שטח ההפקר של "מעצמת הסייבר"

אי אפשר להקל ראש במתקפת הסייבר האחרונה, שבמסגרתה נגנבו בין היתר פרטי המשתמשים באתר ההיכרויות "אטרף" של הקהילה הגאה. לכאורה, אמנם מדובר בעניין פרטי של אנשים פרטיים ושל אתר מסחרי, אבל לכל דבר ועניין מדובר באירוע חמור בהרבה - שמחייב התייחסות רצינית מזאת שניתנה עד כה.

דווקא העובדה שהתשתית שהותקפה הפעם היא שולית יחסית - בהשוואה למתקפה על בית החולים הלל יפה, על חברת שירביט או על תשתיות המים העירוניות - מאפשרת להתבונן בה באופן ענייני, בלי היסטריה מוגזמת. ובחינה כזאת מעידה שישראל נמצאת בפיגור מדאיג בכל הקשור בהגנה מפני מתקפות סייבר, ובשמירה על פרטיות אזרחיה.

זה לא סוד שישראל נמצאת תחת מתקפות סייבר, שתכיפותן רק גוברת. הסיבות לכך רבות: החל מהעובדה שישראל היא מדינה מתקדמת שנשענת משמעותית על תשתיות מחשוב (גן עדן לתוקפים שמחפשים כופר), וכלה בריבוי האויבים והיריבים שמבקשים להסתייע באותן התשתיות כדי להשיג מידע או לגרום נזק. באלה ובאלה אין שום הפתעה; ישראל מכירה היטב את האיומים, ולכאורה גם ערוכה לתת להם מענה.

אלא שקיים פער מדאיג ומסוכן בדרך שבה מתייחסת ישראל לאיומים השונים על התשתיות השונות. לא שכל התשתיות זקוקות לאותה ההגנה; בדיוק כמו שהיחידה לאבטחת אישים מגינה על האישים שמהווים סמלי שלטון ולא על כל אזרח, גם מטה הסייבר הלאומי אחראי לאבטחת התשתיות הקריטיות ולא למחשב הפרטי של כל אחד מאיתנו.

אבל מכאן ועד להפקרות שקיימת כיום, הדרך ארוכה. מטה הסייבר מפיץ חדשות לבקרים מידע על האיומים, אבל חלק גדול מהגורמים פשוט מתעלם מהם. המתקפה על הלל יפה היא דוגמה טובה לכך: לו בית החולים היה טורח לעדכן את תוכנות ההגנה שלו מפני חולשות חדשות שנחשפו ופורסמו, הנזק היה נחסך. זה בדיוק מה שקרה גם לשירביט, ולגורמים נוספים, שלא שמרו מספיק טוב על עצמם (ועלינו).

הבעיה היא שאיש לא מפקח באמת על היישום, ובוודאי שאיש לא קונס את מי שלא מבצע את הנדרש ממנו. חוק הסייבר מלא פרצות בהקשר הזה: אין בו סמכויות אכיפה ממשיות, ואין בו תמריצים לארגונים שיקפידו וישמרו על עצמם ועל המידע שברשותם - שהוא המידע הפרטי שלנו.

קבלת החלטות לא בריאה

במצב הדברים הזה, מתבקש היה שהרשות להגנת הפרטיות תתערב ותפעל, אבל היא מתנהלת כאילו העניין אינו נוגע לה - גם כאשר עלולים להתפרסם ברשת פרטי המשתמשים באתר כזה או אחר, שלחלקם עלול להיגרם נזק אישי, תדמיתי או כלכלי כתוצאה מהחשיפה.
על פניו, ניתן היה לסגור את האירוע הנוכחי בתשלום כופר - אבל זה לא יקרה.

בשונה מהמתקפה על הלל יפה, נראה שלאירוע הנוכחי אחראית איראן - באמצעות קבוצת Black Shadow שפועלת מטעמה (וכבר תקפה בישראל בעבר). החוקים לאיסור הלבנת הון ואיסור מימון טרור מונעים תשלום לגורמים שקשורים באיראן, וממילא ספק אם מטרת התוקפים היא לקבל כסף; סביר יותר שהם מעוניינים בעיקר להביך את ישראל, ולהציגה כמי שאינה יכולה להגן על אזרחיה.

זה בדיוק מה שניסה לעשות הגורם שתקף והשבית בשבוע שעבר את תחנות הדלק באיראן: להציג את ממשלת איראן ככלי ריק. אתמול (ראשון) האשימה איראן את ישראל כמי שעומדת מאחורי התקיפה, ומתבקש אם כך לשאול אם קודם לתקיפה הישראלית נערך דיון מסודר בהישגיה הרצויים, ובסכנות שהיא טומנת בחובה - מחשיפת יכולות ועד למתקפת-נגד איראנית כנקמה. אפשר להניח שהתשובה לכך שלילית.

לישראל אין מדיניות סדורה בעולם הסייבר, ופעילותה - כמעט כמו בכל תחום ביטחוני אחר - לא נעשית כחלק מראייה אסטרטגית, אלא לרוב מניצול מזדמן של הזדמנויות ומלחצים שונים. זה מתכון לא בריא לקבלת החלטות; לא רק משום ההישג השנוי במחלוקת בהתקפה, אלא גם משום החורים שנחשפו כתוצאה ממנה בהגנה.

כאמור, המדינה לא יכולה להגן על כל אזרח בכל רגע נתון. גם כאשר מתבצעת תקיפה קינטית בסוריה או מחוסל בכיר בארגון אויב, יש חשש שתגובת-הנגד תוביל לנפגעים ישראלים. אבל מצופה ממנה לכל הפחות לנקוט צעדים שיצמצמו את הסיכון, בוודאי בעולם כל כך פרוץ ואטרקטיבי כמו עולם הסייבר. ואת כל אלה ישראל מאחרת לעשות - בחקיקה, באכיפה וגם בדרך קבלת ההחלטות. היא תתעורר רק אחרי שייגרם נזק משמעותי לתשתיות ולאזרחים, וחבל.