גלובס - עיתון העסקים של ישראלאתר נגיש

עמוד הבית  טכנולוגיה

האם חוק הסייבר יוכל למנוע את פרשת NSO הבאה?

מומחים מודים שאין כמעט דרך למנוע לחלוטין מצב של גניבת מידע רגיש בידי עובד ● גם החוק המתוכנן, שיספק למערך הסייבר סמכויות נרחבות שמעוררות ביקורת, כנראה לא יפתור את הבעיה הזאת ● אם כך, במה הוא כן יעזור?

פורסם בתאריך: 10.07.2018, 12:00 מאת: אורי ברקוביץ'
חוק הסייבר / צילום: Shutterstock/ א.ס.א.פ קרייטיב
חוק הסייבר / צילום: Shutterstock/ א.ס.א.פ קרייטיב

מחר, ב-11 ביולי, תגיע לסיומה התקופה שהוקצתה לציבור להגיש את השגותיו והערותיו על תזכיר חוק הסייבר, שנועד להסדיר את פעילותו של מערך הסייבר הלאומי - גוף בטחוני, שבדומה לשב"כ כפוף למשרד ראש הממשלה. מערך הסייבר איחד לרשות אחת את פעילותם של שני גופים שהיו פעילים בעבר, מטה הסייבר ורשות הסייבר, שאוחדו ב-2012. הגוף, בראשותו של יגאל אונא, מתנהל מאז מכוח החלטת ממשלה - אך ללא חוק מסודר. החוק המוצע, שנוסח על ידי היועץ המשפטי של הרשות, עמית אשכנזי, אמור להסדיר את פעילות הרשות בדומה לאופן שבו חוק השב"כ מסדיר את פעילותו של גוף זה.

פרשת העובד בחברת NSO, שגנב תוכנת ריגול מקיפה מהחברה בה עבד וניסה למכור אותה ברשת האפלה, מעלה את השאלה: האם וכיצד יכול היה מערך הסייבר של ישראל לסייע במניעת המקרה? האם לאחר שיתקבל חוק הסייבר, שהליך חקיקתו יוצא לדרך בימים אלה ושכבר סופג ביקורת על היותו נרחב מדי, יהיו בידי המדינה סמכויות שיוכלו להפחית את הסיכויים או למנוע הישנות מקרים שכאלה? על פי משפטנים ומומחי סייבר, התשובה לכך שלילית.

"חוק הסייבר לא יעיל נגד עובדים שמחליטים לקחת מידע מהמעסיק שלהם", אומר ל"גלובס" האקר שביקש להישאר בעילום שם, "זה אולי יתאפשר רק אם כל חברה תיתן גישה למדינה לכל מחשב, לכל פורט, לכל מצלמה במשרד. זה כבר מעבר לאח הגדול, וגם אז זה כנראה לא יעבוד".

מערך הסייבר דורש מידע, אך לא אכיפה 

מבקרי חוק הסייבר מזהירים שהנזק שהוא עלול לגרום למרקם החיים הדמוקרטיים יהיה גבוה הרבה יותר מהתועלת לאבטחה. חוק הסייבר בנוסחו הנוכחי חל על יריעה רחבה של גופים בישראל, ולא רק על גופים ממשלתיים ותשתיות אזרחיות קריטיות. כך למשל, אחד הסעיפים המרכזיים בתזכיר החוק מכניס תחת כנפיו את כל הגופים המבוקרים על ידי מבקר המדינה ובכללם ארגוני עובדים. סעיפים אחרים מאפשרים לראש הממשלה ולשר המשפטים להוסיף גופים נוספים על פי שיקול דעתם אם "הארגון מספק שירותים בהיקף משמעותי בישראל, ושיתופו במערך הגילוי והזיהוי יתרום תרומה של ממש לגילוי ולזיהוי של תקיפות סייבר, ולהתמודדות עמן במסגרת הגנת הסייבר".

