גלובס - עיתון העסקים של ישראלאתר נגיש

עמוד הבית  טכנולוגיה

האם חוק הסייבר יוכל למנוע את פרשת NSO הבאה?

מומחים מודים שאין כמעט דרך למנוע לחלוטין מצב של גניבת מידע רגיש בידי עובד ● גם החוק המתוכנן, שיספק למערך הסייבר סמכויות נרחבות שמעוררות ביקורת, כנראה לא יפתור את הבעיה הזאת ● אם כך, במה הוא כן יעזור?

פורסם בתאריך: 10.07.2018, 12:00 מאת: אורי ברקוביץ'
חוק הסייבר / צילום: Shutterstock/ א.ס.א.פ קרייטיב
חוק הסייבר / צילום: Shutterstock/ א.ס.א.פ קרייטיב

מחר, ב-11 ביולי, תגיע לסיומה התקופה שהוקצתה לציבור להגיש את השגותיו והערותיו על תזכיר חוק הסייבר, שנועד להסדיר את פעילותו של מערך הסייבר הלאומי - גוף בטחוני, שבדומה לשב"כ כפוף למשרד ראש הממשלה. מערך הסייבר איחד לרשות אחת את פעילותם של שני גופים שהיו פעילים בעבר, מטה הסייבר ורשות הסייבר, שאוחדו ב-2012. הגוף, בראשותו של יגאל אונא, מתנהל מאז מכוח החלטת ממשלה - אך ללא חוק מסודר. החוק המוצע, שנוסח על ידי היועץ המשפטי של הרשות, עמית אשכנזי, אמור להסדיר את פעילות הרשות בדומה לאופן שבו חוק השב"כ מסדיר את פעילותו של גוף זה.

פרשת העובד בחברת NSO, שגנב תוכנת ריגול מקיפה מהחברה בה עבד וניסה למכור אותה ברשת האפלה, מעלה את השאלה: האם וכיצד יכול היה מערך הסייבר של ישראל לסייע במניעת המקרה? האם לאחר שיתקבל חוק הסייבר, שהליך חקיקתו יוצא לדרך בימים אלה ושכבר סופג ביקורת על היותו נרחב מדי, יהיו בידי המדינה סמכויות שיוכלו להפחית את הסיכויים או למנוע הישנות מקרים שכאלה? על פי משפטנים ומומחי סייבר, התשובה לכך שלילית.

"חוק הסייבר לא יעיל נגד עובדים שמחליטים לקחת מידע מהמעסיק שלהם", אומר ל"גלובס" האקר שביקש להישאר בעילום שם, "זה אולי יתאפשר רק אם כל חברה תיתן גישה למדינה לכל מחשב, לכל פורט, לכל מצלמה במשרד. זה כבר מעבר לאח הגדול, וגם אז זה כנראה לא יעבוד".

מערך הסייבר דורש מידע, אך לא אכיפה 

מבקרי חוק הסייבר מזהירים שהנזק שהוא עלול לגרום למרקם החיים הדמוקרטיים יהיה גבוה הרבה יותר מהתועלת לאבטחה. חוק הסייבר בנוסחו הנוכחי חל על יריעה רחבה של גופים בישראל, ולא רק על גופים ממשלתיים ותשתיות אזרחיות קריטיות. כך למשל, אחד הסעיפים המרכזיים בתזכיר החוק מכניס תחת כנפיו את כל הגופים המבוקרים על ידי מבקר המדינה ובכללם ארגוני עובדים. סעיפים אחרים מאפשרים לראש הממשלה ולשר המשפטים להוסיף גופים נוספים על פי שיקול דעתם אם "הארגון מספק שירותים בהיקף משמעותי בישראל, ושיתופו במערך הגילוי והזיהוי יתרום תרומה של ממש לגילוי ולזיהוי של תקיפות סייבר, ולהתמודדות עמן במסגרת הגנת הסייבר".

