חומר רקע

PDF 23,123 תווים המסמך המקורי ↗
יגאל אונא סיגאון בע"מ [email protected] :לכבוד 5.2.2025 איגוד בתי הדפוס הנדון : חוות דעת בנוגע לסיכוני הסייבר בהצעת החוק– תקשורת דיגיטלית 1 . כותב חוות הדעת שימש כראש מערך הסייבר הלאומי תחת ראש הממשלה במשך4 שנים עד ינואר2022 , ולפני כן מילא במשך עוד29 'שנים מגוון תפקידים בשב"כ וביח 8200 , כולם בתחומי הסייבר ולוחמת המידע. כיום יו"ר של חברות הגנת סייבר, מייעץ .לממשלות, מגזרים, תאגידים, חברות הזנק ועוד בנושאי הגנת סייבר מאפייני איום הסייבר 2 . איומי הסייבר הולכים ומתגברים ככל שהעולם הופך לדיגיטלי ותלוי יותר בטכנולוגיות מידע בכלל תפקודי החיים– אנרגיה, תחבורה, פיננסים, בריאות, חינוך, הגנת הסביבה – אין כיום תחום שחף משימוש במידע, לעיתים עד כדי תלות מלאה בו לצורך תפקודו .הבסיסי, אפילו שירותי הדת 3 . בשנת2022 .פירטתי את איומי הסייבר דאז, בהקשר הצעת החוק של הדיוור הדיגיטלי ,מאז קצב ,התגברות האיומים רק הולך וגובר בכל העולם ובישראל בפרט מאז 7 באוקטובר. מאז לפי דיווחי מערך הסייבר הלאומי עלה היקף התקיפות נגד ישראל פי3 (שלושה )ביחס לתקופה הקודמת, שגם היא היתה עמוסה באיומים. מגמה זו אינה צפויה להשתנות שכן גורמי התקיפה מגיעים מכל קצווי העולם, בעידוד והכוונה איראנית אך לא רק, אלא גם מתוך סנטימנטים אנטי-ישראלי ואנטישמי . 1 4 . שילוב כלל הגורמים מתבטא בזינוק חד בהיקפי תקיפות הסייבר2, במספר תכליות :מרכזיות שהתחדדו במהלך המלחמה 1 https://www.gov.il/he/pages/portnoy_cyber_week_24 ,https://www.pc.co.il/news/%D7%90%D7%91%D7%98%D7%97%D7%AA- %D7%9E%D7%99%D7%93%D7%A2- %D7%95%D7%A1%D7%99%D7%99%D7%91%D7%A8/419805/ 2 https://www.kan.org.il/content/kan-news/local/645770 הדו"ח השנתי של מערך הסייבר הלאומי / 2023 לשנתhttps://www.gov.il/he/pages/booklet_yearly_summary_2023 https://www.calcalist.co.il/conferences/article/h1nw43qdjl יגאל אונא סיגאון בע"מ [email protected] א. תקיפות למטרת איסוף מידע – למידע אישי או מסחרי, פרטני או במאגרים מרוכזים . ערך ל מדינות ו ארגונים עוינים, ו גורמי פשיעת סייבר ש גונבות את המידע ו סוחרות במידע לכל המרבה במחיר, כולל ממשלות. 3 ב. תקיפות ל מטרת גרימת נזק – :בהן שתי תת קבוצות 1 ) ,הנפוצות מאד הן תקיפות כופרהRANSOMWARE , מלשון כופר, שהן למעשה נזק מותנה- פריצה למערכות מידע של הקורבן ונעילתם בהצפנה שהמפתח לה קיים רק בידי התוקף– ושחרור הנעילה בתמורה לתשלום כופר, במטבע קריפטו שאינו ניתן לאיתור וחילוט. מעבר לנזק הכספי העצום ,בישראל ובכל העולם כתוצאה מתשלום הכופר ברובם המכריע של המקרים זמן ההשבתה של תפקודים התלויים במערכות המותקפות ונעולות מגיע לממוצע של21 יום, עד לשחרור וחזרה לפעי לות. מנתוני חברת הביטוח HOWDEN עולה כי הם שילמו כופר מעל מיליארד דולר בשנת2024 במסגרת אירועי ביטוח סייבר כאלה, וההיקף הכולל של 'התעשייה' הזו עלה כבר מעל10 טריליון דולר, וממשיך לעלות– עד שרבים מגדירים זאת ככלכלה השלישית בגודלה בעולם. 4 2 ) נזק למידע עצמו ולמערכות המידע– התוקפים משבשים את מאגרי המידע או .