רבים מפנים אצבע מאשימה למערך הסייבר הלאומי בעקבות אירוע הפריצה החמור לחברת סייברסרב, ומאגרי המידע שנגנבו, כמו גם מאגרי מידע רגישים אחרים כמו אלה שפרסמנו כאן אמש. אולם, בישראל קיים מצב אבסורדי שהסמכות החוקית לפיקוח על מאגרי מידע, בכלל לא שייכת למערך הסייבר - היא שייכת לגוף הנקרא הרשות להגנת הפרטיות.
הרשות להגנת הפרטיות, לשעבר הרשות לטכנולוגיה, משפט ומידע במשרד המשפטים, היא הגוף הממונה בישראל על פיקוח של שמירה ואבטחת מידע בידי גופים פרטיים ובכלל, והיא פועלת בין השאר, מכוח תקנות נרחבות בעניין שהותקנו ב-2017, תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017.
תקנות אלו, בין השאר, מחייבות בעלים של מאגר מידע בדרגת חומרה בינונית או גבוהה לדווח לרשות על כל אירוע אבטחה חמור שהתרחש במאגר הנתונים שלו. הבעיה? במקביל לרשות להגנת הפרטיות, מערך הסייבר הלאומי, שהיה סוג של בן טיפוחים של ראש הממשלה הקודם - די נדחף באמצע, ובעצם ניכס לעצמו סמכויות שבחוק, מוקנות לגוף אחר. נזכיר שמערך הסייבר הלאומי, פועל כיום אך ורק מכוח החלטת ממשלה, ומעמדו, כמו גם סמכויות האכיפה שלו - לא הוסדרו בחוק.
התוצאה בפועל הייתה מאבקי כוח בין שני הגופים, וללא סמכויות אכיפה מתאימות (לרשות להגנת הפרטיות יש סמכות להטיל קנסות בשיעורים לא גבוהים, או להעביר חומרי חקירה עם המלצות לדין פלילי לפרקליטות) - כל מי שמנהל מאגר מידע אזרחי בישראל, חש ובצדק, שהוא נופל בין הכיסאות. האירועים האחרונים רק ממחישים את המחדל.
"ברגע שחברות יקבלו קנסות נתחיל לראות שינוי"
"אחת הבעיות, היא שמעבר לאזהרות אין למערך שיניים, ויכולת ממש לאכוף את ההמלצות שלו", טוען גיל עזריאלנט, CTO ומייסד משותף של Axis security, בשיחה עם וואלה! טכנולוגיה. "מרגע שהמידע נחשף, אין הרבה שהמדינה יכולה לעשות כדי לעצור את ההפצה שלו. האחריות של המדינה צריכה להיות בהכוונה ובהגדרת סטנדרטים ואחריות על מידע אישי בחוק".
לדבריו של עזריאלנט, המדינה צריכה להגדיר בחוק סטנדרטים מודרניים לשמירה על מידע אישי של אנשים. "כשחברות יתחילו לקבל קנסות, ומנהלים יתחילו ללכת הביתה על התנהלות מופקרת עם מידע אישי של אנשים - נתחיל לראות שינוי".
"משנת 2018 ישנן בישראל תקנות אבטחת המידע המחייבות את הארגונים שמחזיקות במידע אישי לאבטח את המאגרים שלהן", אומר רם לוי, מנכ"ל קונפידס. "במקביל פועל מערך הסייבר הלאומי לאיתור בעיות אבטחת מידע ולעדכן את הגופים בכך".
"ארגון שמקבל פניה ממערך הסייבר צריך לפעול כמה שיותר מהר לתקן את הליקויים והרשות להגנת הפרטיות (ורק היא) כגוף המסדיר, המפקח והאוכף על פי חוק הגנת הפרטיות הפרטיות צריכה לוודא שאכן הליקויים תוקנו".
"השיא עוד לפנינו"
לדבריו, למדינה יש תפקיד כפול - להרתיע תוקפים מלפעול נגד חברות ישראליות - דבר שכנראה לא קורה בצורה טובה, ולפעול בשת"פ בין משרדי כדי לסייע לארגונים לאבטח את עצמם כמה שיותר מהר מול איומים משתנים. "אחרי שאמרנו את כל זה, אנחנו צריכים לזכור שהאשם צריך ליפול קודם כל על מי שתקף ולא על מי שנתקף".
"המדינה והשוק טרם הפנימו את הסכנות במתקפות סייבר אלו", אומר עמית ברקת, מייסד ומנכ"ל חברת הסייבר Perimeter 81. "האחריות על דליפת הפרטים היא של החברה הנתקפת ויש להפעיל ביקורת וסנקציות על אותן חברות. אי הכנה ותגובה מהוססת במתקפת סייבר עלולה לייצר בעיה רצינית עבור אותו ארגון, אך עם זאת ארגונים רבים עדיין נמנעים מלהכין את עצמם לקראת מתקפת סייבר".
רונן מואס, מנכ"ל חברת אבטחת המידע ESET ישראל, סבור כי ארגונים צריכים לנצל את הזמן הזה כדי להגן טוב יותר עליהם ועל הלקוחות שלהם. "פתרונות EDR שמיועדים לזיהוי ותגובה, מנטרים בזמן אמת תהליכים חשודים ומסייעים להגיב בזמן לאירועי אבטחה. זו לא צריכה להיות שאלה האם להשתמש בהגנה מהסוג הזה. זו צריכה להיות חובה".
אבי כוכבא, מנכ"ל חטיבת הפינטק והסייבר בקבוצת אבנון ומנכ"ל משותף של שותפות המו"פ הייב 2040, אומר כי "פוטנציאל הנזק בפריצה לחברה שמאגדת בתוכה מידע של מספר חברות ולא דואגת לאבטחה נאותה והפרדה בין ללקוחות הוא עצום. אפקט הדומינו עדיין לא נגמר וקרוב לוודא שנראה חברות נוספות נופלות בשרשרת, מאחר וסביר להניח שיש בידי התוקפים גישה ומידע לחברות נוספות שעשו שימוש בשירותים של חברת Cyberserve".
"העובדות הן שיש המון מאגרים של מידע אישי שלא מוגן דיו, ולא צריך לתקוף תשתית מדינתית כדי להכניס מדינה שלמה לסחרור", אומרים בחברת הגנת הסייבר צ'ק פוינט. "במגזר הממשלתי יש הגנות משמעותיות יותר מחלקים גדולים במגזר הפרטי, מערך הסייבר בהגדרה גם מטפל במסגרת סמכויותיו במגזר הממשלתי ובתשתיות קריטיות, אך מרבית השוק הפרטי לא נכנס תחת הסמכות הממשלתית ושם מנעד ההגנה גדול מאוד- גדול מדי".
עם זאת, תום מלכה, מנהל SOC בחברת Security Joes, טוען כי האחריות היא של כולנו: "דברים כאלו קורים ועתידים לקרות שוב, האחריות אמורה להיות קודם של נותני השירות, לאחר מכן של מערך הסייבר הלאומי, וכן, גם עלינו המתשמשים חלה אחריות מסויימת".