דף הבית   על אודות   צרו קשר   לפני האיתחול  
22 בינואר2021

בואו נדבר על מערך הסייבר


מזה תקופה עולים קולות שונים מתוך התעשייה המבקרים את התנהלותו של מערך הסייבר אל מול האיומים הניצבים בפני המשק הישראלי, ובעצם תוהים לגבי חשיבות קיומו של גוף שהיקף סמכויותיו והיקף פועלו לא ברורים לאיש, כולל לאלה העובדים בו.

המערך, שהוקם לפני מספר שנים בהוראתו של ראש הממשלה בנימין נתניהו, בא לכאורה לתת מענה לשלל מתקפות המתרחשות במרחב האינטרנטי הישראלי, הן במישור המקצועי, והן במישור הלוגיסטי-הכנתי שאמור להנחות את המשק לנקוט באמצעים על מנת לצמצם את חשיפתו למתקפות כאלה. ברם, פעילותו בשטח מעלה לא מעט סימני שאלה לגבי תפקודו במרחבים האלה, ונחיצותו של עוד גוף יקר ומסורבל שבפועל השפעתו על המשק זניחה עד לא קיימת. וכמה אנחנו משלמים על התענוג המפוקפק הזה? על פי אמיתי זיו ב”דה מרקר” - כ-250 מיליון ש”ח בשנה, לפני מאפים.

מקרה מבחן

בואו ניקח למשל את המקרה של חברת “רנעד”, המפעילה מערכת כח אדם עבור מעל מאה ארגונים ישראלים, בהם מספר חברות גדולות, ישובים משני צידי הקו הירוק, ועוד. אודות מה שהתרחש שם תוכלו להאזין לפרק של הפודקאסט הפופולרי “סייבר סייבר” בו יחד עם ידידי רן בר-זיק ועידו קינן אנחנו מסבירים על הכשלים הרבים, הבסיסיים, והמגוונים, שהובילו לדליפת המידע הרגיש מתוך מערכות החברה, וכאן אני מבקש להתייחס לתפקודו של מערך הסייבר בפרשה הזו. בפסקאות הבאות אפרט את השתלשלות התכתובת ביני לבין מערך הסייבר לגבי דליפת המידע של חברת “רענד”:

ומעשה שהיה - כך היה

יום שלישי ה-29 בדצמבר, 10:51 בבוקר, אני שולח מייל למערך הסייבר ובו אני מפרט לפרטים את מהות הפרצה, דרכים לשחזר אותה, ואפילו מוסיף תמונות עם מידע רפואי רגיש שדולפות מהמערכת. סיימתי את המייל “בברכת חברים”, והמתנתי.

יום שלישי ה-29 בדצמבר, 12:32, עונה “מיכל” ממערך הסייבר. אגב, אין להם שמות משפחה שם, אולי בגלל כמות אנשי השב”כ שעובדים שם, החליפו טייטל, ומתקשים להיפרד מההרגלים הישנים. בתור אדם שעובד מול עשרות גופים דומים ברחבי העולם - ישראל זה המקום היחיד בו נתקלתי בנוהג הנפסד הזה, אבל שאלה יהיו הבעיות שלהם. “מיכל” מודה לי על פנייתי, מוסרת כי הנושא בבדיקה ויטופל בהתאם, ומסיימת בטון שירותי “לכל שאלה או בקשה נשמח לסייע”. התרגשתי.

יום שלישי ה-29 בדצמבר, 16:41 אחרי הצהריים, מגיע מייל נוסף, הפעם חתומ/ה עליו “יהב”, שמודיע/ה לי בהתרגשות פואטית כמעט: “בהמשך לדיווח שהתקבל / אעדכן כי החולשה טופלה”.

איזה טיפול מרהיב! מהירות ויעילות מהאשלון העליון! התמלאתי שמחה, דמעה קטנה נצצה בזווית של העין ו”התקווה” החל להתנגן ברקע. עד שהרצתי בדיוק את אותן בקשות שהופיעו במייל האסגרה, וראיתי שלא נעשה דבר. כל המידע עדיין היה חשוף. למרות הצהרתו/ה הנרגשת של “יהב” כי הנושא טופל, הנושא לא טופל. “התקווה” התחלפה בנעימת הנושא של “פונאר”, ושלחתי מייל תשובה.