מוחקים לגמרי, כולל את הגיבוי במידה וישנו, כך שהנזק בלתי הפיך ג. תקיפות למטרות תודעה – יצירת מבוכה, השפעה על עמדות ודיעות, יצירת מצגי שווא באמצעות הפצת מידע פרטי או רגיש שלא נועד לעין ציבורית, מניפולציות על .מידע וזיוף, ועוד יצויין כי כמות הולכת וגדלה של תקיפות משלבת בין התכליות הנ"ל, שכן מרגע שמושגת שליטה על המידע ו/או מערכת המידע– מה התוקף עושה ולאיזו תכלית .זו החלטה שלו בלבד בהתאם לאינטרס הזדוני שלו מנתוני שנת התשפ"ד שנאספו ע"י מומחה הסייבר ארז דסה ופורסמו בערוץ הטלגרם הנפוץ שלו 'חדשות הסייבר', מתוך כ- 225 תקיפות בישראל שדווחו (לביטוח, לגורמי ממשלה, ללקוחותיהם שנפלו קורבן)ועוד והתפרסמו (רובן אחרי פרוץ המלחמה, בתשרי 3 https://www.calcalist.co.il/internet/articles/0,7340,L-3736634,00.html , https://www.israeldefense.co.il/node/55670 , https://www.gov.il/he/pages/police_cybercrime_personal_data 4 25 כך גם בראיון עם מנכ"לית מחקר ופיתוח מיקרוסופט, מיכל ברוורמן בלומנשטיק ב'דה מרקר' מינואר https://www.themarker.com/weekend/2025-01-17/ty-article-magazine/.highlight/00000194- 6ecb-d9d3-a597-eeef36c40000 יגאל אונא סיגאון בע"מ [email protected] )התשפ"ד– 99 ( 43.5% ,) שהן מרבית התקיפות, היו למטרת דלף מידע10.6% היו ,למטרת מניעת שירות6.8% למטרת כופרה, והשאר למטרות השחתה, השבתה .ושיבוש דוגמאות טריות ועדכניות ל היקפי דליפת מידע ממאגרים ציבוריים ניתן לראות ב הערות השוליים. 5 די לבחון את שלל דו"חות מבקר המדינה כולל מסוף2024 , כדי להבין את חומרת מצב ההגנה באזורים נרחבים במשק הישראלי שאינם תשתיות קריטיות– ,משרדי ממשלה .גופים ציבוריים כמו ביטוח לאומי, רשויות מקומיות ועוד6 5 . ,אופן הפריצה הנפוץ ביותר בכל העולם ובפער ניכר ביחס לשאר דרכי הפריצה הוא ע"י גניבת זהויות דיגיטליות( . גניבה זו נעשית בשיטות שונות המכונות דיוגPHISHING ) שתכליתן השגה בעורמה של שם משתמש וסיסמה– שער הכניסה לרוב המכריע של מערכות האבטחה וההגנה כמעט בכל מערכת מידע ומחשב בעולם. אופן ההתמודדות עם פירצה זו רחוק מאד מלהיות משביע רצון, לא כל שכן הרמטי, שכן הפער אינו טכנולוגי במהותו– אלא תלוי בהתנהגות האנושית, שנוטה להאמין למצגי שווא והתחזות, בוודאי אם אלה מבוצעים ברמה סבירה, ולעשות טעויות שונות אם מטעמי נוחות, עצלות או תמימות. בהקשר זה ראוי לציין את המגמה הגוברת של שימוש בבינה מלאכותית– AI , כמאיץ דרמטי לשיפור י כולות התוקף לזייף התנהגות אנושית ולהפעיל מניפולציות על .המשתמשים, כאשר האוכלוסיות הפחות חזקות טכנולוגית הן חשופות ופגיעות אף יותר 5 https://www.haaretz.co.il/news/security/2024-04-16/ty-article/0000018e-e0f6-de6f-af9e- e0ff24310000 https://www.shomrim.news/hebrew/gag-orders-inflation https://www.israelhayom.co.il/tech/tech-news/article/15573329 https://www.ynet.co.il/digital/technews/article/hk00i80ezkg 6 https://www.mevaker.gov.il/sites/DigitalLibrary/Documents/2024/2024.11- Cyber/2024.11-Cyber-101-Risks-Taktzir.pdf ביטוח לאומי https://www.mevaker.gov.il/sites/DigitalLibrary/Documents/2024/2024.11-Cyber/2024.11- Cyber-104-Bituach-Leumi-Taktzir.pdf חברת הדואר ובנק