בהינתן המצב הזה, נשאלת השאלה מה התועלת במתן סמכויות רחבות כל כך למערך הסייבר, אם ככל הנראה אין באפשרותו למנוע את הפרשה הבאה בתחום. על כך עונה בכיר בעולם אבטחת המידע: "מניעה של אירוע מסוג כזה (פרשת NSO) אינה נמצאת בתחום הטיפול הישיר של המערך; המערך, בהיותו גוף מדינתי, יכול לסייע במזעור נזקים, אם כי לא באופן מלא ולא לבדו. לעומת זאת, המקום שבו המערך יכול לבוא לידי ביטוי באופן המשמעותי ביותר הוא תחת הכובע המכונה 'אסדרה' - כלומר, קביעת מדיניות. הנחיות לגופים המבוקרים, בקרה וסנקציות במקרה הצורך, יכולות לסייע להידוק האבטחה הפנימית, במיוחד בארגונים המוגדרים רגישים. מובן שאז נשארת השאלה הכבדה - אילו גופים יסווגו כרגישים ויוכנסו תחת כנפי ההנחיה, ולא רק תחת הבקרה של המערך על יצוא כלי סייבר. זו שאלה שכרגע המענה עליה חלקי בלבד".

ד"ר מוטי גבע, מנכ"ל סטארט-אפ הסייבר "ברמיזא" ולשעבר איש מטה הסייבר ומקימי ה-CERT (צוות חירום לטיפול באירועי מחשב) הלאומי, שותף לדעה שבכל מצב שהוא מערך הסייבר לא יכול להחליף אחריות ארגונית לאבטחת מידע, במיוחד בחברות רגישות. "לגבי המקרה של NSO, לפי מה שאני מבין ממה שפורסם בתקשורת, הבעיה העיקרית הייתה שמערכות החברה התריעו כאשר העובד חיבר את התקן האחסון בניגוד למדיניות החברה, אבל לא נעשה דבר עם ההתרעות האלה עד לשלב מאוחר מאוד בחקירה שבוצעה בידי החברה. זו נקודת התורפה העיקרית שעליה יש לקהילה המקצועית ביקורת על NSO. 

"מדובר בניטור פנים ארגוני, וחשוב להדגיש שהמערך לא אמור להחליף ניטור כזה, זה לא תפקידו. תפקידו הוא להשתמש בכלים שמדינה יכולה להשיג ואחרים לא - מידע שמוגבל לשחקנים בינלאומיים. מדובר בעיקר באינדיקציות על קיומם של תוקפים שמערכת ארגונית לא תדע לזהות. לכן אירוע כמו NSO (שבו התוקף זוהה בידי המערכת) היא לא תנטר".

איך מערך הסייבר כן מסייע לארגונים?
"רוב הארגונים אומרים לעצמם שהם צריכים להתמודד עם תוקפים אזרחיים - הכוונה לפושעים. התוקף הפושע זה משהו שסביר שהם יצליחו להתמודד איתו. אבל כשזה מגיע למתקפות מצד מדינות, גם בנקים אומרים - 'זה מחוץ ליכולות וההבנה שלנו ואין לנו את הכלים המתאימים'. ואז הם פונים למדינה ואומרים 'בואי את ותגני עלינו'".

אלא שפה, בנקודה שבה הארגונים מבקשים הגנה, הדברים מתחילים להיות מורכבים. "צריך להבחין בין מתקפה לבין תוקף", גבע מסביר, "מערך הסייבר יכול לסייע במניעת או בנטרול התקיפה - המעשה עצמו. השב"כ או המשטרה מוסמכים לטפל בתוקף. אבל מה קורה באמצע? לפי תזכיר החוק יהיו למערך סמכויות לקבל מידע אבל אין לו סמכות אכיפה. זאת אומרת שהוא לא יכול לשים בכלא אדם על סמך מידע אודותיו כפי שרשויות אחרות יכולות לעשות. הרשות לניירות ערך, למשל, יכולה לחקור ולהגיש כתב אישום, וגם לרשות להגנת הפרטיות יש סמכויות אכיפה. המערך, לעומת זאת, לא מבקש סמכויות אכיפה אלא סמכויות לדרוש ולקבל מידע מארגונים בהסכמה.

