פייק ניוז, "מתקפות תודעה" וגניבת פרטים אישיים: האם האקרים יקבעו את תוצאות הבחירות בישראל?

"מי לדעתך מתאים להיות ראש הממשלה?" את השאלה הזו מקבלים רבים מאוד בשבועות האחרונים במסרון מאחת המפלגות, כאשר שמות המועמדים מופיעים אחריה כשהם ממוספרים והנמען מתבקש להשיב במספר שלצדו מופיע השם שהוא סבור שהכי מתאים לכהן בתפקיד. אבל השאלה ה"תמימה" הזו היא דוגמא אחת מני רבות למתקפות סייבר שניתן לבצע דרך הודעות ומסרונים, שבאמצעותן ניתן לגנוב בהמשך פרטים רבים ממכשיר הטלפון שאליו נשלחה ההודעה והנמען השיב מה שהשיב.

רגע לפני הבחירות, החשש ממתקפות כאלה גובר מאוד, גם מכיוון שמאחוריהן עלול לעמוד לא רק גורם ממפלגה מתחרה, אלא גם גורמים עוינים לישראל כגון האקרים איראנים ועוד, שמבקשים לפגוע במערכות המדינה ולאסוף פרטים ומידע רגיש של אזרחים, הנמצא בידי המפלגות ובמאגרי מידע נוספים.

השב"כ, מערך הסייבר הלאומי והרשות להגנת הפרטיות, שאמונים על נושא טוהר הבחירות והגנת הסייבר, מדריכים את המפלגות ומפרסמים נהלים שונים להגנה על המידע ועל פרטיות הציבור, אבל האם אפשר להיות בטוחים שהליך ההצבעה לא יושפע על ידי גורמים חיצוניים כלשהם באמצעות פעילות סייבר, כולל דליפה אפשרית של פרטים אישיים לידיים עוינות? התשובה העגומה היא ככל הנראה שלילית.

"תקלה טכנית"

בשנים האחרונות ישנן עדויות רבות לניסיונות שונים לפגוע בתהליך הבחירות הדמוקרטי. מדובר הן בשימוש בכלים טכנולוגיים המיועדים לפגיעה במערכות מידע המשמשות בתהליכי ההצבעה; והן על ניסיונות השפעה חיצוניים על אמון הציבור או על עמדותיו ביחס למועמדים והמוסדות הדמוקרטיים עצמם. במערכת בחירות כה צמודה, אפילו השפעה מזערית של הניסיונות הללו עלולה להכריע את הכף.

עדויות אלו מתחברות לנתונים בנוגע לאירועי סייבר עוינים, שלפיהם מספר מתקפות הסייבר השבועיות על ארגונים ישראליים זינק ברבעון השני של 2022 בלא פחות מ-56%. אין ספק שזהו נתון מבהיל שצריך להדיר שינה מעיני מנהיגי ישראל, ראשי חברות וארגונים שונים, וכמובן כל אזרח החרד לפרטיותו. לדברי גורמים מקצועיים בתחום מדובר במצב אבסורדי, שבו מדינה שיש בה את מיטב הידע והחברות המתמחות בהגנת סייבר, לא פועלת מספיק על מנת למנוע מתקפות המובילות לדליפת מידע רגיש.

כך, למשל, רק לאחרונה פורסם בתקשורת כי אתר אינטרנט חשף מידע מתוך ספר הבוחרים של הליכוד. על פי הפרסום, במנוע חיפוש פשוט באתר ניתן היה להקליד שם פרטי ושם משפחה ולראות האם אותו אדם זכאי להצביע בפריימריז, היכן קלפי ההצבעה שלו ואת 4 הספרות האחרונות של תעודת הזהות שלו. המשמעות: המפלגה שהעמידה את האתר אפשרה לציבור הרחב, בארץ ובחו"ל, לקבל מידע אישי על אזרחים בלחיצת כפתור. ה"תקלה הטכנית" הזו, כפי שטענו בליכוד, נחשפה בתוך זמן קצר, הרשות להגנת הפרטיות הורתה למפלגה להסיר את האתר מהאוויר – וכך אכן היה.

