"איך ייתכן שאומת הסטארט-אפ לא משתלטת על תקיפת שירביט?"
"מערך הסייבר, שנמצא במשרד ראש הממשלה, הוא מעצמה תוך מדינתית; למה הוא לא יכול להשתלט על האירוע?", שאלה ח"כ מרב מיכאלי בדיון שנערך בכנסת בעקבות המתקפה על שירביט, ולא קיבלה מענה
"ישראל מחזיקה מעצמה סטארט-אפ ניישן וראש הממשלה מתהדר במערך הסייבר, אבל זה לא קורה. המקרה של תקיפת שירביט הוא דוגמה לכך. מערך הסייבר, שנמצא במשרד ראש הממשלה, הוא מעצמה תוך מדינתית. למה הוא לא יכול להשתלט על האירוע? מדובר בנושא שקשור גם לביטחון הלאומי, ולא יכול להיות שהוא לא מטופל מספיק טוב", אמרה-שאלה ח"כ מרב מיכאלי (העבודה).
ח"כ מיכאלי אמרה את הדברים בדיון שקיימה היום (ב') ועדת המדע והטכנולוגיה של הכנסת, שעסק באבטחת המידע בממשלה ובמגזר הפרטי. הדיון התקיים בעקבות המתקפה שחווה בימים האחרונים חברת הביטוח שירביט, שבמסגרתה דלף מידע של אזרחי ישראל רבים. הבוקר פורסם שאחד מהם הוא ח"כ אבי דיכטר (הליכוד), לשעבר ראש השב"כ.
השאלה של ח"כ מיכאלי לא קיבלה מענה ישיר, כי נציג מערך הסייבר בדיון, עו"ד עמית אשכנזי, העדיף להתייחס לנושא באופן כללי ולא למתקפה על שירביט באופן ספציפי. עם זאת, הוא ציין את החקירה של המתקפה, שהרשות הודיעה עליה אתמול, ואמר כי "יש במקרה הזה שיתוף פעולה בין הארגונים הרלוונטיים".
עו"ד אשכנזי פירט את הפעולות שמערך הסייבר עושה, באופן כללי, על מנת לשמור על המידע של האזרחים שנמצא במאגרים ממשלתיים ופרטיים כאחד, ואמר כי "האידיאל הוא שתקציבי אבטחת הסייבר יהווה בין 10% ל-20% מכלל תקציבי המחשוב של ארגונים".
"אין מספיק רגולציה"
הגם שהדיון התקיים בעקבות המתקפה על שירביט, הוא נוהל ברמה הכללית, והאירוע שבגינו הוא התכנס הוזכר פה ושם. מרבית הדוברים בדיון היו מהמגזר הציבורי, או מעמותות שעוסקות בנושא, והדובר היחיד מהמגזר הפרטי היה יוסי רחמן, מנהל המחקר של חברת אבטחת המידע סייבריזן.
בדיון הועלו שלל סוגיות שונות באבטחת המידע בישראל, כולל נושאים שאי יישומם פוגע בהגנת המידע של כולנו. בין היתר, דובר על המחסור בכוח האדם בעולם הסייבר, המידע הרב על אודותינו שנמצא במאגרים השונים והצורך במזעור הכמות שלו, והטענה של יו"רית הוועדה, ח"כ עינב קאבלה (כחול לבן), שלפיה "נושא הגנת הפרטיות לא נמצא במקום גבוה בסדר העדיפויות של הממשלה".
היא אמרה כי "עלינו להיות מודאגים מפריצת הסייבר הבאה" וקראה "לפעול כמה שיותר מהר על מנת שאירוע כמו שקרה בשירביט לא יחזור – לא הוא ולא דומה לו, ושהציבור ירגיש מוגן". "חשוב שארגונים יהיו מודעים לאבטחת מידע ולשמירת הפרטיות – הן עקב הצורך בשמירה על הציבור והן בגלל האינטרס שלהם", ציינה. ח"כ קאבלה קראה להדק את הרגולציה ואת האכיפה של נושא הגנת הפרטיות, כמו גם להעלות את הקנסות, ואמרה כי "אם זה לא יקרה – לא יהיה שינוי".