בהינתן המצב הזה, נשאלת השאלה מה התועלת במתן סמכויות רחבות כל כך למערך הסייבר, אם ככל הנראה אין באפשרותו למנוע את הפרשה הבאה בתחום. על כך עונה בכיר בעולם אבטחת המידע: "מניעה של אירוע מסוג כזה (פרשת NSO) אינה נמצאת בתחום הטיפול הישיר של המערך; המערך, בהיותו גוף מדינתי, יכול לסייע במזעור נזקים, אם כי לא באופן מלא ולא לבדו. לעומת זאת, המקום שבו המערך יכול לבוא לידי ביטוי באופן המשמעותי ביותר הוא תחת הכובע המכונה 'אסדרה' - כלומר, קביעת מדיניות. הנחיות לגופים המבוקרים, בקרה וסנקציות במקרה הצורך, יכולות לסייע להידוק האבטחה הפנימית, במיוחד בארגונים המוגדרים רגישים. מובן שאז נשארת השאלה הכבדה - אילו גופים יסווגו כרגישים ויוכנסו תחת כנפי ההנחיה, ולא רק תחת הבקרה של המערך על יצוא כלי סייבר. זו שאלה שכרגע המענה עליה חלקי בלבד".

ד"ר מוטי גבע, מנכ"ל סטארט-אפ הסייבר "ברמיזא" ולשעבר איש מטה הסייבר ומקימי ה-CERT (צוות חירום לטיפול באירועי מחשב) הלאומי, שותף לדעה שבכל מצב שהוא מערך הסייבר לא יכול להחליף אחריות ארגונית לאבטחת מידע, במיוחד בחברות רגישות. "לגבי המקרה של NSO, לפי מה שאני מבין ממה שפורסם בתקשורת, הבעיה העיקרית הייתה שמערכות החברה התריעו כאשר העובד חיבר את התקן האחסון בניגוד למדיניות החברה, אבל לא נעשה דבר עם ההתרעות האלה עד לשלב מאוחר מאוד בחקירה שבוצעה בידי החברה. זו נקודת התורפה העיקרית שעליה יש לקהילה המקצועית ביקורת על NSO. 

"מדובר בניטור פנים ארגוני, וחשוב להדגיש שהמערך לא אמור להחליף ניטור כזה, זה לא תפקידו. תפקידו הוא להשתמש בכלים שמדינה יכולה להשיג ואחרים לא - מידע שמוגבל לשחקנים בינלאומיים. מדובר בעיקר באינדיקציות על קיומם של תוקפים שמערכת ארגונית לא תדע לזהות. לכן אירוע כמו NSO (שבו התוקף זוהה בידי המערכת) היא לא תנטר".

איך מערך הסייבר כן מסייע לארגונים?
"רוב הארגונים אומרים לעצמם שהם צריכים להתמודד עם תוקפים אזרחיים - הכוונה לפושעים. התוקף הפושע זה משהו שסביר שהם יצליחו להתמודד איתו. אבל כשזה מגיע למתקפות מצד מדינות, גם בנקים אומרים - 'זה מחוץ ליכולות וההבנה שלנו ואין לנו את הכלים המתאימים'. ואז הם פונים למדינה ואומרים 'בואי את ותגני עלינו'".

אלא שפה, בנקודה שבה הארגונים מבקשים הגנה, הדברים מתחילים להיות מורכבים. "צריך להבחין בין מתקפה לבין תוקף", גבע מסביר, "מערך הסייבר יכול לסייע במניעת או בנטרול התקיפה - המעשה עצמו. השב"כ או המשטרה מוסמכים לטפל בתוקף. אבל מה קורה באמצע? לפי תזכיר החוק יהיו למערך סמכויות לקבל מידע אבל אין לו סמכות אכיפה. זאת אומרת שהוא לא יכול לשים בכלא אדם על סמך מידע אודותיו כפי שרשויות אחרות יכולות לעשות. הרשות לניירות ערך, למשל, יכולה לחקור ולהגיש כתב אישום, וגם לרשות להגנת הפרטיות יש סמכויות אכיפה. המערך, לעומת זאת, לא מבקש סמכויות אכיפה אלא סמכויות לדרוש ולקבל מידע מארגונים בהסכמה.

