על טרור מקוון ותפקידה של המדינה

שוו בנפשכם שביום בהיר אחד מקבלים תושבי יישובי עוטף עזה הודעה מטעם ממשלת ישראל בזו הלשון: "מיום זה ואילך הנכם אחראים באופן מלא ובלעדי למיגון שלכם ושל כל אלה שאתם אחראים להם. תישאו בעצמכם בעלות המיגון. לא נספק לכם מידע כלשהו על סוג הרקטות והפצצות שמשגרים אליכם, או מידע כיצד להתמגן מפניהן. גם לא נציב סטנדרטים ברורים להתמגנות. אנחנו יודעים מראש שכל מיגון שתבצעו בעלות סבירה יספק לכם הגנה חלקית בלבד ולמרות זאת, אם מישהו במרחב שלכם ייפגע, אתם תישאו באחריות פלילית. מבחינת החוק תיחשבו כעבריינים ואתם צפויים לעונשי מאסר ולקנסות כספיים".

נשמע בלתי סביר?  התמונה הזו איננה רחוקה מגישתה הנוכחית של המדינה לאתרי אינטרנט וספקי שירותי אינטרנט הנתונים תחת מתקפת טרור מקוון.

המתקפות האחרונות מצביעות על כך שזו כבר איננה עבודה ספוראדית של האקר סעודו-מקסיקני אחד, אלא מהלך מתוזמר היטב, סביר להניח בסיוע ועידוד של מדינות עוינות. זהו גם לא גל המתקפות הראשון. מתקפה גדולה קודמת ארעה לדוגמה ביוני 2010 כאשר נפרצו כאלף אתרים ישראליים על ידי האקרים טורקים. מן הסתם, זו גם לא תהיה ההתקפה האחרונה.

היקף ההצלחות של הטרור המקוון הפרו-פלשתיני העלה את הנושא לראש סדר היום הציבורי. עם ההצלחות של המתקפות האחרונות ניתן למנות את הפריצה לחנויות אינטרנטיות וחשיפת כרטיסי האשראי והפריצות לאתרים של אל-על, הבורסה לניירות ערך, בתי החולים תל השומר ואסותא, קבוצת הארץ, חברת האוטובוסים דן ובימים אלה ממש - האתרים: ynet, כלכליסט ו- xnet.

מה המדינה עושה?

לפי שעה המדינה פועלת בכיוון אחד עיקרי - הגנה על תשתיות קריטיות ושירותים חיוניים. במסגרת זו פועלת לדוגמה הרשות הממלכתית לאבטחת מידע (רא"ם) תחת משרד ראש הממשלה. רא"ם היא הגוף האחראי על פי חוק להנחות גופים ממשלתיים וחברות פרטיות שבאחריותם תשתיות מחשב חיוניות מפני איומי אבטחת מידע הקשורים בטרור, חבלה, ריגול וחשיפה.

ככל שמדובר במידע המפורסם לציבור, אנו מוצאים בעיקר הצהרת כוונות ופחות מעשים של ממש. כך, במאי 2011, ראש הממשלה נתניהו הצהיר על הקמת מטה לאומי ללוחמה בטרור מקוון. חודש לאחר מכן הצהיר שהמדינה תשקיע 400 מיליון ₪ בבניית יסודות הגנתיים והתקפיים. בחודש ינואר השנה צה"ל הודיע שיקים יחידות ללוחמה בטרור מקוון ומשרד הביטחון הודיע שיקים מנהלת חדשה בתחום זה.

כל אלה, ככל שיקרמו עור וגידים, נועדו בעיקרו של דבר להגן על שרידותם של תשתיות ושירותים חיוניים – וזאת לצד היבטים התקפיים של הלוחמה. אולם טרור איננו מכוון בהכרח למטרות מסוג זה. מעצם מהותו הוא מיועד לפגוע בבני אדם, באשר הם, כדי ליצור את האפקט הרצוי – הרתעה, פחד, כאוס וכיוצא באלה. כך בעולם הפיסי, כך גם במרחב האינטרנט. המתקפה שאנו חווים עכשיו מאוששת את הטענה הזו מעל לכל ספק. אתרי אינטרנט שנפגעים, אינם שירותים חיוניים כלל, אלא אתרים ישראליים המספקים שירותים מסוגים שונים לציבור הישראלי.