הדואר– https://www.mevaker.gov.il/sites/DigitalLibrary/Documents/2024/2024.11- Cyber/2024.11-Cyber-103-Posts-Office-Taktzir.pdf https://www.kan.org.il/content/kan-news/local/230047 / https://www.maariv.co.il/business/tech/Article-1117436 https://www.pc.co.il/news/366293/ https://www.mevaker.gov.il/sites/DigitalLibrary/Documents/2022/Shilton/2022-Shilton-401- M.Meda-Taktzir.pdf יגאל אונא סיגאון בע"מ [email protected] 6 . אחת הדרכים להתמודד עם אופן הפריצה הנ"ל הוא שימוש ב אימות רב שלבי – לא רק שם המשתמש והסיסמה המחשביים, אלא גם שימוש במספר הטלפון כאמצעי זיהוי ,מקביל, בלתי תלוי, נוסף. גם אמצעי זה אינו הרמטי כלל, אולם מאפשר הקשחה מסויימת כל עוד קיימת הפרדה בין אמצעי ההזדהות השונים הללו , ללא יכולת פשוטה לחבר .ביניהם לבין זהות יעד התקיפה מענה מסויים לאיום ניתן במגזר ה פיננסי ע"י הוראות הממונה על שוק ההון הביטוח והחסכון ובחוק שירות מידע פינ סי נ . במקרה של דליפת מידע אישי כמו כתובות, טלפונים ושמות משתמש שנגנבו בתקיפת סייבר – ,הנזק הוא לרוב בלתי הפיך "ההשלכות הרסניות במיוחד שכן פעם שהמידע "זלג לידיים לא מוסמכות – ניתן להשתלט על הזהות ולהעביר לידיו את כל המאפיינים הפרטיים של הקורבן– .'חשבונות בנק, פעילות מסחרית, הרשאות שונות וכו7 משמעויות והשלכות סייבר ופרטיות- הצעת החוק ל תקשורת דיגיטלי ת הצעת החוק לתקשורת דיגיטלית 7 . הכנסת דנה בימים אלה ב תיקון ל ,חוק תקשורת דיגיטלית המציע לחייב גופים ציבוריים ,להנגיש את "השירותים הנפוצים" שלהם באופן דיגיטלי . 8 . ב הצעת החוק מוצע להוסיף פרק חדש (ד1 ) ,שאינו כפוף לפרקים העוסקים בדיוור דיגיטלי ועל כן אינו כולל את מנגנוני ההגנה והבטחון שנקבעו בו כגון הסכמת הנמען, שימוש במערכת ממשלתית מאושרת, הזדהות בטוחה לפחות לגבי מסירת מידע רגיש, מענה .מותאם לאוכלוסיות שמתקשות בשימוש באמצעים דיגיטליים 9 . בנוסף, ההצעה הנוכחית מתייחסת לרשימה ארוכה של גופים ציבוריים ש יחויבו ל אפשר לציבור ל תקשר איתם באמצעים דיגיטליים . רשימת הגופים הציבוריים רחבה בהרבה מרשימת הגופים הציבוריים,שמופיעה בפרק הדיוור הדיגיטלי :והיא כוללת רשויות מקומיות, תאגידים עירוניים ועוד, ובידי שר האוצר (אשר אינו השר הממונה על מערך )הדיגיטל הממשלתי הסמכות להרחיב את רשימת הגופים הציבוריים אף מעבר לכך , ללא צורך באישור של ועדה מוועדות הכנסת. 7 גם אם בידי התוקף יש רק חלק מפרטי המשתמש כגון כתובת דואר אלקטרוני וטלפון, וחסרה לו סיסמה, אז מבדיקות שנעשות מעת לעת במאגרי מידע שדלפו לרשת (ישנם אתרים שמרכזים מאגרים כאלה הכוללים גם סיסמאות, בהיקפי של מיליארדי רשומות) עולה כי בחירת הסיסמאות של מרבית האנושו ,ת היא צפויה למדי וגם אם לא מדובר בסיסמאות צפויות (רצף ספרות צמודות, המילהPASSWORD אוSISMA , xxnv / xhxnv = המילה 'סיסמה' באותיות לועזיות וכו'), במקרים רבים היא קשורה לעולמו של המשתמש– תאריך יום 'הולדת שלו / של בן משפחה, שם של בן משפחה וכו– מידע שנמצא ונגיש כולו במאגרים גדולים של חברות .