ברשת אין מרחב מוגן: מי מסכל את מתקפות הסייבר בישראל?
מתקפת סייבר עלולה לשתק שירותים ציבוריים, עסקים, לחשוף מידע אזרחי רגיש • האם מחכים למסרונים מזויפים שיובילו לפינוי מגדלים שלמים בת"א וייצרו כאוס?
,עודכן
0השמעה
בשבוע האחרון ניסו האקרים איראנים לחדור למערכות של חברות ישראליות ולשבש פעילות עסקית. נוסעים בתחנות רכבת ברחבי הארץ נתקלו בשלטים דיגיטליים, שהורו להם לצאת מייד מהתחנה בעקבות פריצה למערכת.
מערך הסייבר מתריע מפני פישינג ממוקד// מערך הסייבר הלאומי
אין בכך הפתעה גדולה. דוח של מיקרוסופט דירג ב־2025 את ישראל כאחת משלוש המדינות המותקפות ביותר בעולם במרחב הסייבר, וחלק גדול מהתקיפות הן נגד גופים עסקיים כמו חברות שירותים, ספקי תוכנה וגופים המנהלים מידע של לקוחות רבים.
במתקפת סייבר ב־2023 על חברת Signature-IT, ספקית שירותי מסחר מקוון ואחסון אתרים, הושבתו בין היתר אתר הקניות של "שפע אונליין" שמספק שירותי רכישה מקוונת לאיקאה ומערכות המחשוב של חברות כמו קרביץ וכתר פלסטיק. כמו כן, נפגעו מערכות מידע של ישראייר, אסם, קוקה־קולה וחברות נוספות. במקרים אחדים דלף לרשת מידע אישי של מיליוני לקוחות.
הנה הבעיה: ארגונים רבים במגזר העסקי כלל אינם כפופים לרגולציה בתחום הגנת הסייבר. כלומר, בחלקים נרחבים של המשק אין סטנדרט מחייב להגנה כזו, ומבקר המדינה התריע על כך שוב ושוב. בין היתר, נמצא כי גופים אינם עובדים לפי מתודולוגיות ההגנה שנקבעו, וכי מערכות המחזיקות מידע של מיליוני אזרחים אינן מאובטחות מספיק.
קצת לפני הסבב הנוכחי באיראן פרסם מערך הסייבר הלאומי תזכיר חוק להגנת סייבר לאומית. מטרתו אינה דרמטית במיוחד: ליצור מסגרת בסיסית שתגדיר חובות לניהול סיכוני סייבר בכלל מגזרי המשק, תחייב דיווח על מתקפות משמעותיות, ותאפשר למערך הסייבר לפעול כאשר מתקפת סייבר חמורה מאיימת על תפקוד המשק או על חיי אדם.
למרות זאת, חלקים בתעשייה הגדירו את ההצעה כרגולציה "דרקונית", ואחרים טענו כי מדובר בניסיון לפתור "בעיה שלא קיימת". זו טענה שקשה להבין, והיא אפילו מבטאת חוסר אחריות. זה כמו שלא יהיה תקן לממ"דים, לא תהיה חובה לבנות מקלטים, וכל בניין יחליט בעצמו כיצד להגן על דייריו. החוק המוצע גם אינו חריג ביחס לעולם. באיחוד האירופי, למשל, קיימת רגולציה בתחום כבר קרוב לעשור.
החוק אינו מבקש לנהל את מערכות הסייבר של החברות, אלא להבטיח שכל הארגונים במשק עומדים ברמת הגנה בסיסית ומשתפים פעולה כאשר מתרחשת מתקפה. במרחב הסייבר ארגון אחד שמתרשל באבטחה לא מסכן רק את עצמו אלא גם לקוחות, ספקים וארגונים המחוברים אליו.
תקיפות הסייבר שאנו רואים עכשיו הן תזכורת לכך שהחזית הדיגיטלית אינה שולית, ושאי אפשר לצפות מהמדינה להגן על המשק מפניה, אבל לא לצייד את מערך הסייבר בכלים לעשות זאת.
מתקפת סייבר אחת עלולה לשתק שירותים ציבוריים, לפגוע בעסקים, לחשוף מידע רגיש של אזרחים, לזרוע פחד, בהלה ובלבול. אז למה מחכים? להודעות סמס מזויפות שיובילו לפינוי מגדלים שלמים בפתח תקווה וייצרו כאוס דווקא בעת מתקפת טילים?
במציאות שלנו השאלה אינה אם יש צורך בחוק סייבר, אלא כמה זמן עוד נוכל להרשות לעצמנו להתווכח עליו. עכשיו, כשחוק הגיוס ירד (תודה לאל) מן הפרק, אולי תתפנה ועדת החוץ והביטחון לקדם במרץ את החוק הזה.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו