דעה | באתם לשנות? שר המשפטים והבריאות מסתירים מהציבור מה קרה בהלל יפה
שר הבריאות שאינו מפרסם לציבור את תחקיר אירוע הסייבר. שר המשפטים שמגבה את מערכת המשפט שנתנה צו להסתרת המידע מהציבור לארבעה חודשים. לטובת מי עובדת הסתרת המידע? הציבור או בעלי אינטרס?
עמי רוחקס דומבה
| 15/10/2021
bigstockphoto
מתקפת הסייבר נגד בית החולים הלל יפה אינה שונה ממתקפות סייבר אחרות. מי שעוקב אחרי סצנת מתקפות הסייבר נגד ישראל, יכול לזכור רק לאחרונה את בר אילן, חברת יוויז׳ין, שירביט ועוד ועוד חברות. מרבית המתקפות שייכות למשפחת מתקפות הכופר. באלו, התוקפים גונבים מידע ומצפינים את העמדות והשרתים הקיימים. כל זאת, במטרה לסחוט כסף מהקורבן.
בישראל גם היו מתקפות נוספות של הדלפת מידע. מי שזוכר את הכשל האבטחתי באלקטור, שעל פי הערכות גרם לדליפת נתונים אישיים של מליוני ישראלים. בטיפול במתקפות סייבר מעורבים מספר גורמים, ביניהם משטרה, מערך הסייבר, חברת ביטוח, צוות טכני של הקורבן, צוותי IR חיצוניים ולעיתים גם מנהל מו״מ מול דורשי הכופר.
משטרת הצווים
ועם זאת, הוצאת צו איסור פרסום שמטרתו הסתרת המידע מהציבור הוא כלי משפטי שנדיר ונעשה בו שימוש במתקפות כופר. אחת הסיבות היא שמרבית התקיפות מגיעות מחו״ל, ממדינות אחרות. אז אין טעם בצו שתופס רק על ריבונות ישראלית. גם ככה הסיכוי של משטרת ישראל לתפוס את התוקפים שיושבים, נניח, ברוסיה, אוקראינה או איראן, אפסי.
המעורבות של משטרת ישראל הכרחית משתי סיבות עיקריות - חקירה שמטרתה הרכבת תיק אישום פלילי נגד התוקפים (איסוף ראיות פורנזיות בהליך שמתאים להליך משפטי) ואם צריך, שיתוף פעולה עם גופי משטרה בעולם. כולל האינטרפול, הבולשת האמריקאית והמשטרה המקומית באותה מדינה בה יש חשד שיושבים התוקפים.
עם זאת, לא בכל חקירה משטרתית נדרש צו איסור פרסום. מדובר בכלי שאינו דמוקרטי במהותו ונועד להסתיר את המידע מהציבור. במקרה של הלל יפה, מדובר בבית חולים המשרת את אזרחי המדינה וממומן על ידיהם דרך מיסים.
לפחות חלקית כי יש גם תרומות של גופים עסקיים או פרטיים. כלומר, האזרחים הם הבעלים של בית החולים באופן מלא או חלקי, ויש להם זכות לדעת מה הוביל למתקפת הסייבר שפגעה ברמת השירות שנותן להם בית החולים.
ועדיין, החליט מפכ״ל המשטרה, רנ״צ קובי שבתאי, לבקש ממשרד המשפטים צו כזה. אם מדובר במתקפת כופר רגילה, כמו זו שמתרחשת בישראל עשרות או מאות פעמים בשנה, עולה השאלה מדוע?
כדי להוציא צו כזה, הקורבן צריך לפתוח תלונה רשמית במשטרה. ואז נפתחת חקירה והמשטרה מחליטה האם נדרש צו או לא. השיקולים להוציא את הצו מגיעים לשופט, במקרה זה כבוד השופט ארז מלכה. השיקול הרשמי הוא ש״במסגרת החקירה מתבצע שת"פ בינלאומי עם גורמי אכיפת החוק במדינות זרות.״ השופט שאמור לאזן בין זכות הציבור לדעת לבין צרכי החקירה קבע בצו שכדאי להסתיר את המידע מהציבור לארבעה חודשים (עד פברואר 2022). תקופה ארוכה מאד ביחס לצווים אחרים שניתנים על ידי מערכת המשפט למשך שבוע או קצת יותר לטובת חקירה.