וכמובן במרשם האוכלוסין יגאל אונא סיגאון בע"מ [email protected] 10 . העולם כולו וישראל בכללו עוברים תהליך של טרנספורמציה דיגיטלית, אולם תהליכים אלה חייבים להתבצע תוך ניהול אחראי של הסיכונים, השינויים והחשיפות שנוצרות כתוצאה מהפערים הטכנולוגיים . נדרש ,לנהל את הסיכונים הללו בצורה נכונה ומושכלת שכן התממשות של האיומים לא רק תגרום נזק ישיר, אלא עלולה אף להסיג לאחור ולעכב .את הקידמה הדיגיטלית 11 . בהצעה הנוכחית קיימים מרכיבי סיכון רבים שאינם מנוהלים כלל או לכל הפחות אינם מנוהלים בצורה ראויה ומספקת: 11.1 . המערכת שבה ייעשה שימוש– בשונה מהדרישה הקיימת בפרק הדיוור הדיגיטלי, שם נדרשת מערכת ממשלתית או חיצונית מאושרת מתוך מטרה לשמור על אבטחת מידע, הרי שבפרק ד1 המוצע ההתי י חסות לאבטחת מידע מצומצמת ומעורפלת, וכל מה שמוגדר הוא שיש לקחת בחשבון שיקולים הנוגעים לאופן זיהוי הפונה והצורך לוודא את זהותו והגנה על פרטיות, ובכלל זה שמירה על סודיות .רפואית, אבטחת מידע והגנת סייבר אין אף גוף מקצועי מוסמך בתחום הגנת סייבר שנדרש לאשר את המערכת בה יעבור כל המידע הרגיש הנ"ל. משמעות הדברים, שכלל הגופים הציבוריים המנויים בפרק ד1 ,, הכוללים רשויות מקומיות יהיו מחויבים להנגיש לציבור שירותים נפוצים, שחלקם שירותים רגישים ,במיוחד מבלי שיהיה פיקוח על מסוגלותם של אותם גופים להפעיל שירותים דיגיטליים .לציבור, לרבות שירותי אחסון דיגיטליים 11.2 . הזדהות חזקה במקרה של מידע רגיש – התיקון המוצע בפרק ד1 אינו מתייחס בצורה רצינית לסוגי מידע רגישים, שלגביהם נדרשת הזדהות מחמירה הרבה יותר מצד שני צידי התקשורת, למניעת טעות או התחזות, ושקיימת לה התייחסות בפרק .הדיוור הדיגיטלי 11.3 . היקפי המידע והשירותים הנפוצים– 'על פי התיקון המוצע, 'משטח התקיפה– קרי פוטנציאל גרימת הנזק מצד התוקף, גדל באופן דרמטי עם ההרחבה העצומה בהיקף הגופים והשירותים המוצעים בתקשורת הדיגיטלית. האטרקטיביות של תוקפי סייבר לנצל לרעה את השינוי– .תגדל דרמטית אם תתממש באופן המוצע 11.4 . הרחבת הגופים הציבוריים– בהצעה הנ"ל ישנה הרחבה משמעותית להיקף רחב מאד של גופים כגון רשויות מקומיות, תאגידים עירוניים וחברות ממשלתיות, שיוכלו .לתקשר דיגיטלית עם הציבור בעוד גופים המנויים בתוספת החמישית לחוק הסדרת הבטחון (סעיף3 יא (ג) בפרק ד1 ), שיפעלו בכפיפות להנחיות קצין מוסמך– ,מערך הסייבר הלאומי לעניין זה יגאל אונא סיגאון בע"מ [email protected] מדובר ברשימה מוגבלת ומצומצמת למדי המהווה תשתיות לאומיות קריטיות לעניין הגנת הסייבר. הרוב המכריע של הגופים כפוף לסעיף3 יא (ב) שלגביהם אין לש קו ל את השיקולים ("...הנוגעים לאופן זיהוי מקבל השירות... אבטחת מידע והגנת .סייבר") כל משקל או בכלל נסיון וסמכות מקצועיים בתחום די לבחון את הרשויות המקומיות– שבהגדרה לא חלה עליהם רגולציית סייבר כלשהי על פי קביעת משרד הפנים שלא רואה את עצמו כרגולטור, בכדי להבין עד כמה גדולה הסכנה– כפי שמבוטאת בדו"חות מבקר המדינה פעם אחר פעם בשנים האחרונות, בהן 'מככבות' הרשויות המקומיות בפער עצום בתחומי אבטחת מידע .ופרטיות והגנת סייבר 11.5 . יש לציין כי ברשימת התוספת השניה להגדרת הגופים הציבוריים השולחים מסרים דיגיטליים, מנויים גופים גם כגון הכנסת, ועדת הבחירות המרכזית, לשכת נשיא המדינה ומשרד מבקר המדינה– כל אלה בהגדרה אינם כפופים למרות הרשות המבצעת ובכלל זה להנחיית מערך הסייבר הלאומי או הנחיית רשויות .