מערך הסייבר דורש מחברות מסחריות להתקין כלי איסוף מידע ממשלתיים ברשת הארגון

חוק הסייבר טרם עבר בכנסת, זה לא מפריע למערך לדרוש מבעלי עסקים להתקין כלי איסוף מידע ממשלתיים ברשתות שלהם. המערך בתגובה: "מדובר בפרקטיקה שנהוגה בחקירת אירועי סייבר"

bigstock

לישראל דיפנס נודע כי מערך הסייבר דורש מחברות מסחריות להתקין ברשת שלהן כלי ריגול (איסוף לוגים) בטוענה שתוקף מדינתי השתלט על הרשת ותוקף רשתות אחרות בישראל. כאשר המערך התבקש לספק הוכחות לטענה על ידי בעל העסק - הוא סירב. "עניין של ביטחון לאומי". 

עם זאת, למערך הסייבר אין תשתית חוקית לרגל אחרי רשתות של חברות מסחריות שאינן מוגדרות כתשתיות קריטיות בהוראת השעה הרלוונטית. אזכיר כי הטענות שעלו בעבר סביב חוק הסייבר שטרם עבר אישור בכנסת נסובו סביב חשש זה. שהמערך ינצל את כוחו החוקי, ללא הסברים לבעלי עסקים או הוכחות, על מנת לרגל אחריהם. 

במקרה דנן, בעל העסק קיבל פניה ממערך הסייבר בדוא"ל עם קובץ מצורף עם הכותרת: "סיוע בטיפול באירוע סייבר – איסוף לוגים של מערכת הפעלה". במכתב כתוב "בהתאם, אני מבקש לקבל מכם עבור הארגון שירות אנליזה ראשוני על ידי אנליסטים של מערך הסייבר על בסיס איסוף לוגים ותהליכים פעילים של מערכת ההפעלה בארגון. אנליזה זו נדרשת על  מנת להעריך בצורה מיטבית את הטיפול הנדרש נוכח תקיפת הסייבר בארגון." כאמור, המערך לא הסכים לספק הוכחות שאכן הארגון המסחרי המדובר הותקף. 

עוד ממשיך המסמך: "איסוף הלוגים יתבצע על ידי כלי איסוף ייעודי חד פעמי, המכיל אסופה של קבצי Script (בPowershell) וקבצים בינאריים המחלצים מאפיינים והגדרות ברמת מערכת ההפעלה (תהליכים, שירותים, גרסאות תוכנה, ערכי Registry וכו' ) ומאגדים את התוצר לכדי קובץ בודד, אשר נשלח למעבדת החקירות של מערך הסייבר באופן מוצפן." 

זוכרים שאין למערך בסיס חוקי לבקש זאת. אז סעיף 9 מגדיר כי מדובר בהחלטה "התנדבותית" של הארגון העסקי. "ידוע לי שאין לארגון או לי כל חובה משפטית או אחרת להסתייע בשירות המוצע על ידי המערך ואף קיימת עדיפות כי הארגון יבצע את הפעילות באופן עצמאי." 

יתרה מכך, המסמך קובע כי ארגון שיסכים לכך, המידע שנאסף אצלו ברשת "יימסר על ידי הארגון לפי בקשת הסיוע ישותף גם עם גופי הביטחון לצורך טיפול באירוע התקיפה, ככל שמדובר בפעילות שגם בסמכותם ולצרכי הגנת הסייבר בלבד." מי אלו "גופי ביטחון"? איך הארגון יודע שהנתונים עוברים אנונימיזציה? וכיצד ארגון עסקי, שהמידע שעובר אצלו ברשת הוא קריטי לקיומו, יכול לפקח שאכן הנתונים שנאספו אצלו משותפים רק עם מי "שצריך" ונמחק לאחר המיצוי שלו? 

אין ספק - יותר שאלות מתשובות והתנהלות שאינה ברורה על ידי מערך הסייבר. כאמור, אם מערך הסייבר רוצה לרגל אחרי עסקים תמימים, יש בשביל זה כנסת. 

תגובת מערך הסייבר: 

"המערך מסייע לארגונים שחוו מתקפת סייבר שיש בה סיכון לארגון ופוטנציאל להתפשטות או/ו לסיכון האינטרס הציבורי. בהסכמת הארגון, מבצע המערך חקירת סייבר הכוללת, בהתאם לצורך, איסוף לוגים – מידע הנוגע לנתונים טכניים על פעילות מערכות המחשב כדי לאתר תקיפה. 

"מדובר בפרקטיקה שנהוגה בחקירת אירועי סייבר גם על ידי חברות סייבר במגזר הפרטי ואף במגבלות מחמירות יותר שמשית המערך על עצמו. מטרת החקירה, שנעשית על ידי הצוותים המקצועיים במערך, היא לאתר את התקיפה ולהתמודד עימה, כדי לשמור על ביטחון מרחב הסייבר של ישראל."        
            
    

אולי יעניין אותך גם