המשמעות של הסתרה לתקופה כה ארוכה היא ״להרוג״ את השיח הציבורי סביב הנושא. בקצב האירועים במדינת ישראל, אף אחד לא יזכור מה קרה לפני ארבעה חודשים. ואם השופט יאריך את הצו בעוד ארבעה חודשים לאחר מכן, עד יוני 2022, בכלל הסיפור יקבר מתחת למאות סיפורים אחרים חדשים יותר.
מי מרוויח מהסתרת המידע מהציבור?
ובכן, ראשית, מי שהיה אחראי לטפל באבטחת המידע של בית החולים הלל יפה טרום האירוע. ראוי להדגיש כי התראות על מתקפות סייבר נגד בתי חולים אינן דבר חדש. למעשה הן קיימות לפחות שלוש שנים. רק באוגוסט האחרון הוציאה הבולשת האמריקאית התראה רשמית בנושא. זו מצטרפת למגוון התראות קודמות באותו נושא.
אם הצוות המקצועי בתחום מערכות מידע ואבטחת מידע בבית החולים וההנהלה כשלו ביישום הגנות, משיקולים כלכליים, ניהוליים או אחרים, הם נהנים מכך שהמידע מוסתר מהציבור. אם המכרזים של בית החולים בתחום אבטחת מידע התנהלו שלא בצורה מקצועית, צריך לבדוק את זה. כאשר יש אירוע מכונן, כמו זה, שהעבודה בבית החולים כמעט נעצרת, המדינה צריכה לבדוק את כל שרשרת האספקה ותהליכי קבלת ההחלטות בנושא.
אבל אי אפשר לבדוק שהמידע מוסתר מהציבור. רק אור שמש מחטא.
נמשיך. המרוויחים הנוספים הם הרגולטור שאמור היה לוודא שבית החולים עושה את המיטב להגן בפני מתקפות סייבר. נכון, בית החולים אינו מפוקח על פי חוק בידי שב״כ או מערך הסייבר כמו תחומים אחרים במדינה (לא שבכולם המצב טוב יותר, אבל לפחות יש חוק).
המשמעות היא שאין לשני הגופים האלו מנוף חוקי להכריח את המוסד הרפואי לבצע פעולות או להשקיע כסף בתחום הסייבר. בתי חולים מטבעם עניים, חלקם כל הזמן על סף קריסה כלכלית, והכסף, בצדק, מושקע בוקטורים יותר חשובים שמטרתם הצלת חיים. זה תפקידו של בית חולים.
ועם זאת, אין זה תירוץ. אם מערך הסייבר ראה וידע שאין הגנה מספיקה בהלל יפה, טרם האירוע, מדוע לא הגיע עם זה לדיון ציבורי בוועדת חוץ וביטחון? בית חולים הוא תשתית רפואית המשמשת גם את צה״ל וארגוני הביטחון השונים. נכון הוא שהמערך חוקית אינו יכול לכפות על בית החולים לבצע מעשים - אבל הוא יכול להרים דגל לכנסת ולציבור.
לדרוש דיון ציבורי פתוח בנושא. זו חובתו. לפי פרסום של חדשות 12, ״חלק גדול מהגיבוי לא ניתן כרגע לשחזור״. מי בדק טרם האירוע את מערכות הגיבוי של בית החולים? מי פיקח?
כרסום ברעיון הדמוקרטי
עוד חסרון לאצבע קלה על ההדק במתן צא״פ במתקפות סייבר טמון בעובדה שזה יוצר תקדים. אחרי הצא״פ בהלל יפה, כל אירוע סייבר עתידי יוכל להיות מוסתר באותה דרך. כי יש תקדים.
אירוע סייבר, בשונה מחקירת רצח, הוא אירוע שיכול להיות מתגלגל. אם עכשיו יש חולשה ידועה, וארגונים לא התקינו טלאי, המתקפה שפגעה היום בפלוני, תפגע עוד שעה בפלוני אחר.
לכן, הטיפול הטוב ביותר באירועי סייבר הוא שיתוף מידע עם הציבור. להבין מה קרה, למה, מה וקטור הכניסה, איך זה קרה. הידע הזה שהופך ציבורי עוזר לעסקים אחרים להתגונן , לעדכן טלאים במהירות גם אם חשבו שזה לא חשוב. הסתרת המידע רק תורמת לפושעים.
לסיכום, המרווחים העיקריים מהצא״פ הם אלו שלא רוצים לפרסם תחקיר מקצועי לציבור מה קרה שם. כל אחד והאינטרס שלו. המשטרה, משרד המשפטים ומשרד הבריאות צריכים לשאול את עצמם לטובת מי הם פועלים במקרה זה. הציבור או בעלי אינטרס?