יום שלישי ה-29 בדצמבר, השעה 17:50, המייל שיצא מתיבת הדוא”ל שלי הכיל את השורות: “למרבה הצער, החולשה לא טופלה והמידע עדיין זמין ונגיש. מציע בחום לחבר את הגוף הפרוץ עם גורם מקצועי מהתחום”.

ואז - דממה. לא ציוץ ולא אוושה נשמעה מכיוון הגוף המתוקצב בכ-250 מיליון ש”ח לשנה ושזה ליטרלי התפקיד המרכזי שלו, אז המתנתי.

והמתנתי.

והמתנתי.

ואז ביום ראשון ה-3 בינואר, לאחר שלא נשמע ציוץ מכיוון הגורם המקצועי שטען שהוא מטפל בעניין, שלחתי מייל נוסף: “לא קיבלתי מענה למייל הקודם שלי ולכן מבקש לעדכנכם שהמערכת עדיין פרוצה לכל דורש בעל דפדפן, ועדיין זולגת את פרטיהם של עשרות אלפי עובדים ישראלים. לטיפולכם הנבון אודה, נעם”.

לא עברה חצי שעה ומענה נחת בתיבת הדוא”ל שלי. הפעם הית/ה זה/ו “לירן” שעדכנ/ה כי “התקבל דיווח מגורם אבטחת מידע בחברה שהטיפול בנושא הדיווח ייקח בין שבוע ל10 ימים”. זאת אומרת - קודם התבצע תיקון תוך חצי שעה, דבר שמבחינת מערך הסייבר סגר את הנושא - כי לא טרחו לבדוק כלום, ועכשיו תשובה מופרכת ומוגזמת כמו “המידע ימשיך לדלוף עוד שבוע וחצי” מתקבלת בסטואיות שהיתה מעלה את קנאתו של הדלאי לאמה.

פה חשדתי

התחלתי לחשוד שעובדי מערך הסייבר לא באמת מתעניינים ב”סייבר”, אלא מתמקדמים בהעברת הודעות מצד אחד לצד השני בלי לעצור רגע ולהגיד “חברה נחמדה, אנחנו מעריכים את השקר הקודם שלכם, אבל ברשותכם - סגרו את המערכת עד התיקון, כי עם כל הכבוד להערכות המופרכות שלכם, המידע של אזרחי ישראל אינו הפקר”.

אבל - מי אני שאטיל ספק במקצוענים מהמערך. אמרו שבוע עד עשרה ימים? אולי באמת צריך לזרוע את החיטה שתגדל וממנה ייצרו את הקמח באמצעותו יאפה הבורקס שיאפשר למפתח העצל לקום ממקום מרבצו ולתקתק כמה שעות על המקלדת על מנת למנוע נזק נוסף לאלפי אנשים. אז חיכיתי. אגב, כמנהל פיתוח עם ניסיון של יותר מעשרים שנה בתעשייה, קשה לי לחשוב על סיבה אמיתית לכך שתיקון פשוט כל כך, במערכת שאינה קריטית, יקח עשרה ימים, אבל כאמור - ניחא.

חלפו עברו מספר ימים, וב-10 בינואר בשעה חמש אחרי הצהריים, אחרי שהמידע המשיך לדלוף ולסכן אלפי אזרחים ישראלים, לא התעצלתי ושלחתי מייל נוסף:

בשעה טובה אנחנו חוגגים יום הולדת שבועיים לדיווח, ועד כה לא נעשה דבר על מנת למנוע מהמידע להיות חשוף, והוא עדיין (!) זמין לכל אדם בעל דפדפן. לעניות דעתי מדובר בהתנהלות שערורייתית ומזלזלת מצד החברה, אבל מי שנפגע כאן הם אלפי עובדים שחשופים לשלל מריעין בישין ושאין להם שום דבר שהם יכולים לעשות נגד זה. לידיעתם, ובתקווה גם לטיפולכם, נעם”.