כזכור, זו לא הייתה הפעם הראשונה שבה דולפים פרטי מידע אישיים של אזרחים כחלק ממערכת הבחירות בישראל. בפברואר 2020 אירעה דליפה במערכות המידע של חברת אלקטור, שסיפקה למפלגות הליכוד וישראל ביתנו שירותים טכנולוגיים לניהול מערכת הבחירות באמצעות אפליקציה ייעודית שפיתחה. כחלק מאירוע זה, התאפשרה גישה למערכות המידע של אלקטור ודלף קובץ המכיל מידע מפנקס הבוחרים לכנסתה-23 על אודות יותר מ-6 מיליון בעלי זכות הבחירה בישראל.

המידע כלל, בין היתר, פרטים אישיים על אודות בעלי זכות הבחירה, כתובתם, מקום הצבעתם, וכן מידע אישי נוסף אודות הבוחרים אשר הוזן על ידי גורמים שונים כחלק מהשימוש באפליקציה - מספרי טלפון, כתובות דוא"ל, מידע על היותו של אדם "תומך" או "לא תומך" במפלגה, ואפילו מידע על אודות מצבו הרפואי של אדם, המעוניין מסיבות שונות בהסעה לקלפי. במקרה ההוא, הרשות להגנת הפרטיות קבעה כי חברת אלקטור ומפלגות הליכוד וישראל ביתנו הפרו את חוק הגנת הפרטיות.

"להשפיע על המצביעים"

לדברי רם לוי, מייסד ומנכ"ל חברת Konfidas, אשר עוסקת בהגנה ובניהול משברי סייבר, "בישראל, כמו בארה"ב, הסיכון המרכזי מול מתקפות סייבר איננו מתקפה על ספירת הקולות. הסיכונים הם, למשל, מתקפות שתומכות בנרטיב של צד אחד של המתרס הפוליטי לעומת הצד שכנגד.

"המטרה של מבצעי הסייבר היא להשפיע על ההתנהגות של המצביעים ולשכנע את מצביעי הימין או את מצביעי השמאל לא להצביע. במערכות הבחירות האחרונות בארה"ב, הרוסים ניסו לתמוך באינפורמציה שתגרום לשיעורי הצבעה גבוהים אצלה רפובליקנים ושהדמוקרטים לא יצביעו. דוגמה אחרת היא אירוע כמו זה שהיה סביב הטלפון של בני גנץ. מייצרים ענן מידע כדי לנגח אותו - ולא משנה מה האמת. מה שחשוב זה מהחלקים בציבור חושבים על המידע שמופץ".

התופעה איננה פוקדת רק את תהליכי הבחירות בישראל, כמובן. למשל, בפרשת "קיימברידג' אנליטיקה" שהתפוצצה בעשור הקודם, מידע אישי של יותר מ-80 מיליוני משתמשי פייסבוק, רובם אזרחים אמריקאים, שימש לשם תיוג פוליטי של אזרחים אלה, ללא הסכמתם, במטרה להשפיע עליהם דרך פרסומים פוליטיים. חששות דומים לניסיונות השפעה עלו גם בבריטניה, למשל ביחס למשאל העם על עזיבת האיחוד האירופי (ה"ברקזיט") וכן במערכות בחירות נוספות בעולם.

על פי חוק הגנת הפרטיות, התשמ"א-1981, כל גורם בישראל שיש ברשותו מאגר מידע הכולל מידע אישי ושעונה על קריטריונים שמפורטים בחוק ובתקנותיו - מחויב לרשום את מאגר המידע ולאבטח אותו באמצעות כלים, תהליכים ובקרות ברמה שמתחייבת על פי דין.  במקרה שלאירוע סייבר שפוגע במידע האישי במאגר, המכונה "אירוע אבטחה חמור" – כולל דליפת מידע אישי - חובה לדווח על האירוע לרשות להגנת הפרטיות. לגבי מידע שנמצא בפנקס הבוחרים, חלות הוראות נוספות שמחייבות פיקוח יתר על המידע האישי שבו, מחמת רגישות.

בדו"ח שפרסמה הרשות להגנת הפרטיות באוקטובר 2020 על ממצאי הליך פיקוח הרוחב בקרב המפלגות שהתמודדו לבחירות הכלליות לכנסת ה-23, נכתב כי "נמצאו פערים משמעותיים בין האופן שבו המפלגות מיישמות את החוק להגנת הפרטיות, התקנות והנחיות הרשם". הפערים האמורים נוגעים ישירות לסוגיית טוהר הבחירות, אשר היא עניין קריטי בכל מדינה דמוקרטית.