שר הבריאות שאינו מפרסם לציבור את תחקיר אירוע הסייבר. שר המשפטים שמגבה את מערכת המשפט שנתנה צו להסתרת המידע מהציבור לארבעה חודשים. לטובת מי עובדת הסתרת המידע? הציבור או בעלי אינטרס?
bigstockphoto
מתקפת הסייבר נגד בית החולים הלל יפה אינה שונה ממתקפות סייבר אחרות. מי שעוקב אחרי סצנת מתקפות הסייבר נגד ישראל, יכול לזכור רק לאחרונה את בר אילן, חברת יוויז׳ין, שירביט ועוד ועוד חברות. מרבית המתקפות שייכות למשפחת מתקפות הכופר. באלו, התוקפים גונבים מידע ומצפינים את העמדות והשרתים הקיימים. כל זאת, במטרה לסחוט כסף מהקורבן.
בישראל גם היו מתקפות נוספות של הדלפת מידע. מי שזוכר את הכשל האבטחתי באלקטור, שעל פי הערכות גרם לדליפת נתונים אישיים של מליוני ישראלים. בטיפול במתקפות סייבר מעורבים מספר גורמים, ביניהם משטרה, מערך הסייבר, חברת ביטוח, צוות טכני של הקורבן, צוותי IR חיצוניים ולעיתים גם מנהל מו״מ מול דורשי הכופר.
משטרת הצווים
ועם זאת, הוצאת צו איסור פרסום שמטרתו הסתרת המידע מהציבור הוא כלי משפטי שנדיר ונעשה בו שימוש במתקפות כופר. אחת הסיבות היא שמרבית התקיפות מגיעות מחו״ל, ממדינות אחרות. אז אין טעם בצו שתופס רק על ריבונות ישראלית. גם ככה הסיכוי של משטרת ישראל לתפוס את התוקפים שיושבים, נניח, ברוסיה, אוקראינה או איראן, אפסי.
המעורבות של משטרת ישראל הכרחית משתי סיבות עיקריות - חקירה שמטרתה הרכבת תיק אישום פלילי נגד התוקפים (איסוף ראיות פורנזיות בהליך שמתאים להליך משפטי) ואם צריך, שיתוף פעולה עם גופי משטרה בעולם. כולל האינטרפול, הבולשת האמריקאית והמשטרה המקומית באותה מדינה בה יש חשד שיושבים התוקפים.
עם זאת, לא בכל חקירה משטרתית נדרש צו איסור פרסום. מדובר בכלי שאינו דמוקרטי במהותו ונועד להסתיר את המידע מהציבור. במקרה של הלל יפה, מדובר בבית חולים המשרת את אזרחי המדינה וממומן על ידיהם דרך מיסים.
לפחות חלקית כי יש גם תרומות של גופים עסקיים או פרטיים. כלומר, האזרחים הם הבעלים של בית החולים באופן מלא או חלקי, ויש להם זכות לדעת מה הוביל למתקפת הסייבר שפגעה ברמת השירות שנותן להם בית החולים.
ועדיין, החליט מפכ״ל המשטרה, רנ״צ קובי שבתאי, לבקש ממשרד המשפטים צו כזה. אם מדובר במתקפת כופר רגילה, כמו זו שמתרחשת בישראל עשרות או מאות פעמים בשנה, עולה השאלה מדוע?
כדי להוציא צו כזה, הקורבן צריך לפתוח תלונה רשמית במשטרה. ואז נפתחת חקירה והמשטרה מחליטה האם נדרש צו או לא. השיקולים להוציא את הצו מגיעים לשופט, במקרה זה כבוד השופט ארז מלכה. השיקול הרשמי הוא ש״במסגרת החקירה מתבצע שת"פ בינלאומי עם גורמי אכיפת החוק במדינות זרות.״ השופט שאמור לאזן בין זכות הציבור לדעת לבין צרכי החקירה קבע בצו שכדאי להסתיר את המידע מהציבור לארבעה חודשים (עד פברואר 2022). תקופה ארוכה מאד ביחס לצווים אחרים שניתנים על ידי מערכת המשפט למשך שבוע או קצת יותר לטובת חקירה.
המשמעות של הסתרה לתקופה כה ארוכה היא ״להרוג״ את השיח הציבורי סביב הנושא. בקצב האירועים במדינת ישראל, אף אחד לא יזכור מה קרה לפני ארבעה חודשים. ואם השופט יאריך את הצו בעוד ארבעה חודשים לאחר מכן, עד יוני 2022, בכלל הסיפור יקבר מתחת למאות סיפורים אחרים חדשים יותר.
