האיום האמיתי: לא הקורונה, כי אם הסייבר

הפורום הכלכלי העולמי פרסם השבוע דו"ח מדאיג, שלפיו הסייבר הפך להיות אחד האיומים היותר משמעותיים על העולם, שהוא יצטרך להגביר את ההתמודדות שלו אתם בשנים הקרובות. לדעת מומחי הארגון, ורבים אחרים, איומי הסייבר מורכבים ומתוחכמים יותר מהניסיונות להתמודד אתם.

זו לא הייתה התחזית הקודרת היחידה השבוע בתחום הסייבר: דו"ח של חברת פתרונות הסייבר אלוט הראה כי במחצית השנייה של 2021 חלה עלייה באיומים על ארגונים ובמימוש שלהם.

מחקר אחר שפורסם השבוע – הפעם של צ'ק פוינט – מראה שישראל ,למרבה הצער ושלא בטובתה, מובילה בדירוג המדינות שהותקפו בשנתיים האחרונות. לפי המחקר, היקף המתקפות על ארגונים בישראל היה בשנה האחרונה גדול פי שניים מאשר הממוצע העולמי.

התירוצים של המנכ"לים

דבר שצריך להדאיג לא פחות הוא פסקה בדו"ח של הפורום הכלכלי העולמי, שמצביעה על פער שקיים בין רמת סדר העדיפויות שמנהלי מחשוב וסייבר מעניקים לאיומי הסייבר לזו שההנהלות נותנות לנושא.

היטיב לתאר זאת רונן זרצקי במאמר שפרסם השבוע ובו פירט את הנימוקים – או, יותר נכון, התירוצים – שמנכ"לים מספרים לעצמם ולאחרים כאשר הם נשאלים מדוע הם לא משחררים יותר משאבים להגנה מפני מתקפות סייבר.

הטיעונים ידועים ולא ממש חכמים: לי זה לא יקרה, או ההיפך – זה ממילא קורה בכל הארגונים, וגם הם לא ממש מטפלים בזה. ויש גם את התשובה הרגילה של ההנהלות: סדרי עדיפויות. יש כל כך הרבה פרויקטים שלא נשאר כסף לסייבר. זרצקי מסייג שיש מגזרים, כמו המגזר הפיננסי, ששם המודעות גדולה יותר, ובשנה האחרונה, בעקבות אירועי סייבר כמו המתקפה על בית החולים הלל יפה, גם מגזר הבריאות.

הגיע הזמן שגם הגוף שמטפל באיומי הסייבר על ישראל יקבל יכולת ביצוע ואכיפה, ואת האחריות שאתה. להביא לכך שזה יקרה – זאת צריכה להיות המשימה הראשונה של ראש מערך הסייבר הבא

זה מוביל לדיון בהיבט רחב יותר של המוכנות לסייבר, שמאוד בולט בישראל: השאלה עד כמה הממשלה, כרגולטור, צריכה להיות מעורבת ולחייב ארגונים מהמגזר הפרטי להיערך נכון למתקפות, מבלי לפגוע בדמוקרטיה ובחופש העיסוק שלהם.

מתקפה על מרכז לוגיסטי של רשת מרכולים גדולה או חדירה למחשבי יצרנית תרופות יכולה לגרום לנזקים משמעותיים, ועל אף שמדובר בגופים עסקיים פרטיים, ולמרות שהטענה השוללת התערבות ממשלתית וגורסת שזה אינטרס של הארגונים לשמור על המידע, הרי שהמציאות מוכיחה שהמנהלים שלהם לא ממש מודעים לסכנות ומרשים לעצמם לזלזל בהן.

יגאל אונא, ראש מערך הסייבר הלאומי הפורש. צילום: חן גלילי

התירוצים של ראש מערך הסייבר

יש כאן רובד נוסף, ואולי אף משמעותי יותר: העדר רגולטור לאומי-ממשלתי, שתפקידו לא רק להתריע על איומי סייבר, אלא גם לנקוט באמצעים ממשיים כדי שזה לא יקרה, ואם זה קרה – לבוא חשבון עם אלה שאחראים לכך שההגנה לא הייתה מספיקה. נכון שיש את מערך הסייבר, שבראשו עמד עד כה יגאל אונא, אבל לגוף הזה אין כמעט סמכויות. זהו גוף מייעץ, שהרגולציה לא מחייבת איש להתייעץ אתו – אפילו לא גופי ממשלה. חוק הסייבר אמור לכלול סעיף שמתיר לו לנקוט פעולות אכיפה נגד מי שלא מגן על המידע שלו. אלא שהחוק הזה עדיין לא הושלם, והוא תקוע בכנסת בגלל סיבות שכלל לא קשורות לסייבר.

צריך לתמוה על כך שבראיון שנתן אונא לאחד העיתונים הוא מותח ביקורת על ארגונים כמו בית החולים הלל יפה או חברת הביטוח שירביט, שלא הקשיבו להתרעות שלו: מה הוא עשה כדי שההתרעות האלה לא יישארו בגדר התרעות בלבד? לא ראינו לאורך כל הקדנציה שלו הרמת דגל ולא שמענו אזהרה שהמצב נהיה מסוכן.

השורה התחתונה: איום הסייבר הוא איום משמעותי, שיכול להשפיע על כל הכלכלה הישראלית – על ארגונים גדולים כקטנים, עסקים ואנשים פרטיים. המידע ששמור בארגונים כולל את הפרטים הכי אינטימיים על כל אחד ואחת מאיתנו. שיבוש מערכות מחשב של חברות שנותנות שירותים חיוניים עלול להסתיים באסון. ועדת חקירה שתקום לא תקבל תירוצים כמו "התרענו" ו-"הזהרנו". הגנה על ארגונים מפני סייבר לא שונה מהגנה מפני מתקפות טילים ואיומים פיזיים אחרים, שהמדינה מבצעת מבלי לשאול אף אחד. הגיע הזמן שגם הגוף שמטפל באיומי הסייבר על ישראל יקבל יכולת ביצוע ואכיפה, ואת האחריות שאתה. להביא לכך שזה יקרה – זאת צריכה להיות המשימה הראשונה של ראש מערך הסייבר הבא.