דעה | חשש משמעותי מאירועי סייבר לקראת הבחירות לכנסת
הבוקר (א) נעצר חשוד בניסיון הטיית הבחירות להסתדרות באמצעות הונאת סייבר | לאחרונה פורסם בתקשורת כי אתר אינטרנט חשף מידע מתוך ספר הבוחרים של הליכוד | מייצרים ענן מידע כדי לנגח אותו - ולא משנה מה האמת
רם לוי
| 11/09/2022
bigstock
מנהל הקמפיין של עופר עיני בבחירות להסתדרות העובדים נעצר הבוקר (ראשון, 11.09) בחשד שפגע בקמפיין של ארנון בר דוד.
לפי החשד, מנהל הקמפיין הפיץ הודעות SMS רבות שבהן נכתב "משלם יקר, הוראת החיוב נקלטה בהצלחה. לא ביצעת? התקשר: (מספר טלפון)". המספר שצורף להודעות היה של מוקדי הקמפיין של בר דוד והללו הוצפו בשיחות - כך שבר דוד לא היה יכול לנהל את הקמפיין.
דוגמא זו היא אחת מני רבות למתקפות סייבר שניתן לבצע דרך הודעות סמס. רגע לפני הבחירות, החשש למתקפות כאלה גובר מאוד, גם מכיוון שמאחוריהן לא עלול לעמוד רק גורם מהמפלגה המתחרה, אלא גם גורמים עוינים לישראל כגון האקרים איראנים ועוד, שמבקשים לפגוע במערכות המדינה ולאסוף פרטים ומידע רגיש של אזרחים, הנמצא כידוע בידי המפלגות ובמאגרי מידע נוספים.
אז האם יכול הציבור להיות בטוח שהליך ההצבעה לא יושפע על ידי גורמים חיצוניים כלשהם באמצעות פעילות סייבר, כולל דליפה אפשרית של פרטיהם האישיים לידיים עוינות? התשובה העגומה היא ככל הנראה שלילית.
פגיעה בתהליך הבחירות
בשנים האחרונות ישנן עדויות רבות לניסיונות שונים לפגוע בתהליך הבחירות הדמוקרטי. מדובר הן בשימוש של כלים טכנולוגיים המיועדים לפגיעה במערכות מידע המשמשות בתהליכי ההצבעה; והן על ניסיונות השפעה חיצוניים על אמון הציבור או על עמדותיו ביחס למועמדים והמוסדות הדמוקרטיים עצמם.
עדויות אלו מתחברות לנתונים בנוגע לאירועי סייבר עוינים, שלפיהם מספר מתקפות הסייבר השבועיות על ארגונים ישראליים זינק ברבעון השני של השנה ב-56%.
אין ספק שזהו נתון מבהיל שצריך להדיר שינה מעיני מנהיגי ישראל, ראשי חברות וארגונים שונים וכמובן כל אזרח החרד לפרטיותו. מדובר במצב אבסורדי, שבו מדינה שיש בה את מיטב הידע והחברות המתמחות בהגנת סייבר, לא פועלת מספיק על מנת למנוע מתקפות המובילות לדליפת מידע רגיש.
כך, למשל, רק לאחרונה פורסם בתקשורת כי אתר אינטרנט חשף מידע מתוך ספר הבוחרים של הליכוד. על פי הפרסום, במנוע חיפוש פשוט באתר ניתן היה להקליד שם פרטי ושם משפחה ולראות האם אותו אדם זכאי להצביע בפריימריז, היכן קלפי ההצבעה שלו ואת 4 הספרות האחרונות של תעודת הזהות שלו.
המשמעות - המפלגה שהעמידה את האתר אפשרה לציבור הרחב, בארץ ובחו"ל, לקבל מידע אישי זה על אזרחים בלחיצת כפתור. ה"תקלה הטכנית" הזו, כפי שטענו בליכוד, נחשפה בתוך זמן קצר, הרשות להגנת הפרטיות הורתה למפלגה להסיר את האתר מהאוויר – וכך אכן היה.
