דוח מבקר המדינה שפורסם היום (ג') מדגים שני מקרי חמורים של "חפיפניקיות" בקרב שניים מהארגונים הגדולים בישראל - הביטוח הלאומי ורפאל. הדוח החריף מציין את חוסר התכנון והניתוק של הדרג הבכיר מסכנות הסייבר הרבות האורבות למשק הישראלי, במיוחד בימים אלה, כאשר התוצאה בשני המקרים היא חוסר מוכנות שהובילה ככל הנראה לפריצת סייבר מוצלחת ברפאל.
הסיפור לא חדש, כבר שנים מתריעים גורמים שונים בתעשייה על כך שישנה בעיה. אם עד היום נדרשנו על ידי הגופים האחראיים על תחום הסייבר להאמין שהסכנה היא רק עבור אלה שלא מגנים על הנכסים שלהם, או אלו שאין להם את היכולת הפיננסית לעמוד בעלויות הגבוהות של מערכות הגנת סייבר יקרות, כעת אולי הגיע הזמן לומר את הדברים כהווייתם: ההתחמקות משימוש בהגנת סייבר סבירה היא בעיקר תולדה של התעלמות או תרבות ה"סמוך".
איך קרה שהתקפה פשוטה השביתה למשך שעות מערכות סליקה מתקדמות?
הדוגמה האחרונה אירעה רק לפני יומיים, עת תקיפת מניעת שירות (DDoS) חסמה את האפשרות להשתמש בכרטיסי אשראי במערכות סליקה שנמצאות בשימוש בחלק גדול של החברות במשק - ממערכות טעינת הרב קו ועד קופות של תחנות דלק.
הישראלים שנתקעו בעת ההתקפה בקופה שלא פעלה ונאלצו לחזור לשימוש במזומן צריכים להבין שזהו מצב לא תקין. אז נכון שאפשר לומר שזה לא נורא ואפשר לשלם גם בשטרות, אבל לך תגיד את זה לבעל הרכב עם מיכל דלק כמעט ריק שנתקע בתחנת הדלק ללא אפשרות להעביר כרטיס אשראי ובלי מזומן להצלה.
כדי לסבר את האוזן, תקיפות סייבר מסוג מניעת שירות נחשבות לנחותות והפשוטות ביותר ליישום. הן משמשות האקרים כדי לייצר עומס כבד על מערכות המחשוב של הקורבנות ולגרום לקריסתן. וכמה שהתקיפה הזאת פשוטה, כך גם ההתגוננות מפניה.
לישראל יש ניסיון רב בהתמודדות עם תקיפות מהסוג הזה, בין אם דרך מערכות הגנה שמייצרות מיטיגציה של התקיפות על ידי סינון התעבורה, או פשוט על ידי חסימה נקודתית גורפת של התעבורה ממקורות התקיפה. אך משום מה אותן שתי חברות הסליקה, שהותקפו יום אחרי יום, לא מצאו לנכון להתכונן לתקיפות מהסוג הזה.
כעת נדרשת המדינה לייצר מדיניות סייבר שתכלול את כל המשק. אבל אם חשבתם שמדובר בנושא חדש שדורש הרבה מאוד עבודת מטה והכנה, לא כך הדבר - חוק הסייבר מונח על שולחן הכנסת בצורות שונות כבר יותר מעשור. פעמים רבות הוא כמעט הגיע לקריאה ראשונה, אך בכל פעם נפילת הממשלה מנעה את המשך החקיקה והיישום שלו.
3 צפייה בגלריה
גבי פורטנוי, ראש מערך הסייבר הלאומי. עובדים קשה לחנך את הציבור, אבל אין מספיק סמכויות
(צילום: מוטי קמחי)
בינתיים ישראל מתנהלת על בסיס "כל-אחד-עושה-מה-שהוא-רוצה". למעט כמה תחומים כמו בנקים, חברות ביטוח, אנרגיה ותשתיות ובריאות (סוף סוף), עבור רוב המשק הישראלי הגנת סייבר הוא המלצה ותו לא. ירצה הדירקטוריון או המנכ"ל ויטפלו בזה כראוי, ואם לא, אז לא.
למרות שאנחנו מחשיבים את עצמנו כמעצמת סייבר, האמת היא שרוב חברות הסייבר הישראליות מייצאות את תוצרתן לחברות פורצ'ן 500. את החברות הישראליות, אלה המקומיות, הן לא באמת סופרות. זה לא מרוע לב כמובן, פשוט העלויות של הגנת סייבר על משק קטן ומרוכז כמו בישראל הן גבוהות מאוד ביחס לתוצר של החברות המקומיות.
אז פלא שלא משקיעים בסייבר? אם הכלכלה בכי רע, המנכ"ל יסתכל קודם כל על שורת הרווח ופחות על מניעה של מתקפת סייבר שעשויה לגרום לנזק נקודתי או אפילו מתמשך אך לא קריטי. כך יוצא שכל מרשם האוכלוסין הישראלי נמצא כבר זמן רב בידי האיראנים בזכות פריצה למאגרי המידע המכילים אותו כמו אפליקציית אלקטור.
במערך הסייבר עובדים קשה כדי לנסות ול"חנך" את המשק, אבל גם לו אין את הסמכות לכפות את דרישות הסף עליו. נותר לנו רק לדרוש את הברור מאליו - המדינה צריכה לקחת אחריות ולהתייחס לנושא בצורה רצינית מאי פעם.