לוי, ששימש כמרכז ועדת הסייבר הלאומית של ראש הממשלה, מציין שיש ארבעה גורמים דומיננטיים שמנהלים מבצעי השפעה בישראל. ראשית הרוסים והאיראנים, וגם חמאס וחיזבאללה. "הרוסים רוצים להגיע לנטרול המערכת הפוליטית בישראל והניסיונות של האיראנים להתערב בזמנו במחאת 'הדגלים השחורים'. יש הרבה פעילות סייבר שלחמאס נגד חיילי צה"ל ולא הייתי שולל גם מעורבות של גורמים אמריקניים", הוא אומר. "מבצעי השפעה דורשים היכרות עם המערכות הפוליטיות ו'המשפיענים', וקל לתקוף מאגרי בוחרים שמושפעים מהמידע המופץ נגד אישיות אחת".

המערכת הפוליטית לא מגלה עניין

אף שבישראל קיים אולי הידע הטוב ביותר בעולם להתגוננות מפני סייבר, המערכת הפוליטית לא מגלה עניין מספיק לייצר את ההגנות המתאימות. "בישראל יש כמות גדולה של חברות עם יכולות ההגנה והידע הכי טובים בעולם, ויש את היכולות הטכנולוגיות", אומר לוי, "הפער שקיים בשטח הוא רק במוטיבציה".

אז מה ניתן לעשות? לדברי עו"ד דבורה האוסן-כוריאל, היועצת המשפטית וסמנכ"לית הרגולציה של Konfidas, "ראשית, על כל מפלגה למנות ממונה אבטחת מידע על פי מודל ה-data protection officer, תחת הרגולציה של האיחוד האירופי, ולפרסם שמו ואת דרכי הקשר איתו.

"שנית, מומלץ שכל מפלגה תכין, תפרסם ותטמיע מדיניות להגנת סייבר ואבטחת מידע שתכלול, בין השאר, תהליכים להתמודדות עם אירועי סייבר (כפי שאלה מוגדרים על ידי מערך הסייבר הלאומי) ואירועי אבטחת מידע חמורים עלפי דיני הגנת הפרטיות בישראל. שלישית, חשוב שמפלגות – כמו ארגונים אחרים במשק הישראלי – יקדישו משאבים למוכנות ארגונית מול פעילות עוינת במרחב הסייבר ויתרגלו את עצמם לקראת התמודדות עם אירועים".

עו"ד האוסן-כוריאל מוסיפה כי "רגע לפני הבחירות הכלליות, הגיעה השעה לשלב ברפורמה שכבר מתרחשת בדיני הגנת הפרטיות בישראל מרכיבים ספציפיים שיקדמו את ההגנות על מידע אישי במסגרת תהליכי הבחירות. מדובר בהזדמנות למנף את התקופה שבה תהליכים אלה נמצאים תחת זרקור ציבורי, ולהעמיק את התודעה הציבורית לגבי חיוניותה של השקעה מצד ארגונים, כולל מפלגות, באמצעי הגנה על המידע האישי שהם משתמשים בו וגם על המערכות שבהן הוא שמור.

"בנוסף, כאשר מתרחש אירוע סייבר או אירוע אבטחה חמור של דליפת מידע אישי שמחייבים דיווח לרשויות על פי דין, כל גוף במדינת ישראל צריך להכין את עצמו לקראת רמת מוכנות מרבית להתמודדות עם אירוע מסוג זה, ולהתאוששות ממנו.

"בשורה התחתונה, המטרה היא לתמרץ ארגונים -והמפלגות בראשם - להיערך בצורה טובה כדי להתמודד עם האיומים הקיימים במרחב הסייבר ולשתף מידע עם הרשויות כשהדבר נדרש על פי דין. היעד הלאומי המשותף לכולם הוא שיפור מתמיד ברמת הגנת הסייבר והמידע האישי של ישראל ואזרחיה, במיוחד מול איומים על מערכת הבחירות".

>>כל הבכירים, הפרשנויות - והסקר האחרון: הירשמו כאן לוועידת הבחירות של "ישראל היום" שתיערך ב-27.10<<