דליפת מידע אישי
כזכור, זו לא היתה הפעם הראשונה שבה דולפים פרטי מידע אישיים של אזרחים כחלק ממערכת הבחירות בישראל. בפברואר 2020 אירעה דליפה במערכות המידע של חברת אלקטור, שסיפקה למפלגות הליכוד וישראל ביתנו שירותים טכנולוגיים לניהול מערכת הבחירות באמצעות אפליקציה ייעודית שפיתחה.
כחלק מאירוע זה, התאפשרה גישה למערכות המידע של אלקטור ודלף קובץ המכיל מידע מפנקס הבוחרים לכנסת ה-23 על אודות יותר מ-6 מיליון בעלי זכות הבחירה בישראל.
המידע כלל, בין היתר, מידע אישי אודות בעלי זכות הבחירה, כתובתם, מקום הצבעתם, וכן מידע אישי נוסף אודות הבוחרים אשר הוזן על ידי גורמים שונים כחלק מהשימוש באפליקציה - מספרי טלפון, כתובות דוא"ל, מידע על היותו של אדם "תומך" או "לא תומך" במפלגה ואפילו מידע על אודות מצבו הרפואי של אדם, המעוניין מסיבות שונות בהסעה אל הקלפי.
במקרה ההוא, הרשות להגנת הפרטיות קבעה כי חברת אלקטור ומפלגות הליכוד וישראל ביתנו הפרו את חוק הגנת הפרטיות משנת 1981.
התופעה איננה פוקדת רק את תהליכי הבחירות בישראל, כמובן. למשל, בפרשת "קיימברידג' אנליטיקה" שהתפתחה בשנות העשור הקודם, מידע אישי של יותר מ-80 מיליוני משתמשי פייסבוק, רובם אזרחים אמריקאים, שימש לשם תיוג פוליטי של אזרחים אלה, ללא הסכמתם, במטרה להשפיע עליהם דרך פרסומים פוליטיים.
חששות דומים לניסיונות השפעה עלו גם בבריטניה, למשל ביחס למשאל העם על עזיבת האיחוד האירופי (ה"ברקזיט") וכן במערכות בחירות נוספות בעולם.
על פי חוק הגנת הפרטיות, התשמ"א-1981, כל גורם בישראל שיש ברשותו מאגר מידע הכולל מידע אישי ושעונה על קריטריונים שמפורטים בחוק ובתקנותיו - מחויב לרשום את מאגר המידע ולאבטח אותו באמצעות כלים, תהליכים ובקרות ברמה שמתחייבת על פי דין.
במקרה של אירוע סייבר שפוגע במידע האישי במאגר, המכונה "אירוע אבטחה חמור" – כולל דליפת מידע אישי - חובה לדווח על האירוע לרשות להגנת הפרטיות. לגבי מידע שנמצא בפנקס הבוחרים, חלות הוראות נוספות שמחייבות פיקוח יתר על המידע האישי שבו, מחמת רגישות.
״פערים משמעותיים בין האופן בו המפלגות מיישמות את החוק״
בפועל, בדו"ח שפרסמה הרשות להגנת הפרטיות בחודש אוקטובר 2020 על ממצאי הליך פיקוח הרוחב בקרב המפלגות שהתמודדו לבחירות הכלליות לכנסת ה-23, "נמצאו פערים משמעותיים בין האופן בו המפלגות מיישמות את החוק, התקנות והנחיות הרשם." הפערים האמורים נוגעים ישירות לאחד סוגיה הקריטית בכל מדינה דמוקרטית של טוהר הבחירות.
בישראל, כמו בארה"ב, הסיכון המרכזי מול מתקפות סייבר איננו מתקפה על ספירת הקולות. הסיכונים הם, למשל, מתקפות שתומכות בנרטיב של צד אחד של המתרס הפוליטי לעומת הצד שכנגד.
המטרה של מבצעי הסייבר היא להשפיע על ההתנהגות של המצביעים ולשכנע את מצביעי הימין או את מצביעי השמאל לא להצביע. במערכות הבחירות האחרונות בארה"ב, הרוסים ניסו לתמוך באינפורמציה שתגרום לשיעורי הצבעה גבוהים אצל הרפובליקנים ושהדמוקרטים לא יצביעו.
