מתקפות סייבר. שכחנו ליצור חיסוניות דיגיטלית / צילום: Shutterstock
אישה מתה בשל עיכוב בטיפול בחדר מיון עקב מתקפת סייבר על מערכות המחשוב של בית החולים. אני מודה שכשכתבתי את השורה הזאת לפני כמה חודשים לטובת מחקר שייצא בקרוב, קיוויתי שהתסריט לא יתממש. אבל למרבה הצער, בית החולים הלל יפה מלקק את פצעי מערכות המחשוב שלו שטרם חזרו לפעול, ונכון לעכשיו עדיין לא ברור האם היו נפגעים בגוף או בנפש בשל המתקפה.
דמיינו לעצמכם את גודל המהומה: חולת סרטן שקרסה בביתה מגיעה לחדר המיון, והתיק הרפואי שלה איננו זמין; ילד בן חמש עם חום גבוה מגיע עם הוריו המבוהלים, ובדיקות הדם הדחופות שנערכו לו צריכות להגיע בחזרה על נייר עם שליח; מערכת זימון התורים לא מתפקדת; רופאה לא יכולה לבדוק במערכת מה המינון הנכון של תרופה או להתייעץ מהר עם קולגה; לא ניתן להוציא מהמחשב מכתבי שחרור - וכל זה בלי שדיברנו על מערכות המצלמות, החשמל והחמצן הממוחשבות.
משרד הבריאות המשיך ודיווח במהלך סוף השבוע על בתי חולים נוספים שהותקפו, ואם ללמוד מן הניסיון בשנה האחרונה, ידם של האקרים רודפי-בצע מזה ושל מדינות עוינות מזה עודנה נטויה. בתי חולים ומוסדות בריאות תמיד נחשבים למטרה נוחה, כי הם נוטים לשלם כופר - העיקר לא לשתק את המערכות שלהם.
העניין הוא שכל זה מתרחש משום שהשומר נרדם בשער, או במילים אחרות: לא יצרנו חיסוניות דיגיטלית. בשנים האחרונות עברו בתי החולים תהליך דיגיטציה מואץ, שכלל מחשוב של מערכות המידע. כולנו נהנים מהקידמה, אלא שמתברר כי ההגנה על כל המערך הדיגיטלי הזה היא שערורייתית.
אדגיש: רוב המתקפות שחזינו בהן בתקופה האחרונה אינן מתקפות שמזהות חולשה נדירה שלא הייתה עד היום ושהיה צריך להיות גאון סייבר כדי להבחין בהן, אלא נובעות, בפשטות, מרשלנות: היעדר עדכון של מערכות הפעלה ושל תוכנות, סיסמאות לא חזקות, בלגן במתן הרשאות גישה למערכת, אי-יצירה של מערכי גיבוי למידע שמנותקים מהמערכת הרגילה.
החששות מתגברות
מגפת הקורונה העצימה את החששות ממתקפות סייבר בגלל התלות הגוברת במערכות הנשלטות מרחוק. כל אלה מצטרפים לחששות מפני פגיעה בתשתיות חשמל ומים, גניבת זהות וכרטיסי אשראי וגניבת מאגרי מידע פרטי ענקיים שעלולים להימכר בשוק השחור של האינטרנט ואפילו לשמש בין היתר כדי לנסות להטות תוצאות בחירות.
כך, לצד היתרונות העצומים שבמרחב הסייבר לכלכלה ולחברה בכללותה, רוחב המתקפות, מספר הגופים שאליהם הן מכוונות והנזק הכלכלי, יחד עם רמת המיסוד של ארגוני הפשע המאורגן או המדינות העוינות שמאחוריהן - עולים בקצב מסחרר.
אז מי מגן עלינו כשאנחנו מהגרים בהמונינו למרחב הדיגיטלי? ובכן, בשנת 2015 הוקם במשרד ראש הממשלה מערך הסייבר הלאומי, אבל עד היום הזה אין לו מסגרת בחקיקה. לכן, המסמכים והמדריכים (הטובים כשלעצמם) שהמערך מוציא הם לא יותר מאשר ברושורים ללא סמכויות אכיפה, שיאפשרו מתן קנסות מינהליים לגופים שכשלו בהגנת הסייבר שלהם, הטלת אחריות על ראשי הגופים האלה ואפילו "ניימינג אנד שיימינג" לגופים רשלניים.
יתרה מזאת, אין תמריצים לגופים וארגונים שמחזיקים הררי מידע אישי ורגיש להשקיע באבטחת סייבר. זאת מאחר שבניגוד לארה"ב ואירופה, תובענה ייצוגית נגד גוף (בין אם זו חברת ביטוח וכרטיסי אשראי או בית חולים) שהתרשל באבטחת המידע, כמעט אינה אפשרית בישראל. אם מנכ"ל של חברה היה יודע כי הוא עלול להיתבע במיליונים בעקבות מתקפת סייבר שיצרה דליפת מידע אישי, ניהול הסיכונים שלו היה אחר.
חשיבות עליונה
לכן, יש חשיבות עליונה בחקיקת חוק סייבר שתקבע מסגרת פיקוח ואכיפה. אלא שכשסוגרים את הפירצה הזאת, יש לעגן את הפיקוח בידי רשות ממשלתית חזקה ובעלת סמכויות, ולא בידי גוף בטחוני דמוי שב"כ, שעלול להפוך בתורו לאח גדול יודע כל כשמדובר בחברות נעליים, מזון, אשראי או בתי חולים.
בד-בבד, חובה לפתח אוריינות, מודעות ומומחיות בתחום הגנת סייבר בכל משרד ממשלתי. אין גם טעם בחיזוק מערך הסייבר ללא תיקונים משמעותיים בחוק הגנת הפרטיות וחיזוק הרשות לפרטיות, שיאפשרו, כאמור, לבוא חשבון עם מי שהתרשלו לשמור על המידע הפרטי שלנו.
והחשוב ביותר: אחריות אישית. כמו בעניין החיסונים, גם בחיסוניות הדיגיטלית, הגורם האנושי הוא החוליה החשובה ביותר בשרשרת.
הכותבת היא עמיתה בכירה במכון הישראלי לדמוקרטיה, מומחית למשפט וטכנולוגיה ומחברת הספר "מהו סייבר"
*** גילוי מלא: הכותבת השתתפה בחיבור הקוד האתי של גלובס