מה אתם אומרים על חוק שי דרומי לאבטחת מידע?

0.
בשנים האחרונות, כל מבצע צבאי של מדינת ישראל מלווה במכת נגד קטנה, שנראה כאילו היא לפחות קשורה חלקית: פריצות למחשבים ואתרי אינטרנט ישראלים על ידי האקרים מהצד השני. כאשר עימאד מורניה (על פי מקורות זרים) חוסל, שרתי חברת אחסון ישראלית נפרצו ומידע אישי, כרטיסי אשראי וססמאות נשלחו לכל עבר, במהלך מבצע "עמוד ענן" אתרי ממשלת ישראל סבלו ממתקפת סייבר וגם השבוע, לאחר התקיפה (על פי מקורות זרים) בסוריה, החליטה קבוצה של האקרים סורים לפרוץ ולפרסם את פרטיהם האישיים וססמאותיהם של מספר עובדי אתר 'הארץ' כמו גם את ססמאות הגישה לחשבונות אשר קבוצת 'הארץ' משתמשת בהן כדי לעודד הכנסות.

1.
הליווי המתמד, של מתקפות אלקטרוניות במקביל למתקפות מוחשיות, הוביל עוד ב2011 להקמה של מטה סייבר לאומי, לכאורה, היה צורך בכלי שיאפשר למדינה להתגונן מפני עשרות אלפי תקיפות סייבר כנגד מטרות אזרחיות-ממשלתיות; אבל זה לא התפקיד היחיד שלו. למדינה יש תפקיד אחד משמעותי ועיקרי, והוא לשמור על בטחון אזרחיה: תפקיד זה כול מצד אחד הגנה על גבולות המדינה באמצעות צבא, הוא גם כולל, אם יש צורך בכך, הקמה של מערכות טכנולוגיות שיוכלו להגן על האזרחים באמצעות יירוט של רקטות. כלומר, התפקיד של המדינה (באמצעות מי מרשויותיה) הוא לשמור על בטחון האזרחים. עם זאת, כאשר אנו מגיעים לבטחון קיברנטי, העניין הופך להיות מוזר קצת.

2.
מדוע? כיוון שהמדינה ומטה הסייבר אינם פועלים באופן אקטיבי לשמור על מטרות אזרחיות. כלומר, אם תפקיד המדינה הוא להגן על אזרחים מפני חדירות בלתי מורשות למאגרי המידע הרגישים שנמצאים בידי חברות פרטיות, הרי שאנו יכולים מצד אחד להצדיק את מיליארדי השקלים שמדינת ישראל משקיעה באבטחת מאגרי הגז הטבעי כחלק מתקציב הבטחון, למרות כל הכאב בדבר, בזמן שאנחנו דורשים שהמדינה גם תשמור על אתר 'הארץ' או כל אתר אחר מפני חדירה לא מורשית על ידי גורמי אויב. נכון? אבל זו לא החלטה כל כך קלה. כלומר, אנו מניחים שאם יש עסק פרטי (כמו מאגר הגז של יצחק תשובה), שמספק שירות חיוני למדינה, הרי שאותו ספק שירות צריך לכלכל, כחלק מהעלויות של הגז, את מחיר האבטחה הפרטית שישקיע (או שישלם למדינה על האבטחה). כלומר, כך גם כאשר אנחנו מדברים על אבטחה של אתרי האינטרנט.

3.
אבל מה שנוצר כאן בפועל הוא בעיה אחרת של הפרטה: בעוד שלמדינה יש כל מיני סמכויות כמו הסמכות להפעלת אלימות ופעילות שנועדה למנוע פעילויות עוינות, הרי שלאדם פרטי אין את זה. ברור כי צבא החמושים של יצחק תשובה לא יכול לצאת לפעילות מסכלת כנגד קבוצת טרוריסטים בלבנון שהתקבל עליה מידע מודיעיני הנוגע לפיגוע באסדות הקידוח. כך גם לא יוכל צבא החמושים לרדוף אחרי הטרוריסטים מעבר להגנה אקטיבית על האסדה. בצורה דומה, גם מי שממונה על אבטחה של אתר אינטרנט לא יוכל לצאת מגבולות החוק: כלומר, אנשי האבטחה שעובדים עבור אתר 'הארץ' לא יוכלו, גם אם ירצו, לפרוץ למחשביהם של ההאקרים כדי לגלות את זהותם.

