כבר תקופה ארוכה שישראל מתמודדת עם מתקפת סייבר על חברות וגופים ישראליים, לעיתים כאלה שמחזיקים במידע רגיש של אזרחים (או חיילים), שלא האמינו שהפרטים שהם מוסרים עלולים להיחשף. הפריצה לאתר ההיכרויות אטרף העלתה שוב לכותרות את נושא הגנת הסייבר, שהופך רלוונטי יותר ויותר - והמומחים מסבירים כי בכל הקשור להגנה על האזרח הפשוט ממתקפות אלה, למדינת ישראל יש עוד דרך ארוכה.
יורם הכהן, מנכ"ל איגוד האינטרנט ולשעבר ראש הרשות להגנת הפרטיות, טוען כי האזרח מצפה מהמדינה שהיא תגן על פרטיותו - כפי שהיא מגנה על ביטחונו באמצעות הצבא והמשטרה. "יש דברים שאיתם אנחנו מגנים על עצמנו לבד, כמו אזעקה ומנעול, אבל גם מצפים שהמשטרה תסתובב ברחוב ותתפוס את הפושעים", אמר.
לדבריו, "מדינת ישראל השקיעה הרבה מאוד כסף בהקמה של מערך הגנת סייבר שנועד להגן על האזרח הפשוט - אבל בסדרי העדיפויות של המדינה, רוב המשקל ניתן לגופים הגדולים והחשובים כמו הבנקים ובתי החולים ולתשתיות קריטיות כמו חברות המים והחשמל". הוא ציין כי בפריצה להלל יפה, בית החולים היה אמור ליישם את הוראות משרד הבריאות - והבעיה שבעקבותיה אירעה הפריצה הייתה שבית החולים לא עדכן תוכנה מסוימת.
הכהן מדגיש כי "בניגוד לחברות גדולות, לעסקים קטנים ואזרחים בבית אין רגולציה ואף אחד לא נותן לנו הנחיות". לדבריו, "הגנת סייבר כרוכה במעקב מתמיד אחרי תעבורה אינטרנטית. יש דברים שהאזרחים צריכים לעשות בעצמם, ושתהיה להם מודעות. איך תהיה להם מודעות? הם יכולים לצרוך את המידע בתקשורת, אבל חלק גדול מהציבור לא עושה את זה. תפקיד המדינה בחלק מהמקרים הוא גם לחנך את הציבור. היא צריכה להתריע מפני הונאות ותקיפות, ובוודאי כשיש פעולות שחוזרות על עצמן, ואת זה המדינה לא עושה. המדינה ממש הפקירה את האזרחים בנושא הזה".
הכהן מסביר כי במקרה של התעלמות מההנחיות, המדינה צריכה להפעיל את סמכותה - כפי שאירע במקרה של אתר "אטרף". "המדינה ידעה שחברת האחסון נפרצה ומערך הסייבר אף התריע בפניהם, אבל הם התעלמו מזה", הוא אומר. "למערך הסייבר אין סמכות בחוק לכפות על מישהו לעשות תיקון, אבל יש גוף מדינה שכן יש לו סמכות לעשות את זה - הרשות להגנת הפרטיות. מערך הסייבר היו צריכים להגיד לרשות להגנת הפרטיות להפעיל את הסמכויות ולדאוג לזה שאתר אטרף יתקן את הפרצות שלו. כך המדינה הייתה יכולה לבוא לארגון הזה ולכפות עליו את התיקונים בפרצות".
"יש לרשות להגנת הפרטיות סמכויות שהן יחסית חזקות, והיא הייתה צריכה להגיד לאנשי האתר שאם הם לא מתקנים את הפרצות - הם יוכרזו כגוף בלתי חוקי. לכן, במקרה הזה אם המדינה ידעה שיש כשל, אפשר להפעיל את הסמכות וזה היה מונע הרבה עוגמת נפש. התוצאה במקרה הזה היא די הרת אסון כי פריצה למאגרי המידע של אטרף היא פיגוע פרטיות חמור מאוד".
"החברות לא השתמשו בהגנות הרלוונטיות"
ליעד הרמן, מנכ"ל ומייסד "סייפהאוס" המייצרת מוצרי הגנת סייבר, מסביר כי "בעולם האינטרנט בעשור האחרון רואים שנוצרה עוד שכבת קיום לכל אחד מאיתנו. מעין שכבה דיגיטלית. מה שאנחנו לא עושים ברשת זה להגן על עצמנו. עד היום מאוד סמכנו על חברות 'צד שלישי' שהן בסדר, ופה צריכה להיות גישה שבה אנחנו מבינים שלא באמת אכפת להם מאיתנו ואנחנו צריכים להגן על עצמנו. כשנחשף מקום כמו אטרף, זה מאוד פרטי וכך הסכנה יכולה להיות כלכלית, אישית, משפחתית, חברתית ותעסוקתית. אנחנו קורבן מבלי שיכולנו להגן על עצמנו".
"במערכת שאנחנו חיים בה היום, אין מי שידאג לאזרח כי לשוק החופשי אין אינטרס לדאוג לנו", טוען הרמן. "מי שאמור להגן עליי זה אני והמדינה, והיא לא עושה את זה למרות שיש לה את הכלים. אין עיסוק באזרח הקטן. יש מקום אמיתי לייצר רגולציה מחמירה ולא רק בהקשר של פרטיות אלא בהקשר של אבטחה לחברות שמחזיקות נכסים דיגיטליים של אנשים. לא יכול להיות שיש רגולציה מלאה על חברות שמחזיקות פרטי מידע של אנשים, אבל בנכסים דיגיטליים אין כלום. המדינה גם יכולה לעשות הסברה לאזרחים, אבל גם את זה היא לא עושה. מערך הסייבר עושה מה שהוא יכול אבל הרבה פעמים זה מעט מדי או מאוחר מדי".
לדבריו, לחברות יש אחריות אדירה והיא שמירה על הפרטיות שלנו. "זה מעין חוזה לא כתוב שצריך להיכתב מחדש", הוא אומר. "כמו שברור שהבנק ישמור לנו על הכסף, באותה מידה החוזה הלא כתוב עם החברות צריך להיות כך שנדע בוודאות שהפרטים שלנו לא ייחשפו. החברות לא השתמשו בהגנות הרלוונטיות כדי להגן על הלקוחות שלהם. צריך שתהיה אבטחה ברמה גבוהה ומעודכנת".
עינת מירון, מומחית להיערכות והתמודדות עם סיכוני סייבר עסקיים, הטיחה את האשמה באותן חברות שלא הצפינו את המידע האישי של לקוחותיהם וברשות להגנת הפרטיות. "אנחנו כבר כמעט ב-2022 וזה לא נתפס שחברות ממשיכות לשמור על הפרטים של הבן אדם בצורה לא מוצפנת", אמרה. "איך הרשות להגנת הפרטיות לא עושה שום דבר עם זה? לחברות האלה יש אחריות גדולה ואשמה. האחריות שלהם היא לאבטח נכון את האתר ולהתקין אפליקציות שמונעת מתקפות. לכל חברות האחסון יש אחריות שהן לא הגנו על עצמן מספיק מפני מתקפה".