"השאלה שעולה היא אם מידע שיגיע למערך יזלוג לרשויות האכיפה. האם מותר למערך להעביר מידע? על פי חוק הסייבר משרדי ממשלה ינוטרו, מה שאומר שהמידע על כל האזרחים יגיע למערך במידה כזו או אחרת. התזכיר לא מציין איך הניטור ייראה בפועל אלא מדבר על הסמכות לנטר. התוצאה עלולה להיות ניטור אגרסיבי של כל האזרחים במדינת ישראל".

סכנה לחשיפת סודות מסחריים

עו"ד יהונתן קלינגר מהמרכז לזכויות דיגיטליות, שהיה פעיל בשנים האחרונות במאבקים בולטים להגנה על הפרטיות בעידן הטכנולוגי (המאגר הביומטרי, למשל), ספקן מאוד בנוגע ליכולת של המדינה להציע ערך מוסף מעבר למנגנונים הקיימים שהביאו לתפיסת העובד. "נניח שמערך הסייבר של מדינת ישראל היה מגלה את האירוע לפני NSO, ונניח שעובדי המערך היו יושבים ברשת האפלה ומגלים לא רק שדבר כזה עומד לקרות, אלא שמדובר בעובד החברה. מה היה באפשרותם לעשות? על פי תזכיר החוק הם היו מגיעים למשרדי החברה, תופסים את המחשבים ומשבשים את העבודה התקינה. השאלה היא מה הם יכולים לעשות שהוא שונה וטוב יותר לעומת מה שהחברה עשתה כבר ממילא בעזרת חוקרים פרטיים. אני לא רואה איך חוק הסייבר היה מונע גניבת מידע כזו. אין כמעט דרך למנוע באמצעות סייבר את מה שמכונה 'בעיית העובד'".

כמובן, גם בהקשר לחוק הסייבר קלינגר חושש מתרחיש של פגיעה בפרטיות ואף בדמוקרטיה. "יש הבדל בין מצב ראוי בהחלט, שבו חוקרים מטעם המדינה ינסו לקנות רוגלות ברשת האפלה, לבין מצב שבו רשות הסייבר באה אליך ואומרת שמותקן לך וירוס על המחשב, וכיוון שאתה עובד בעיתון אנחנו רוצים גישה למחשב שלך. הם כמובן יבטיחו שהם לא יחשפו מקורות עיתונאיים, ולא יעבירו את המידע הלאה. 'תסמוך עלינו', הם יגידו".

גבע מסכים: "יש לרשות סמכות לאסוף מידע אבל עדיין לא ברור האם המידע יכול לדלג מחר בבוקר למשטרה. למצדדי הזכות לפרטיות יש קייס להעמיק את הבירור בשאלה מה זה אומר. למיטב ידיעתי, כיום אין למערך סמכות בחקיקה ראשית לפרוס מערך גילוי וזיהוי ולנטר ארגונים, והוא פועל מכוח החלטת ממשלה. פריסת מערך שכזה היא חלק מהסמכויות שהמערך מבקש לקבל בחוק בסעיפים 17-18 בתזכיר. עם זאת, זו פעולה שעלולה להיתפס על ידי הארגונים המנוטרים כסיכון לפרטיות המידע הנמצא בארגון ולסודותיהם המסחריים". 

 ביקורת אחרת ששמענו מגיעה מצד חברות סייבר, שמתחילות להרגיש קצת מיותרות. הן צריכות להתמודד עם תחושה במשק שאם יש מערך סייבר מוסדר, אז החברות צריכות לדאוג פחות לאבטחה.
"המערך לא יגיד אף פעם לארגון לוותר על מערכות פנימיות. מצד שני, חברות סייבר אולי יצטרכו להציע ערך קצת אחר ולדעת למכור את עצמן באופן שונה. הן צריכות לחשוב בהיגיון: הרי אם השוק היה יודע להציע הגנה הרמטית באמצעות כמה מאות אנשים, חברות רב-לאומיות גדולות כמו IBM היו כבר מזמן מקצות לנושא 500 איש ופותרות לכולם את כאב הראש. אבל אני בהחלט מבין את החשש שלהן".

