 0xOmar, התחיל דיון ציבורי נרחב וגל מתקפות על חברות כרטיסי האשראי שהתרשלו, על רשויות המדינה שלא פיקחו ועל ראש הממשלה שלא זירז את הקמת מטה הסייבר הלאומי, הכל טרם השלמת הבחינה והבירור המקצועיים של פעילותו של ההאקר הסעודי והנזקים שנגרמו בפועל.

הסתכלות שקולה על האירוע מעלה מספר סוגיות שנוגעות לאבטחת מידע ובטחון קיברניטי. ראשית, בכלכלה שנשענת על מידע אירועים כאלו קרו, קורים, וצפויים לקרות בעתיד. שנית, אף מערכת ממוחשבת לא יכולה להיות מוגנת בצורה מושלמת, ואולם, אכיפת מוגברת של החוק הקיים בתחום אבטחת המידע ומימוש תקנים קיימים יכולה להקטין את הסיכונים והנזקים בעתיד. שלישית וחשוב ביותר, מדובר באירוע השייך למשפחת אירועי הסייבר שמטרתם לפגוע בתפקוד התקין של אזרחי המדינה על ידי שיבוש מערכות חיוניות לחיי היומיום הנסמכות בעידן הנוכחי על מערכות מחשבים. ההתבטאות של 0xOmar בעצמו מעידה על כוונה כזאת: "לפגוע בישראל כלכלית וחברתית על ידי יצירת כאוס ופאניקה".

ההבנה שמדובר באירוע סייבר שמטרתו לשבש את מהלך החיים התקין במדינה, ולא רק אירוע של אבטחת מידע, היא מהותית. הפעם זו הייתה חדירה למאגרי מידע והפצת האינפורמציה על אזרחי מדינת ישראל, אבל האירועים הבאים יכולים לכלול חדירה למערכות מחשב כדי להשבית את אספקת החשמל, מערכות הרמזורים, מכשור בתי חולים ועוד, עם השלכות מרחיקות לכת יותר מהאירוע הנוכחי, ואף בעלות חיי אדם. הניצול המוגבר של מרחב הסייבר פותח אפשרויות חדשות באופן דרמטי לפגיעה במדינה: התקפות מניעת שירות, חשיפה של פרטים אישיים, החדרה של וירוס ייעודי למערכת הממוחשבת של בית חולים (כמו שקרה בארה"ב בדצמבר 2011) ועוד. בנוסף לכך, חיוני להדגיש שקיים צורך בשיתוף פעולה בין רשויות המדינה לבין גורמים בינלאומיים, מעבר לגבולות המדינה, על מנת להתמודד כראוי עם הבעיה. ניתוח נכון של האתגר שניצב לפנינו הוא הצעד הראשון כדי לגבש תפיסה ממלכתית הולמת ואפקטיבית להתמודדות עם האיום החדש.

הניסיון של מדינות אחרות בעולם מלמד שהתגוננות מפני איומים קיברניטים עוברת דרך יצירת שיח קבוע בתוך המדינה בין גורמי תעשייה, אקדמיה, ממשלה ומערכות ביטחון. סוגיות הליבה בהדיון הלאומי הזה כוללות פיתוח טכנולוגיות חדשות על ידי תהליכי מו"פ נכונים, קביעה תקנים, התאמת החקיקה לטכנולוגיה המתקדמת במרחב הסייבר, יצירת שיתופי פעולה בינ"ל לרבות הצטרפות לאמנה למניעת פשע קיברנטי משנת 2001, והעלאת המודעות הציבורית לאיומים ברמה החינוכית והצרכנית. כל זה, תחת ההבנה שכמו בכל תחום, על אחת וכמה בסייבר, לא מוענקת לאף מערכת חסינות מפני נזקים עתידיים. יחד עם זאת, אי-נקיטת הצעדים החיוניים בכדי לתת מענה הולם, כולל ואחראי לאירועים מסוג זה בעתיד אינה אופציה מציאותית בעידן הנוכחי. בישראל, מטה הסייבר הלאומי, כעת בהקמה, הוא הגוף שאמור וצריך לפעול כדי לקדם את הנושאים הללו.