דוגמה אחרת היא אירוע כמו זה שהיה סביב הטלפון של בני גנץ. מייצרים ענן מידע כדי לנגח אותו - ולא משנה מה האמת. מה שחשוב זה מה חלקים בציבור חושבים על המידע שמופץ.
יש ארבעה גורמים דומיננטיים שמנהלים מבצעי השפעה בישראל. ראשית הרוסים והאיראנים, וגם חמאס וחיזבאללה. "הרוסים רוצים להגיע לנטרול המערכת הפוליטית בישראל והיו ניסיונות של האיראנים להתערב בזמנו ב'דגלים השחורים'.
יש הרבה פעילות סייבר של חמאס נגד חיילי צה"ל ולא הייתי שולל גם מעורבות של גורמים אמריקניים", הוא אומר. "מבצעי השפעה דורשים היכרות עם המערכות הפוליטיות ו'המשפיענים' וקל לתקוף מאגרי בוחרים שמושפעים מהמידע המופץ נגד אישיות אחת".
אף שבישראל קיים הידע הטוב ביותר בעולם להתגוננות מפני סייבר, המערכת הפוליטית לא מגלה עניין מיוחד לייצר את ההגנות המתאימות. "בישראל יש כמות גדולה של חברות עם יכולות ההגנה והידע הכי טובים בעולם, ויש את היכולות הטכנולוגיות, הפער שקיים בשטח הוא רק במוטיבציה", אומר לוי.
למנות ממונה אבטחת מידע
אז מה ניתן לעשות? לדברי עו"ד דבורה האוסן-כוריאל, יועמ"ש וסמנכ"ל רגולציה של Konfidas, החברה להגנה וניהול משברי סייבר, "ראשית, על כל מפלגה למנות ממונה אבטחת מידע על פי מודל ה-data protection officer, תחת הרגולציה של האיחוד האירופאי, ה-GDPR) ולפרסם שמו ואת דרכי הקשר איתו.
"שנית, מומלץ שכל מפלגה תכין, תפרסם ותטמיע מדיניות להגנת סייבר ואבטחת מידע שתכלול, בין השאר, תהליכים להתמודדות עם אירועי סייבר (כפי שאלה מוגדרים על ידי מערך הסייבר הלאומי) ואירועי אבטחת מידע חמורים על פי דיני הגנת הפרטיות בישראל. שלישית, חשוב שמפלגות – כמו ארגונים אחרים במשק הישראלי – יקדישו משאבים למוכנות ארגונית מול פעילות עוינת במרחב הסייבר ויתרגלו את עצמם לקראת התמודדות עם אירועים".
עו"ד האוסן-כוריאל מוסיפה כי "רגע לפני הבחירות הכלליות, הגיעה השעה לשלב ברפורמה שכבר מתרחשות בדיני הגנת הפרטיות בישראל מרכיבים ספציפיים שיקדמו את ההגנות על מידע אישי במסגרת תהליכי הבחירות בישראל.
מדובר בהזדמנות למנף את התקופה שבה תהליכים אלה נמצאים זרקור ציבורי ולהעמיק את התודעה הציבורית לגבי חיוניותה השקעה מצד ארגונים, כולל מפלגות, באמצעי הגנה על המידע האישי שהם משתמשים בו וגם על המערכות שבהן הוא שמור.
"בנוסף, כאשר מתרחש אירוע סייבר או אירוע אבטחה חמור של דליפת מידע אישי שמחייבים דיווח לרשויות על פי דין, כל גוף במדינת ישראל צריך להכין את עצמו לקראת רמת מוכנות מירבית להתמודדות אירוע מסוג זה, ולהתאוששות ממנו.
"בשורה התחתונה, המטרה היא לתמרץ ארגונים – והמפלגות בראשם - להיערך בצורה טובה כדי להתמודד עם האיומים הקיימים במרחב הסייבר ולשתף מידע עם הרשויות כשהדבר נדרש על פי דין. היעד הלאומי המשותף לכולם הוא שיפור מתמיד ברמת הגנת הסייבר והמידע האישי של ישראל ואזרחיה, במיוחד מול איומים על מערכת הבחירות".