עוד כתבות

רחובות טהרן / צילום: ap, Vahid Salemi

"משהו גדול בדרך": האתר שמנסה לחזות מתי תהיה תקיפה באיראן

StrikeRadar, פלטפורמה ניסיונית מבוססת בינה מלאכותית שפיתח מנהל מוצר ישראלי, הציגה היום תנודתיות חדה במדד הסיכון לתקיפה אמריקאית באיראן, שהגיע עד ל-49%

נגיד בנק ישראל, פרופ' אמיר ירון / צילום: יוסי כהן

בתחילת השבוע ההסתברות להורדת ריבית בישראל הייתה 80%. המצב השתנה

הערכות בשוק התהפכו לקראת החלטת הריבית בשני הקרוב ● עד לפני יומיים ההסתברות להפחתה עמדה על 80%, אך רוחות המלחמה באיראן טרפו את הקלפים

קרקע חקלאית בגדרה. מה האינטרס הציבורי? / צילום: תמר מצפי

לפי הייעוד, בזמן החכירה או בהפקעה? הקרקע שהובילה למחלוקת של מיליוני שקלים

המדינה הפקיעה 35 דונם בגדרה מבעלי קרקע פרטיים וביקשה לשלם להם 1.6 מיליון שקל בהתאם לשווי הקרקע לפי הייעוד שבו רכשו את הקרקע ● אלא שבעלי הקרקע דרשו פיצוי של 24.5 מיליון שקל לפי הייעוד של הקרקע בזמן המכירה – תעשייה ומסחר ● מה קבע ביהמ"ש?

ספינות במהלך תרגיל ימי משותף של איראן ורוסיה בדרום איראן / צילום: ap, Masoud Nazari Mehrabi/Iranian Army

עם 33 אלף כלי שיט: אם תגיע, המערכה בין איראן וארה"ב לא תתרחש רק באוויר

צי משמרות המהפכה ערך השבוע תרגיל צבאי במצר הורמוז, וסגר חלק מהנתיב שבו עוברים כ־30% מהסחר העולמי בנפט ● למול הנוכחות האמריקאית הגוברת באזור, בטהרן פועלים לחיזוק כוחות מעל ומתחת לפני הים באמצעות משמר מתנדבים, צוללות ננסיות ואוניות סוחר לאיסוף מודיעין

רשת הקשרים של ג'פרי אפשטיין במוקדי הכוח של אירופה / צילום: ap

סדקים בכתר ובקבינט: רשת הקשרים של ג'פרי אפשטיין במוקדי הכוח של אירופה

"אתה אדם טוב בצורה יוצאת דופן", כתב דיפלומט נורבגי בכיר לאפשטיין, והוא לא לבד ● ממסדרונות השלטון בפריז ועד למעצרו ההיסטורי של הנסיך הבריטי לשעבר: השערוריות המביכות בצמרת הופכות לחשד לפלילים ● המחיר הוא פגיעה אנושה באמון הציבור במוסדות היבשת

אסף טוכמאייר וברק רוזן / צילום: אלדד רפאלי

תיאבון שלא נגמר: למה חברה עם 19 אלף דירות בצנרת צריכה עוד 10,000?

רכישת אקרו היא רק אחרונה ברצף חברות נדל"ן שרכשה ישראל קנדה בשנים האחרונות ● מי שבתחילת דרכה "עשתה בי"ס" ליזמים הוותיקים, נאלצת ליטול יותר ויותר סיכונים כדי להמשיך לגדול, מתוך תקווה שהמומנטום בשוק גם ישתפר

שלט המכריז על המבצע של גינדי. מה זה יעשה להכנסות המדינה ממסים? / צילום: פרטי

עד מתי נסכים לשלם מס רכישה ומע"מ על מחירי דירות פיקטיביים?

