חרב הפיפיות של הפשיעה האנונימית במרחב הקיברנטי
לצד הרצון לאכוף ולכבד אנונימיות ופרטיות של מידע יש בשנים האחרונות עלייה משמעותית במורכבות האיומים במרחב האינטרנט ● כיוון שחלק משמעותי מפשעי הסייבר בעולם האזרחי מתבססים על גניבת זהויות ומידע רגיש, צריך לתת מענה נקודתי לנושא דרך פתרונות הגנה אפליקטיביים ותשתיתיים
"קל יותר להכיר את המין האנושי בכללותו מלהכיר את האדם בפרטיותו", פרנסואה דה לה רושפוקו.
תארו לכם עולם בו כל אחד מאתנו היה מחויב להתהלך עם תג באופן קבוע. תג המכיל לא רק את השם שלו אלא גם את כל המוניטין שלו. בעולם כזה, אפילו קלפטומן, אם היה מתהלך בחליפה מהודרת, היה נזרק מכל חנות והוונדליסט היה נעצר במקום.
בעולם הקיברנטי האמיתי, אנונימיות ופרטיות המידע הינן ערכים עליונים שעליהם מגנים בחירוף גופי אכיפה שונים לצד חקיקות משמעותיות שמתעדכנות ברוח התקופה. יש שיטענו שבעידן הרשתות החברתיות, הקהילות הווירטואליות וההתמכרות ל-"חמצן" הדיגיטלי הם רעיונות שזמנם פג מהעולם. אבל דווקא בעידן בו מבוצע היתוך ושיתוף מידע רחב היקף לצד צריכת שירותים שונים מהמדיה הדיגיטלית האינטרנטית, אנונימיות היא הבסיס להתנהלות בטוחה ותקינה ומחייבת אכיפה בהתאם.
לצד הרצון לאכוף ולכבד אנונימיות ופרטיות מידע יש בשנים האחרונות עלייה משמעותית במורכבות האיומים במרחב האינטרנט. קיימת מיגרציה מעולם האיומים "הסטנדרטיים" לאיומי סייבר מורכבים. מגמה זו שינתה באופן משמעותי את הפרדיגמה ואת היכולת להבטיח אנונימיות ויצרה מורכבות מרחיקת לכת בכל הנושא בטיפול בנזיקין בתחום.
המורכבות בטיפול בתיקים בנושא נובעת לא רק מהעובדה שמלכתחילה מדובר בזירה מאתגרת – אפילו המשתנים הבסיסיים ביותר, כגון רשות מחוקקת, סמכות שיפוט או התחייבויות רשמיות – כולם רחוקים מלהיות ברורים ומופשטים, שהרי פעילות שמתבצעת בזירת האינטרנט פועלת מחוץ לגבולות המרחב הרגילים. צריכת שירותים וביצוע טרנזקציות עסקיות יכולה להתרחש במרחק של יבשות שלמות.
הבסיס למורכבות העולה הוא העובדה שבזמן שאנונימיות באינטרנט, שנחיצותה לשמור על פרטיותו ועל נכסיו הגשמיים והרוחניים של כל אדם מהיישוב היא ברורה, הפכה לדלת מסתובבת שתורמת לא מעט לפועלם ברשת של גופי פשיעה ולפעילות זדונית שונה. אנונימיות ושמירת מידע הן כיום למעשה חרב פיפיות בה העותר יכול למצוא עצמו בכל צד שלהן ובכל זמן.
כדי להסביר את המורכבות אתאר תרחיש שמקביל למקרים אמיתיים שמסוגם נטענים בבתי משפט בארץ ובעולם חדשות לבקרים:
א.א., בעל חברה לשירותי הזמנת מזון מהיר באינטרנט המבוסס על נתוני לקוחות רשומים, פונה לחברת עורכי דין מתמחה בדיני אינטרנט, בטענה שהאתר שלו הותקף כחלק מאירוע סייבר דו שלבי, שכלל השבתת האתר ל-72 שעות, פריצה וזליגת מידע.
כל פרקליט שעוסק בדיני אינטרנט מורכבים יודע שהכנת תיק נזיקין בנושא חייב לכלול התייחסות לשלושה חלקים עיקריים: תוצר של הנזק הישיר, תוצר של הנזק העקיף ותוצר של נזק עקיף הנובע מתביעות צד ג'. הנזק הכספי מאירועי סייבר (גניבת מידע, התקפת תשתיות ושירותים, פריצה למאגרי מידע וכו') נמדד לרוב בחלוקה של כשליש לנזק ישיר ושני שליש לנזק עקיף.