כאמור - שבועיים חלפו מאז נודע למערך הסייבר ולחברה שמידע רפואי ואישי רגיש על אלפי עובדים במשק חשוף ונגיש לכל אדם החמוש בדפדפן - ודבר לא נעשה. כלום, נאדה, זילץ’, וואלה אישי, אפילו לא החור של הבייגעלה. ולמרות זאת - לאיש מהמעורבים לא נראה שיש פה איזושהי בעיה. מערך הסייבר בתפקיד שירותי המזכירות שמעבירים הודעות, החברה עם שיקוליה המשונים שמעדיפה לא לעשות דבר, והאזרחים? כרגיל - משלמים את המחיר.

חצי שעה מאוחר יותר ענתה “נעמי” ממערך הסייבר כי “הנושא בבדיקה”.

אני רק שאלה

למחרת, ב-12 בינואר 2021, התקבל מייל נוסף, הפעם מ”מור”, שטענ/ה כי “נעשתה בדיקה מול הארגון, צפי לסיום הטיפול בתחילת שבוע הבא”. זאת אומרת - הטענה הראשונה שהנושא טופל - שקרית. הטענה השניה שהטיפול יקח שבוע עד עשרה ימים, הערכה מופרכת לכל הדעות, ועדיין - שקרית. עלתה הערכה חדשה. והמידע של אלפי אזרחים ישראלים (וגם כמה כאלה שאינם אזרחים, כמו למשל בעל התפקיד “תאילנדי” מאחת המערכות של החברה) - עדיין דולף.

הודיתי ל”מור” על העדכון, אבל לא הייתי בטוח שהבנתי נכון. למערך הסייבר אין דעה בנושא? אז כתבתי: “רק כדי לוודא ולמנוע אי הבנות בפרסום - עד אז מבחינתכם אין בעיה שכל המידע נשאר פתוח, ואין כל דרישה לאבטח אותו עד עדכון הקוד, נכון? אני רוצה לוודא שאני מדווח נכון על השתלשלות העניינים התמוהה הזו”.

שאלה לגיטימית לגוף שמתיימר להגן על אזרחי ישראל מפני מריעין בישין ברשת, לא? אז מסתבר - שלא.

תוך זמן קצר ענתה “נעמי”, והפעם באריכות: “אנו מודים לך על הדיווח ושמחים על שיתוף הפעולה שלך עם המערך בנוגע לגילוי חולשות. כפי שמקובל בעולם, האחריות על סגירת חולשות וצמצום החשיפה מהן מוטלת על בעל המערכות, כאשר גם תכנית גילוי חולשות אחראית אינה מסירה את האחריות מהארגון הנוגע בדבר. נבהיר כי אנחנו רואים בחומרה רבה כל חשיפה של מידע אישי. הבהרנו לארגון את המשמעויות של החשיפה לצד המלצות לסגירת הפער ודחיפותו ואנו חוזרים ובודקים למול הארגון את סטטוס הטיפול תכופות. אף על פי כן, חשוב לציין כי מערך הסייבר הלאומי אינו גוף אכיפה בהקשר זה. אנו נדאג לעדכנך כאשר הטיפול בחולשה על ידי הארגון יסתיים”.

אתם מבינים? הם רואים חשיפה של מידע אישי בחומרה. הם הבהירו לארגון את המשמעויות והדחיפות, והם חוזרים ובודקים את הסטטוס. זהו, זה בקצרה כל תפקידו מערך הסייבר. על זה אנחנו משלמים 250 מיליון ש”ח בשנה. שירותי העברת הודעות עם אפס סמכות ואפס אחריות. כאן מסתכם הכל.

ואגב, אם הם אכן “חוזרים ובודקים”, מדוע אמרו ש”הנושא בבדיקה” כששאלתי למה זה עוד פתוח? נשמע יותר כמו מרכזיה ופחות כמו חמ”ל, אבל אם הם אומרים - הם בטח יודעים.