מי מרוויח מהסתרת המידע מהציבור?
ובכן, ראשית, מי שהיה אחראי לטפל באבטחת המידע של בית החולים הלל יפה טרום האירוע. ראוי להדגיש כי התראות על מתקפות סייבר נגד בתי חולים אינן דבר חדש. למעשה הן קיימות לפחות שלוש שנים. רק באוגוסט האחרון הוציאה הבולשת האמריקאית התראה רשמית בנושא. זו מצטרפת למגוון התראות קודמות באותו נושא.
אם הצוות המקצועי בתחום מערכות מידע ואבטחת מידע בבית החולים וההנהלה כשלו ביישום הגנות, משיקולים כלכליים, ניהוליים או אחרים, הם נהנים מכך שהמידע מוסתר מהציבור. אם המכרזים של בית החולים בתחום אבטחת מידע התנהלו שלא בצורה מקצועית, צריך לבדוק את זה. כאשר יש אירוע מכונן, כמו זה, שהעבודה בבית החולים כמעט נעצרת, המדינה צריכה לבדוק את כל שרשרת האספקה ותהליכי קבלת ההחלטות בנושא.
אבל אי אפשר לבדוק שהמידע מוסתר מהציבור. רק אור שמש מחטא.
נמשיך. המרוויחים הנוספים הם הרגולטור שאמור היה לוודא שבית החולים עושה את המיטב להגן בפני מתקפות סייבר. נכון, בית החולים אינו מפוקח על פי חוק בידי שב״כ או מערך הסייבר כמו תחומים אחרים במדינה (לא שבכולם המצב טוב יותר, אבל לפחות יש חוק).
המשמעות היא שאין לשני הגופים האלו מנוף חוקי להכריח את המוסד הרפואי לבצע פעולות או להשקיע כסף בתחום הסייבר. בתי חולים מטבעם עניים, חלקם כל הזמן על סף קריסה כלכלית, והכסף, בצדק, מושקע בוקטורים יותר חשובים שמטרתם הצלת חיים. זה תפקידו של בית חולים.
ועם זאת, אין זה תירוץ. אם מערך הסייבר ראה וידע שאין הגנה מספיקה בהלל יפה, טרם האירוע, מדוע לא הגיע עם זה לדיון ציבורי בוועדת חוץ וביטחון? בית חולים הוא תשתית רפואית המשמשת גם את צה״ל וארגוני הביטחון השונים. נכון הוא שהמערך חוקית אינו יכול לכפות על בית החולים לבצע מעשים - אבל הוא יכול להרים דגל לכנסת ולציבור.
לדרוש דיון ציבורי פתוח בנושא. זו חובתו. לפי פרסום של חדשות 12, ״חלק גדול מהגיבוי לא ניתן כרגע לשחזור״. מי בדק טרם האירוע את מערכות הגיבוי של בית החולים? מי פיקח?
כרסום ברעיון הדמוקרטי
עוד חסרון לאצבע קלה על ההדק במתן צא״פ במתקפות סייבר טמון בעובדה שזה יוצר תקדים. אחרי הצא״פ בהלל יפה, כל אירוע סייבר עתידי יוכל להיות מוסתר באותה דרך. כי יש תקדים.
אירוע סייבר, בשונה מחקירת רצח, הוא אירוע שיכול להיות מתגלגל. אם עכשיו יש חולשה ידועה, וארגונים לא התקינו טלאי, המתקפה שפגעה היום בפלוני, תפגע עוד שעה בפלוני אחר.
לכן, הטיפול הטוב ביותר באירועי סייבר הוא שיתוף מידע עם הציבור. להבין מה קרה, למה, מה וקטור הכניסה, איך זה קרה. הידע הזה שהופך ציבורי עוזר לעסקים אחרים להתגונן , לעדכן טלאים במהירות גם אם חשבו שזה לא חשוב. הסתרת המידע רק תורמת לפושעים.
לסיכום, המרווחים העיקריים מהצא״פ הם אלו שלא רוצים לפרסם תחקיר מקצועי לציבור מה קרה שם. כל אחד והאינטרס שלו. המשטרה, משרד המשפטים ומשרד הבריאות צריכים לשאול את עצמם לטובת מי הם פועלים במקרה זה. הציבור או בעלי אינטרס?