הבוקר (א) נעצר חשוד בניסיון הטיית הבחירות להסתדרות באמצעות הונאת סייבר | לאחרונה פורסם בתקשורת כי אתר אינטרנט חשף מידע מתוך ספר הבוחרים של הליכוד | מייצרים ענן מידע כדי לנגח אותו - ולא משנה מה האמת
bigstock
מנהל הקמפיין של עופר עיני בבחירות להסתדרות העובדים נעצר הבוקר (ראשון, 11.09) בחשד שפגע בקמפיין של ארנון בר דוד.
לפי החשד, מנהל הקמפיין הפיץ הודעות SMS רבות שבהן נכתב "משלם יקר, הוראת החיוב נקלטה בהצלחה. לא ביצעת? התקשר: (מספר טלפון)". המספר שצורף להודעות היה של מוקדי הקמפיין של בר דוד והללו הוצפו בשיחות - כך שבר דוד לא היה יכול לנהל את הקמפיין.
דוגמא זו היא אחת מני רבות למתקפות סייבר שניתן לבצע דרך הודעות סמס. רגע לפני הבחירות, החשש למתקפות כאלה גובר מאוד, גם מכיוון שמאחוריהן לא עלול לעמוד רק גורם מהמפלגה המתחרה, אלא גם גורמים עוינים לישראל כגון האקרים איראנים ועוד, שמבקשים לפגוע במערכות המדינה ולאסוף פרטים ומידע רגיש של אזרחים, הנמצא כידוע בידי המפלגות ובמאגרי מידע נוספים.
אז האם יכול הציבור להיות בטוח שהליך ההצבעה לא יושפע על ידי גורמים חיצוניים כלשהם באמצעות פעילות סייבר, כולל דליפה אפשרית של פרטיהם האישיים לידיים עוינות? התשובה העגומה היא ככל הנראה שלילית.
פגיעה בתהליך הבחירות
בשנים האחרונות ישנן עדויות רבות לניסיונות שונים לפגוע בתהליך הבחירות הדמוקרטי. מדובר הן בשימוש של כלים טכנולוגיים המיועדים לפגיעה במערכות מידע המשמשות בתהליכי ההצבעה; והן על ניסיונות השפעה חיצוניים על אמון הציבור או על עמדותיו ביחס למועמדים והמוסדות הדמוקרטיים עצמם.
עדויות אלו מתחברות לנתונים בנוגע לאירועי סייבר עוינים, שלפיהם מספר מתקפות הסייבר השבועיות על ארגונים ישראליים זינק ברבעון השני של השנה ב-56%.
אין ספק שזהו נתון מבהיל שצריך להדיר שינה מעיני מנהיגי ישראל, ראשי חברות וארגונים שונים וכמובן כל אזרח החרד לפרטיותו. מדובר במצב אבסורדי, שבו מדינה שיש בה את מיטב הידע והחברות המתמחות בהגנת סייבר, לא פועלת מספיק על מנת למנוע מתקפות המובילות לדליפת מידע רגיש.
כך, למשל, רק לאחרונה פורסם בתקשורת כי אתר אינטרנט חשף מידע מתוך ספר הבוחרים של הליכוד. על פי הפרסום, במנוע חיפוש פשוט באתר ניתן היה להקליד שם פרטי ושם משפחה ולראות האם אותו אדם זכאי להצביע בפריימריז, היכן קלפי ההצבעה שלו ואת 4 הספרות האחרונות של תעודת הזהות שלו.
המשמעות - המפלגה שהעמידה את האתר אפשרה לציבור הרחב, בארץ ובחו"ל, לקבל מידע אישי זה על אזרחים בלחיצת כפתור. ה"תקלה הטכנית" הזו, כפי שטענו בליכוד, נחשפה בתוך זמן קצר, הרשות להגנת הפרטיות הורתה למפלגה להסיר את האתר מהאוויר – וכך אכן היה.