דומות לעניין אבטחת מידע, פרטיות והגנת סייבר הגנות סייבר– היקף ואפקטיביות 12 . :את היקף הגנת הסייבר בישראל כיום ניתן לחלק לשלושה רבדים א. רובד ה תשתיות ה לאומיות ה קריטיות : רשימה סגורה שנקבעת בתוספות לחוק הסדרת הבטחון בגופים ציבוריים (הרביעית והחמישית), והמתעדכנת לעיתים רחוקות. רמת ההגנה על רוב הגופים הכלולים בקטגוריה זו נחשבת טובה– בדגש דווקא על הגופים הפרטיים, הלא- ממשלתיים. ההגנה נמדדת בסולם ותבחינים מוגדרים, אך התוצאות מסווגות. עם זאת, ניתן לומר שככלל רמת ההגנה של גופי התשתיות הקריטיות היא טובה מאד, בכלל וביחס לרבדים האחרים, ומנסיוני הגופים שסוגרים את הרשימה בהיבט רמה נמוכה של הגנ ה הם דווקא הגופים הממשלתיים, קרי רמת הגנת הסייבר ככלל בממשלה וברשויות המקומיות מתפתחת בקצב איטי יותר ועם חשיפה גב והה יותר כפי שגם עולה מדו"חות מבקר המדינה שהתמקד בנושא הגנת הסייבר בשנים האחרונות . ב. רובד הגופים החיוניים: אלה אינם כלולים ברשימה מחייבת על פי האסדרה הקיימת אך לרובם יש מכנה משותף– הם מנויים על מגזרים המונחים על ידי רגולטור שמנחה אותם גם בהיבטי סייבר, למשל בתי החולים תחת הנחיות משרד הבריאות, הבנקים תחת המפקח על הבנקים, חברות התקשורת בעלות ( הרשיון תחת משרד התקשורת וכו'. על אף החלטות ממשלה2443 ), עדיין לא יגאל אונא סיגאון בע"מ [email protected] הוקמו יחידות הגנת סייבר מגזריות בקרב כלל המשרדים והגופים הממשלתיים והציבוריים הנדרשים לכך, וגם אלה שהוקמו– לא אויישו כנדרש, לא תוקצבו ולא ,הגיעו לרמת בשלות מספקת ברוב המקרים. כך למשל ברשויות המקומיות – אין אף גורם הגנת סייבר שמנחה את257 הרשויות, כפי שמפורט בהרחבה .בדו"חות מבקר המדינה בשנים האחרונות ישנו גם מגזר שלם ללא כל רגולטור – חברות אחסון האתרים ומתן שירותים דיגיטליים, המהווים כיום יעד מועדף לתקיפות סייבר מכל הסוגים עקב היותם .צומת מרכזי במרחב הדיגיטלי בתקופת מלחמת חרבות ברזל נח ,קק חוק בהוראת שעה, ביחס לאותם שירותים, אך ההוראה צפויה לפוג באמצע השנה . ג. רובד המשק בכללותו: עסקים ואזרחים. ישראל טרם קבעה סמכות בהיעדר חוק סייבר לאסדרה או אכיפה של צעדי הגנה בסיסיים ואפילו חינמיים, ורמת המודעות של האזרח והעסק לנושאים הללו עדיין רחוקה מאד מלהשביע רצון. בעצם, אמצעי הגנת הסייבר שגופים כאמור מיישמים, ככל שהם מיישמים, נובעים לכל היותר מחובת גופים כאמור לשמור על פרטיות המידע של נושאי המ ידע וחובת זהירות .סבירה כללית, ולא מכח שום חובה ישירה כלשהי לקיים הגנת סייבר בישראל פועלת הרשות להגנת הפרטיות, אולם עניינה הוא דיני הפרטיות ולא הגנת סייבר. מדובר בשני תחומים שונים תחת מתווי רגולציה נפרדים, ויכולת האכיפה שלה מוגבלת ביותר. דוגמה אחת מיני רבות היא תרגיל רחב היקף שמערך הסייבר הלאומי קיים בדצמבר2021 מול כ150,000 תושבים, שקבלו מיסר וני טקסט בטלפון לכאורה מטעם חברת כרטיסי אשראי, המציעה להם ללחוץ על קישור על מנת לוודא תקינות פעולה שבוצעה בכרטיס האשראי שלהם - שיטת 'דייג' מקובלת על ידי תוקפי סייבר לקבלת הרשאה מצד המשתמש- וכ- 40% ממקבלי ההודעה, שנוסחה באופן מעט חשוד בכוונה– בכל זאת לחצו על הקישור, היענות שהיתה יכולה להביא לפגיעות קיברנטית אם היה מדובר בתקיפה אמיתית. רמת מודעות ציבורית נמוכה יחסית כפי שמשוקפת במקרה הזה כמו ברבים נוספים, בצירוף היעדר סמכויות ואכיפה, מצביעים על רמת .