"השאלה שעולה היא אם מידע שיגיע למערך יזלוג לרשויות האכיפה. האם מותר למערך להעביר מידע? על פי חוק הסייבר משרדי ממשלה ינוטרו, מה שאומר שהמידע על כל האזרחים יגיע למערך במידה כזו או אחרת. התזכיר לא מציין איך הניטור ייראה בפועל אלא מדבר על הסמכות לנטר. התוצאה עלולה להיות ניטור אגרסיבי של כל האזרחים במדינת ישראל".

סכנה לחשיפת סודות מסחריים

עו"ד יהונתן קלינגר מהמרכז לזכויות דיגיטליות, שהיה פעיל בשנים האחרונות במאבקים בולטים להגנה על הפרטיות בעידן הטכנולוגי (המאגר הביומטרי, למשל), ספקן מאוד בנוגע ליכולת של המדינה להציע ערך מוסף מעבר למנגנונים הקיימים שהביאו לתפיסת העובד. "נניח שמערך הסייבר של מדינת ישראל היה מגלה את האירוע לפני NSO, ונניח שעובדי המערך היו יושבים ברשת האפלה ומגלים לא רק שדבר כזה עומד לקרות, אלא שמדובר בעובד החברה. מה היה באפשרותם לעשות? על פי תזכיר החוק הם היו מגיעים למשרדי החברה, תופסים את המחשבים ומשבשים את העבודה התקינה. השאלה היא מה הם יכולים לעשות שהוא שונה וטוב יותר לעומת מה שהחברה עשתה כבר ממילא בעזרת חוקרים פרטיים. אני לא רואה איך חוק הסייבר היה מונע גניבת מידע כזו. אין כמעט דרך למנוע באמצעות סייבר את מה שמכונה 'בעיית העובד'".

כמובן, גם בהקשר לחוק הסייבר קלינגר חושש מתרחיש של פגיעה בפרטיות ואף בדמוקרטיה. "יש הבדל בין מצב ראוי בהחלט, שבו חוקרים מטעם המדינה ינסו לקנות רוגלות ברשת האפלה, לבין מצב שבו רשות הסייבר באה אליך ואומרת שמותקן לך וירוס על המחשב, וכיוון שאתה עובד בעיתון אנחנו רוצים גישה למחשב שלך. הם כמובן יבטיחו שהם לא יחשפו מקורות עיתונאיים, ולא יעבירו את המידע הלאה. 'תסמוך עלינו', הם יגידו".

גבע מסכים: "יש לרשות סמכות לאסוף מידע אבל עדיין לא ברור האם המידע יכול לדלג מחר בבוקר למשטרה. למצדדי הזכות לפרטיות יש קייס להעמיק את הבירור בשאלה מה זה אומר. למיטב ידיעתי, כיום אין למערך סמכות בחקיקה ראשית לפרוס מערך גילוי וזיהוי ולנטר ארגונים, והוא פועל מכוח החלטת ממשלה. פריסת מערך שכזה היא חלק מהסמכויות שהמערך מבקש לקבל בחוק בסעיפים 17-18 בתזכיר. עם זאת, זו פעולה שעלולה להיתפס על ידי הארגונים המנוטרים כסיכון לפרטיות המידע הנמצא בארגון ולסודותיהם המסחריים". 

 ביקורת אחרת ששמענו מגיעה מצד חברות סייבר, שמתחילות להרגיש קצת מיותרות. הן צריכות להתמודד עם תחושה במשק שאם יש מערך סייבר מוסדר, אז החברות צריכות לדאוג פחות לאבטחה.
"המערך לא יגיד אף פעם לארגון לוותר על מערכות פנימיות. מצד שני, חברות סייבר אולי יצטרכו להציע ערך קצת אחר ולדעת למכור את עצמן באופן שונה. הן צריכות לחשוב בהיגיון: הרי אם השוק היה יודע להציע הגנה הרמטית באמצעות כמה מאות אנשים, חברות רב-לאומיות גדולות כמו IBM היו כבר מזמן מקצות לנושא 500 איש ופותרות לכולם את כאב הראש. אבל אני בהחלט מבין את החשש שלהן".