דליפת מידע אישי
כזכור, זו לא היתה הפעם הראשונה שבה דולפים פרטי מידע אישיים של אזרחים כחלק ממערכת הבחירות בישראל. בפברואר 2020 אירעה דליפה במערכות המידע של חברת אלקטור, שסיפקה למפלגות הליכוד וישראל ביתנו שירותים טכנולוגיים לניהול מערכת הבחירות באמצעות אפליקציה ייעודית שפיתחה.
כחלק מאירוע זה, התאפשרה גישה למערכות המידע של אלקטור ודלף קובץ המכיל מידע מפנקס הבוחרים לכנסת ה-23 על אודות יותר מ-6 מיליון בעלי זכות הבחירה בישראל.
המידע כלל, בין היתר, מידע אישי אודות בעלי זכות הבחירה, כתובתם, מקום הצבעתם, וכן מידע אישי נוסף אודות הבוחרים אשר הוזן על ידי גורמים שונים כחלק מהשימוש באפליקציה - מספרי טלפון, כתובות דוא"ל, מידע על היותו של אדם "תומך" או "לא תומך" במפלגה ואפילו מידע על אודות מצבו הרפואי של אדם, המעוניין מסיבות שונות בהסעה אל הקלפי.
במקרה ההוא, הרשות להגנת הפרטיות קבעה כי חברת אלקטור ומפלגות הליכוד וישראל ביתנו הפרו את חוק הגנת הפרטיות משנת 1981.
התופעה איננה פוקדת רק את תהליכי הבחירות בישראל, כמובן. למשל, בפרשת "קיימברידג' אנליטיקה" שהתפתחה בשנות העשור הקודם, מידע אישי של יותר מ-80 מיליוני משתמשי פייסבוק, רובם אזרחים אמריקאים, שימש לשם תיוג פוליטי של אזרחים אלה, ללא הסכמתם, במטרה להשפיע עליהם דרך פרסומים פוליטיים.
חששות דומים לניסיונות השפעה עלו גם בבריטניה, למשל ביחס למשאל העם על עזיבת האיחוד האירופי (ה"ברקזיט") וכן במערכות בחירות נוספות בעולם.
על פי חוק הגנת הפרטיות, התשמ"א-1981, כל גורם בישראל שיש ברשותו מאגר מידע הכולל מידע אישי ושעונה על קריטריונים שמפורטים בחוק ובתקנותיו - מחויב לרשום את מאגר המידע ולאבטח אותו באמצעות כלים, תהליכים ובקרות ברמה שמתחייבת על פי דין.
במקרה של אירוע סייבר שפוגע במידע האישי במאגר, המכונה "אירוע אבטחה חמור" – כולל דליפת מידע אישי - חובה לדווח על האירוע לרשות להגנת הפרטיות. לגבי מידע שנמצא בפנקס הבוחרים, חלות הוראות נוספות שמחייבות פיקוח יתר על המידע האישי שבו, מחמת רגישות.
״פערים משמעותיים בין האופן בו המפלגות מיישמות את החוק״
בפועל, בדו"ח שפרסמה הרשות להגנת הפרטיות בחודש אוקטובר 2020 על ממצאי הליך פיקוח הרוחב בקרב המפלגות שהתמודדו לבחירות הכלליות לכנסת ה-23, "נמצאו פערים משמעותיים בין האופן בו המפלגות מיישמות את החוק, התקנות והנחיות הרשם." הפערים האמורים נוגעים ישירות לאחד סוגיה הקריטית בכל מדינה דמוקרטית של טוהר הבחירות.
בישראל, כמו בארה"ב, הסיכון המרכזי מול מתקפות סייבר איננו מתקפה על ספירת הקולות. הסיכונים הם, למשל, מתקפות שתומכות בנרטיב של צד אחד של המתרס הפוליטי לעומת הצד שכנגד.
המטרה של מבצעי הסייבר היא להשפיע על ההתנהגות של המצביעים ולשכנע את מצביעי הימין או את מצביעי השמאל לא להצביע. במערכות הבחירות האחרונות בארה"ב, הרוסים ניסו לתמוך באינפורמציה שתגרום לשיעורי הצבעה גבוהים אצל הרפובליקנים ושהדמוקרטים לא יצביעו.
