_{נעם רותם ועידו קינן, סייברסייבר}

כיסינו לא מעט כשלים טכניים וניהוליים שהובילו לפירצות אבטחה ולדליפות מידע משמעותיות בשלוש העונות של הפודקאסט הפופולרי סייברסייבר. אלו היו יכולות להימנע לו היו אנשי מקצוע מעורבים בתהליך, והחלטות היו מתקבלות על בסיס מקצועי.

אולם התנהלות הרשויות (רשות הפרטיות של משרד המשפטים, 🎵מערך הסייבר הלאומי🎶 של משרד ראש הממשלה ומשטרת ישראל של המשרד לבטחון פנים) בפירצות האבטחה המשמעותיות שהתגלו בשנה האחרונה, והגילויים החדשים שאנחנו מביאים פה, מצביעים על כשל מתמשך ותשתיתי, ולא על טעות נקודתית. תוסיפו לזה העדר כלי אכיפה כלשהם, ואנחנו מקבלים נזיד מהביל של חלמאות, חוסר מקצועיות, ולא פחות חשוב מכך – חוסר אכפתיות לפרטיות של כל אחת ואחד מאיתנו.

ההיסטריה חוזרת על עצמה

נתחיל מחברת רנעד, ספקית מערכת שעוני נוכחות חברות, שחשפנו שהפקירה מידע של לקוחותיה, ולא סגרה את הפירצה אלא שלושה שבועות שלמים ופריכים אחרי הדיווח הראשוני שלנו ומעורבות סמלית של מערך הסייבר. נריה באשה, מאזין נאה של הפודקאסט, לא האמין למשמע אוזניו. "רנעד??"', הוא מלמל בתדהמה. באשה הצטייד במאפה ופתח את האימייל כדי לחפור בערמות האימיילים שלו, וכעבור מספר שניות, כשמצא את מבוקשו, נאנח אנחה עמוקה ונשען, שמוט איברים, על כסאו. "זה לא יכול להיות", חשב. מולו ריצד מייל ששלח לפני כמעט שלוש שנים, ב-20 באפריל 2018, ל🎵מערך הסייבר הישראלי🎶, ובו פירוט כשלים של חברת רנעד שהובילו לחשיפה של כל עובדי הארגונים המשתמשים במערכות שעוני הנוכחות של החברה.

באשה גילה שבאמצעות שימוש בכלי הפריצה המשוכלל דפדפן, הוא יכל לגשת למידע של כל אחד ואחת מלקוחות החברה, ללא כל הגבלה של סיסמה או אמצעי אחר שימנע ממנו לעשות כן. "התקשרתי לרנעד טק והסברתי להם את העניין – תגובתם הייתה שככה הם עובדים. נראה שהם לא מתכוונים לשנות את זה", הוא סיפר במייל ל🎵מערך הסייבר🎶. "אשמח אם תוכלו להסדיר את עניין מולם ולעדכן אותי כשהנושא טופל".

נשמע מוכר? חכו חכו! תגובת 🎵מערך הסייבר🎶 לא איחרה להגיע, וכעבור יומיים הם חזרו אליו עם התשובה הבאה: "שוחחנו עם החברה הן אודות חוסר הקשחת השחת [הטעות במקור, כנראה התכוונו "השרת"; נ"ר, ע"ק] והן אודות חוסר מידור ההרשאות. מהחברה נמסר כי יטפלו בנושא. אנו נעקוב אחר העניין". באשה היה מאושר. "תודה רבה על הטיפול, משמח לראות שיש גוף במדינת ישראל שאפשר לפנות אליו בנושאים האלו", ענה להם, ודמעת התרגשות נצצה בזווית עינו.

שלושה שבועות חלפו, ובאשה, שחרד לפרטיות המידע של אזרחי ישראל, ראה שלמרות ההבטחות לא נעשה דבר. הוא לא התעצל ובאמצע חודש מאי שלח מייל נוסף: "שלום, ראיתי שהנושא עדיין לא טופל, האם יש צפי לטיפול?"