בשלות הגנתית נמוכה יחסית של מרבית המדינה סיכוני סייבר נוספים הנובעים מהתיקון המוצע 13 . מאגר י מידע בהיקף נרחב כנקוד ו ת כשל פוטנציאלי ות - ,לצורך מימוש החוק יידרשו הגופים הציבוריים לבנות ולתחזק מאגר י מידע גדולים לריכוז פרטי הקשר יגאל אונא סיגאון בע"מ [email protected] וההזדהות של כלל שמות המשתמש והסיסמאות– במצטבר של כלל תושבי ישראל הנזקקים לשרותיהם– הרי זו מטרת החוק ותכליתו . אין שום ספק שמאגר י ענק אלה צפוי ים להיות יעד ים מועד פים לכל תוקף בסייבר– מיקום אחד שכולל מידע רגיש רב ,, כזה שמאפשר לתוקפים לחדור ביתר קלות לא רק לפרטיותם של בודדים אלא דרכם גם לארגונים, חברות ומוסדות ציבוריים. מחיר הטעות לזליגת מאגר כזה– היא לא פחות מקטסטרופלית ובלתי הפיכה! לכן, סביר שרוב המאגרים הללו יעמדו בתבחינים להיות ם תשתי ו ת מידע לאומי ו ת קריטי ו ת ולהכלל תחת תוספת לחוק הסדרת הבטחון לעניין זה, מעבר לסוגיות הגנת פרטיות מחמירות שיידרשו בביצוע ההגנה עליו , דבר שיחייב הכנסת רשימה ארוכה מאד של גופים לתהליך הנחיית תשתיות קריטיות – נושא שעלול להימשך זמן רב וכרוך במ שאבים רבים – ,שמושתים ברובם על הגופים המונחים עצמם, על כל המשתמע מבחינת תקצוב הכלה ועלויות לציבור, אם מבצעים זאת נכון ובסדר המתבקש– הגנת סייבר על פי ( תכנון מראשCYBER BY DESIGN ), והמשמעויות של אי ביצוע בצורה נכונה ומהירה– .חמורות במיוחד 14 . סיכון למידע רגיש– אישי ותאגידי– כבר כיום קיימת אפשרות בחלק מהשירותים לציבור להנגיש סוגי מידע אישי רגיש, רפואי או אחר, באופן דיגיט לי, ברמת ההגנה הקיימת כיום – שלפחות על פי דו"חות מבקר המדינה וארועי הסייבר השונים אינה .מספקת כלל ,אולם עם השלמת החקיקה ויישומה, הסיכון לחשיפת מידע רגיש יגדל משמעותית שכן היקפי המידע, ג ם זה שאולי אינו רגיש כשלעצמו, יאפשרו יצירת תצרף מידע רחב ועמוק יותר הנוגע לכל אדם ותאגיד, באופן שזליגתו או .חשיפתו לגורמים לא מורשים יגדיל את האיום משמעותית 15 . סיכון לאוכלוסיות רגישות – במאגר ים כאלה כזה עלולות לצוץ בעיות נוספות, שמפאת ,מגבלות סיווג לא ניתן לפרט כאן בנושא הגנה על זהות עובדי מערכת הבטחון בהווה ובעבר, כולל צה"ל – שקציניו וחייליו חשופים להליכים משפטיים בחו"ל מרגע שזהותם .ידועה מאגר שכולל למשל מספרי טלפון, יאפשר לגורם עוין סביר לזהות בקלות רבה מיהם עובדי המערכת ומה מספרי הטלפון שלהם (דוגמה שניתן לפרט, קציני צה"ל בקבע ,)מקבלים מספרי טלפון בסדרות ותחיליות מובהקות, שנשארים עימם גם לאחר שחרורם ומכאן גם את מיקומם בהווה ובעבר, וכן להתח קות אחר פעילותם ברשת ע"י בחינת צימודם– הקשר בין הזהות האישית .לדיגיטלית, לכתובות הפרטיות, ועוד כיום סכנה כזו קיימת כיום במידה פחותה בהרבה בהיעדר מאגר י ענק שכ אלה , לא כל שכן מאגר ים שאמור ים להיות ,בשימוש גופים ציבוריים גם לא ממשלתיים, רבים ומגוונים, שרובם יגאל אונא סיגאון בע"מ [email protected] המכריע אינו מוגן כתשתית לאומית קריטית, ושעל פי הצעת החוק יינתן חופש בשיקול הדעת לכל גוף ציבורי שכזה .