דוגמה אחרת היא אירוע כמו זה שהיה סביב הטלפון של בני גנץ. מייצרים ענן מידע כדי לנגח אותו - ולא משנה מה האמת. מה שחשוב זה מה חלקים בציבור חושבים על המידע שמופץ.
יש ארבעה גורמים דומיננטיים שמנהלים מבצעי השפעה בישראל. ראשית הרוסים והאיראנים, וגם חמאס וחיזבאללה. "הרוסים רוצים להגיע לנטרול המערכת הפוליטית בישראל והיו ניסיונות של האיראנים להתערב בזמנו ב'דגלים השחורים'.
יש הרבה פעילות סייבר של חמאס נגד חיילי צה"ל ולא הייתי שולל גם מעורבות של גורמים אמריקניים", הוא אומר. "מבצעי השפעה דורשים היכרות עם המערכות הפוליטיות ו'המשפיענים' וקל לתקוף מאגרי בוחרים שמושפעים מהמידע המופץ נגד אישיות אחת".
אף שבישראל קיים הידע הטוב ביותר בעולם להתגוננות מפני סייבר, המערכת הפוליטית לא מגלה עניין מיוחד לייצר את ההגנות המתאימות. "בישראל יש כמות גדולה של חברות עם יכולות ההגנה והידע הכי טובים בעולם, ויש את היכולות הטכנולוגיות, הפער שקיים בשטח הוא רק במוטיבציה", אומר לוי.
למנות ממונה אבטחת מידע
אז מה ניתן לעשות? לדברי עו"ד דבורה האוסן-כוריאל, יועמ"ש וסמנכ"ל רגולציה של Konfidas, החברה להגנה וניהול משברי סייבר, "ראשית, על כל מפלגה למנות ממונה אבטחת מידע על פי מודל ה-data protection officer, תחת הרגולציה של האיחוד האירופאי, ה-GDPR) ולפרסם שמו ואת דרכי הקשר איתו.
"שנית, מומלץ שכל מפלגה תכין, תפרסם ותטמיע מדיניות להגנת סייבר ואבטחת מידע שתכלול, בין השאר, תהליכים להתמודדות עם אירועי סייבר (כפי שאלה מוגדרים על ידי מערך הסייבר הלאומי) ואירועי אבטחת מידע חמורים על פי דיני הגנת הפרטיות בישראל. שלישית, חשוב שמפלגות – כמו ארגונים אחרים במשק הישראלי – יקדישו משאבים למוכנות ארגונית מול פעילות עוינת במרחב הסייבר ויתרגלו את עצמם לקראת התמודדות עם אירועים".
עו"ד האוסן-כוריאל מוסיפה כי "רגע לפני הבחירות הכלליות, הגיעה השעה לשלב ברפורמה שכבר מתרחשות בדיני הגנת הפרטיות בישראל מרכיבים ספציפיים שיקדמו את ההגנות על מידע אישי במסגרת תהליכי הבחירות בישראל.
מדובר בהזדמנות למנף את התקופה שבה תהליכים אלה נמצאים זרקור ציבורי ולהעמיק את התודעה הציבורית לגבי חיוניותה השקעה מצד ארגונים, כולל מפלגות, באמצעי הגנה על המידע האישי שהם משתמשים בו וגם על המערכות שבהן הוא שמור.
"בנוסף, כאשר מתרחש אירוע סייבר או אירוע אבטחה חמור של דליפת מידע אישי שמחייבים דיווח לרשויות על פי דין, כל גוף במדינת ישראל צריך להכין את עצמו לקראת רמת מוכנות מירבית להתמודדות אירוע מסוג זה, ולהתאוששות ממנו.
"בשורה התחתונה, המטרה היא לתמרץ ארגונים – והמפלגות בראשם - להיערך בצורה טובה כדי להתמודד עם האיומים הקיימים במרחב הסייבר ולשתף מידע עם הרשויות כשהדבר נדרש על פי דין. היעד הלאומי המשותף לכולם הוא שיפור מתמיד ברמת הגנת הסייבר והמידע האישי של ישראל ואזרחיה, במיוחד מול איומים על מערכת הבחירות".