עוד כתבות

יונדאי i20 מודל 2024 / צילום: יח''צ

החל מ-120 אלף שקל: מכונית קטנה עם תמורה טובה

ה–i20 החדשה היא מכונית זריזה, מרווחת יחסית לקטגוריה וחסכונית. יש נוחות ממנה, אבל בעידן שבו אפילו משפחתיות "עממיות" כבר נושקות ל-170 אלף שקל, ה-i20 היא בחירה הגיונית לבעלי תקציב מוגבל

גבול לבנון / צילום: Shutterstock

צה"ל: חיסלנו מחבל בכיר בלבנון, שקידם פעולות טרור רבות נגד ישראל

דיווח: במצרים נערכים ב"תוכנית חירום" לפלישה ישראלית לרפיח • פיגוע דקירה ברמלה: צעירה נפצעה קשה • צה"ל תקף מבנים צבאיים ששהו בהם מחבלים של חיזבאללה בדרום לבנון • דיווח בבלומברג: פסגה מדינית בנושא עתידה של רצועת עזה יתקיים ביום שני הקרוב בסעודיה •   ● כל העדכונים

וול סטריט / צילום: Unsplash, Roberto Júnior

מסחר מסביב לשעון? בוול סטריט שוקלים שינוי קיצוני

בורסת ניו יורק שלחה סקר לסוחרים בנושא מפתיע במיוחד ● על פי דיווח בפייננשל טיימס, הבורסה בדקה מה דעתם על מסחר מסביב לשעון - 24/7, או 24 שעות בשבוע המסחר ● ומי מציע את זה כבר היום?

מדפי סופר. פתיחת שוק המזון ליבוא התקדמה חלקית / צילום: טלי בוגדנובסקי

פתיחת שוק המזון ליבוא: ההחלטה קודמה, אך הצלחתה חלקית בלבד

מדור "המוניטור", של גלובס והמרכז להעצמת האזרח, עוקב אחר ביצוע החלטות ממשלה משמעותיות, תוך בחינה מפורטת של יישום או היעדר יישום של סעיפי ההחלטה ● הפעם, בשיתוף המכון הישראלי לתכנון כלכלי: הגברת התחרות והסרת חסמי יבוא מזון

מטוס B-52 שנושא עליו את טילי המיקרו־גל / צילום: Reuters, Michael Clevenger / Courier Journal / USA TODAY NETWORK

חודר בונקרים ומשבית כורים גרעיניים, ללא פגיעות בנפש: הנשק האמריקאי שיכול לשנות את מאזן הכוחות מול איראן

הכתבה הזו הייתה הנצפית ביותר השבוע בגלובס, ועל כן, אנחנו מפרסמים אותה מחדש כשירות לקוראינו ● לפי חשיפת "דיילי מייל" הבריטי, ארה"ב פרסה בחשאי מערכת טילי מיקרו-גל, שהפעימות האלטקרו-מגנטיות שהם פולטים יכולים להשבית כל מכשיר אלקטרוני – כולל מתקני גרעין תת קרקעיים ● איך היא עובדת?

הדולר מתחזק בחדות מול השקל

הדולר בשיא של חמישה חודשים אל מול השקל. מהן הסיבות?

השקל נחלש בחדות הן מול הדולר והן מול האירו ● הכלכלנים הבכירים מסבירים כי מעבר למתיחות הגיאופוליטית מול איראן ולצד ההסלמה בצפון, גם גורמים בינלאומיים תורמים להיחלשות המטבע המקומי

צילום: רויטרס, IMAGO/Bernd Feil/M.i.S.

