0.
בשנים האחרונות, כל מבצע צבאי של מדינת ישראל מלווה במכת נגד קטנה, שנראה כאילו היא לפחות קשורה חלקית: פריצות למחשבים ואתרי אינטרנט ישראלים על ידי האקרים מהצד השני. כאשר עימאד מורניה (על פי מקורות זרים) חוסל, שרתי חברת אחסון ישראלית נפרצו ומידע אישי, כרטיסי אשראי וססמאות נשלחו לכל עבר, במהלך מבצע "עמוד ענן" אתרי ממשלת ישראל סבלו ממתקפת סייבר וגם השבוע, לאחר התקיפה (על פי מקורות זרים) בסוריה, החליטה קבוצה של האקרים סורים לפרוץ ולפרסם את פרטיהם האישיים וססמאותיהם של מספר עובדי אתר 'הארץ' כמו גם את ססמאות הגישה לחשבונות אשר קבוצת 'הארץ' משתמשת בהן כדי לעודד הכנסות.

1.
הליווי המתמד, של מתקפות אלקטרוניות במקביל למתקפות מוחשיות, הוביל עוד ב2011 להקמה של מטה סייבר לאומי, לכאורה, היה צורך בכלי שיאפשר למדינה להתגונן מפני עשרות אלפי תקיפות סייבר כנגד מטרות אזרחיות-ממשלתיות; אבל זה לא התפקיד היחיד שלו. למדינה יש תפקיד אחד משמעותי ועיקרי, והוא לשמור על בטחון אזרחיה: תפקיד זה כול מצד אחד הגנה על גבולות המדינה באמצעות צבא, הוא גם כולל, אם יש צורך בכך, הקמה של מערכות טכנולוגיות שיוכלו להגן על האזרחים באמצעות יירוט של רקטות. כלומר, התפקיד של המדינה (באמצעות מי מרשויותיה) הוא לשמור על בטחון האזרחים. עם זאת, כאשר אנו מגיעים לבטחון קיברנטי, העניין הופך להיות מוזר קצת.

2.
מדוע? כיוון שהמדינה ומטה הסייבר אינם פועלים באופן אקטיבי לשמור על מטרות אזרחיות. כלומר, אם תפקיד המדינה הוא להגן על אזרחים מפני חדירות בלתי מורשות למאגרי המידע הרגישים שנמצאים בידי חברות פרטיות, הרי שאנו יכולים מצד אחד להצדיק את מיליארדי השקלים שמדינת ישראל משקיעה באבטחת מאגרי הגז הטבעי כחלק מתקציב הבטחון, למרות כל הכאב בדבר, בזמן שאנחנו דורשים שהמדינה גם תשמור על אתר 'הארץ' או כל אתר אחר מפני חדירה לא מורשית על ידי גורמי אויב. נכון? אבל זו לא החלטה כל כך קלה. כלומר, אנו מניחים שאם יש עסק פרטי (כמו מאגר הגז של יצחק תשובה), שמספק שירות חיוני למדינה, הרי שאותו ספק שירות צריך לכלכל, כחלק מהעלויות של הגז, את מחיר האבטחה הפרטית שישקיע (או שישלם למדינה על האבטחה). כלומר, כך גם כאשר אנחנו מדברים על אבטחה של אתרי האינטרנט.

3.
אבל מה שנוצר כאן בפועל הוא בעיה אחרת של הפרטה: בעוד שלמדינה יש כל מיני סמכויות כמו הסמכות להפעלת אלימות ופעילות שנועדה למנוע פעילויות עוינות, הרי שלאדם פרטי אין את זה. ברור כי צבא החמושים של יצחק תשובה לא יכול לצאת לפעילות מסכלת כנגד קבוצת טרוריסטים בלבנון שהתקבל עליה מידע מודיעיני הנוגע לפיגוע באסדות הקידוח. כך גם לא יוכל צבא החמושים לרדוף אחרי הטרוריסטים מעבר להגנה אקטיבית על האסדה. בצורה דומה, גם מי שממונה על אבטחה של אתר אינטרנט לא יוכל לצאת מגבולות החוק: כלומר, אנשי האבטחה שעובדים עבור אתר 'הארץ' לא יוכלו, גם אם ירצו, לפרוץ למחשביהם של ההאקרים כדי לגלות את זהותם.

4.
וכאן, אולי, צריכה להכנס הרחבה של הגדרת ההגנה העצמית. אם תרצו, חוק שי דרומי של אבטחת המידע (ואני עדיין לא שלם עם הרעיון, אלא מעלה אותו כאן לדיון). הרעיון הוא שמי שאמון על אבטחת מידע רגיש יורשה, במסגרת ההגנה שלו על המידע, להשתמש בפרקטיקות שאינן נקיות לגמרי בכדי להגן על המידע. לדוגמא, להחדיר סוס טרויאני למחשבים של מי שפרץ למחשביו. הסיבה? ברור לנו כבר עתה כי רשויות האכיפה אינן מסוגלות לאתר את הפורצים או לעשות דבר; אותן רשויות שבקושי מצליחות לעבור על 2,000 מסמכים בשבוע כדי לבדוק את הקבצים של אדם שתפסו ולטענתן פרץ למחשבי בית המשפט לא צפויות להצליח לפרוץ למחשביהם של האקרים סורים ולהחדיר סוס טרויאני כדי לאתר את זהות הפורצים.

5.
כעת, בדיוק באותה גישה שהביאה לקידומו של חוק שי דרומי, השלטונות אינם מצליחים לעזור, האזרחים צריכים לקחת את החוק לידים. יש הרבה בעיה כאן: מי מבטיח לנו שכל מי שיפעל יהיה ישר? (וובכן, מי שמבטיח הוא החוק, שלא יקנה חסינות מוחלטת), ומי מבטיח לנו שהשימוש בסמכויות לא ינוצל על ידי גורמים עברייניים? (שכבר עכשיו פורצים ולא נתפסים). אף אחד. העניין הוא שאלא אם הממשלה תבנה מטה סייבר לאומי שיעבור וישמור על האתרים, ויהווה משטרת אינטרנט שתוכל ללכוד ולהביא לדין את הפורצים, ואפילו לגרום להם נזק אמיתי, הרי שקולות כאלה ישמעו יותר ויותר, ויביאו לכך שלא רק שלא יהיה מטה סייבר לאומי, אלא שיהיו מטות סייבר מופרטים, שיפעלו כך בין אם הדבר הוא כחוק ובין אם לא.