הלמ"ס ספגה ביקורת על הצגת תמונה ורודה מדי של מחירי הדירות, אבל קופת המדינה גורפת הון ממחירים שלא מביאים בחשבון את המבצעים ● צודקת או לא, כשהלמ"ס אומרת שהמחירים חזרו לעלות, יותר מדי אנשים משתכנעים וחוזרים לשוק - והמחירים טסים ממילא

מבצע ההעברה. 263 פילים הוסעו במשאיות כ–400 ק''מ / צילום: ap, Thoko Chikondi

עשרות הרוגים וציד בלתי חוקי: מבצע להצלת פילים באפריקה הסתיים באסון

פרויקט שימור טבע על הגבול בין זמביה למלאווי השתבש קשות ● ניסיון להקל את צפיפות הפילים הביא לרמיסתם של עשרות אנשים למוות, להריסה של גידולים בשווי 4.5 מיליון דולר ולהתעוררותו של ציד בלתי חוקי ● כך ניצת אחד הסכסוכים הקטלניים בין בני אנוש לחיות בר באפריקה זה עשורים

רעיה שטראוס / צילום: תומס סולינסקי

200 מיליון שקל לרעיה שטראוס: המרוויחים המפתיעים בעסקת הנדל"ן של השנה

ישראל קנדה תהפוך לאחת מיזמיות הנדל"ן הגדולות בישראל, עם רכישת קבוצת אקרו תמורת 3.1 מיליארד שקל ומיזוג פעילותה היזמית, בעסקה שתשולם ברובה במניות ● התמורה ליו"ר אקרו צחי ארבוב תעמוד על כמעט 800 מיליון שקל, ולרעיה שטראוס על יותר מ־200 מיליון

זום גלובלי / צילום: Reuters

איראן לא לבד: צפון קוריאה חושפת רשימת יעדים לתקיפה

קוריאה הצפונית פורסת משגרים חדשים ומאיימת "להכניע כל איום חיצוני" • חברת פתרונות החקירה הדיגיטליים סלברייט מסתבכת בפרשה באפריקה • ומעצר של שלושה יהודים הצית סכסוך בין בלגיה לארה"ב • זום גלובלי, מדור חדש

פטריק דרהי / אילוסטרציה: נוצר באמצעות AI

עם חובות של עשרות מיליארדים פטריק דרהי מנסה להחזיק את הראש מעל למים

דיווחים בתקשורת הזרה ושיחות עם שורה של גורמים משרטטים את דמותו של המיליארדר ואיל התקשורת פטריק דרהי, שבנה אימפריה על הלוואות בעידן של כסף זול, מתמודד מול חובות של עשרות מיליארדים וכעת רוצה גם לרכוש את רשת 13

מערכת הלייזר ''אור איתן'' / צילום: דובר צה''ל

הלייזר הישראלי עוקף אפילו את זה של הסינים

אלביט מתמודדת על חוזה אסטרטגי של צבא ארה"ב לבניית מערכות ארטילריה מתקדמות, בהיקף שיכול להגיע למיליארדי דולרים ● במקביל, סין מנסה לחזק את השפעתה במפרץ עם מערכות לייזר ● ובריטניה משקיעה ברחפנים כבדים, בעוד וושינגטון מאיצה את פיתוח שוברות הקרח האמריקאיות בהתאם למדיניות טראמפ ● השבוע בתעשיות הביטחוניות

ד''ר ירון דניאלי / צילום: גבריאל בהרליה

"הרוכשים איראנים לשעבר, והיה חיבור": האקזיט של חברת המכשור הרפואי מישראל

חברת האבחון הישראלית Metasight נמכרה ב59 מיליון דולר עם אופצייה ל-90 מיליון דולר נוספים ● הרוכשת  גארדנט הלת' שהוקמה ע"י יזמים איראנים, תהפוך את מרכז הפיתוח של מטאסייט ברחובות לאתר שלה בישראל

מסמכי אפשטיין

גלובס צולל למסמכי אפשטיין ומציג את ההסתבכות של האנשים העשירים והמקושרים בעולם

פרסום מיליוני מסמכים חושף את עומק הקשרים של העולם העסקי עם ג'פרי אפשטיין ● כשגם מייל בודד עלול להוות כאב ראש יחצ"ני, חברות מעדיפות להיפרד ממנהלים בכירים ● היועצת שקיבלה מתנות יוקרתיות, המיליארדר שאפשטיין היה לו "פותר בעיות חשאי" וטייקון הנמלים מדובאי שהחליף עמו אלפי מיילים מטרידים: גלובס נכנס למאורת הארנב כדי ללמוד עד כמה משפיעה הפרשה על הכלכלה העולמית ועל דמויות מפתח בה