מה המדינה לא עושה?

נכון להיום טרם פורסמה תוכנית כלשהי של המדינה, שנועדה לסייע ולהנחות גופים פרטיים כיצד לפעול לנוכח מתקפות טרור מקוונות. במקום, המדינה משתמשת בחוק הקיים כדי לחייב שירותי אינטרנט להילחם בטרור בעצמם. את זאת ניתן לעשות בנקל, שהרי קיימים דינים מן המוכן. לדוגמה, חוק הגנת הפרטיות, קובע חובה לאבטח את הנתונים האגורים במאגרי מידע. המפר חובה זו עלול למצוא עצמו נתון לחקירה של משרד המשפטים (רשם מאגרי המידע), לקנס כספי ואולי אף לכתב אישום פלילי.

גם במישור האזרחי נקל לבוא חשבון עם שירותי האינטרנט, שהרי אם אירעה פריצה למחשביהם, אך ברור הוא שהם התרשלו במלאכתם לאבטח את המידע. במאמר מוסגר, מומחי אבטחת מידע טוענים שבמידה רבה זו מלחמה אבודה, שכן קל הרבה יותר לפרוץ לאתרים מאשר להגן עליהם. כך, הגנה מפני סוג פריצה אחד, רק תעודד את ההאקרים לפרוץ בדרכים אחרות.

אולם אתרי האינטרנט הותקפו לא למטרות גניבה או הונאה. הם היוו מושא להתקפה בשל היותם שירותים ישראליים ומתוך מטרה לפגוע באזרחים ישראליים. דיני הגנת הפרטיות ודיני הרשלנות לא נועדו כלל להתמודד עם מתקפות מסוג זה. הם פועלים בספירה האזרחית-פלילית ולא במישור של ביטחון המדינה ולכן נעדרים לחלוטין הסדרים המחייבים התערבות פעילה של המדינה בהגנה על אזרחיה.

כך המדינה, לא רק שאיננה מספקת תשתית, הכוונה וסיוע הולמים מפני טרור מקוון, אלא היא משתמשת ומאפשרת שימוש בתשתית משפטית בלתי מתאימה כדי לתקוף את המותקפים.

מה המדינה צריכה לעשות?

ראשית וקודם לכל דבר אחר, הממשלה צריכה להכיר בכך שמדינת ישראל היא זו הנתונה תחת מתקפה. מייד לאחר מכן, על הממשלה ליטול על עצמה את האחריות להגן על אזרחיה מפני המתקפות הללו.

מתוך ההכרה הזו, על הממשלה לנקוט בשורה של צעדים שיסייעו לאזרחי המדינה להתמגן כיאות מפני המתקפה הנוכחית ומפני המתקפות הבאות שללא ספק תתרחשנה. סיוע זה צריך להתבטא במספר מישורים:

האחד – שיתוף במידע. על רשויות המדינה העוסקות בלחימה בטרור המקוון לספק מידע באופן קבוע ושוטף לגבי איומים קיימים של טרור מקוון ועל הדרכים להתמודד איתו. אספקת המידע תיעשה לכלל השירותים האינטרנטיים הרלבנטיים – אתרי אינטרנט כדוגמת אלה שנפגעו במתקפה הנוכחית, ספקי גישה, חברות אבטחת מידע ועוד. שיתוף במידע מסוג זה צריך להיעשות באופן מאורגן ומתואם באמצעות גוף ממשלתי מוסמך כדוגמת המנהלת החדשה ללוחמה בטרור מקוון.

את עבודת הגוף הממשלתי יש לגבות בחקיקה מתאימה המעניקה הגנה משפטית לאלה הפועלים בתום לב בהתאם למידע שהם מקבלים. כך, שירותי אינטרנט יזכו לחסינות מפני תביעות על שימוש במידע, מפני רשלנות אגב שימוש במידע וכן מפני סנקציות מנהליות ופליליות הכרוכות בהתמודדות על בסיס המידע עם מתקפות טרור מקוונות.