שאיפות לצד הישגים

למרות שאיפותיו המוצהרות של ההאקר, ניתוחי האירוע שהתפרסמו עד כה מצביעים על כך שמדובר באירועי חשיפת מידע פשוטים למדי. ההאקר עשה שימוש בשיטות ידועות ולדעת מומחים לאבטחת מידע, מדובר בשיטות לא מסובכות במיוחד. את הקבצים שהשיג הוא פרסם ברבים באמצעות האינטרנט ואז הפיץ את הידיעה בדבר החשיפה ואת מיקום הקבצים. פעולות פריצה אתרים קורות כל יום בתדירות אדירה, ובמדינות רבות. האתגר אינו חדש: חברת אבטחת המידע העולמית סימנטק מפרסמת דו"ח שנתי, שבו היא מסכמת את המספר הרב של כניסות לא מורשות לאתרים וקבצים, בהם מאוחסנים הן נתונים פרטיים, הן נתונים ביטחוניים. לפי הדו"ח האחרון, שהתפרסם באפריל 2011, בכל פריצה למאגרים ממוחשבים נחשפים בממוצע 260,000 רשומות, בכל יום יש כמעט 20 מיליון התקפות ובשנת 2010 הייתה של עלייה של כמעט 100% בנפח ההתקפות משנת 2009. הדו"ח מציין במפורש שיישום נהלים קפדניים הנשענים על ניסיון קיים, מדיניות מתאימה, וחינוך המשתמשים יכולים למנוע את רוב הפריצות למאגרי מידע. התעלמות מביצוע הפעולות האלו יכולה לגרום לכך שהתקפות לא מתוחכמות יצליחו.

גם בישראל זה לא המקרה הראשון שבו נחשפים פרטים אישיים מקבצי מחשב – גם מרשם האוכלוסין נפרץ במהלך 2011 אך לא ידוע אירוע שבו פורסמו נתונים בהיקף כזה. חברות האשראי שלקוחותיהן נפגעו, רגילות להתמודד עם ניסיונות פריצה רבים ואף בפריצות בפועל, הגיבו בצורה מהירה ויעילה לאירוע. כך לדוגמא, באירוע הראשון שבו פרסם ההאקר רשומות לקח לחברות האשראי פחות משעה לחסום את מספרי הכרטיסים הפעילים; ובאירוע השני לקח בערך עשר דקות מרגע חשיפת המידע. בשורה התחתונה, החברות קיבלו על עצמן כל נזק כלכלי שנגרם או עלול להיגרם על ידי פעילות ההאקר הסעודי, נטילת אחריות שהיא נכונה גם במישור העקרוני במצב המשפטי שקיים כעת בישראל.

באופן טבעי, האירוע העלה על סדר היום הציבורי את נושא המוכנות של מדינת ישראל להתקפות סייבר רציניות יותר ובעלי השלכות רחבות יותר במישור הבטחוני מצד אחד, עיקר השיח התמקד עד כה בפתרון בעיית אבטחת המידע והפרטיות במקום; ומצד שני, התגובות המהירות של חלק ממנהיגי הציבור לא הובילו לדיון מעמיק ומקצועי יותר, הממוקד בהיערכות לאומית לקראת עתיד יותר מושכל. כך לדוגמא, סגן שר החוץ דני איילון ציין כי "נגיב בכוח נגד האקרים, מדובר בטרור", עוד טרם חקירה וניתוח מקצועי, ממלכתי ושקול של האירוע שהתרחש בפועל (נכון לכתיבת שורות אלו הרשויות עדיין עסוקות באיסוף ראיות וניתוחן). חריג לכך היתה ההתכנסות המהירה של ועדת המדע והטכנולוגיה של הכנס, שהלכה לדון במקרה והשלכותיו מספר ימים אחרי הפריצה הראשונה.

