שבוע לאחר שפרץ משבר הסייבר בחברת הביטוח שירביט, במהלכו הדליפו ההאקרים אלפי מסמכים אישיים של לקוחות החברה במטרה לסחוט אותה, דנה היום (ב') ועדת המדע של הכנסת באירועים האחרונים ובנושא מתקפות סייבר והגנה על פרטיות מידע בגופים פרטיים במדינת ישראל. במהלך הישיבה, בה לא נכחו נציג חברת הביטוח, עלו קריאות להגביר את סמכויות האכיפה של רשות הגנת הפרטיות - רגולטור הפרטיות של המדינה. בסוף השבוע פתחה יחידה להב 433 של המשטרה בחקירת המקרה.
במהלך הישיבה, אליה זומנו נציגי מערך הסייבר הלאומי, רשות ההגנה על הפרטיות, רשות שוק ההון והביטוח, משרדי ממשלה וארגונים העוסקים בפרטיות ובאבטחת מידע, אמרה יו"ר הוועדה, ח"כ עינב קאבלה, כי "האירוע הספציפי מאותת על הצורך הבלתי ניתן לדיחוי לשים על סדר היום את סוגיית הגנת הפרטיות ואבטחת המידע. ישנם חוסרים משמעותיים ועל המדינה לשים את הנושא בראש סדר העדיפויות ולפעול לתת כלים מתאימים. בהיעדר אכיפה של ממש וסנקציות משמעותיות שהרשות להגנת הפרטיות תוכל להפעיל, יהיה קושי להביא לשינוי מהותי בכל הנוגע להפנמת החובות המוטלות על מי שמחזיק ברשותו מידע אישי אודות אחרים".
ח"כ קאבלה התייחסה לפרשת שירביט וקראה לרשות שוק ההון והביטוח, לרשות להגנת הפרטיות ולמערך הסייבר "לפרסם מיד בתום החקירות המתנהלות כרגע, את המסקנות והצעדים שננקטו, בכדי להביא לידיעת הציבור את המידע בצורה ברורה ושקופה".
"חייבים לפעול כנגד מידע עודף הנשמר כיום במאגרי מידע שונים"
לדברי ח"כ קבאלה, קיים כיום "חוסר עצום ביכולת להטיל סנקציות" על חברות שלא מגנות כראוי על מידע פרטי על לקוחותיהם. מנהל מחלקת אכיפה ברשות להגנת הפרטיות, עו"ד עלי קלדרון, שייצג בדיון את רשות הגנת הפרטיות, סיפר כי הרשות, שמונה 45 עובדים בלבד, מבצעת את פעולות הפיקוח על המשק באופן הדרגתי, כאשר בכל שנה היא מתמקדת בסקטורים נוספים ומרחיבה את פעילות הפיקוח והאכיפה. "אנחנו מגיעים לכל מי שאנחנו יכולים ומתעדפים לפי סקר סיכונים", אמר עו"ד קלדרון.
עו"ד קלדרון הדגים את פעילות הרשות באמצעות פעילות הפיקוח שהיא מבצעת ברשויות המקומיות. לדבריו, הרשות פעלה מול כשבעים רשויות מקומיות בלבד, מתוך כ-270 רשויות בישראל. עו"ד קלדרון הסביר כי הרשות "מגיעה למקומות החשובים. זה חלק קטן אבל בחרנו רשויות משמעותיות עם מאגרי מידע משמעותיים. המידע ברשויות המקומיות רגיש מאוד כי הוא כולל מידע ממערכת החינוך וממצלמות אבטחה".
עו"ד קלדרון הסביר כי המאמצים להגדיל את סמכויות האכיפה של הרשות באמצעות תיקון 13 לחוק הגנת הפרטיות תקועים כבר זמן רב, בין היתר לא אושרו בוועדת השרים. חלק מהשינויים שהוצעו בתיקון היו אמורים להעניק יותר שיניים לרשות באמצעות מעבר מ"קנסות" ל"עיצומים כספיים", שיכולים להגיע למאות אלפי שקלים.
העובדה שבין המסמכים שהדליפו הפורצים שניסו לסחוט את חברת הביטוח היו תעודות זהות ותעודות ממשלתיות רשמיות נוספות עלתה גם היא בדיון. הסיבה העיקרית לכך היא שכיום משמש תאריך הנפקת תעודת הזהות כאמצעי אימות זיהוי נפוץ בפניות של אזרחים לקבלת שרות מגופים רשמיים. החשש הוא שככל שיסתובבו צילומי תעודות זהות בשוק השחור של פושעי הסייבר - יגדל הסיכון לגניבת זהות והתחזות של גורמים עוינים, פליליים או אחרים, לאזרחים ישראלים.