עובד/ת אלמוני.ת של הגוף הישראלי המתוקצב ב-250 מיליון ש"ח ענ(ת)ה במייל לא חתום: "אכן הנושא עדיין לא טופל אך החברה פועלת על מנת לטפל בנושא. אנו בקשר רציף עם החברה לטיפול בנושא – הבעייתיות נגרמת עקב 'טיפול' בסביבה חיה, כאשר יש צורך לא לפגוע ברציפות העבודה. בימים הקרובים הנושא אמור להיפתר, נעדכן בזמן שיקרה".

כאמור, שלושה שבועות חלפו מבלי שנעשה דבר, ו🎵מערך הסייבר🎶 מבטיח טיפול "בימים הקרובים". אם נסיר מנעם לרגע את כובע הלץ המגיש את הפודקאסט הפופולרי סייברסייבר ונחבוש את כובע מנהל הפיתוח הרציני שהוא ממלא בעשורים האחרונים, נאמר שאין שום סיבה, אפילו לא אחת, שטיפול בבעיית אבטחה פשוטה כזו, של מידע חשוף הנגיש למי שאינו אמור לראותו, יקח שלושה שבועות. ואם חברה שאתם עובדים איתה מגיבה בצורה כזו – הדבר אומר דרשני, שלא לדבר על פטרני, שלא לומר תבעני תביעת רשלנות ענקית.

בימים הקרובים

אבל מה לבאשה כי ילין – 🎵מערך הסייבר🎶 הבטיח טיפול מהיר "בימים הקרובים", ומה הם עוד כמה ימים אל מול שלושת השבועות שקדמו לכך? וזה לא שהיו לו ברירות אחרות, לאור תגובת החברה כשהוא עצמו פנה אליה – "הם אמרו שככה הם עובדים ולא נראה שהם מתכוונים לשנות זאת", סיפר לנו. לכן הוא התאזר בסבלנות, והמתין.

והמתין.

והמתין.

החודשים חלפו, פרחי האביב קמלו, חודש יוני נכנס ויצא, אחריו גם חודש יולי, וחודש אוגוסט החרה החזיק אחריו, "הימים הקרובים" הפכו לשבועות וחודשים, והמידע על לקוחות החברה – עדיין נגיש וזמין לכל גולש ודורש. רק ב-26 באוגוסט, חמישה חודשים(!) אחרי הדיווח של באשה, ולמרות "הקשר הרציף" של 🎵מערך הסייבר🎶 עם חברת רנעד, נסגר החור. זו התנהלות לא פחות משערורייתית, ובאשה, ששבע מרורים, לא טרח אפילו לבדוק אם הטענה הזו נכונה, והסתפק במענה לקוני של "תודה רבה".

אבל זה לא הכל. לא, זה לא הכל.

שנה אחת קודם לכן, בהשתלשלות נפרדת לחלוטין מזו המתוארת מעלה, קבע משרד המשפטים לגבי רנעד כי "לא קיימה החברה את החובה המוטלת עליה לאבטחת מידע הקבועה בסעיף 17 לחוק הגנת הפרטיות התשמ"א-1981", וזאת בעקבות "אירוע אבטחת מידע […] שהביא לזליגתם של קבצים ורשומות הכוללות מידע אישי של עובדים, משכורות וכד' לרשת האינטרנט". בהחלטתו דרש המשרד מחברת רנעד "לבצע פעולות מתקנות ליישום רמת האבטחה הנדרשת".

ומה נעשה בין אירוע האבטחה של 2017 לזה שגילה באשה שנה שלמה מאוחר יותר? לא יותר מדי, מסתבר. משרד המשפטים לא טרח לבדוק שהחברה מיישמת את הנדרש ממנה, 🎵מערך הסייבר🎶 עדיין לא היה בתמונה (וגם אם היה בתמונה סביר שלא היה נעשה יותר), והחברה המשיכה להזליג את המידע של לקוחותיה לכל עבר. לא פלא ששנה לאחר הקביעה של משרד המשפטים, באשה נתקל בו שוכב על רצפת האינטרנט. ומטריד מאוד שכמה שנים אחר כך – עד היום, למעשה – המידע עדיין חשוף.