לגבי הגדרת הרגישות והנגזרת ההגנתית כתוצאה מכך 16 . סיכון לאמצעי הגנה דו -שלבי – כפי שהוסבר לעיל, במערכות בהן נעשה אימות דו או רב שלבי, מספר הטלפון משמש אמצעי לביצוע הזיהוי כאמור לאחר שהמשתמש מקיש את הסיסמה שלו וזאת בדרך של שליחת קוד נוסף, חד פעמי, למספר הטלפון של ,המשתמש. ברגע שגם כתובת הדוא"ל וגם הטלפון נמצאים במאגר (או שרק אחד מהם .אבל בצימוד לזיהוי משתמש כמו שם ות.ז – מאפשר יחסית בקלות לאתר את הזיהוי השני), גדל משמעותית הסיכון לניצול לרעה של המידע ע"י תוקף לעקיפת ההגנה הדו - שלבית. עוד על המלצות מערך הסייבר הלאומי בנושא בהערת שוליים8 ו דוגמא לקמפיין מודעות של מערך הסייבר הלאומי בנושא9. 17 . )בעית הפישינג (דיוג וההתחזות- כאמור אחת הדרכים המרכזיות אם לא הנפוצה ביותר ע"י תוקפים להשיג שליטה לא מורשית במערכות מידע ומחשוב הן באמצעות הפישינג וההתחזות, גניבת דעתו של הקורבן במצג שווא כלשהו שיביא אותו לבצע פעולה מחשבית שתאפשר לתוקף לחדור מבעד ההגנה או 'רק' להונות את הנמען ולפתותו להסגיר מידע או אף להעביר כסף. היקפי הנזקים בעולם רק מתופעה זו חצה את רף הדו- ספרתי במיליארדי דולר בשנת2023 , וממשיך לטפס. ניתן להעריך אפילו ברמה של וודאות, שהיקף התקיפות מבוססות פישינג יגדל באופן דרמטי אם הצעת החוק תתקבל, שכן היקפי התקשורת הדיגיטלית יגדלו משמעותית. הנמען המצוי יחווה 'מבול' של פניות מגופים שונים, ופחות יוכל לשים לב ולהבחין בפניות החשודות כפישינג או התחזות, חיקויים וזיופים שנעשים כבר כיום ברמה גבוהה. כאמור כבר כיום כ40% מתושבי ישראל בעלי רמת אוריינות בינונית-גבוהה 'נופלים' בתרגילי הפישינג של מערך הסייבר, ישנה כברת דרך חינוכית וטכנולוגית (אמצעי מאיתור ומניעה) ארוכה להתמודדות עם הבעיה עוד בטרם מכפילים ומשלשים את היקף האיום והחשיפה .כשמכניסים גם אוכלוסיות באוריינות נמוכה ההתייחסו ת היחידה בהצעת החוק לנושא– 'בפרק ה4 )(א– "השר ... רשאי באישור וע דת מדע וטכנולוגיה ... להתקין תקנות... באופן שיפחית את הסיכון להתחזות לגוף "הציבורי השולח מסרים דיגיטליים– ,)בעיתי בהיבטי הוולונטריות בלבד (=רשאי באישור ועדת כנסת שנושא לוחמת מידע והגנה אינם בתחומי מומחיותה – אלה אינם .מהווים כל איזון או ניהול מושכל לסיכון זה 8www.gov.il/he/departments/faq/faqmfa 9www.facebook.com/IsraelCyber/posts/1189659694708361/?locale=he_IL יגאל אונא סיגאון בע"מ [email protected] 18 . בעיה נוספת במימוש הצעת החוק כפי שמוצע היא בעית הספאם . דואר ומיסרוני ספאם SPAM או דואר זבל הוא מנגנון הגנה של ספקיות תקשורת סלולארית ושירותי הדואר האלקטרוני המובילות מפני דיוור מסחרי לא רצוי. דואר כזה מזוהה ע"י אלגוריתמים פשוטים, שעלולים בסבירות גבוהה לסמן ולנתב את הדיוור החשוב שיישלח, לספריות הספאם– ללא שהנמען ישים כלל לב שקיבל דיוור כזה, במיוחד לאור הטשטוש בשימוש בין הכתובת הפרטית לכתובת של מקום העבודה או העסק. בכך, תיפגע מאד אפקטיביות השיטה, וגם אמון הציבור, שיפסיק לקבל את הדיוור הנדרש לו, שכן זה יופנה א וטומטית .