משחקי הסייבר - מתקפת המחוקקים

דן ארידור 758
משחקי הסייבר - מתקפת המחוקקים

בסוף פברואר 2016 פרסמו מספר חברות אבטחה פרטיות הודעות בהולות ללקוחותיהן אודות פעילות חריגה של תוכנות וירוס שונות ביניהן וירוס כופר. וירוס זה מוכר ונפוץ כבר תקופה ארוכה והצליח לחדור גם למערכות של גופים גדולים. בסוף פברואר החלה התפשטות אגרסיבית במיוחד אשר פגעה באלפי עסקים. וירוס כופר מבצע נעילה של הקבצים ברשת המחשבים באופן מוצפן ודורש תשלום באמצעות ביטקוין לשחרור החסימה. וירוס הכופר חצה גם גבול שלא חצה בעבר והוא התפשט גם למחשבי אפל מק. על פי חברת ההגנה ESET למעלה מ 11% מכלל ההתקפות בעולם זוהו בישראל, אחוז חריג מאוד. במקביל פורסם כי זוהתה פעילות האקרים שמכוונת למחשבים של בכירים ישראלים ספציפיים. בין בכירים אלו הוזכר כי גם מחשבו של רמטכ"ל לשעבר שנפרץ על ידי האקר איראני.
אל מול התגברות האיומים ובמקביל להתרחשויות אלו פורסמו מספר צעדים שבהם נוקטת ישראל בכדי להתארגן טוב יותר כנגד מתקפות ואיומים:

  • הרמטכ"ל אייזנקוט הודיע על הקמת זרוע הסייבר. בריאיון מיוחד לוואלה סיפר ראש מחלקת הגנה בסייבר שצה"ל נערך גם לתקיפות ול"מארבים". כמו כן הוא סיפק הצצה לפעילות החשאית לסיכול מתקפות שעלולות להשבית אפילו את כיפת ברזל.
  • במקביל פרסמה ממשלת ישראל על כוונתה לקדם את חוק הסייבר באמצעות הרשות הלאומית להגנת הסייבר. רשות חדשה זו מטרתה ריכוז כל נושא הסייבר במדינת ישראל.

 
מה כולל חוק הסייבר החדש?
חוק הגנת הסייבר החדש המוצע הוא חשוב, מעניין, תקדימי ובעייתי בעת ובעונה אחת. החוק החדש מורכב ולא נעמוד על כל מרכיביו רק על מספר היבטים קריטיים בו:

  • תעודות הסמכה - יוקם מרשם לאומי פומבי של הפרטים הכשירים לעסוק במקצועות הגנת הסייבר.
  • הסמכה כרגע איננה תנאי לתעסוקה פרטית - הסמכת פרט והכללתו במרשם לא תהווה תנאי לעיסוק במקצועות הגנת הסייבר בשל חוק חופש העיסוק. אולם, בכל הקשור למשרדי ממשלה רגולטורים ומשרדי ממשלה יחייבו בהעסקת בעלי מקצוע מוסמכים. לצד זאת, המרשם הממשלתי יהווה סטנדרט מחייב לעוסקים בתחום במשרדי הממשלה ובגופים "רגישים" (גם פרטיים). בתום חמש שנים כלל העוסקים בהגנת סייבר יידרשו להיות מוסמכים. 
  • חופש פעולה לרגולטור - כעיקרון ככל שיימצא לנכון בכל תחום פעילות יוכל לרגולטור לדרוש הסמכות כולל גם במגזר הפרטי (גם אם לא יבוצע מידית).
  • גופים קריטיים - בתוך כך, גופים ייחודיים שיוגדרו על-ידי הרשות הלאומית להגנת הסייבר תחת מטה הסייבר הלאומי כ"בעלי נזק פוטנציאלי משמעותי כתוצאה מפגיעה במערכות הממוחשבות שלהם", בהתאם לאופי פעילותם, יחויבו לעמוד בהסמכות רלבנטיות.
  • הגבלות על ייצוא ושיתוף תוכנות התקפיות או תוכנות ביון.