במהלך 2011 הוועדה שמינה ראש הממשלה ברשות פרופ' איציק בן ישראל ("המיזם הקיברנטי הלאומי") בחנה, בין היתר, את הערכות המדינה להתקפות סייבר. הוועדה, שהייתה מורכבת מנציגים ביטחוניים, אקדמיים, כלכליים, ותעשייתיים, מצאה שמצבה של ישראל טוב, ביחס לאיומי הסייבר המוכרים, בזכות ההתעסקות רבת השנים בנושא. לדוגמא, כבר בשנת 2002 החליטה הממשלה על הקמת הרשות לאבטחת מידע בשב"כ, שעוסקת בהגנה על מערכות ממוחשבות חיוניות מפני התקפות מחשב. חשוב לומר שקיימים במדינה גופים מקצועיים שעוסקים באופן קבוע בהגנה על מערכות ממוחשבות חיוניות וממשלתיות. הם עושים עבודה רצינית, שוטפת ומתוכננת, בבקיאות רבה, בשילוב של גורמים אזרחיים וביטחוניים - שמבינים את גם את האירוע ודואגים שלא להגיב במידי ובצורה חפוזה. אין זה אומר שהבעיות נפתרו כולן, אך קיים בסיס ראשוני טוב לעבודה העתידית של מטה הסייבר והגופים המקצועיים שתפקידם להגן על המרחב הקיברנטי האזרחי.

לא להיבהל, אלא לנתח ולהיערך

מומחי סייבר מבחינים בין ארבעה מטרות לתקיפות (או פריצות) למאגרי מידע ומחשבים: למטרת פשע (Cyber Crime), תקיפות למטרות ריגול ואיסוף מודיעין (cyber Exploitation), תקיפות להשגת יעדי טרור (Cyber Terror) ותקיפות שמטרתן שיבוש או השבתה של מערכות חיים חיוניות הנשלטות על ידי מחשבים (Cyber Attack). לכל סוג של מתקפה הגדרה, השלכות משלו, ואבטחה משלו. במאמר בנושא הגדיר איציק בן ישראל ש"אבטחת סייבר (Cyber Security) אינה עוסקת (רק) באבטחת מידע: מטרתה היא אבטחת מערכות החיים השונות, המנוהלות, ומפוקחות ע"י מחשבים". במקרה הנוכחי של 0xOmar מדובר בהאקר שעשה שימוש בשיטות ששייכות הן לעולם הפשיעה והן לעולם האיסוף, במטרה לשבש מהלך תקין של חיים צרכניים בישראל. מטרתו הייתה להעלות את הנושא הישראלי-פלשתיני (והתנגדותו לישראל) לסדר היום.

בראיון לאתר TheMarker אמר ההאקר: "מטרת הפריצות היא לפגוע בישראל כלכלית וחברתית על ידי יצירת כאוס ופאניקה". הוא אכן הצהיר על מטרה עוינת לישראל, בניסוח מדיני. אך כדאי להדגיש: ההאקר הסעודי (אם הוא אכן סעודי, ואם הוא אכן גורם אחד) לא תקף מטרות ישראליות באופן פיזי, וגם לא איים לעשות זאת. על כן, לא מדובר ב"תקיפה" ו"פריצה" במובן הרגיל והמסורתי של מושגים אלה על פי הדין הפלילי.

הניתוח המשפטי של פעילות ההאקר, שנערך כעת על ידי הרשויות הרלוונטיות, צריך לקחת בחשבון את כוונת המבצע (ובמידה והייתה כוונה פלילית, בחינת העבירות שעבר לכאורה); תוצאות המעשים שלו בפועל, לרבות כימות הנזקים שגרם; והאחריות שמוטלת על חברות כרטיסי האשראי להגן על מאגרי המידע שכוללים נתונים של לקוחות. בנוסף, כיוון שמדובר בפעילות אינטרנטית שחוצה גבולות מדינה בהגדרה, חיוני שמערכת הדינים והאכיפה הישראלית תנצל כל אפשרות רלוונטית של שיתוף פעולה בינלאומי בניתוח המקרה, ותקדם מאמצים להתרשת עם היוזמות הבינלאומיות הקיימות והמתפתחות בהקשר הסייבר. אחת היוזמות, הנשקלת בימים אלה בהובלה של משרד החוץ, היא הצטרפות לאמנת בודפשט נגד פשע קיברנטי משנת 2001. הצטרפות ישראל לאמנה, בהנחה שתוכל לקרות בהקדם, לאחר התהליך הנדרש של התאמת החקיקה המקומית בהתאם לדרישות האמנה, תסייע בשלושה מישורים. ראשית, ישראל תדבר בשפה אחת עם עוד כ-30 מדינות שהן כבר חברות באמנה; שנית, היא תוכל להיעזר במנגנוני העזרה ההדדית שקובעת האמנה; ושלישית, היא תצטרף לשיח הבינלאומי סביב סוגיות הליבה של האמנה - האמנה היחידה שקיימת כעת בתחום הסייבר. יוזמה בינלאומית נוספת הינה הצטרפות ישראל למערכת הגלובאלית של מרכזי בקרה והתרעה בשם CERT (Computer Emergency Response Team. באופן נומינלי, ישראל חברה במערכת, אך יש צורך בהגברה משמעותית של פעילות מרכז ה-CERT המקומי.