הצ'אטבוט של קלוד / צילום: Shutterstock

אנתרופיק עושה זאת שוב: כלי ה-AI החדש שהפיל את מניות הסייבר

ההשקה של "קלוד קוד סקיוריטי" עוררה חשש מפגיעה בענף והובילה לירידות חדות בקראודסטרייק, קלאודפלייר וזיסקלר ● גם הישראליות התרסקו, ביניהן סנטינל וואן וג׳יי פרוג ● כעת, בשוק חלוקים אם מדובר באיום ממשי או בירידה חדה מדי ביחס להיקף המהלך

נשיא סין שי ג'ינפינג / צילום: Reuters

חיזור שקט בארץ, מתקפה פומבית בבייג'ינג: המשחק הכפול של סין מול ישראל

בעוד שבזירה הבינלאומית סין משמרת קו ביקורתי נגד ישראל כדי להתבדל מוושינגטון, בשטח היא מנמיכה להבות ● המטרה, לפי המומחית קאריס וויטי: ליהנות מהיכולות הישראליות בלי לשלם את המחיר הפוליטי הכרוך ביחסים גלויים ● במקביל, היא ממשיכה לחבק את טהרן

וול סטריט / צילום: ap, Mary Altaffer

וול סטריט ננעלה בירידות; נייס זינקה ב-13%, אוויס נפלה ב-22%

נאסד"ק ירד ב-0.5% ● למרות הכנסות שיא, התואר שוולמארט איבדה לאמזון ● ענקית המיכון החקלאי דיר זויקה לאחר לאחר שהיכתה את תחזיות האנליסטים והעלתה את תחזית הרווח ●  מחירי הנפט עלו לרמתם הגבוהה ביותר זה חצי שנה ● מספר התביעות הראשוניות לדמי אבטלה צנח ב-23,000, הירידה החדה ביותר מאז נובמבר

נשיא ארה''ב דונלד טראמפ / צילום: ap, Evan Vucci

בזמן שהוא מתלבט בנוגע לאיראן, טראמפ חטף מכה בגובה 175 מיליארד דולר. לפחות

175 מיליארד דולר הוא הסכום המוערך שגבה ממשל טראמפ מיבואנים בגין תוכנית המכסים שבוטלה על ידי בית המשפט ● האם הממשל יידרש להחזירם?

בנק מזרחי–טפחות יתרום 5 מיליון שקל לבנייה מחדש של שכונת הצעירים בכפר עזה

בנק מזרחי טפחות תורם 5 מיליון שקל לשכונת הצעירים בכפר עזה

בנק מזרחי-טפחות יתרום 5 מיליון שקל לשיקום ובנייה מחדש של שכונת הצעירים בכפר עזה ● תערוכת "אמנות ישראלית" בחסות בנק הפועלים תציג עבודות של אמנים ותיקים וצעירים, וההכנסות יוקדשו לנט"ל ● מרתון Winner ירושלים הבינלאומי ייערך ב-27 במרץ, בהשתתפות אנשי מילואים וכוחות הביטחון, בחסות הטוטו וחברת אזורים ● אירועים ומינויים

טראמפ חטף מכה, איך יושפעו השווקים? / צילומים: Shutterstock, AP, עיצוב: טלי בוגדנובסקי

טראמפ חטף מכה, איך יושפעו השווקים?

בית המשפט העליון בארה"ב קבע כי הנשיא טראמפ חרג מסמכותו, ועל כן מרבית המכסים הבינלאומיים שהטיל פסולים ● כעת, לא ברור מה יעלה בגורל 175 מיליארד דולר שכבר נגבו מיבואנים ● מה היו הטיעונים המרכזיים של השופטים, כיצד הגיב טראמפ ומה עלול להדאיג את השווקים?