מכיוון שקוד המקור הפעיל על המערכות גם הוא חשוף, אפשר לראות את תאריכי השינוי האחרון בו. חלקים גדולים בו לא עודכנו מאז 2017, ויש בו קוד שנכתב עוד ב-2005. זאת אומרת – חברה ש"שמה 'בראש מעייניה' [המרכאות הפנימיות במקור, נ"ר] את נושא ההובלה בתחום הפיתוח והשירות, על ידי שימוש בטכנולוגיות מתקדמות והקפדה על רמת מקצועיות גבוהה" – מפעילה קוד ישן ולא מעדכנת אותו במשך שנים.

תגובת מערך הסייבר הלאומי:

השנה קיבל המערך 360 דיווחים על חולשות בארגונים שונים מחוקרי אבטחה ומקורות נוספים – עלייה של 80% בהשוואה לשנה שעברה. זאת, נוסף ל-5,000 פניות יזומות שביצע המערך לארגונים בשנה וחצי האחרונות, בהכוונה לסגירה של חולשות חמורות רוחביות ונפוצות. רוב הארגונים מתייחסים ברצינות לדיווחים שמגיעים מהמערך ומטפלים בסגירת החולשות במהירות. מי שבוחר לא לסגור את הפירצה – מוצא עצמו חוזר ומבקש את עזרת המערך בטיפול בתקיפה. כמו כן, במקומות שבהם למערך יש סמכות בחוק, חולשות נסגרות במהרה.

גלעד ארדן מעודד חברות שסרחו

רצף האירועים האלה מעלה שאלות קשות לגבי היכולת של המדינה לכפות על חברה מסחרית לאבטח את המידע של כולנו, אבל מה עם המידע של המדינה עצמה? כאמור, בשנים 2017-2018 היתה מעורבת רנעד בלפחות שני אירועי אבטחה משמעותיים, שחשפו את פרטיהם של אלפים רבים של עובדים, וטופלו על ידי שני משרדי ממשלה שונים. למרות זאת בחר המשרד לבטחון פנים בראשות השר גלעד ארדן להתקשר עם החברה ולהפקיר בידיה מידע על עובדיו; כמוהו גם הרשות הארצית לכבאות והצלה, שלוש שנים ברצף, בפטור ממכרז.

התנהלות החברה היא דבר אחד. אנחנו מניחים שאם הם מתעקשים לא להבין דבר באבטחה או באיכות מוצר – זו זכותם, וזה עניינם מול הלקוחות שלהם. את התנהלות המדינה – איננו מבינים. שלושה אירועי אבטחה משמעותיים שונים מצביעים על התנהלות סדרתית. גופים אזרחיים שבוחרים להתעלם מהתנהלות כזו – אפשר לבקר את שיקול דעתם, ואנו קוראים לעובדים שפרטיהם נחשפו לבוא בשאלות למנהליהם ואולי אפילו לדרוש פיצוי כספי ואחר. אבל משרד ממשלתי בטחוני? כאן יש שתי אפשרויות בלבד: רשלנות או שחיתות.

אם המשרד לבטחון פנים לא ידע על אירועי האבטחה והעדר הטיפול בהם, לא שאל, לא בדק, לא וידא את יכולות החברה בתום אבטחת המידע – מדובר ברשלנות מהמדרגה הראשונה, ומי שחתם על ההתקשרות הזו ראוי אולי שיבחן קריירה אחרת, יתכן שבתחום ניקוי הגללים מכלוב הסמורים בגן החיות התנכ"י.