4.
וכאן, אולי, צריכה להכנס הרחבה של הגדרת ההגנה העצמית. אם תרצו, חוק שי דרומי של אבטחת המידע (ואני עדיין לא שלם עם הרעיון, אלא מעלה אותו כאן לדיון). הרעיון הוא שמי שאמון על אבטחת מידע רגיש יורשה, במסגרת ההגנה שלו על המידע, להשתמש בפרקטיקות שאינן נקיות לגמרי בכדי להגן על המידע. לדוגמא, להחדיר סוס טרויאני למחשבים של מי שפרץ למחשביו. הסיבה? ברור לנו כבר עתה כי רשויות האכיפה אינן מסוגלות לאתר את הפורצים או לעשות דבר; אותן רשויות שבקושי מצליחות לעבור על 2,000 מסמכים בשבוע כדי לבדוק את הקבצים של אדם שתפסו ולטענתן פרץ למחשבי בית המשפט לא צפויות להצליח לפרוץ למחשביהם של האקרים סורים ולהחדיר סוס טרויאני כדי לאתר את זהות הפורצים.

5.
כעת, בדיוק באותה גישה שהביאה לקידומו של חוק שי דרומי, השלטונות אינם מצליחים לעזור, האזרחים צריכים לקחת את החוק לידים. יש הרבה בעיה כאן: מי מבטיח לנו שכל מי שיפעל יהיה ישר? (וובכן, מי שמבטיח הוא החוק, שלא יקנה חסינות מוחלטת), ומי מבטיח לנו שהשימוש בסמכויות לא ינוצל על ידי גורמים עברייניים? (שכבר עכשיו פורצים ולא נתפסים). אף אחד. העניין הוא שאלא אם הממשלה תבנה מטה סייבר לאומי שיעבור וישמור על האתרים, ויהווה משטרת אינטרנט שתוכל ללכוד ולהביא לדין את הפורצים, ואפילו לגרום להם נזק אמיתי, הרי שקולות כאלה ישמעו יותר ויותר, ויביאו לכך שלא רק שלא יהיה מטה סייבר לאומי, אלא שיהיו מטות סייבר מופרטים, שיפעלו כך בין אם הדבר הוא כחוק ובין אם לא.

5 תגובות ל-“מה אתם אומרים על חוק שי דרומי לאבטחת מידע?

  1. יש איזה חוסר בהירות בעיניין.
    שים לב שמטה הסייבר אמור לעסוק בגופים אזרחיים רגילים, ולספק להם את ההנחיות והכלים .

    גופים שמספקים תשתית קריטית להמשך תיפקוד המשק/כלכלה וכיוצ"ב , גם אם הם גופים אזרחיים . כפופים לגוף אחר , לרא"ם (רשות אבטחת מידע ) שנמצא בשב"כ.

    דורון

  2. אולי זה רק אני אבל זה נשמע לי מתכון לאסון.
    קח את חוק דרומי, שים חוואים לשמור איש איש על חוותו בלילה. יום אחד יהיו חילופי אש, נפגעים, ועדת חקירה וחקיקה.
    יתר על כן, אתה באמת מצפה שאלו שלא יכולים לשמור על החורים ברשת של עצמם יהפכו להיות רמבו וקווין מיטניק משולבים זה בזה?

  3. רעיון גרוע מאד.

    פעולה נגד מתקפה אלקטרונית, בעיקר כאשר היא א-סימטרית (פורץ בודד מול ארגון גדול) חייבת לחדור גם לעולם הפיזי על מנת להיות יעילה. בעולם הפיזי אין לאזרחים רשות לפעול נגד עבריינים, אלא בזמן ביצוע העבירה עצמה (חוק דרומי) ומה שאתה מציע הוא פעולה שמתבצעת לאחר העבירה.

    הגוף שאחראי על אכיפת החוק בעולם הפיזי צריך לאכוף את החוק גם במרחב הוירטואלית – קרי משטרה, צבא וכ"ו. להם יש את היכולת לזמן נתוני תקשורת, למשל – מה שחוקר של חברה פרטית לא יכול לעשות בצורה חוקית.

    ההצעה שלך תיצור מצב אבסורדי של אנשים שיכולים לפעול במרחב הוירטואלי (ולא ממש משנה אם זה בצורה חוקית או לא חוקית – הנחת הבסיס שלך היא שאין אכיפה במרחב הוירטואלית) אבל יש להם אפס סמכויות במרחב הפיזי. אז מה הם יעשו? יפרצו את המחשב של הפורץ? אפקטיביות מינימלית אם זה בכלל אפשרי (למרות שהדבר נעשה בהצלחה במקרה של הפורץ הרוסי בגרוזיניה, אבל זו דוגמה שתקפה רק במקרה שיש השלכות פוליטיות בין-מדיניות).

    — אריק

  4. אריק וגיל,
    ברור לי שיש בעיות בזה. אני העלתי את זה כנקודה לדיון; בין היתר מהשיקולים הבעייתיים כאן. אני חושב שצריך לדבר על זה, אבל זה לא מוחלט.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *