החוסן הקיברנטי הלאומי: ציון בלתי מספיק

כנס אבטחת המידע והסייבר Infosec של אנשים ומחשבים עסק השנה בהיבטים השונים של החוסן הקיברנטי של ארגונים מפני הגנת סייבר. בשנתו ה-18 של הכנס, נדמה שכבר לא היה צריך להסביר או להתלבט בקשר בין אבטחת מידע לסייבר, ולשמוע יותר מדי הסברים וסיפורים עד כמה הסייבר הוא חלק בלתי נפרד משגרת חייהם של ארגונים, מדינות ואנשים פרטיים. השאלה המרכזית היא כיצד נערכים לקראת מתקפה – וגם כאן הזמנים השתנו.

אופיר זיליבגר, יו"ר ועדת התכנים של הכנס ומי שמרכז את פעילות האבטחה ב-Secoz-BDO, תיאר את השינוי בשפה ציורית: "נדרשים להבין שכמו שאם נתקין בבית מנעול וסורגים, ונשים כלב נובח בחצר – עם מספיק זמן שיהיה לפורצים הם יצליחו להיכנס, כך גם בארגונים". אם תרצו, זו תמצית הסיפור.

זהות ההגנות שארגונים שמים על מערכות המחשוב שלהם כדי למנוע מתקפות סייבר היא חשובה, אבל אם בזה מנמ"רים ומנהלי אבטחה סבורים שהם סיימו את תפקידם והאחריות שלהם בקשר לאירועי סייבר – הם טועים. כדאי להם לאמץ בנוסף את תפיסת ההתאוששות המהירה, שעוסקת בשלבים שקורים כאשר קורה האירוע, איך מתמודדים איתו ובעיקר איך מאפשרים לארגון לחזור לכשירות במהירות האפשרית.

האם הארגונים ערוכים למתקפות סייבר? מרבית דוברי הכנס אמרו שהתשובה היא שלילית. העכיר את התמונה, ללא שום הנחות או משחקי מילים, איציק כוכב, הממונה על הגנת המידע בשירותי בריאות כללית. כוכב הוא איש אבטחה ותיק מאוד, שכבר ראה ושמע כמעט הכול. הוא נתן ציון 6 (מספיק) למערכת הבריאות הישראלית בכל מה שקשור לכשירות והגנה מפני סייבר.

התיאורים הפשוטים שלו, כיצד יכולה תקלת סייבר להרוג בני אדם בקלות, היו מובנים לקהל, בפרט לאחר שרק באחרונה ראינו את זה "בשידור חי", במתקפה על בתי חולים בבריטניה, בספרד וברוסיה. "מה שקרה שם, אין כל סיבה שלא יקרה בישראל", אמר כוכב.

באנלוגיה לעולם הרפואה, כוכב אמר שגם מערכת האבטחה של מערכת הבריאות זקוקה לרפואה מונעת. לא צריך להמתין להתפרצות המחלה אלא להפעיל מחשבה, וללכת למחוזות שעד היום אף אחד לא היה שם. זאת, כדי להגן על מערכות פרוצות לחלוטין, לדברי כוכב, בהן כאלה שמאפשרות ניתוחים והשתלות.

שאלה נוספת שעלתה בכנס היא הרגולציה – נושא התקנות המחייבות להגנת סייבר. אמיר שי מהרשות להגנת הסייבר ייצג באירוע את הממשלה, שלזכותה יש לזקוף שורה של החלטות ומהלכים שנועדו לעשות סדר בבלגן הזה. אמיר סקר את החלטות הממשלה והגדיר את תפקידי הרשות, מחויבויותיה כלפי האזרחים וכיצד היא מתכוונת לסייע למגזרים השונים בהיערכות מפני מתקפות סייבר. בין היתר, אמר, היא מתכוונת לעשות זאת על ידי מיפוי החברות במשק ויצירת מתודולוגיה מגזרית שתתאים להרבה ארגונים.