ובכל זאת

ובכל זאת, אולי לא הבנתי נכון? הרי לא יתכן שתמורת 250 מיליון ש”ח בשנה אנחנו מקבלים שירות לקוי שכזה, אז שלחתי מייל נוסף ובו כתבתי: “תודה על ההסבר. אם אכן אלה הדברים - תפקידכם בשרשרת הזו לא ברור לי איזה ערך יש בהעברת דיווחים אליכם. אני לא אומר את זה לגנותכם, חלילה, רק מבקש לוודא שאני לא מפספס שום דבר בתפקידכם במשחק, אם הוא מסתכם בהעברת דיווחים לגופים הדולפים ותו לאו.”

הפעם לא התקבל מענה. לא מאשים אותם, תכלס. מה הם יכולים לענות “כן, אתה צודק?” או “אתה טועה אבל אנחנו לא יכולים להסביר לך למה”, או שבדיוק החל פרק של “סברי מרנן”. לעולם לא נדע.

אבל אז - חלפו ארבעה ימים נוספים, והתקבל מייל נוסף מ”מור” ובטון חגיגי נמסר: “ברצוני לעדכנך שהארגון דיווח כי הם טיפלו בליקויים”. הידד! שלושה שבועות בלבד(!) מאז קבלת הדיווח - והם מרוצים מסגירת המערכת שהמשיכה לדלוף כל אותו הזמן. אכן - איכות ללא תחרות. שמחתי מאוד, ועדכנתי את ידידי במערכת הפודקאסט הפופולרי “סייבר סייבר” כי אפשר לצאת עם הפרסום. הדליפה נסגרה - המידע של אזרחי ישראל - בטוח.

אז פרסמנו בפודקאסט ורן בר-זיק פרסם ב”הארץ”, וחשבנו שכאן מסתיים הסיפור. אך לא.

סברי מרנן

במהלך שיחה עם אדם מקצועי שהתעניין בפרטי הדליפה במסגרת עבודתו (הממשלתית, יש לו תעודה) לחצתי בטעות (באמת שבטעות) על אחד הלינקים שלכאורה נסגרו, ומה רבה היתה הפתעתי כשכל המידע על כל העובדים עדיין היה חשוף? הרי אחרי שמערך הסייבר כשל פעם אחת כשדיווח בעליצות שהדליפה נסגרה לא יעלה על הדעת שיעשה זאת שוב, נכון? הרי רק קוף מתחלק על אותה הבננה פעמיים.

אז שלחתי מייל נוסף למערך הסייבר, ב-19 בינואר, ובו הבעתי תמיהה: “הי מור, תודה על העדכון. ברשותך אשאל אם בדקתם שאכן הצהרת הארגון נכונה (לאחר שההצהרה הקודמת התבררה שלא נכונה) או שאתם מסתפקים באמירה שלהם ופשוט מעבירים אותה? אני שואל כי המערכת עדיין פתוחה והמידע עדיין דולף”.

דממה. אין תשובה.

חשבתי שאולי הפרק של “סברי מרנן” מותח במיוחד, אולי יהורם גאון אוכל שניצל כשהמזלג, רחמנא ליצלן, בידו הימנית(!) ולא השמאלית כמקובל. דרמת מתח כזו עשויה היתה להצדיק עיכוב של כמה שעות במענה, לכן לא לחצתי ורק למחרת שלחתי מייל נוסף:

הי, מוודא שקיבלתם את המייל ואתם מודעים לכך שהמידע עדיין חשוף

ושקט, צרצרים. גבעת הסייבר אינה עונה.

חיכיתי עוד יום, אולי בדיוק מתנגן הפרק בו דביר בנדק אכל משהו לא טוב ונאלץ להיות מובהל לחדר המיון, ושלחתי מייל נוסף: “אנא אשרו את קבלת שני המיילים הקודמים, בבדיקה שנערכה המידע עדיין דולף. אם אין ברצונכם לטפל בנושא, אנא הפנו אותי לגוף המתאים”.

תשובה טרם התקבלה, המערכת עדיין דולפת, ולאיש עדיין לא אכפת.

