ההגנה על עסקים בישראל מפני מתקפות סייבר – מחוררת

הדו"ח השנתי של הלשכה המרכזית לסטטיסטיקה, בשיתוף ישראל דיגיטלית, שפורסם אתמול (א') ממפה בצורה די רחבה את מצבם של הארגונים בישראל מבחינת שימוש ב-IT, בבינה מלאכותית, באינטרנט ובמערכות לניהול ולאוטומציה של תהליכים.

אולם, הנתון הבולט והמדאיג ביותר הוא המוכנות הלוקה בחסר של המגזר העסקי להתמודדות עם מתקפות סייבר. הנתונים של הלמ"ס לא מפתיעים: כמעט 20% מהארגונים והעסקים שמעסיקים עד 250 עובדים חוו מתקפת כופר בשנה האחרונה, כאשר בארגונים שיש בהם מעל 250 עובדים הנתון כפול. המתקפות האלה גרמו נזקים כספיים משמעותיים, ועל פי הדו"ח אחד מכל 30 ארגונים חווה מתקפה שגרמה לו נזק – ישיר או על ידי כך שנאלץ לשלם דמי כופר.

זוהי עוד הוכחה לכך שמדינת ישראל מפקירה במידה רבה את האזרחים שלה, שהמידע שלהם מצוי בידי הארגונים. המדינה, שיודעת להגן על הגבולות החיצוניים שלה, ויודעת לטפל במטרות סייבר מחוץ לגבולות המדינה, לא מצליחה לייצר קווי הגנה בסיסיים, שיאפשרו לעסקים ולארגונים להתגונן טוב יותר מפני מתקפות הסייבר, שרק הולכות ומתגברות.

אומת הסטאראט-אפ לא מצטיינת ביישום מערכות IT חכמות ומתקדמות. לעומת מדינות האיחוד האירופי, בישראל לא מיישמים תהליכים אוטומטיים בחלק גדול מהמגזרים שאינם טכנולוגיים, ואפילו השימוש במערכות CRM נמוך בישראל לעומת הממוצע העולמי

נכון הוא שאין להמעיט באחריות של מנהלי החברות והעסקים לדאוג שהמערכות שלהם תהיינה מוגנות. זה נכון לגבי כל אזרח בהיבט של ביטחונו האישי – בהגנה על הבית שלו ועל רכושו. אלא שמתקפות סייבר מכילות אלמנטים חיצוניים, שלאזרח הפשוט ולמנהל אין מידע עליהם ואין יכולת לזהות אותם בכוחות עצמו. זה משול, לצורך העניין, לאיום חיצוני על המדינה, שעל הגנתו אמונים כוחות הביטחון. היחידות הביטחוניות, ובעיקר הזרועות שמטפלות בעורף האזרחי בזמן חירום, יודעות, מתורגלות ומורגלות לעבוד עם גופים ציבוריים בכל מה שקשור להגנה על העורף במתקפות סייבר. אלא שבנושא הגנת הסייבר, העורף – ארגונים כאזרחים פרטיים – חשוף.

הפרטיות נשחקה – והאזרחים חסרי אונים

בעבר, לא מעט אזרחים תמימים סברו שהארגונים שומרים היטב על המידע שלהם, שכולל לפעמים מידע רגיש. אלא שהשנתיים האחרונות הוכיחו שזה ממש לא נכון. הפרטיות נשחקה בהיקפים ברמות מפחידות, ואותם אלה שפרטיותם נפגעת נותרים חסרי אונים, גם מבחינה משפטית. הם יכולים אולי להגיש תביעות ייצוגיות נגד החברה שלא שמרה על המידע שלהם, אבל ההסתברות שזה ימשיך הלאה ושהם יזכו לא גבוהה. מערכת המשפט תמשוך אותם שנים והכסף שהם יבזבזו על עורכי דין ישחק את הפיצוי שהם אולי יקבלו בסופו של התהליך הארוך.

לעומת זאת, למדינה, לרבות לרשויות החוק, יש כיום מספיק אמצעים על מנת לוודא שאותם גופים שמחזיקים במידע שלנו אכן עושים את כל שניתן כדי להגן טוב יותר על המידע של לקוחותיהם. יש חקיקה די ברורה בנושא, ולרשות להגנת הפרטיות אף יש סמכויות אכיפה.

במקרים רבים, רבים מאוד, ארגונים שהותקפו בשנתיים האחרונות הם כאלה ששדרות ההנהלה שלהם זלזלו בהנחיות כיצד להגן על המידע – אם בשל התכונה הכה ישראלית "לי זה לא יקרה", או מטעמי עלות-תועלת. אלא שגם הממשלה התרשלה.

המדינה לא יכולה להתנער מהאחריות להטיל אחריות

רבים סבורים שהמדינה לא צריכה להתערב בניהול הארגונים ובניהול הסיכונים של כל אחד מהם. זה נכון, אבל המדינה יכולה לחוקק חוקים או ליישם את אלה שכבר קיימים, כדי שמי שמחזיק במידע יאולץ לקחת סיכונים, על מנת שלא לגרום לנזק בלתי הפיך למי שהמידע שלהם מוחזק אצלם. זה בדיוק כמו שהמדינה מפעילה פיקוח הדוק על הבנקים ומוודאת שהם לא מסכנים את כספי הלקוחות. והרי בפרט בעידן של ימינו, למידע יש ערך לא פחות קריטי ממאשר הערכים הכספיים. שימוש במידע יכול לפרנס הרבה מאוד גורמים בעלי עניין, והוא מפר את הזכות הבסיסית של כל אדם לפרטיות.

המסקנה היא שהמדינה לא יכולה להתנער מאחריותה להגנה מפני סייבר על עסקים ולהטלת האחריות על המנהלים שלהם. על הממשלה והכנסת לערוך רביזיה בחוקי הגנת המידע והפרטיות, לרענן את חוק המחשבים ולאשר סוף סוף את חוק הסייבר, שיעניק סמכויות לגופים קיימים כמו מערך הסייבר ולא יותיר אותם ברמת מנחים בלבד.

מה שמצוין לעיל מתכתב עם נתונים רבים אחרים בדו"ח של הלמ"ס וישראל דיגיטלית, שמראה שאומת הסטאראט-אפ לא מצטיינת ביישום מערכות IT חכמות ומתקדמות. לעומת מדינות האיחוד האירופי, בישראל לא מיישמים תהליכים אוטומטיים בחלק גדול מהמגזרים שאינם טכנולוגיים, ואפילו השימוש במערכות CRM נמוך בישראל לעומת הממוצע העולמי. הגיע הזמן להקים "חיל אזרחי", משותף עם הארגונים העסקיים, שתפקידו יהיה לשמור טוב יותר על המידע והפרטיות שלנו, ולוודא שארגונים מבצעים את המהלכים הנחוצים לשם כך, ובכלל – מהלכי חדשנות.