אתם לא מספיקים כלום? מחקרים חדשים מגלים - כנראה שזו הסיבה

בשנים האחרונות הפך המושג "עוני זמן" לפופולרי בקרב חוקרים המנסים להבין את יחסינו המורכבים עם פנאי והשפעתם על האושר והבריאות שלנו ● לאט לאט הם מגלים מה אנחנו עושים לא נכון בתכנון הזמן שלנו ואיזה פרדוקס כלכלנים מפספסים כשהם בונים תוכניות רווחה ● מדד חדש שצפוי להיכנס ללשכת הסטטיסטיקה בארה"ב מרגש אותם במיוחד

רחפן Autel EVO 2 Enterprise / צילום: Reuters, Steve Marcus

אלפי רחפנים מתוצרת סין בדרך לצה"ל. אלו החששות

אלפי רחפנים תוצרת DJI ואוטל הסיניות נרכשו כדי למלא את השורות בצבא, לאחר ערב רב של דגמים שהגיעו מתרומות ואנשי מילואים ● למרות האיסור בארה"ב ובעוד שצבאות מערביים חוששים מריגול סיני, בצה"ל מבהירים: "נעשו התאמות כדי לשמור על ביטחון המידע"

מערכת הספיידר של רפאל / צילום: רפאל

הפגישה באתונה, החשש מטורקיה ומערכות ההגנה שיוון רוצה מישראל

מערכת ההגנה האווירית "ספיידר" של רפאל מספקת פתרונות הגנה אווירית בטווחים שונים, לרבות מל"טים וטילים בליסטיים לטווחים קצרים ● ההתעניינות מצידה של יוון במערכת הגיעה לאחר שארה"ב הודיעה לאתונה כי אושרה להם מכירת 40 מטוסי קרב מדגם F-35

אייל בן סימון, מנכ''ל הפניקס / צילום: יחצ ענבל מרמרי

הכללים השתנו, עכשיו דרוש רוכש: האם הפניקס תהפוך לחברה ללא גרעין שליטה

הקרנות סנטרברידג' וגלטין פוינט, בעלות השליטה בהפניקס, סיכמו עם הרגולטור על מתווה למכירת רוב מניותיהן בתוך שנתיים שיהפוך את חברת הביטוח הגדולה בישראל לחברה ללא גרעין שליטה ● המשמעות: כוחם של היו"ר והמנכ"ל יתחזק עוד יותר

פט גלסינגר, מנכ''ל אינטל / צילום: ap, Seth Wenig

אינטל פיספסה את התחזיות, פרסמה תחזית קודרת והמניה צוללת

הרווח המתואם היה 18 סנט למניה לעומת צפי לרווח של 14 סנט ● חטיבת היצור הכניסה רק 4.4 מיליארד דולר וירדה בכ-10% ברבעון הראשון ביחס לרבעון המקביל אשתקד ● המניה יורדת ב-9% במסחר המאוחר, אובדן של 13.5 מיליארד דולר בערב אחד

אילוסטרציה: טלי בוגדנובסקי, צילומים: AP (Daniel Cole, Toby Melville)

״הטיסות יוצאות״, מכריז סונאק, ומוכן לגרש את המהגרים

מנהיג השמאל הקיצוני בצרפת "יודע את ההבדל בין יהודי לבין צלף של צה"ל" ● טראמפ מרשה לקונגרס לסייע לאוקראינה ● "הטיסות יוצאות", מכריז ראש ממשלת בריטניה, ומוכן לגרש מהגרים ● טסלה מאבדת את הדמוקרטים ● חמישה אירועים מהשבוע שהיה בעולם

"מדינה קטנה, הגנה אדירה": בעולם עדיין מתפעלים מישראל

גלובס מגיש מדי יום סקירה קצרה של ידיעות מעניינות מהתקשורת העולמית על ישראל במלחמה • והפעם: נשיא סוריה בשאר אסד מנסה לשדר עסקים כרגיל, איראן ממשיכה לפתח את תוכנית הגרעין, בכירה בריטית קוראת לממלכה ללמוד מירושלים כיצד מפתחים מערך הגנה ראוי, ואונר"א שחלק מאנשיה התגלו כטרוריסטים באה בטענות לישראל ● כותרות העיתונים בעולם