אבל אם ידעו הגורמים הרלוונטים במשרד לבטחון פנים על שני אירועי האבטחה, העדר הטיפול בהם, והעדר כל תרבות של אבטחת מידע בארגון, ועדיין בחרו להמשיך בהתקשרות – כאן אולי יש מקום לערב גורמי חקירה משמעותיים יותר.

מרשות כבאות והצלה נמסר:

כבאות והצלה לישראל סיימה כבר בשנת 2019 את ההתקשרות העסקית עם חברת "רנעד טק מחשבים" כחלק ממאמץ ארגוני להחיל מערכת השכר הממשלתית (מרכבה) בתחנת כיבוי באר שבע.

יובהר להלן כי החברה שפיתחה מערכת ייעודית לאיסוף נתוני נוכחות ותמחור שכר בתחנת כיבוי באר שבע עשתה זאת עוד בתקופת איגודי הערים וטרם הקמת מערך כבאות והצלה . יתרה מכך, החברה זכתה מהאוצר לפטור על מתן שרותי תמיכה למערכת והוא חודש גם בשנים לאחר הקמת הרשות לכבאות מתוך רצון להחיל רציפות שכר לעובדי התחנה.

נוכח סיום ההתקשרות עם החברה כל טענה על חשיפת כשלי אבטחת מידע אינה מענייננו.

אלקטור אלקטור אלקטור!

המסקנה המתבקשת מהשתלשלות האירועים הללו היא שאין אף מבוגר אחראי בשום חוליה בשרשרת שאמורה להגן על פרטיות ואבטחת המידע של כולנו, המטופל בידי חברות אזרחיות. אנחנו רואים גם שאין מבוגר אחראי שאמור להגן על המידע של עובדים בארגונים בטחוניים. מה כן יש? גוף סייבר שמקבל 250 מיליון ש"ח בשנה ושמתפקד כמערכת ניתוב שיחות, ורשות הפרטיות שמתפקדת כאריה מנייר ושבמשך שנים קוצצו סמכויותיה עד שבשלוש השנים האחרונות אפילו לא טורחים בממשלה למנות מנהל/ת במינוי קבע, ומי שעומדת בראשה כממלאת מקום מתפקדת גם כראש רשות אחרת. אז מי נשאר להגן עלינו, האזרחים?

תשובה לשאלה הזו קיבלנו בצורה של דוח של משרד המשפטים על מפעילי אפליקציית הבחירות אלקטור, שבמחדליהם המתמשכים הביאו לחשיפת פרטיהם של מיליוני אזרחים ישראלים. ההחלטה מנוסחת בלשון שאין לטעות בה, ולמעשה אומרת שהגרסה שמסרו מפעיליה של אלקטור – שקרית. משרד המשפטים מצא "ליקויים רבים וחמורים באבטחת המידע במערכות המידע של חברת אלקטור, וכן בהתנהלותה כמחזיקה של מידע אישי ורגיש". "גם לאחר תיקון הליקויים הראשוני", כותבים שם, "עדיין ניתן היה לחדור למערכות המידע שלה ולהגיע אל פנקסי הבוחרים ואל מידע אישי המצוי במערכת". אבל את זה כבר ידענו.

כזכור, מפעילי אלקטור טענו בתצהיר רשמי לוועדת הבחירות כי "פרצת האבטחה באפליקציה התגלתה ביום שבת (8.2), והיא נמשכה 'פרק זמן קצר מאוד' ש'נמדד בשניות'". בפועל היה מדובר על למעלה שבוע שבו כל אדם עם ידע בסיסי יכל לגשת למידע של כל אזרחי המדינה בגיל הצבעה, ושכפי שמציין משרד המשפטים לא תוקן "תוך שניות". הודעת משרד המשפטים כוללת קביעות קשות וחמורות לגבי התנהלות החברה, וזו מצידה מספקת שקרים על שקרים על שקרים לגורמים רשמיים של המדינה. גם כאן נראה שמדובר בהתנהלות סדרתית וחוסר לקיחת אחריות. בימינה כבר החליטו להשתמש באלקטור בבחירות הקרובות, ובליכוד שוקלים.