להאיץ את הקמת מטה הסייבר הלאומי

תפקידו של מטה הסייבר הלאומי שמוקם בימים אלו הוא לפעול כדי להרחיב את יכולות ההגנה על מערכות חיוניות לקדם המוכנות של מדינת ישראל מפני התקפות סייבר. חשוב שיהיה ברור, המטה שקם בימים אלו במשרד ראש הממשלה לא אמור לעסוק באופן אקטיבי בהגנה כנגד מתקפות סייבר. לשם כך יש גופים כגון הרשות הממלכתית לאבטחת מידע בשב"כ ותהיל"ה במשרד האוצר, שעושים עבודה רצינית מקצועית כבר היום.

כדי לממש את ההמלצות שאשרה הממשלה, המטה צריך 100 מיליון שקל בשנה שרובו הגדול יושקע במו"פ בתעשייה ובאקדמיה, בחינוך והעלאת המודעות. זו תחילת הדרך כדי להתחיל לפתור את הבעיות בתחום הסייבר שרק ילכו ויגדלו. הפערים שהאירוע האחרון חושף הם בדיוק בתחומים הללו ומחדדים עוד יותר את חשיבות הקמת המטה ותקצבו כראוי. בשורה התחתונה, למרות הבהלה, ההתקפה הזו דווקא משרתת מדינת ישראל מכמה סיבות. ראשית, היא מעלה שוב את הנושא החשוב הזה לסדר היום הציבורי ומאלצת את מקבלי ההחלטות להפנות קשב, למידה לעומק ומשאבים תקציביים הדרושים לנושא. שנית, היא מעלה את המודעות בקרב כל שחקני המשק הישראלי, מהאזרחים וצרכנים ועד לחברות האשראי ובעצם כל גורם אחר שעובד עם מאגרי מידע אלקטרוניים שמחוברים לרשת מחשבים.

מבלי להקל בפגיעה פרטיות, התגובה המהירה של חברות האשראי, שמורגלות באירועים מהסוג הזה, הביאו לכך שלא נגרם נזק רב כלכלי רב למדינת ישראל. יתרה מזאת ייתכן וההאקר "בא מקלל ויצא מברך", כי בעקבותיו סביר להניח, חברות אשראי, אתרי המסחר וצרכנים ייקחו את הנושא ברצינות גדולה יותר ובסה"כ המידע שלנו יהיה מוגן יותר, למרות עוגמת הנפש הרבה שנגמרה למאות אלפי אזרחים. סוגיות ההגנה על הפרטיות שעלתה מהאירוע, מציפה בעיה שיש להתמודד איתה ואולי בהקשר הזה אנחנו נמצאים בשינוי פרדיגמטי בהקשרי הגנת הפרטיות. על כך צריך עוד להשקיע מחשבה עוד רבה. צריך גם לדון בדרכים הנכונות להגיב לאירוע כזה בין ביתר כדי להרתיע גורמים כאלו ואחרים מניסיונות כאלו בעתיד, אם בכלל הדבר אפשרי.

בראייתנו, אירוע הסייבר הנוכחי שייך למשפחת האירועים שמטרתם לפגוע בתפקוד התקין של מערכות חיוניות שנשלטות על ידי מחשבים. זיהוי נכון של הבעיה הוא חיוני להתמודדות נכונה עם העתיד לבוא. שכן היום מדובר בפריצה למאגר שמכיל כמות גדולה של רשומות ופרסומן אך מחר יכולה להיות התקפה על מערכת חיוניות אחרות ולא על ידי האקר בודד אלא על ידי ארגון טרור או מדינה.

***

עו"ד דבורה האוסן-כוריאל שימשה כיו"ר משותף של ועדת מדיניות וחקיקה במיזם הקיברניטי הלאומי. רם לוי שימש כמזכיר המיזם הקיברניטי הלאומי. שניהם חוקרים בסדנת יובל נאמן למדע, טכנולוגיה ובטחון באוניברסיטת תל-אביב