צבי לנדו, מנכ''ל סולאראדג' / צילום: איל יצהר

מניית סולאראדג' הידרדרה לשפל של 5 שנים בעקבות תוצאות פושרות של המתחרה

דוחות אנפייז האמריקאית לימדו על התאוששות איטית מהצפוי בשוק הסולארי שבו פועלת החברה מישראל ● מניית סולאראדג' צנחה ב-41% מתחילת השנה

ישראל לשם וקרן כהן חזון / צילום: רמי זרנגר

"לידה אני תלמיד בכיתה א": העורך דין הבכיר והיזמת המצליחה חושפים את השותפות

20 שנה שישראל (רלי) לשם וקרן כהן חזון הולכים יחד, וחברת תורפז תעשיות שהקימו, שמפתחת ומייצרת תמציות טעם וריח, כבר שווה 1.7 מיליארד שקל וחולשת על 17 חברות ● הוא בעל אחד ממשרדי עורכי הדין הגדולים בארץ אבל מרגיש לידה "כמו בכיתה א'" ● היא תעשיינית בנשמה אבל זוקפת לו הרבה מההצלחה ● זה ראיון זוגי ראשון

גיל שויד / צילום: כדיה לוי

צ'ק פוינט הציגה דוח חזק; אך התחזית מאכזבת

צ'ק פוינט עקפה את תחזיות האנליסטים בשורת הרווח וההכנסות ● החברה מפספסת את צפי האנליסטים לרבעון השני של השנה והמניה יורדת ● בחברה עדיין מחפשים מנכ"ל חדש שיחליף את גיל שויד

מה צפוי בדוחות מטא? / צילום: Shutterstock

מניית מטא התרסקה ב-15% למרות נתונים חזקים, ואלו הסיבות

מטא, שמנייתה עלתה בכ-45% מתחילת השנה, הכתה את התחזיות בתוצאותיה הכספיות, הן בשורת הרווח והן בשורת ההכנסות ● האנליסטים היו אופטימיים לגבי הדוחות הערב, אך התחזית שפרסמה החברה להמשך השנה אכזבה את המשקיעים

רונן דר ועומרי גלר, Run:AI / צילום: Run:AI

היזמים מכרו את הסטארט־אפ לחברה הלוהטת בעולם. כמה יקבלו העובדים?

בזמן שהיו דוקטורנטים להנדסת חשמל בתל אביב, הרבה לפני ש-AI הפך לטרנד הלוהט של השווקים, חברו להם יחד עמרי גלר ורונן דר להקמת חברה בתחום - Run:AI ● מי הייתה המשקיעה הראשונה שהביעה בהם אמון, מתי הבינו שבינה מלאכותית תהיה הדבר הבא, ואיך השפיעה עליהם המלחמה ● אתמול החברה נרכשה רשמית ע"י אנבידיה בסכום המוערך בכ-720 מיליון דולר

סאטיה נאדלה, מנכ''ל ויו''ר מיקרוסופט / צילום: Associated Press, Mark Lennihan

מיקרוסופט עקפה את הציפיות; המניה מזנקת במסחר המאוחר

הכנסות החברה היו 61.9, ב-19% לעומת הרבעון המקביל אשתקד ● הרווח למניה 2.94 דולר למניה, מעל הצפי ● המניה עולה ב-5% במסחר המאוחר

מאיר בן שבת, ראש המל''ל לשעבר / צילום: מאיר אליפור

המומחה שמסביר: זה מה שתנסה ישראל לעשות ברפיח

מאיר בן שבת, שכיהן בעבר כראש המל"ל, מתאר בשיחה עם גלובס את מטרות הפעולה הצבאית הצפויה ברפיח, ומסביר כי גם אחריה, תידרש עבודה רבה כדי להביא למציאות אחרת ברצועת עזה ● לגבי המשא ומתן לעסקת החטופים, הוא מודה: "הלחץ על חמאס לא היה בעוצמה שדחקה בו להתפשר על דרישותיו ההזויות"