בעוד שהגדרת המאפיינים לנזק הישיר מבוססת על מדדים כמותיים שיחסית פשוטים לתחימה (כגון: פגיעה בזמינות השירות בציר הזמן, הוצאות ישירות לשיקום האתר ופיצוי ללקוחות), הנזק העקיף מורכב יותר וחייב לכלול התייחסות למדדי מוניטין, ערך חברה (מנייתי או אחר), נטישת לקוחות ועוד. המורכבות האמיתית היא התייחסות והיערכות לתביעות צד ג'.
אם במהלך הפריצה לאתר נחשפו פרטים של המשתמשים באתר (למשל כתובות אי-מייל, ת.ז. ופרטים מזהים אחרים) נוצרה פגיעה ברורה באנונימיות של המשתמשים בשירות וזו תוביל אחריה אוסף של תביעות נקודתיות או ייצוגיות. לרוב יהיה שימוש בטיעון לפיו אתר או שירות דיגיטלי המכיל פרטים חסויים שחשיפתם תפגע בפרטיות המשתמש חייב לכלול את כל אמצעי ההגנה הנדרשים כדי להימנע מאירוע כזה.
הוכחת קיום אמצעי הגנה נאותים היא מהלך לא טריוויאלי, שכן חברות בינלאומיות שמשקיעות מיליוני דולרים בתשתיות אבטחה עדיין נפרצות ולרוב נתבעות בהתאם.
נחזור ל- א.א. בעל האתר להזמנת מזון שהוא, למעשה, הנפגע מאירוע הסייבר יכול למצוא את עצמו מתגונן מתביעות רבות הנובעות מפגיעה באנונימיות לקוחותיו. אך מה יעשה אם יחליט לטעון בעצמו ולתבוע את הפוגעים בו כחלק מזכויותיו?
נניח לדוגמה שהאתר שלו הותקף לא כחלק ממעשה אופורטוניסטי אלא על ידי אתר מתחרה ששילם לגוף פשיעה אינטרנטי על מנת לפגוע באתר של א.א. אותה אנונימיות שאנחנו נלחמים לשמר משמשת עכשיו כפלטפורמה לפעילות זדונית. אם א.א. או אפילו גופי האכיפה יחליטו לתבוע את הגוף התוקף הם יגלו שאנונימיות וחוקי פרטיות המידע מקשים מאוד להשיג את המידע הנדרש והשינויים שבוצעו בחקיקה בתחום זה לא נותנים מענה מלא למגמות בתחום הכוללות בין היתר התקפות הנובעות "מתשתיות ענן" שמוגנות בחוק הפרטיות במדינות רבות.
אז מה בכל זאת ניתן לעשות ?
אם במהלך התקפת הסייבר נאספו פרטי זיהוי של התוקף (כתובת IP וכו') במערכות האבטחה של בעל האתר האינטרנטי או ברשת ספק האינטרנט ניתן להתבסס על שינויים שבוצעו בחקיקה לחשיפת המשתמש ונתוניו ולפעול בהתאם. יחד עם זאת תרחיש זה רלוונטי רק למקרים בהם ההתקפה בוצעה ישירות מתוך המחשב של התוקף והוא מקושר לספק שירותים מקומי, לרוב התקפות מורכבות מופעלות מתוך שרתים מוסווים או מתשתיות ענן ציבוריות ומקור האירוע יכול להיות מכל מקום בעולם.
לרוב, הגנה מקדימה היא המדיניות הטובה ביותר, למרות המורכבות האין סופית המיוחסת להצהרה המופשטת הזו, השקעה במערכי הגנה המותאמים להתמודדות עם האיומים החדשים לצד שילוב כלי תחקור אירוע יכולים להטות את הכף במקרה של אירוע מורכב על ידי תיעוד מתודי של האירוע ואיסוף מידע על התוקף, זיהוי וקטור התקיפה וזיהוי הפגיעות הקיימת במערך במידע שאפשר את האירוע.
יתרה מזאת, שילוב טכנולוגיות מקטגוריית Cyber Defense יאפשרו התאוששות מהירה יותר מאירוע מורכב ויבטיחו צמצום הנזק וההפסד המצטבר. חלק מטכנולוגיות ההגנה הללו זמינות כיום כשירות בענן ואינן מחייבות השקעות בתשתיות ייעודיות יקרות כך שהן נגישות במודל של שירות רשתי.
כיוון שחלק משמעותי מפשעי סייבר בעולם האזרחי מתבססים על גניבת זהויות ומידע רגיש, נדרש לתת מענה נקודתי לנושא דרך פתרונות הגנה אפליקטיביים ותשתיתיים. פתרונות אלו אולי לא יגנו על זמינות השירות באופן מוחלט אבל לפחות יקשו על השגת הנתונים הרגישים המשפיעים על היקף הנזק העקיף.
הכותב הוא סמנכ"ל הטכנולוגיות של תים-נטקום
ביום שתוטל אחריות פלילית על בעלי אתר שנפרץ בגין אי נקיטת צעדי הגנה מספקים, חלק גדול מהתקיפות לא יחזיקו מים.