לקריאת מדיניות אסדרת מקצועות הגנת הסייבר במדינת ישראל, לחצו כאן.
 
תגובת השוק הפרטי – 
מספר חברות פרטיות קראו לכנס חירום של ראשי התעשייה וגבשו עמדה עקרונית שלהן (לקריאת התייחסות  Cymmetria  לטיוטת הנוסח להגדרת מוצרים וידע לפיקוח בתחום הסייבר, לחצו כאן). בין הנושאים שעלו ונטענו:  

  • האסדרה הישראלית בנושא זה תהיה ייחודית ומרחיבה יותר ביחס לאסדרה הנהוגה בעולם, כאשר הטיוטה אף מנוסחת ברוח ובמגמה הפוכה מן המגמה אליה נעה האסדרה העולמית של תחום זה. בהקשר זה טוענים גורמים מהמגזר הפרטי כי האסדרה הישראלית מרחיבה הרבה יותר מזו שהוצעה על ידי הממשל האמריקאי ונדחתה בלחץ של חברות פרטיות אמריקאיות.
  • עצם הרישום והדיווח למדינה כשלעצמו הוא בעייתי מבחינה עסקית עבור החברות הישראליות ועבור המשקיעים הזרים.
  • הרגולציה עלולה לגרום לחברות רב-לאומיות להוציא את פעילותן מישראל למקום בו יש פחות רגולציה. מה שהן יעשו בפועל זה להפוך את ישראל לזירה של איתור כשרון בלבד.
  • הרגולציה החדשה עלולה לגרום לכך שחברות יפתחו מוצרים לפי שיקול דעתן בנוגע לאילו מוצרים לא יהיו כפופים לרגולציה, וזאת, במקום לפתח מוצרים לפי צורך שוק אמיתי.  שכן יהיה להן יותר קל למכור את המוצרים שלא טעונים פיקוח.
  • קיימות השגות מקצועיות אודות הסיווגים השונים של כלי הגנה והתקפה וכלי ניטור וניתוח.
  • ביקורת עקרונית נוספת עולה משיחות עם מומחים שונים ואחרים בתחום:

   

  • הסייבר זו מילה מאוד גדולה שמכילה מגוון תחומים רחב כמו גם טכנולוגיות וסיכונים. אין טעם לאסדרה מרכזית ולא גמישה כי כל חברה חובה סיכוניו ואיומים שונים, והיא בעלת אמצעים ומשאבים שונים של התמודדות.
  • כיצד מתמודדים עם עולם הענן?
  • התחום כל כך משתנה ומתפתח שקשה לראות אסדרה מהירה מספיק. אם כבר היא תאט את קצב ההגנה.
  • האסדרה ותאלץ חברות להשקיע משאבים במקומות שהם בוודאות אינם רלוונטיים עבורן.
  • לא ניתן למדוד בפועל רמת הגנה.
  • תחום ההגנה מתקיפת סייבר נע לכיוון של איתור חדירה ותגובה מהירה והאסדרה לא רלוונטית כלל. אם כבר היא תמנע את הגמישות הדרושה שתאפשר הגנה יעילה אם למדינה ואם לחברות קריטיות.
  • חופש הפעולה שניתן לרגולטור הוא גדול וכשנותנים חופש פעולה רגולטורים ממלאים אותו תוכן.
  • מייקרוסופט וחברות ענק אחרות השקיעו ומשקיעות בישראל סכומים גדולים הן לא יסכימו לסכן את ההשקעות שלהן בהחלטות של פקידי ממשל ישראלים בעלי כוונות טובות ככל שיהיו.

 בסדרות של כנסים עם ראשי התעשייה ניסו ראשי אגפים במשרד הביטחון להסביר ש 99% מכלל הסייבר לא יושפעו מהחקיקה החדשה וכי הם יקיימו נהלים זריזים בכדי להסדיר רישיונות יצוא.

