בואו לגלות את עמוד הכתבה החדש שלנו
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

הצעת חוק הסייבר של מירב בן ארי לא ריאלית - אך גם מסוכנת

רובם המוחץ של הארגונים בישראל מעדיפים להסתיר תקיפות סייבר או חולשות - מבלי להתחשב בנזק המשמעותי שנגרם לאזרחים; הצעת החוק החדשה רק תחמיר את המצב

29תגובות
ח"כ בן ארי בכנסת, בדצמבר
נועם מושקוביץ / דו

בכנסת ישראל אין לדעת מה יצפון בחובו יום, וכל בוקר חדש הוא הזדמנות לחקיקה שבבמקרה הטוב תעלה אבק באיזו ארונית, אך במקרה הרע יש לה פוטנציאל רב להזיק. החוק חדש שהניחה חברת הכנסת מירב בן ארי מ"יש עתיד" בפני ועדת השרים, "הצעת חוק איסור פרסום זמני של מתקפת סייבר", הוא דוגמה לחוק כזה: כוונתו אולי טובה, אך הביצוע שלו תמוה באופן יוצא דופן, אפילו ביחס לחוק ישראלי. 

את הצעת החוק המלאה אפשר לקרוא כאן, אך בתמצות הדברים: היא מבקשת להטיל צו איסור פרסום אוטומטי על מתקפות סייבר נגד ארגונים שונים. הצו הראשוני תקף לחודש, אך ניתן להארכה לכל תקופת המתקפה. הוא גם אינו מבדיל בין דליפת מידע שמתגלה בטעות לבין כזו שנעשתה בזדון, או בין חוקרים "עם כובע לבן" הנוהגים באחריות ומדווחים למערך הסייבר לבין אחרים, שמניעיהם טהורים פחות.

סיכוייה של הצעת החוק לעבור את ועדת השרים (שלא לדבר על חקיקה ממש) קלושים למדי. היא אינה עושה רושם מוקפד או מקצועי במיוחד, ובכל מקרה - סיכוייה של הממשלה הנוכחית להעביר חקיקה כלשהי אפסיים. ולמרות זאת, הוכיחה כנסת ישראל שכל יוזמה מזיקה זוכה לגלגולים רבים מטעם חברי כנסת שמחפשים תשומת לב תקשורתית, ובדיוק כפי שבכל כנסת ישנה יוזמה לצנזורת האינטרנט (לטובת הילדים, כמובן), כך גם הצעת החוק המזיקה הזו עלולה להתגלגל לבאות אחריה. 

למרבה הצער, הנוהג בישראל הוא שכאשר יש דליפת מידע רובם המוחץ של הארגונים לא ימהר לדווח לנפגעים באופן מסודר. אי אפשר לזלזל בחשיבות הדיווח: רק כך ניתנת לנפגעים אפשרות להתמודד עם הנזקים. לדוגמה, חשוב שלקוחות ידעו שסיסמתם דלפה - כדי שיוכלו להחליף אותה באתר שהותקף, ובכל חשבון נוסף בה עשו שימוש באותה סיסמה (פרקטיקה מאוד לא מומלצת, מסיבה זו בדיוק). אם דלפו כרטיסי אשראי, ידעו הקורבנות לבדוק בשבע עיניים את חיובי האשראי שלהם, ובעת הצורך לבטל כרטיסים.

גם עסקים אחרים הקשורים לארגון שנפגע מחדירה למערכות שלו זקוקים לדעת זאת, כדי לבדוק את אלה שלהם - ולוודא שהתוקפים לא ניצלו את המידע שמצאו לתקיפות המשך. לכן, טוב שכלב השמירה של הדמוקרטיה והרשת בא לידי ביטוי במקרים האלה, ונותן פומבי למתקפות על חברות שאינן ששות לעשות זאת בעצמן.

הצעת החוק המקומית גם אינה מביאה בחשבון מקרים בהם ארגונים ישראלים נדרשים לתת דין וחשבון למדינות נוספות: חברות שעובדות באירופה למשל, מחויבות לתקן הגנת הפרטיות האירופי GDPR ועליהן לעמוד בסעיף 33 ולדווח לרגולטור תוך 72 שעות במקסימום על כל התקפה שגרמה לזליגה של מידע אישי. אם יעבור החוק הבעייתי של בן ארי, תמצא עצמה החברה שמילאה אחר החוק האירופי כשהיא עוברת על החוק הישראלי - ומפרה צו איסור פרסום.

