האם אנחנו לפני הבלאק פריידיי של תעשיית האבטחה הישראלית?

מחר (ו') הוא הבלאק פריידיי, למקרה שהצלחתם לברוח מכל פרסומי המבצעים והכתבות איפה ומה הכי כדאי לקנות. בכל שנה, הבלאק פריידיי הוא אחד מימי השיא של המכירות אונליין, והוא מצטרף לחגי הקניות של סוף השנה ולימי הקניות המיוחדים, כגון יום הרווקים הסיני והסייבר מאנדיי, שחל בכל שנה ביום שני שלאחריו.

התכונה לקראת המועדים האלה מורגשת כבר כמה שבועות, ואתה גם מאמרים מלאי עצות ואזהרות מפני פריצות ותקיפות סייבר שהגולשים עלולים להיות חשופים להן. שני דו"חות חמורים שפורסמו השבוע עלולים לקלקל את המסיבה: אלה האירו את הזרקורים על ההגנה הלקויה והלעתים כלל לא קיימת – האחד על מערכות המחשוב והאינטרנט של מרבית העסקים בישראל, והשני על המערכות של הרשויות המקומיות. לצד שני דו"חות מדכאים אלה פרסמנו השבוע משהו מעודד, שאמנם לא חידש לנו אבל ריגש אותנו: האתר CRN דירג את 10 חברות הסטארט-אפ הבולטות בתחום הגנת הסייבר, כאשר שש מתוכן הן ישראליות. כולן חברות צעירות שהוקמו בשנה שעברה וגייסו לפחות ארבעה מיליון דולר.

מדינת ישראל מגיעה לבלאק פריידיי לא מוכנה

דו"ח של הלשכה המרכזית לסטטיסטיקה, שפורסם השבוע, עמד על מידת החשיפה הגבוהה לאיומי סייבר בקרב עסקים קטנים ובינוניים בישראל, ומצא ש-20% מהם חוו מתקפות כופר. גם ארגונים רבים אחרים חשופים ופגיעים – במידות שונות.

חמור יותר הוא מצבם של מיליוני גולשים ישראליים, שמבצעים פעולות רבות שהטרנספורמציה הדיגיטלית שארגונים עוברים, שקיבלה תאוצה בקורונה, מאפשרת להם, לרבות חשיפת פרטים אישיים ורגישים. אותם גולשים, שחלקם נכנסים גם לאתרי קניות ועושים בהם שופינג, לא מודעים לרמת האבטחה שיש על המידע שלהם. ברבים מהמקרים הם סומכים על האתר שהוא שומר היטב על המידע שלהם. לכן, בחודשים האחרונים יותר מדי גולשים הופתעו לראות את פרטיהם חשופים לאחר שהאתרים שאליהם הם הכניסו אותם נפרצו על ידי האקרים. אותם פצחנים משיגים את הפרטים דרך הדארקנט, אבל לפעמים גם באמצעות כלים גלויים, שקיימים ברשת, כדי לאתר סיסמאות ושמות משתמשים. כך קל להם יותר להגיע לביצוע מתקפות שונות, כגון פישינג וכופרות על ארגונים שאותם משתמשים עובדים בהם.
הסכנה הזו תהיה מוחשית הרבה יותר מחר, בבלאק פריידיי. ניתן לומר שמדינת ישראל נכנסת לאירוע הבינלאומי הזה, ובכלל לעונת הקניות הרבות באינטרנט, לא מוכנה, ללא אמצעי הגנה סבירים – הן בקרב הגולשים הפרטיים והן בקרב הארגונים.

דרוש קבינט סייבר

בשנים האחרונות מתקיים דיון ממושך ומורכב לגבי חלוקת האחריות לטיפול במצבים אלה – האם היא נופלת על הארגונים, המדינה, המשתמש הפרטי ואולי על כולם ביחד? לכל צד יש טענות ובכל אחת מהן יש לפחות מידה מסוימת של צדק, אלא שמצב העניינים, כפי שהוא קורה בחודשים האחרונים, מייתר את הוויכוח הזה, והוא שייך להיסטוריה.

חייבים להתחיל לשנות את החשיבה ולהחריף את רמת האזהרות והסיכונים, כדי שהשמחה על קניית מוצרים ומוצרים במחירי מבצע לא תהפוך ליום שישי השחור של האינטרנט הישראלי ושל תעשיית הסייבר הישראלית

העולם מצוי במלחמה של ממש, שבמקום שיהיו בה טילים וכדורים שורקים, יש בה כלי תקיפה (והגנה) בסייבר, ברובם סמויים מהעין, שמפגיזים את מערכות המחשוב והאינטרנט של ארגונים בישראל, וגם של המדינה. הדבר החמור יותר הוא שיש מעטים מאוד שמפנימים את זה, והשיח הוא שזו גזירת גורל, בערך כמו תאונות דרכים או היכולת לשנות את מזג האוויר. כאן חייבים להטיל את האחריות גם על הרשויות המוסמכות, שיתרגמו את מצב החירום למעשים, בדיוק כמו במצבי חירום פיזיים.
בדיוק כשם שיש קבינט למלחמה בקורונה, שכולל בו את כל הגורמים שקשורים בנושא ושתפקידו לתכלל, לתאם ולייצר הנחיות, כך חייב לקום – ומיד – קבינט סייבר, שיורכב ממשרדי הממשלה והגורמים הציבוריים הרלוונטיים, לצד גורמים בתעשייה. אחת הבעיות במאבק בסייבר היא שכל אחד מהגופים פועל לבד, ולאף אחד אין סמכות ממשית לשנות משהו.

ההוראה החד משמעית צריכה להיות שכל מי שמחזיק במידע, או שיש לו גישה למערכות מידע, חייב להשקיע משאבים בהגנה עליהם, על פי מפרט שאותו קבינט יקבע. דומה הדבר לדרישות של חברות ביטוח ממבוטחים שרוצים לבטח את כלי הרכב שלהם, ועליהם להתקין אמצעי הגנה שונים – אחרת הם לא יבוטחו. בניגוד למה שחושבים, יש בחקיקה ובתקנות של המדינה שורה ארוכה של אמצעים שניתן להפעיל אותם מבלי לפגוע בחופש העיסוק, מבלי לחדור לתוך עסקים ומבלי לפגוע בפרטיות. מה שצריך לעשות הוא להפעיל אותם.

חייבים להתחיל לשנות את החשיבה ולהחריף את רמת האזהרות והסיכונים, כדי שהשמחה על קניית מוצרים ומוצרים במחירי מבצע לא תהפוך ליום שישי השחור של האינטרנט הישראלי ושל תעשיית הסייבר הישראלית.