הפס הרחב
על פי חברת המחקר MarketsandMarkets  תחום הגנת הסייבר הוא אחד התחומים החמים בעולם והוא אמור לצמוח בקצב של למעלה מ 10% לשנה עד שנת 2020. הקף שוק מוערך לשנת 2020 של למעלה מ 170 מיליארד דולר.
ייתכן ויש צורך להביט על המאבק על הגנת הסייבר ברוחב פס רחב יותר מהטיעונים הטכניים גרידא . אפשר לראות במאבק זה כהתנגשות של תפיסות עולם מנוגדות לא רק בהקשר הביטחוני גם בהקשר המגזר הפרטי מול הממשלתי, היוזמה הפרטית מול הנטייה של ממשלות ובירוקרטיות לשלוט מנהלית.
ואולי רגולציית הסייבר המתגבשת היא חלק מניסיון רחב יותר לשליטה מנגנונית על מגזר ההי טק שכה חמק מידי הרגולטור הישראלי לאורך זמן כה רב. הטיב לבטא גישה זאת המדען הראשי במשרד התמ"ת מר אבי חסון:

  • ב- 22 ינואר 2016 אמר המדען הראשי של משרד המסחר והתעשייה מר אבי חסון בראיון בדה מרקר: "אני אומר שההייטק מנותק מאוד מהממשלה הוא לא נעזר בה הוא לא רוצה לשמוע אותה לא מאמין בה. אבל לממשלה יש תפקיד נורא חשוב....חשוב שיהיו בממשלה אנשים טובים, תקציבים גדולים להקפיד שהיא עושה את הדבר הנכון שתהיה לה יכולת לשרטט תכנית ולבצע.
  • במקביל דיברו מספר בכירי משק ישראלים ביניהם ח"כ ופרופסור מנואל טרכטנברג מי שעמד בראש ועדת טכנטנברג על כך ש: "האקזיטים הם אסון לישראל - המתעשרים מוכרים את העתיד של המדינה".
  •  גם פרופסור יוגין קנדל מי ששימש לשעבר ראש המועצה הלאומית לכלכלה אמר בראיון לפני  מספר ימים: "נכון אמנם שעליית ההיי-טק יצרה שכבה חדשה של עשירים והגדילה את הפערים בחברה, אך אין טעם להאבק בזה: בין אם אנחנו אוהבים את זה או לא, זו עובדה. השאלה הרלוונטית היחידה היא האם אנחנו רוצים שהם יעשו עסקים בישראל או במקום אחר".

 
מגמות ניהוליות נוכחיות של השוק הפרטי בעולם.
השוק הפרטי למד להגן על עצמו מפני איומי סייבר דרך הצורך להבטיח ללקוחות הארגונים שהארגון עושה כמיטב יכולתו בכדי לשמור על פרטיות ונכסיו של לקוחותיו. במסגרת נהלים מיושמים וקיימים אלו , ולמרות שאינם קשורים ישירות לתעודות הסמכה מטעם מדינה, מנסה ככלל השוק הפרטי (אם בארץ ואם בעולם) ממניעיו הוא, לבצע הליכים וגישות מסודרות ומתועדות שמטרתן הגנת סייבר.
ברמה המעשית נועדו מאמצים אלו למנוע דליפת פרטים ואיבוד לקוחות כמו גם לספק הגנה משפטית ראויה במידה ואכן מתרחשת פריצה שאכן ההנהלה והדירקטוריון ביצעו מאמץ ראוי מסודר ומתמשך להגנה על הארגון ועל לקוחותיו. המאפיין, באופן כללי, מאמצים של חברות פרטיות אלו שאינן מוגדרות כמשאב לאומי או רכיב קריטי בכלכלה כיום:

  • זיהוי רכיבים קריטיים או ליבות הגנה המחייבות הגנות חזקות.
  • מיפוי של נזק אפשרי ודרכים להתמודד כאשר מאותר נזק מפריצת סייבר.
  • מיפוי של יריבים/אויבים אפשריים והמוטיבציות שלהם.
  • הרמת מכשולים בפני האקרים מזדמנים.
  • מאמצים כנגד גניבה פנים ארגונית של עובדים ו/או עובדים מפוטרים גם באמצעות רמות והרשאות גישה שונות.
  • ביצוע של העלאת מודעות עובדים והקפדה על כללי סייבר.
  • תיאום וביצוע של מדיניות מתואמת כלל ארגונית.
  • הסתייעות במומחים בתחום.
  • ביצוע של בדיקות חדירות.
  • יישום של נהלי עדכון שוטפים.
  • ניטור מתמיד של פעילויות הסייבר הארגונית ושימת לב לאנומליות ו/או ניסיונות חדירה.

 
אחרית דבר - סייבר תחילה.

  • הרגולציה בתחום ההי טק הישראלי מתרחשת כנגד עיננו. כרגיל במקומותינו התירוץ הביטחוני משמש עילה מרכזית ונרחבת והסייבר הישראלי הוא רק נקודת החדירה. הנזק בראייתנו עלול להיות עצום ובלתי הפיך.
  • קשה לנו להאמין שרגולציה זו תיסוג לאחור בגלל התנגדות חברות פרטיות ישראליות בבעלות ישראלים.
  • עם זאת גם להחלטות בירוקרטיה יש הגיון קיומי והמגבלות הטבעיות שינבעו מ: הרגולציה הבינלאומית בתחום, התנגדות חברות בינ"ל המושקעות בישראל, ואיום על העברת מרכזי פיתוח מישראל בתחום הסייבר כמו גם הדינמיות העצומה של התחום יקבעו את גבולות הרגולציה הרשמית וזו שתבוצע בפועל.
  • אנו מאוד מקווים שבמהלך קביעת הגבולות הללו יהיה הרגולטור הישראלי קשוב אם במשרד הביטחון או במקומות אחרים לחברות השונות בכדי שלא ייוצר מצב של יציאת חברות פיתוח מישראל. כשמתחילה ההגירה הזו קשה להחזיר אותה לאחור.
  • רגולציית ההי טק בישראל תתחיל כמו שהיא מתחילה בכל מקום עם ממשלה שהיא חלק משמעותי מהשוק ומעסיק גדול בו מרגולוציה של הממשלה על עצמה ועל מוסדות קריטיים ואישור העסקה למי שהוא בעל תעודה מתאימה.
  • הרגולציה הזו תנסה להתפשט אח"כ גם דרך רגולטורים ואסדרה גם למגזר הפרטי דרך מוסדות שיוגדרו כנכסים קריטיים כגון בנקים, קופות פנסיה ועוד.
  • אנו מאמינים שנושא רישום עוסק הסייבר בוא רק פתיח בניסיון של הבירוקרטיה הישראלית למפות את כל העוסקים בתחום בישראל בעיקר במגזר הפרטי. שכן אלו שעובדים עבור הממשלה בצורות שונות ידועים למדינה ולרשויות היטב.
  • מטבעם של דברים קשה לאמוד לוחות זמנים לאסדרות אלו – מספיק אירוע אחד שבו יהיה נזק משמעותי בכדי לקדם מידית רגולציה וחקיקה בנושא. כרגע לוחות הזמנים לתחילת יישום בממשל הישראלי הוא תחילת 2017 כאשר המטרה היא תקינה מלאה בתוך 5 שנים.
  • גם במקום שהממשלות לא יחוקקו הן מסיבותיהן יניחו לרגולטורים של הממשלה מרחב פעולה מספיק גדול בכדי למלא את החלל.
  • טוב יעשו חברות ודירקטוריונים אם יוודאו שאכן חברות מבצעות מאמץ מתמשך ומסודר בתחום האבטחה.
  • מומלץ לעקוב אחר מגמות בתחומים אלו בעולם. חבל שממשלת ישראל והרגולטורים השונים לא עושים את זה גם.