ומה העונש שקיבלו חברת אלקטור, ומפלגות הליכוד וישראל ביתנו שהעבירו לה מידע פרטי ורגיש על כולנו מבלי לבדוק את יכולת החברה להגן עליו, בתום שנה של חקירה מאומצת של משרד המשפטים? ניחשתם נכון – כלום. שום דבר. המסר שמעבירה המדינה לחברות וארגונים המחזיקים את המידע שלנו ברור – אין צורך להשקיע באבטחת מידע, אין צורך להשקיע בהגנה על המידע, מבחינתם לשים אותו פתוח ברשת עם שלט ניאון מהבהב "כאן מידע למסירה בחינם". זה כמובן מגיע עם שורה ארוכה של צקצוקים ונזיפות ונפנופי אצבעות של המדינה, אבל בפועל – כשמנהל עומד בפני החלטה אם להשקיע סכום כסף בהגנה על המידע או להשקיע את אותו סכום כסף בשיפור איכות המאפים בישיבות ההנהלה – הבחירה ברורה.

אין שירביט – אין אימפקט

וכאן אנחנו מגיעים לחלק הכואב ביותר. כשאין חוק – כל דאלים גבר. אם המידע של רנעד היה מקבל את אותו הטיפול שקיבל המידע של חברה הביטוח שירביט, היינו רואים טיפול שונה לחלוטין. כשכנופיית פושעי סייבר ביקשה לסחוט את חברת הביטוח הישראלית ואיימה לפרסם מידע שגנבה מהשרתים – שורה ארוכה של גופים התייצבו במשרדי החברה והכריחו אותה להשבית את מערכותיה עד אבטחתן. לא היה הליך של "החברה אומרת שיקח שלושה שבועות לאבטח את המידע, אנא התאזרו בסבלנות". סגרו, פשוט הגיעו וסגרו את המערכות עד לתיקון, לבדיקה של התיקון, לבדיקה חוזרת של הבדיקה הקודמת, ורק כשהיו בטוחים שהמידע סגור – התירו את המשך הפעילות.

מדוע כשאין כנופיית כופר, הטיפול לא זהה? מדוע המדינה מאפשרת לחברה להגיד, בלי להתבייש, "חכו שלושה שבועות, עד אז המידע ימשיך לדלוף"? מדוע במקרה אלקטור לא השביתה המדינה את המערכות של החברה עד לתיקון הליקויים, בדיקתם, וקבלת אישור להמשך תחת פיקוח? 

בניגוד לנטען במספר פורומים – המערכת הפרוצה של אלקטור המשיכה לפעול גם לאחר גילוי הדליפה החמורה, טענה שמחזק דוח משרד המשפטים: "גם לאחר תיקון הליקויים הראשוני עדיין ניתן היה לחדור למערכות המידע שלה ולהגיע אל פנקסי הבוחרים ואל מידע אישי המצוי במערכת". זאת אומרת – המערכת נותרה חשופה באוויר והמשיכה לאפשר גישה למידע שבתוכה, ואף אחד לא אמר "די". אנחנו יודעים לספר שהמידע של אלקטור נלקח *לפחות* חמש פעמים *אחרי* שהחברה טענה שחור האבטחה תוקן. זו לא התנהלות שצריך לקבל, וזו ודאי לא התנהלות שאפשר לקבל. היה פה כשל משמעותי של כל הגופים המעורבים, והכשל הזה מקבל מסגור נאה עם ההחלטה שלא להטיל שום סנקציות על אלקטור ועל המפלגות שחשפו את כולנו לשורה ארוכה של איומים, אחת מהן מפלגת השלטון מזה יותר מעשור, שהעומד בראשה, ראש הממשלה בנימין נתניהו, קרא בקולו שוב ושוב להשתמש באפליקציה המחוררת. 

