הסייבר בראש מהדורת החדשות: סכנה ממשית ל-"זאב זאב"

איומי הסייבר והסכנות האורבות לנו מהם הגיעו השבוע למהדורות של חלק מאמצעי התקשורת, במינון גבוה במיוחד.

ראש השב"כ, נדב ארגמן, שאינו מרבה להתבטא, אמר השבוע כי הארגון עוסק בסיכול ניסיונות תקיפות סייבר איראניות על ישראל. יגאל אונא, ראש מערך הסייבר, שנכנס לתפקידו לא מכבר, צוטט השבוע כאשר חשף שגורמים עוינים מנסים לבצע מתקפות סייבר בתחום התעופה האזרחית, ובמיוחד על הדרימליינר – המטוס החדש של אל על. בוקי כרמלי, הראש היוצא של הרשות הלאומית להגנת הסייבר, אמר בדיון שנערך שלשום (ב') בוועדת המדע והטכנולוגיה של הכנסת שהממשלה וחברות ההיי-טק הן החשופות ביותר למתקפות סייבר. בשבוע שעבר התבטא בנושא ראש הממשלה, בנימין נתניהו, כשאמר בכנס הפורום הכלכלי העולמי בדאבוס שהסייבר הוא איום חמור ושישראל מובילה במאבק נגד האיומים.

אל הגורמים הלאומיים האלה הצטרף היום גיל שויד, מנכ"ל צ'ק פוינט (Check Point), שהזהיר שמתקפות הסייבר האחרונות הן קריאת השכמה לתעשייה.

האם מבול ההצהרות שנחת על ראשינו השבוע בנושא הסייבר נובע משינוי דרמטי במצב? האם קרו בשבועות האחרונים מתקפות שגרמו לנזקים חמורים כל כך? התשובה היא: כנראה שלא. ודאי שלא לפי שויד, שאמר שהגנת הסייבר הארגונית נמצאת בדור השני או השלישי, בעוד שההאקרים כבר נמצאים בדור החמישי – ובדרכם לזה השישי.

האם עושים את המירב כדי למזער את הנזקים?

הסייבר הוא נושא שיש בו פוטנציאל מצוין לייצר כותרות ספק מפחידות ספק טבולות בגאווה לאומית, עד כמה אנחנו מוכשרים וחזקים גם בזירה זו. מדובר בנושא טוב לכנסים, ועידות והרצאות – עוד לא נולד מרצה מומחה בתחום הסייבר שעמד מול אולם ריק.

אלא שבכל רגע נתון אפשר לייצר תרחיש סייבר מאיים ולגרום לאנשים לעצור רגע ולשאול את עצמם: מה עושים? ופה, כמו שאומרים, קבור הכלב. הסייבר, כידוע, מתחלק לצד ההגנתי ולזה ההתקפי, שעליו כמעט שלא מדברים, כי הוא באחריות זרועות הצבא והביטחון – וטוב שכך. בצד ההגנתי יש מצב בעייתי: המשתמש הבודד, כעובד בארגון או מנהל מערכות מחשוב, לא יכול לעשות דברים רבים כדי לנהל קרבות סייבר. הוא יכול וחייב לבצע פעולות ומהלכים שימזערו את הנזקים אם חס וחלילה יותקף. האם הוא עושה זאת? התשובה היא: לא. ויש לכך לא מעט סיבות.

אחת מהן נעוצה בגבולות הגזרה של ההגנה על התשתיות הלאומיות האזרחיות הקריטיות. הסמכות של הגופים השונים שאמורים להגן עליהן כבר אינה חד משמעית, וכשאין סמכות ברורה – אין גם אחריות. יתרה מזאת, יותר מדי פעמים אנחנו שומעים על הטלת אחריות של הגופים השונים אלה על אלה. גוף אחד – לאומי בעל אופי ביטחוני – נזהר מלהפעיל לחץ גדול מדי על גופים אזרחיים, שאינם חייבים בפיקוח על פי חוק, וגוף אחר – לאומי בעל אופי אזרחי – לא מצליח לשדר מסר ברור מהו תפקידו ולקנות את אמונם של מגזרים שזקוקים מאוד להכוונה ולסיוע.

יותר מדי הפחדה

כך או כך, כולם מזהירים חדשות לבקרים מאיומי הסייבר, שרבים מהם נכונים, אבל יש כאן גם חשש כבד לתסמונת ה-"זאב זאב" – ופה הבעיה ואפילו הסיכון. המסר של כל המפחידים למיניהם, בין אם בצדק או לא, הוא שאנחנו אמנם אומת הסייבר והחדשנות, אבל רמת המוכנות שלנו וההיערכות שלנו מפני פגיעות סייבר היא נמוכה ביותר, עד כדי אפסית.

זה מסר שחוזר בכל כנס, בכל אייטם ובכל שיחה עם אנשי סייבר, כולל אלה שאמורים להיות אחראים לכך שנהיה מוכנים. הסיבות לחוסר ההיערכות שונות ומגוונות, חלקן מוצדקות וחלקן לא, אבל כאשר הציבור, שלא יודע מה לעשות בעת מתקפות סייבר, שומע השכם והערב שאנחנו לא מוכנים, הוא מתחיל להתרגל לאיום, כמו שהוא מתרגל לאיומים אחרים. ההרגל הזה הופך לשגרה, שמביאה אתה שאננות. זה אסון טבע, זאת הסכנה האמיתית, שעלולה להוביל לנזקים לנו, כמדינה, לחיים הכלכליים והעסקיים שלנו, שלא לדבר על החיים הפרטיים.

קיימת גם הנחה בציבור שהממשלה ורק הממשלה יכולה למנוע נזקי סייבר – וזה, כמובן, לא נכון. הבעיה היא במשילות, בלקיחת אחריות מתוך סמכות של בעלי תפקידים. אלא שזה לא בא לידי ביטוי רק ברמה הממשלתית, כי אם גם ברמה האזרחית – אצל יו"רים, מנכ"לים, מנהלים אחרים ובעלי תפקידים בארגונים. הם צריכים להפנים שהם ישלמו מחיר אישי כבד אם לא ייקחו ברצינות את האיום ויעשו הכל כדי למזער את סיכוניו – וזה אומר, למשל, תרגולים, הקצאת משאבים, הסברה והדרכה. כל עוד המסר הזה לא יחלחל, נמשיך לקרוא בכל בוקר עוד כותרת שמדברת על הסייבר, מבלי שתחדש לנו דבר. הכותרות הללו אמנם חוזרות על עצמן וכבר לא מרגשות, אבל אין זה אומר שאיומי הסייבר הם לא אמיתיים ושלא צריך להתגונן מפניהם.