וכך או כך, אנחנו כבר לא בשנות ה-50: פרטים על תקיפות כאלה מופצים בקבוצות טלגרם, וידו של החוק הישראלי קצרה מלהגיע אליהן. לעיתים קרובות נעשה הדבר באמצעות התוקפים עצמם, שכמובן מלאי מוטיבציה לפרסם את אשר עוללו. בן ארי גם אינה יכולה לחסום את גישת הקהל לאמצעי תקשורת זרים, שאין סיבה שימלאו אחר הצו שהיא מנסה לקדם.

בנוסף חשוב לזכור שכמו בתחומים רבים נוספים גם באבטחת מידע - אור השמש מחטא, ופרסום דליפות הוא חלק מתהליך הריפוי. אנשים מתעצלים לעדכן גרסאות תוכנה או מערכות הפעלה כשמתגלים בהם חורי אבטחה. פרסום ההשלכות מעודד גולשים להתגייס ולעשות זאת במהירות האפשרית. אם נשמור על הפרצות הללו במחשכים למשך זמן ארוך כפי שהצעת החוק מבקשת, התהליך הזה ייעצר. 

חברת לינווייט עוסקת בפיתוח ותמיכה של קוד פתוח. מנכ"ל החברה אלרואי מרום אמר בתגובה להצעת החוק כי "אי פרסום מתקפת סייבר ימנע את הדיווח על חורי אבטחה, ימנע את היכולת לתקן אותם במהירות וימנע מארגונים שלא נפגעו להתכונן במהירות ולהגן על הלקוחות שלהם. זו המהות של קוד פתוח: לפרסם, לדון, ולפתח את התוכנה, והצעת החוק הזו פשוט תקבור את היכולת הזו בהר עצום של בירוקרטיה. זו הצעת חוק שלא חשבו עליה עד הסוף, וראוי כי תיגנז".

זה המקום לסייג ולומר כי לעיתים המוטיבציה מאחורי התקיפה היא דווקא הפרסום שמגיע אחריה - במטרה להשיג יעדים פוליטיים ותודעתיים, כמו תקיפה מצד מדינה עוינת למשל. לעיתים הקבוצה מבקשת להעלות את יוקרתה ואת קרנה בעין הציבור, או להטיל אימה בדרך להישג נוסף. לעיתים הדליפות אף מתגלות כמזויפות לגמרי, או כאלה שמידת ההשפעה שלהן נופחה הרבה מעל למידותיהן. קרו מקרים בהם עיתונאים פזיזים מיהרו לדווח על התקיפות האלה, עליהן קראו בקבוצות הטלגרם שנזכרו לעיל, מבלי לוודא לפני כן את הפרטים לאשורם - לשמחתם הגדולה של התוקפים, שמשיגים כך מטרה תקשורתית.

אבל בשנים האחרונות למדו מערך הסייבר, חברות שונות ומומחי אבטחת מידע להתמודד עם תוקפים כאלו באמצעות דיווח מדויק ואמין על השפעתן המדויקת של דליפות המידע האלו לעיתונאים שעובדים איתם. זו הדרך הנכונה והלגיטימית ביותר למלחמה במידע כוזב שתוקפים כאלו מפיצים. הטלת חיסיון אוטומטי על תקיפות או דלפי מידע תגרום לגל שמועות מוטעות או מנופחות ותמנע ממומחים להסביר לאשורו את האימפקט המדויק. גם מערך הסייבר עצמו חושב כך, ובתגובה להצעת החוק נמסר כי: "לעמדת המערך, הצעת החוק המבקשת להטיל איסור פרסום גורף עלולה לפגוע ביכולת אנשי המקצוע לשתף מידע במהירות לטובת הגנה מפני מתקפות ומניעת התפשטותן".



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות

כתבות שאולי פספסתם

*#
בואו לגלות את עמוד הכתבה החדש שלנו