לפח האשפה הדיגיטלי של המשתמש שעל פי רוב אינו בודק אותו או חשוף לתוכנו 19 . בעית אמון הציבור – קיים חשש, שמוכר מארועי סייבר אחרים אפילו קלים יותר, שפגיעה אפילו לא גדולה באמינות השימוש במאגרים וערוצי התקשורת הדיגיטליים, עקב דליפת ,מידע חלקית ממאגר הזהויות הדיגיטליות עקב פער כזה או אחר ביישום או בהגנה יערער משמעותית את אמון הציבור, שרובו עדיין חשדן ב יחס למעבר מלא לדיגיטל, ויסיג לאחור את הקידמה ואת הטרנספורמציה הדיגיטלית למשך שנים רבות, אולי באופן בלתי הפיך. לדוגמה ארוע תקיפת הסייבר בחברת שירביט בשנת2020 ובעיקר דליפת כמויות ,מידע אישי ופרטי רגיש ופרסומו ברבים, גרמו למבוטחים רבים מאד מעבר ל2.5% נתח ,השוק של שירביט, מכלל חברות הביטוח, לחשוש מלהשתמש בשירותי ביטוח מקוונים .על כל הנזקים הישירים והעקיפים (היעדר ביטוח וכו') שנובעים מחשש כזה המלצות 20 . בבסיס הטרנספורמציה הדיגיטלית עומד עקרון ההדרגתיות, ביצוע בקצב המתאים והנכון .תוך התחשבות בכלל ההיבטים בדגש על ההיבט של ההסתגלות האנושית לטכנולוגיה 21 . לכן, הצעת החוק חייבת שינוי ותיקון ,כך שתהיה מידתית והדרגתית מאוזנת ,ומבוקרת ולאפשר הסתגלות נכונה בקצב המתאים לרמת המודעות, רמת המוכנות ורמת ההגנה בסייבר של ישראל , שעדיין אינם בשלים או קרובים לבשלות למימוש מלא. 22 . יש להיערך ברגולציה וסטנדרטיזציה ממשלתית שתחייב לפחות רמה בסיסית של הגנת סייבר ופרטיות, גם אם למספר גופים שונים, ולא 'איש הישר בעיניו יעשה', כפי שמוצע בחוק. אין להסתמך רק על החלטות ממשלה או שר, במיוחד כשעסקינן בגופים לא .ממשלתיים רבים יגאל אונא סיגאון בע"מ [email protected] יגאל אונא ראש מערך הסייבר הלאומי 2022 - 2018 23 . ( אמת מידהBenchmark ) ראויה כבסיס – אפילו זו החלה בנושא הדיוור הדיגיטלי, יש לוודא שפרק ד1 'מיישר קו' לגמרי לפחות עם הדיוור הדיגיטלי, אם לא מעבר לכך .כמתחייב מהרחבה כה משמעותית של היקף המידע והגופים 24 . נדרש לגבש מענה הולם לאוכלוסיות בעלות אוריינות טכנולוגית נמוכה– ,מבוגרים קהילות מסויימות שאינן נגישות מסיבות דת או מצב סוציו- ,אקונומי לאינטרנט ולדיגיטל .שהם גם חשופים במיוחד להונאות והתחזויות 25 . יש לחייב התחלת שימוש בתקשורת דיגיטלית אך ורק במערכות מאושרות מקצועית באופן בלתי תלוי בבעלי המערכת נותן השרות, מערכות שיעמדו תחת בקרה ופיקוח של מערך הסייבר הלאומי ורשות הגנת הפרטיות, שיספקו מענה בטוח ומוגן בהרבה– למשל .על פי מודל ממשל זמין במערך הדיגיטל הלאומי 26 . בתקופת אכשרה זו תהיה אפשרות והזדמנות לכלל השחקנים לבנות נכון את המענים להגנת הסייבר והפרטיות (ואף בהיבטים טכניים ותפעוליים) הנדרשים מול ארוע כה רגיש, לממש ולתקן תוך כדי תנועה את ההגנה והפרטיות בטרם נחשפים לנקודת אל חזור בה כלל המידע פרוץ וחשוף, או חלילה אמון הציבור בתהליך נפגע אנושות כתוצאה מארוע סייבר שסבירותו גבוהה עקב האטרקטיביות הגבוהה לתוקפי .הסייבר 27 . לסיכום, מדינת ישראל, בוודאי במצב הבטחוני הרגיש והחשוף שלה כיום, לא יכולה להרשות לעצמה לשעוט ליישום תקשורת דיגיטלית רחבת היקף כמוצע בפרק ד1 לחוק מבלי שדאגה מבעוד מועד, בצורה אחראית ומקצועית, לשמירה על אזרחיה והמידע ,שלהם, כמו גם הגנה על הגופים הרבים השונים באיזונים וההגנות ולו הבסיסיות– .שאותה מדינה עצמה מתגאה ובצדק בהיותה מובילה עולמית טכנולוגית בתחום בכבוד רב