אגב, הליכוד עשוי להשתמש באלקטור שוב במערכת הבחירות הקרובה. החלטה טרם התקבלה, אך אלקטור היא החברה המובילה בתחום, לפי יועץ התקשורת של שר הדיגיטל דודי אמסלם, נמרוד אלירן סבח, שאף החמיא לחברה בראיון לכלכליסט: "הם הוסיפו הרבה אלמנטים בעקבות מערכת הבחירות האחרונה. הם למדו את המערכת בצורה הטובה ביותר. בסופו של דבר, אלקטור הביאה את התוצאה".

רק ברוטפורס הם מבינים

אם במקום "סתיו", אמן פיתוי הדטאבייסים שפנה אלינו עם הממצאים החמורים באלקטור, היתה מוצאת את המידע "אביב", העומדת בראש כנופיית פשע, והיתה משתמשת בו לסחיטה או מוכרת אותו לגורמים עוינים  – אני מניח שהאימפקט היה שונה. אם במקום א', ג', ונריה באשה, שפנו אלינו אחרי שרנעד ומשרדי הממשלה כשלו פעם אחרי פעם לאבטח את המידע שם, היתה "אביב" זו שמוצאת אותו וסוחטת שורה ארוכה של אנשים וגופים ישראלים – אני מניח שתשובה כמו "חכו שלושה שבועות בזמן שאנחנו נחים בים" היתה מתקבלת בפחות הבנה.

בהודעה שפרסם ראש 🎵מערך הסייבר🎶, יגאל אונא, לסיכום 2020, הוא כתב:

בחודשים האחרונים ובעיקר מאז פרוץ משבר הקורונה הניסיונות התגברו משמעותית, במגוון רחב ושונה של תוקפים, מטרות, שיטות או טכנולוגיות. כל זה מלווה גם במלחמת תודעה – יצירת לחץ ופרובוקציות מצד התוקפים. לצד זה גם צבר הפרסומים האחרונים בארץ ובעולם הביאו ארגונים להיות ערניים יותר וכתוצאה מכך להאיר עם זרקור לתוך הרשת שלהם ולמצוא שם דברים חריגים. מהצד השני, צבר הפרסומים הזה מעודד תוקפים לפעול במרחב ואף בצורה בוטה ומוחצנת יותר. כחלק מזה אנחנו צופים כי תוקפים ימשיכו לנצל את ההד הציבורי כדי לנסות לגנוב מידע נוסף או לפרסם מידע ישן.

אי אפשר להיות יותר מפורש מזה: לפי אונא, הפרסומים על תקיפות הם אלו שמעודדים את התוקפים, וההד הציבורי הוא שמעודד תוקפים לנסות לגנוב מידע ולפרסמו. לא הרשלנות שבבניית מערכות מחוררות; לא הטיפול הסלחני של המדינה; לא הכסף הרב שאפשר להרוויח מסחיטה וממכירה של מידע גנוב; לא הפוטנציאל לפגיעה טקטית, מורלית ואסטרטגית במדינת ישראל ותושביה מבלי לירות טיל אחד – האשמה היא בתקשורת תאבת הסקופים ובציבור ההיסטרי.

אם דליפה של מידע על ישראלים לגורמים פליליים או למדינות אויב היא מה שנדרש כדי להביא לשינוי בהתנהלות המדינה לגבי המידע הפרטי של כולנו – מדובר במסמר נוסף בארון הקבורה של מדינת החוק שאנחנו מספרים לעצמנו שיש לנו כאן. אם מי שמכתיב את מדיניות הממשלה הם ארגוני פשיעה, או ארגוני ביון זרים – נחרה נחזיק אחרי ג'ון לנון ופול מקרטני ונאמר: "לט איט בי".

---

נעם רותם הוא חוקר סייבראבטחה. עידו קינן הוא עיתונאי טכנולוגיה ומפיק פודקאסטים. השניים מגישים יחד את סייברסייבר, פודקאסט על האקרים ומאפים