ח"כ קאבלה התייחסה לכך מפורשות ואמרה כי "בנוסף חייבים לפעול כנגד מידע עודף הנשמר כיום במאגרי מידע שונים, גם חברות צריכות לתת על כך את הדעת וגם ברמה הלאומית נדרש לקבוע כללים. בעניין זה אף הגשתי הצעת חוק העוסקת בהגנה על פרטי תעודת זהות, ונועדה לאסור שמירת פרטי תעודות זהות ודרכונים או העתק שלהם על ידי גופים לא ממשלתיים". באשר לשימוש בנתון זה על ידי גופים ממשלתיים, אמרה ח"כ קאבלה, כי "צריך להפסיק לעשות שימוש בתאריכי הנפקת תעודת זהות בכלל הגופים, בוודאי על ידי משרדי הממשלה שעדיין עושים זאת. אני מצפה לדיווח מרשות התקשוב הממשלתי כי הדבר בוצע".
גם נציג מערך הסייבר, היועץ המשפטי עמית אשכנזי, שהשתתף בדיון, התייחס לנושא ואמר כי "מערך הסייבר דורש הפסקה מיידית של זיהוי בשירותים עם תאריך הנפקת תעודת זהות. אנחנו דורשים לא לעשות שימוש בכלל בזיהוי של תאריך הנפקת תעודת זהות". עוד": אשכנזי סיפר לוועדה כי מערך הסייבר הוציא הנחיות בנושא, "אבל מי שמנהל את הסיכון זה רשות התקשוב, והם מנהלים את הסיכון הזה".
על כך אמר לוועדה מנהל היחידה לסיכוני סייבר ברשות התקשוב הממשלתי, גדעון קונפינו, כי הממשלה פועלת לביטול הדרגתי של ההליך וכי "בימים הקרובים זה יבוטל בהזדהות להר הכסף והר הביטוח". לדברי קונפינו, "אנחנו פועלים כבר היום אל מול משרד האוצר להעביר את הר הביטוח ואת הר הכסף להעביר את הזיהוי לזיהוי הממשלתי. המדינה צריכה או לאסור צילום תעודת זהות וככה זיהוי זה לא ייפגע, או שצריכים להעביר את תאריך ההנפקה לגב התעודה".
על כך הגיבה ח"כ קאבלה - "המדינה מדברת כאן בשני קולות. בפועל מזדהים עם הפרטים הבעייתיים האלו שדלפו, בו בעת שמערך הסייבר הלאומי אוסר את זה".
"אין מדיניות ממשלתית על מו"מ על כופר ותשלומו"
בדיון השתתף גם יו"ר איגוד האינטרנט עו"ד יורם הכהן שהזהיר כי "הבעיה היא לא רק פרטיות אלא גם ביטחון המדינה". גם ח"כ מרב מיכאלי טענה כי יש להתייחס לפגיעה בפרטיות המידע של האזרחים כמו סיכון ביטחוני, ואמרה כי "לא יכול להיות שאספקטים של ביטחון לאומי יהיו רק תחת אחריות רשות הגנת הפרטיות".
חלק מהדיון עסק גם בעצם העובדה שחברות פרטיות מנהלות משא ומתן עם פורצים שסוחטים אותן, בעיקר במתקפות מסוג כופרה, שבהן נועלים הפורצים קבצים חשובים בארגונים וסוחטות אותם תמורת סכומי עתק על מנת לקבל את מפתח ההצפנה ולשחרר את הקבצים. מקורות בתעשייה אומרים שסכומים אלה עלולים להגיע אף לכדי מיליוני דולרים רבים.
נציג רשות שוק ההון ביטוח וחיסכון, עמית גל, שהשתתף בדיון אמר על כך - "אין מדיניות ממשלתית על נושא משא ומתן על כופר ותשלום כופר. כרגע הדבר באחריות החברות, ככל שאין לדבר משמעות מערכתית".
גם תפקידן של חברות הסייבר האזרחיות עלה בדיון. יוסי רחמן מחברת "סייברזון" אמר כי בעוד שחברות הביטוח והבנקים נמצאים במצב טוב כי הם משקיעים משאבים רבים באבטחה, נקודת התורפה במשק היא החברות הקטנות והבינוניות. "בעוד שיש חברות שיכולות להשקיע משאבים לתרגם את הרגולציה לפעולות, רוב הארגונים מתקשים לסגור את הפער". לדבריו, ישנן הרבה פעולות שניתן ומומלץ לבצע בכדי להכין את המשק למתקפות. רחמן המליץ לצאת בקמפיינים להסברה שישודרו במהדורות החדשות כדי לחנך את העובדים, שהם החוליה החלשה בכל הארגונים - גם בגדולים שבהם".
פעולות נוספות שאפשר לנקוט בהן לדבריו הן להקים ממשקים של שיתוף פעולה בין-מגזריים, "אפילו באמצעות הוואטסאפ", בהן מנהלי אבטחה בארגונים גדולים יכולים לסייע בטיפים לארגונים קטנים, לשתף מידע ולסייע. "יש הרבה מה לעשות", אמר רחמן שהוסיף כי הוא מקווה שהאירוע "יהווה קריאת השכמה" לכלל המשק.