השני – הקמת מרכז מידע והדרכה. מרכז מסוג זה יפעל במסגרת ארגון הפועל שלא למטרות רווח ויכיל נציגים הן מגופים וחברות פרטיות והן מרשויות ממשלתיות.גוף זה יספק כר פורה למדינה ולחברות פרטיות לחלוק מידע ולספק לציבור מסמכי הדרכה והכוונה בתחום הלוחמה נגד טרור מקוון. מתוך ההכרה המעמיקה שתהיה לגוף מסוג זה עם התעשייה הרלבנטית, מחד ועם האיומים עליהם, גוף זה יכול לפתח סטנדרטים מתאימים בתחום אבטחת המידע, המותאמים היטב לסקטורים השונים.

השלישי – עדכוני חקיקה. הסטנדרטים הנ"ל יכולים להיות משולבים לאחר מכן בדברי חקיקה מחייבים, או בהנחיות מטעם רגולטורים רלבנטיים. במובן זה הם עדיפים במובהק על דבר חוק שמפותח ומנוסח על ידי גופים ממשלתיים. מדובר בהכוונה חקיקתית בנושא טכנולוגי ואין ספק שלתעשייה יש הבנה טובה ומעמיקה יותר באשר לכלי האבטחה הנדרשים, לעלות שלהם ולהתאמתם לגודל החברה ולתחומי עיסוקה.

הרביעי – יצירת תמריץ למותקפים לספק מידע על התקיפות. נכון להיום, חברות אינן ששות למסור מידע על פריצות למחשביהן מחשש לתביעות אפשריות ולפגיעה במוניטין שלהן. מנגד, מידע של חברה אחת על התקפת טרור מקוון שחוותה ועל אופן ההתמודדות איתה, יכול להיות יקר ערך לחברות וגופים אחרים. את התמריץ לאספקת המידע אפשר ליצור בשתי דרכים:

הדרך האגרסיבית יותר תחייב בחוק כל חברה למסור מידע על התקיפה לכל מי שעלול להיפגע ממנה. אי מסירת דיווח תהווה הפרה של החוק והנפגעים יהיו רשאים לתבוע את החברה בשל הכשל האבטחתי שבמערכותיה. בשיטה זו נוהגות מרבית מדינות ארצות הברית.

הדרך החלופית היא לחייב בחוק כל חברה למסור מידע על התקיפה אך ורק לרגולטור הרלבנטי, כדוגמת רשם מאגרי המידע שברשות למשפט טכנולוגיה ומידע. חובת הדיווח תלווה בהענקת חסינות מפני תביעות לחברה המדווחת לפי חוק, ובה בעת החוק ייצור מלשינון שיעניק הגנה לאדם שמדווח על חברה שלא מסרה דיווח כנדרש.

החמישי – הוראות חירום. יש להקנות לגוף הממשלתי המתאים, כדוגמת המנהלת החדשה ללוחמה בטרור מקוון, סמכות להוציא הוראות חירום לשם התמודדות בזמן אמת עם מתקפה. הוראות אלה יכללו פעולות שיש לעשות ללא דיחוי, כדי להתמודד עם מתקפה בעת התרחשותה, או בסמוך לאחר מכן והן יחולו על כלל החברות והגופים הרלבנטיים; אלה שיפעלו בהתאם להוראות החירום יהיו חסינים מפני תביעות בשל פעולתם.

בסיכומו של דבר, יש טעם רב לשנות את אופי השיח סביב מתקפות ההאקרים. זהו טרור מקוון במלוא מובן המלה ולכן על המדינה לעשות את השינוי התפיסתי הנדרש ולהירתם באופן אקטיבי להגנה על אזרחיה גם בהיבט הזה. מרבית כיווני הפעולה המוזכרים לעיל כבר מיושמים או נמצאים בתהליכי בחינה בארצות הברית, מתוך הכרה עמוקה בצורך ובתפקידה של המדינה. מוטב שגם ממשלת ישראל תפעל באותו כיוון.

גילוי נאות: הכותב מייצג גופים שנפגעו לאחרונה ממתקפת טרור מקוונת.