דן חי / צלם: יונתן בלום
פרשת דליפת תמונות העירום של דוגמניות וידועניות אחרות לרשת הצליחה להפתיע גופים רבים שאוגרים בעצמם מידע רב. אלה נוהגים לשמור את המידע שלהם בכל מיני "עננים", ולהרגיש שבכך הם עושים את הדבר הנכון ובעיקר הבטוח. הדליפה של אותן תמונות לרשת קצת שינתה את התמונה, אחרי ש"ענן" ששירת גוף מכובד כמו אפל, נפרץ.
גם גופים שמאכסנים את המידע שלהם בשרתים שלהם עצמם התעוררו לבוקר עם הרבה שאלות עצמיות, לאחר הפריצה לתמונות של הידועניות.
אלה וגם אלה שואלים את עצמם איך להגן על המידע שלהם, ויותר מכך - מה הם צריכים לעשות כדי להיות מוגנים מפני תביעה, שבה ייטען כי הם לא עשו את כל מה שהיו יכולים וצריכים לעשות כדי לשמור על המידע - אם וכאשר גם המידע שלהם ידלוף.
עד כמה המידע בטוח?
השימוש ב"ענן" לצורך אכסון מידע הפך לנפוץ מאוד בעולם ובארץ בשנים האחרונות. אותן חוות שרתים מספקות מענה לגופים שמחפשים פתרונות זולים יותר כדי לשמור את המידע הרב שמצטבר אצלם. השאלה עד כמה זה בטוח? שאלה אחרת היא האם זה יותר בטוח לאכסן את המידע בבית, בשרתים שגוף יוצר לעצמו?
נושא אבטחת מידע מצוי מאז ומתמיד במירוץ מקביל. מצד אחד פועלות חברות רבות ליצירת תוכנות שיבטיחו את המידע, ומנגד האקרים ודומיהם מפתחים דרכים לפרוץ למערכות מחשב ולהוציא את המידע. סייבר - זו המילה שכבר ניתנה למלחמה הזו. השאלה היא, למעשה, כיצד להיערך נכון במלחמה הזו.
המרחב הקיברנטי, בו מתקיימות מתקפות הסייבר, אינו מוגבל לתפיסת המציאות לה התרגלנו לאורך ההיסטוריה המודרנית. במתקפת סייבר אין "אויב בעין". העובדה שאין לדעת האם האחראי למתקפה הינו גוף ממשלתי-מדינתי, האקר משועמם בן 16, טרוריסט זדוני או אקטיביסט צדקן, מקשה עד מאוד על היערכות מוקדמת של ארגונים לקראת מתקפת סייבר.
נדרשת הסדרה בחוק
עקב כך אנו עדים לתהליך "התחמשות" של גופים רבים כנגד כל האיומים האפשריים, כאשר ישנה הבנה גוברת כי אין מדובר עוד בשאלה "האם" יתקפו את הארגון, אלא שאלה של "מתי".
ואולם, נוסף על כך השתכללה משמעות השאלה "איך" - במקום איך יתקפו את הארגון - ל"איך" הארגון ייערך לכך מבעוד מועד, בצורה נכונה ומקיפה ככל האפשר.
המציאות בעולם הסייבר מלמדת כי אין תוכנה המסוגלת להתמודד עם 100% מהאיומים ולהביא לנטרולם בזמן אמת, אלא ישנה חשיבות רבה להיערכות מוקדמת של הארגון, על כלל מרכיביו, לשם חזרה מהירה לשגרה במינימום נזקים.
הדין הישראלי קובע חובה כללית בלבד לאבטחת המידע. אין הוראות ברורות כיצד יש ליישם את החובה בפועל - או במילים אחרות, מה צריך לעשות גוף בנושא אבטחת המידע, כדי להיות חסין מפני תביעות, במקרה שגם הוא יסבול מחדירת האקרים לתוך מערכות המידע שלו. באופן דומה, אין הוראות ברורות לגופים שמתפעלים "עננים". מבחינות רבות הנושא פתוח לפרשנויות שונות.
כמו בכל דבר, ראוי שתהיה הסדרה בוררה בחוק ובתקנות של נושא אבטחת המידע. ואולם, למחוקק הישראלי לוקח הרבה זמן לשנות דברים, ולא ראוי להמתין לו בנושא הזה.
לכן, עד שזה יקרה, דומה כי גופים ששומרים מידע יצטרכו לקבוע דירוג עצמאי של המידע שהם שומרים ודרכי השמירה עליו. גוף שיידע לעשות זאת נכון, יהפוך למרוויח במבחן הזמן, הן לצורך תפעול המערכות שלו עצמו, הן מול אלה שהמידע שלהם שמור אצלו והן כלפי אחרים שיבקשו בהמשך להפקיד בידיו מידע בעתיד.
■ הכותב עומד בראש משרד עורכי הדין דן חי ושות', המתמחה בין היתר בהגנה על המידע האישי ומוכנות מפני מתקפת סייבר.