"מתקפת הסייבר הוכיחה שהמלך הוא עירום"

ועדת המדע והטכנולוגיה, בראשות ח"כ רונית תירוש, קיימה היום (שלישי) דיון עומק בהיבטים הטכנולוגיים והרגולטוריים של מתקפת הסייבר של ההאקר הסעודי, עומר. בפתח הדיון, אמרה ח"כ רונית תירוש, כי בניגוד לוועדת הכלכלה, שעסקה אתמול בנושא בהיבטיו הצרכניים בלבד, הדיון בוועדת המדע נועד לבחון לעומק את מה שניתן ללמוד ממתקפת הסייבר הן בהיבט הטכנולוגי והן בהיבטי החקיקה שאולי צריכים להיגזר ממקרה מבחן זה. ח"כ תירוש הוסיפה, כי מדינת ישראל למדה מן המתקפה ש"המלך הוא עירום" וכי קיים איום לאומי בצורת טרור קיברנטי המופעל על ידי אנשים מגיל צעיר מאד ונתמך על ידי מדינות עוינות. היא הוסיפה ואמרה כי לא יהיה זה קיצוני לומר שלעיתים לוחמה קיברנטית הינה זמינה יותר ומאיימת לא פחות מטילים גרעיניים. "כשתשתיות נפגעות ואין מים לשתות ואי אפשר להימלט מאיומים המצב חמור מאד". ח"כ תירוש אמרה כי אינה רואה שמדינת ישראל ערוכה כיאות למתקפת סייבר וכי יש הפקרות רבה בקרב גורמי צרכנות בתחום של אגירת נתונים. "אני בטוחה שרבים מהנתונים שאנו מוסרים, אינם מאובטחים כיאות", אמרה ח"כ תירוש. עו"ד יורם הכהן, ראש הרשות למשפט, טכנולוגיה ומידע, אמר כי הוא מודה להאקר עומר על כך שתרם להגברת המודעות של הציבור הישראלי למתקפות סייבר ולצורך באבטחת מידע. הוא הוסיף כי מתקפת ההאקר הסעודי הינה אירוע פלילי ועבירה על חוק הגנת הפרטיות והרשות החליטה לקבל אחריות לאירוע מכיוון שקיימות השלכות רבות למשק הישראלי. הוא ציין כי עבירות כאלו מתרחשות מידי פעם, אולם השוני באירוע הנוכחי היה פרסום הפריצה על ידי ההאקר. עו"ד הכהן ציין גם כי לפני מספר חודשים פוענחה עבירה חמורה יותר – דליפת מרשם האוכלוסין לרשת, שמשמעותה דליפת מידע על כלל תושבי ישראל. טל הרמתי, סגן בכר לחשב הכללי, אמר כי "אנו חיים כבר מזמן בעולם וירטואלי ופשיעות סייבר מתקיימות כל הזמן". הוא אמר כי לאתרי הממשלה יש מערכות הגנה סבירות. אראל מרגלית, יו"ר קרן הון סיכון JVP, אמר כי כפי שקו מז'ינו נפרץ בשנת 1940 כך בדרך כלל ייפרצו קווי הגנת הסייבר. הוא הציע כי תוקם ועדה משותפת לממשלה, כוחות הביטחון, וההייטק, לקביעת סטנדרטים חדשים להגנה. הוא הוסיף כי צריך לראות במתקפת ההאקר הסעודי הזדמנות למהלך מתקן שיש בו כדאיות לאומית. אבי וייסמן, יו"ר הפורום הישראלי ומנכ"ל מכללה לאבטחת מידע, אמר כי "נכון להיום, לתוקף יש יתרון על פני המגן". לדבריו יש לפעול בכלים של רגולציה, אכיפה והגברת מודעות הציבור. ד"ר נמרוד קוזלובסקי, מומחה למשפט אינטרנט ואבטחת מידע, אמר כי רוב אתרי האינטרנט הישראליים לא חושבים על אבטחת מידע. הוא הציע כי תנוסח הצעת חוק מקיפה שתעסוק באבטחת מידע ותהיה מבוססת בין השאר על העקרונות הבאים: מניעה מוקדמת של פריצות, איתור ודיווח מוקדמים של פריצות, קביעת תמריצים להתמגנות, איסור אגירת מידע ללא עמידה ברף אבטחה סביר, אישור לאגירת מידע רק לאחר הסמכת גוף מוכר בדין, עריכה תקופתית של סקרי אבטחת מידע, איסור על שמירת קודי גישה בצורתם המקורית וחיוב הצפנתם (ריבוב). שני שרביט, ראש מנהלת הקמה של המטה הקיברנטי הלאומי, אמרה כי רשות הסייבר לא תהיה גוף ביצועי כי אם גוף שיסדיר את מדיניות הסייבר במדינת ישראל ותפעל בשיתוף פעולה עם גרומים שונים במשק. גיל טופז, מנהל אגף סיכונים בחברת ויזה כ.א.ל סיפר כי האתרים שנפרצו לא היו אתרי סליקה. בכל מקרה, שעתיים לאחר הפריצה, כרטיסי האשראי שפרטיהם פורסמו, נחסמו לפעילות ולא נגרם כל נזק פיננסי. עו"ד יהונתן קלינגר, חבר הנהלת עמותת אשנב, תהה אם ניתן לאסור בחקיקה על אגירת מידע מיותר? ארז מטולה, מנכ"ל חברת Appsec-Labs (אפסק-לאבס), הציע כי במסגרת לימודי המחשבים באוניברסיטאות יוקם קורס חובה אקדמי לאבטחת מידע. עו"ד חיים ויסמונסקי מפרקליטות המדינה ועו"ד אסתר אפרת ממשרד החוץ, עדכנו כי אמנת בודפשט ללוחמה בפשעי מחשב נבחנה ביסודיות לקראת חתימת מדינת ישראל על האמנה וכי עדיין נותר לתקן מעט את החקיקה הישראלית לפני שיהיה ניתן לחתום על האמנה. בסיכום הדיון, אמרה ח"כ רונית תירוש, כי "הועדה קוראת לרשות הסייבר לזמן ולשתף חברות ישראליות מובילות בתחום אבטחת המידע. הועדה קוראת לרשות הסייבר לפרסם סטנדרטים לאבטחת מידע. בנוסף, הועדה מבקשת מרמו"ט (הרשות למשפט, מידע וטכנולוגיה) להגדיר ולפרסם את ההגדרה ל"פרטים מזהים רגישים" ולשקול האם לא ניתן לדחות חובת מסירת מספר תעודת זהות. הועדה מבקשת מרמו"ט לבחון את שאלת אגירת הנתונים ולוודא של גוף שחייב לאגור מידע יהיה מאובטח. הועדה תפנה לאקדמיה בבקשה לקובע קורס חובה לאבטחת מידע ופרטיות. הועדה מבקשת מרמו"ט/רשות הסייבר לבחון רישוי למקצוע אבטחת המידע ומתן רישוי לחברות העוסקות בתחום זה. הועדה מבקשת כי ייוצר גוף המסמיך אתרים בישראל כמאובטחים. הועדה קוראת למשרד החוץ ולפרקליטות להמשיך בתהליך אשרור אמנת בודפשט. הועדה ממליצה לרמו"ט לשקול: א. איסור אגירת נתונים רגישים. ב. הצפנת נותנים רגישים ג. חובת שקיפות ופרסום מיידי של פריצות לאתרים. ועדת המדע והטכנולוגיה תקיים בעוד חודשיים דיון מעקב עם רשות הסייבר ורמו"ט.