מערכת ניתוב שיחות ב-250 מיליון ש”ח לשנה

אני סמכתי על מערך הסייבר שכשאמר “הדליפה נסגרה” - התבצעה בדיקה מקצועית שאכן הדליפה נסגרה. אם הייתי צריך שירות העברת הודעות - יש כאלה בפיליפינים בקצת פחות משני דולר לשעה, ועם SLA טוב משמעותית. מערך הסייבר אמור להיות גוף מקצועי בתחומו, אך המציאות רחוקה מכך שנות אור. מדוע כשמתגלה פרצה משמעותית עם השלכות על אלפי אזרחים מערך הסייבר מסתפק בשירותי מזכירות? מדוע מאות אנשים מקבלים שם משכורות מנופחות ופנסיה תקציבית כשאפשר היה לסגור את הפינה הזו בהקמת מדור תחת משרד התחבורה עם חמישה עובדים ומכשיר טלפון מסוג “זמיר” של בזק משנות השמונים? לאן הולכים מאתיים וחמישים מיליון שקלים אם זו התוצאה שהם מפיקים? אין לנו משהו טוב יותר לעשות עם הכסף הזה?

בחודשים האחרונים המשק הישראלי ספג כמה מכות לא נעימות בתחום הסייבר סייבר, ונמנע מכמה מכות לא נעימות בזכות אזרחים עירניים. האם באמת למערך הסייבר יש תרומה כלשהי לבטחון מרחב הרשת הישראלי? או שמדובר בעוד גוף מיותר ובזבזני שנועד לסדר משרות למקורבים עם ניחוח בטחוני?

אז נכון, למערך הסייבר אין סמכויות חוקיות מול חברות אזרחיות - ואולי טוב שכך. אז למה בכל זאת הוא מציג את עצמו כגוף שמטפל בענייני הסייבר שלהם? מדוע התשובה לדיווח על דלף מידע הוא לא “אנחנו לא גוף עם איזושהן סמכויות, אנא פנו למשטרה או למשרד המשפטים, להם כן יש סמכויות”? מה הערך האמיתי של שירותי המזכירות שמספק המערך היום?

אולי עבודתו בתחום חומרי הלימוד, ההנחייה המקצועית של גופים מפוקחים, וכתיבת דו”חות על אמצעי כיבוי אש, היא חשובה ואיכותית יותר ממה שיכול לתת כל גוף אחר בארץ. אולי, וזה אכן שווה בדיקה מעמיקה יותר. אבל בתחום הטיפול בדליפות מידע - אין שום ערך לקיומו של הגוף הזה, ובטח לא להילה ההייטקיסטית והביטחונית שהוא מייצר סביבו. לכל מדינה יש CERT, “צוות טיפול באירועי מחשב”. זה טוב וזה חשוב, ואם למי מכן יש קצת זמן פנוי אני ממליץ בחום לקרוא את הספר “The Cuckoo’s Egg” של ריצ’רד סטול שמבהיר את חשיבות ארגון כזה ברמה הממשלתית. כל תקציב ה-CERT האמריקאי עומד על 96 מיליון דולר, מתוך תקציב של 6.6 טריליון. התקציב של “מערך הסייבר” הישראלי יקר ממנו פי כמה באופן יחסי למרחב עליו הוא אמור להגן ולחלק בתקציב ממנו הוא נלקח.

דרוש: דיסקליימר

בשורה תחתונה - אם מערך הסייבר לא יודע לטפל באירועי דליפות מידע ופרצות אבטחה - שישים דיסקליימר לאלה הפונים אליו: “אנחנו נעביר את הודעתך לחברה תוך שמירה על זהותך, אבל אנחנו לא נעשה שום דבר מעבר לזה”. כשהוא עונה “החולשה טופלה” מבלי לבדוק כלום, וכשהוא מתייחס בסטואיות לשבועות העוברים כשהדליפה עדיין בועטת ומשפריצה מידע לכל עבר - יש מקום לתקן ולשפר, ואולי לשוב ולבחון כמה מהנחות היסוד שעומדות בבסיס פעילות הגוף הזה.