הכול טוב ויפה, ויש להעריך את זה, אבל הרשות היא גוף מייעץ ללא סמכויות. אמיר הסביר שהרשות מעדיפה לעבוד מול המשרדים שאחראים על המגזרים השונים. אלא שגם לרוב המשרדים אין סמכויות אכיפה בנוגע לאבטחת מידע וסייבר.

יש חקיקה שעוסקת בפרטיות במאגרי מידע ויש רגולציות בנושא על מגזרים כמו הפיננסים והביטחון. אבל מה עם השאר? במקומות אחרים, ההיערכות הנכונה לחסינות מפני סייבר היא עדיין בגדר רצון טוב, אין שום דבר מחייב. מדברים על חוק הסייבר, אבל האפקטיביות של חוק שכזה מוטלת בספק. כך או כך, יש לקוות שאם יצא אל הפועל, הוא ישמש גורם מרתיע, שיניע את הנהלות הארגונים לצאת מהשאננות שלהן.

שורה של מומחים מחברות טכנולוגיות הופיעו בכנס בזה אחר זה והציגו בפני מאות המקצוענים שנטלו בו חלק את הפתרונות הקיימים. אבל אלה שישבו באולם לא לבד. מעבר למלחמה התמידית שלהם בסייבר, יש להם מאבקים פנימיים, מול ההנהלות – איך לשכנע אותן לצאת מאזור הנוחות, מהתפיסה הישראלית הטיפוסית של "לי זה לא יקרה", ולתת למנהלי האבטחה של הארגון כלים טובים יותר, קרי – תקציבים גדולים יותר, כדי שיעצימו את החוסן הקיברנטי של הארגון.

השורה התחתונה: החוסן הקיברנטי הלאומי של ישראל רחוק מלהיות משביע רצון. הציון הכללי שניתן על ידי הדוברים הוא בלתי מספיק, ובמקרים הטובים מספיק. אלא שגם מספיק זה לא מספיק. זה הזמן להשתפר ולהצטיין, כי אין מועד ב'.

הספירה המבישה של הקולות בבחירות להסתדרות

נכון לכתיבת שורות אלה, טרם הסתיימה ספירת הקולות בבחירות להסתדרות, ולא רק בגלל צו הביניים שיצא אמש (ובוטל היום בצהרים). הבחירות נערכו לפני יומיים, ואז הודיעו שהתוצאות יהיו ביום חמישי. מערכת הבחירות להסתדרות התנהלה ברובה בדיוק כפי שהתנהלו, כנראה, הבחירות הראשונות לארגון זה, בשנות ה-20: ניהול ידני ברובו, תהליך הצבעה שמזכיר את הבחירות שנראות בסרט סאלח שבתי. המחשבים נכנסו לפעולה בשלבי הבקרה וניהול המידע, אבל בחירות ממוחשבות, באמצעות מסופים חכמים? יוק. מישהו בהנהגת ההסתדרות סבור שזה מתוחכם מדי עבור חצי מיליון בעלי זכות הבחירה.

נכון, יש היסטוריה לא נעימה בבחירות ממוחשבות, למשל בפריימריז בעבודה ובליכוד, אבל כישלונות נקודתיים שכאלה אינם סיבה להישאר עם הפתקים הידניים. מה גם שייתכן שהצבעה ממוחשבת הייתה מונעת חלק מהטענות שעלו לאי סדרים, כי בסוג הצבעה כזה, יכולות הטיית הקולות והזיופים מעטות יותר.

מעבר לזה, ארגון כל כך משמעותי כמו ההסתדרות, שמבצע בחירות בשיטה מבישה ועלובה כזאת, משדר מסר רע מאוד ליתר הארגונים, וגם לממשלה ולכנסת. הוא מרחיק עוד יותר את הסיכוי שחזון ישראל הדיגיטלית יכלול גם הצבעה ממוחשבת.

אגב, לפני שבועיים נערכו בחירות לתפקיד יו"ר הסתדרות המורים. תודה ששאלתם – גם שם ספירת הקולות של המורים, אלה שאמורים להצעיד את ילדינו לעתיד, עדיין לא הסתיימה.