הקריאה הזו עלתה לאחר שכמה מהדוברים ציינו שאכיפת תקנות הגנת הפרטיות לוקה בחסר ושחקיקת החוק שעוסק בנושא מתעכבת, עקב הבחירות החוזרות ונשנות שהיו בשנתיים האחרונות ושיתוקה של ועדת השרים לחקיקה – שם הוא תקוע בימים אלה. עו"ד עלי קלדרון מהרשות להגנת הפרטיות ציין כי "ההצעה כוללת הרחבה של סמכויות האכיפה ובמקום הטלה של קנסות מנהליים, יש בה מנגנון אחר של קנסות בסכומים משמעותיים הרבה יותר, שיכולים להגיע גם למאות אלפי שקלים ואף ליותר מזה". עם זאת, הוא אמר שמספר ההפרות של הפרטיות שהרשות גילתה עד כה במסגרת מאמצי האכיפה שלה – קטן, וכי מדובר ב-"הפרות בודדות".
גם עמית גל, נציג רשות ההון, הביטוח והחיסכון, לא התייחס ספציפית למקרה של שירביט, אם כי הוא אמר שהרשות חוקרת אותו, בהיותה הגוף הרגולטורי של חברות הביטוח, ובהן שירביט. הוא דיבר על הפעילות הרגולטורית שהרשות מבצעת בתחום הסייבר, בהם בדיקות חדירה ותרגילי המשכיות עסקית שהיא עורכת לגופים המפוקחים על ידה, ופרסום של המסקנות, כדי שגם ארגונים אחרים יוכלו לתקן את הדרוש תיקון. הוא נשאל האם יש מדיניות ממשלתית במקרים של מתקפות כופר, כמו זו שממנה סובלת שירביט, והשיב בשלילה.
מה אפשר לעשות?
דוברת נוספת בישיבה הייתה עו"ד נעמה מטרסו, מנכ"לית עמותת פרטיות ישראל, שקראה לארגונים למנות ממונה על הגנת הפרטיות ולפעול למזעור מידע – בשיתוף פעולה בין אנשי הטכנולוגיה לגורמים נוספים בארגון, בעלי ידע ורלוונטיות לנושא. כמו כן, היא קראה ליצור תמריצים לארגונים לפעול יותר להגנת הפרטיות של הלקוחות. לדבריה, "הרגולציה צריכה לתת את הדעת גם על מה שהדירקטוריונים צריכים לעשות בנושא".
עו"ד יהונתן קלינגר, מומחה בתחום הדיגיטלי בכלל ובהגנת הפרטיות בפרט, קרא לכנסת לחוקק חוק שיחייב ארגונים למחוק מידע של אזרחים במקרים מסוימים, בפרט במקרים שבהם המידע מתיישן ושהאזרח אינו לקוח של החברה. "סביר להניח שאם שירביט הייתה מוחקת את המידע של אנשים שאינם לקוחות שלה ושעברה תקופת ההתיישנות שלו – היה דולף פחות מידע ומידת החומרה של האירוע הייתה קטנה יותר", ציין. כמו כן, עו"ד קלינגר הצטרף לקוראים להעלות את סכומי הקנסות, ולארגונים הוא קרא למנות ממונה על הגנת המידע בכל הטמעה של מערכת רלוונטית. ככלל, אמר, "ארגונים צריכים לעשות חשיבה מחדש על המידע שיש אצלם: האם הם חייבים לשמור את צילום תעודת הזהות או רק לאמת את הזהות? התהליך הזה צריך לבוא מהוועדה, כי השוק הפרטי לא מספיק מכוון את עצמו מספיק".
ביבי אשם. בהכל ביבי אשם.
חברה פרטית, יש לה חתמים. הממשלה לא אמורה להתערב, למעט הדחה מיידית של הממונה על הביטוח, הרגולטור שכשל באכיפת התקנים של אבטחת מידע. הפעילות צריכה להיות של משטרה, שב"כ ומוסד להיבטים פליליים וביטחוניים. הממשלה לא אמורה לעסוק בכך. כל מה שאומר כאן עו"ד קלינגר עם כל הכבוד אינו רלוונטי. ישנם כללים ישנם תקנים מקובלים, הממונה כשל עליו להיות מפוטר וייתכן גם לעמוד לדין על רשלנות. לא ייתכן שאם ביצע בדיקות בהתאם לתקנים, אירוע כזה מתרחש. בממשלה במשך 15 שנה העדיפה פיתוח דיגיטל התייעלות וויתרה על הפרטיות. משק חופשי האחריות על הפרטיות היא על האזרח. חוקים תומכים קיימים. רוצים משק בולשוויקי שהממשלה מטפלת בהכל? לא ניראה שזה הכיוון.