מי שומר על המידע שלנו?

האם המדינה עושה מספיק על מנת לשמור על המידע שלנו? על הפרטים האישיים שלנו? מי יכול לערוב כי הפרטים אודותנו לא יודלפו או יימכרו למרבה במחיר? האם העובדה כי בתוך חודש וחצי התרחשו שתי מתקפות סייבר על בתי חולים מצביעה על אוזלת ידה של המדינה? וכיצד ניתן לשנות את המפה? כיצד אנחנו, כאזרחים, נדע כי המידע שלנו מוגן?

לעמדת עוה"ד רוני אלפסי, אורי קינן, איתי אנשל, רועי עזרא, צביקה גלזר והסניגור הפלילי אסף טל, הדרך לביטחון האישי שלנו עודנה ארוכה. עוה"ד השתתפו בדיון בנושא מתקפות הסייבר על מוסדות וארגונים בישראל בתוכנית "מחוץ לפרוטוקול", בהנחיית מולי ארי וניסו לגבש עמדה כיצד יש לנהוג אל מול הפצחנים.

במשרד הבריאות עדכנו בשבוע שעבר על חשד למתקפת סייבר על בית החולים הפסיכיאטרי כפר שאול-איתנים, שליד ירושלים. בית החולים עבר לנוהל עבודה ידני, ובמשרד הבריאות הבהירו כי הצוותים הרפואיים ממשיכים לטפל במטופלים, וזאת במקביל לבדיקה של האירוע על ידי צוות הסייבר במשרד הבריאות ומערך הסייבר הלאומי.

מקרה זה מצטרף לאירוע סייבר נוסף שאירע רק לפני כחודש. אז, קבוצת האקרים פתחה במתקפת סייבר על בית החולים מעייני הישועה בבני ברק. "קיימת אינדיקציה של ממש לדלף של מידע אישי רגיש", אמרו ברשות להגנת הפרטיות בהתייחסות למתקפת הכופרה שהשביתה את מערכות המחשוב המנהלתיות ואת מרפאות החוץ. בעקבות זאת, המליץ משרד הבריאות לחולים לפנות לבתי חולים סמוכים במרכז.

"הבעיה", אומר עו"ד עזרא, "היא שהמדינה לא אוכפת את אותם המוסדות ועל כן הם לא מקפידים על אבטחת מידע, בעוד הציבור העסקי הפרטי מחויב לכך. אנחנו תחת מתקפה תמידית והגיע הזמן שהמדינה תיקח את המושכות לידיים ותפקח על הגופים האלה כי יש שם מידע מאוד רגיש בנוגע לפרט. וזה לא נאכף".

עו"ד אסף טל התייחס להקמת הרשות להגנת הפרטיות, שאמונה הייתה להתמודד ולחבר את אותם הגופים להתמודדות מול מתקפות הסייבר ואבטחת המידע, אך לדבריו, מדובר בגוף חסר שיניים. "הגוף הזה", אמר עו"ד טל, "הוא גוף מנחה ולא גוף מתקף או מפקח. שואלים אותם מה לעשות בשעת דרישת הכופר, איך להתנהל מול הדורשים ואיך לצמצם למינימום את הנזק, אבל אין באמת גוף שיבוא ויגיד לך 'שמתי שם פצחנים מטעם לממשלה, בוא נראה איך אתה מתמודד מולם'".

"זה לא באחריות ביה"ח", השיב על כך עו"ד אנשל, "הפצחנים כיום רק הולכים ומשתכללים והגופים הממסדיים נותרים חסרי אונים".

"הבעיה", מוסיף עו"ד קינן, "היא שאנחנו לא לבד בעולם הזה. מי שאמון על מתקפות הסייבר האלו הם גם איראן וגם גופים שונים ואחרים בעולם. העניין הוא לא המידע הרפואי על אנשים אלא להטריד את המדינה. יש כאן אלמנט של הטרדה במלחמה הזאת, זריעת הפחד. עצם העובדה שאנחנו מנהלים על זה שיח, שיש אלפי מטופלים שהמידע שלהם חשוף כמובן משחק לטובתם. יש כאן מישהו שאומר לנו שגם הוא יודע וגם הוא יכול, המישהו הזה יכול להיות מדינה עוינת וזה יכול להיות גם סתם האקר מטעם עצמו".

עו"ד טל מסכים ואומר: "זה פשוט מסר של אותם פצחנים שאומר אנחנו הצלחנו להגיע לביה"ח שלכם ונמשיך לשאר המוסדות הממשלתיים שלכם".

לדברי עו"ד גלזר העובדה שהצליחו לפרוץ למחשבים של בית חולים כזה או אחר, אינה מצביעה על כך שניתן לפרוץ לגופים הביטחוניים של המדינה. "בסופו של דבר אני מניח", הוא אומר, "אני רוצה להניח, שלא לכל גוף אפשר לפרוץ בכזו קלות. אני מניח שגופים ביטחוניים הם קצת יותר שמורים. זה נכון שזה לא בסדר שמידע של אנשים נחשף, אבל זה יהיה בכל דבר. פעם אחת זה היה באתר היכרויות ואח"כ ביה"ח, ואין לזה גבול".

עו"ד טל: "הבעיה היא אחרת לחלוטין, למה לא מחייבים את אותם גופים לבצע בדיקות? למשל בנקים בישראל שוכרים חברות חיצוניות כדי שיתקפו את האתרים שלהם, כדי לבדוק איפה יש פרצת אבטחה, צריך לעשות את אותו הדבר גם בביה"ח".

לעמדת עו"ד אנשל, יש קריטריונים מאוד ברורים איך מגינים על מידע של חולה, על אשפוז ועל התיק הרפואי. "הבעיה", כך לדבריו, "היא באכיפה. השאלה היא איך מייצרים מנגנונים ומה לעשות? ההאקרים כל הזמן משתכללים. זו לא בעיה ספציפית של משרד הבריאות וביה"ח כזה או אחר, כי מחר זה משרד הביטחון וזו בעיה. הם רק ילכו וישתכללו".

על כך השיב עו"ד אסף טל, כי משרד הביטחון מרכז את המאמץ שלו על מנת למנוע מתקפת סייבר כלפיו והדבר ניכר. "זה פשוט", הוא אומר, "עניין של תיעדוף, וזה כנראה לא מספיק חשוב למשרד הבריאות".

לדברי עו"ד רוני אלפסי, הכל מתרכז לכך שהעולם כיום רודף אחר הדאטה. "אנחנו", היא ממשיכה, "נמצאים בעולם של דאטה, אז להשיג כמה שיותר דאטה, מידע. היום המלחמה היא סביב זה, כמה שיותר מידע ונתונים. במקום שיש בו פרצות, הם יודעים לזהות אותם. עובדה שגופים אחרים כמו בנקים מחפשים את הפרצות הללו באמצעות אותן חברות חיצוניות, אז לא תוקפים שם אלא את מי שחלש יותר".

הכתבה באדיבות פורטל המשפט obiter.co.il

הכתבה הינה במסגרת שיתוף פעולה עם חברת אוביטר, במידה ומצאתם טעות בכתבה מוזמנים לשלוח את התיקון למייל: [email protected]
(לצורך איתור מהיר של הכתבה, חשוב להקפיד לכלול במייל את הלינק של הכתבה).