X
תתחילו להפנים

"זה מפחיד ברמות שלא הכרתי עד היום": ישראל נמצאת בעיצומה של מלחמת סייבר

שורת המתקפות שהחלה בסוף השבוע לא עוצרת • במהלך ליל אמש והבוקר שיחררו מספר קבוצות האקרים מאגרים נוספים של מידע פרטי ממוסדות ישראלים • משעות הבוקר נוספו פרטים שדלפו מתחנות רדיו וחברת ביטוח נסיעות

גיא לוי, טכנולוגיה
, עודכן
0השמעה
אילוסטרציה, צילום: Getty Images

זה אולי לא נשמע דרמטי כמו מערכה בלבנון, אבל ישראל נמצאת בשעות אלו בעיצומה של מערכת סייבר מקיפה הכוללת מצד אחד מספר קבוצות האקרים שפועלות בנפרד ומצד שני מוסדות ישראלים שמחזיקים במאגרי נתונים של מיליוני בני אדם.

ההתכתבות בין ההאקרים לגורם "ישראלי", צילום: מסך

הבוקר שוחררו נתונים נוספים של תחנת הרדיו 104.5FM שעובדת בסינדיקציה עם 103FM שכאמור המאגר שלה שוחרר כבר אמש עם כ-30 אלף רשומות, ומאגר נוסף של חברת ביטוח הנסיעות לחו"ל: Trip Guaranty עם כחצי מיליון רשומות. הנתונים מהחברה כוללים מאות אלפי רשומות של טיסות שהזמינו אזרחים ישראלים - המידע כולל שמות, פרטים אישיים פרטי טיסות ומספרי דרכון .

הפרטים שדלפו אמש כוללים מידע רפואי חסוי, פרטים אישיים מזהים כולל שמות מלאים, תעודות זהות, כתובות מדויקות ועוד. התוקפים אף סיפקו להורדה "מפתחות דיגיטליים" שמאפשרים לגולשים להיכנס לאתרים הפרוצים עם מפתח שיזהה אותם ויאפשר להם כניסה חלקה לאתר.

המידע אינו כולל בשלב זה כרטיסי אשראי של אנשים, כפי שניתן היה לחשוב בגלל פעילות גדולה של קבוצות זייפנים שמנסות לנצל את הכאוס ופותחות קבוצות עם שמות זהים לזה של קבוצות ההאקרים האמיתיות ומנסות לגבות כסף ממשתמשים שרוצים לרכוש את מאגר המידע.

הדליפה ממכון מור: פרטי המטופלים טושטשו, צילום: גיא לוי

האזרחים במדינת ישראל מותקפים ברגעים אלו וההמלצה של כל גורמי הביטחון השונים כרגע היא להיות ערניים וזהירים בכל מה שקשור להתנהלות שלנו עם מחשבים וסמארטפונים. הקפידו לשנות סיסמאות לכל השירותים בהם אתם מחזיקים כדי להקשות על המידע שלכם לדלוף.

א' תושבת תל אביב סיפרה ל"ישראל היום" על התחושות אחרי שגילתה שפרטיה דלפו: "במקרה שלי, לא היו באתר יותר מדי דברים מפלילים, מלבד הכתובת שלי שכבר לא רלוונטית ומספר תעודת הזהות שזה לא מציק לי שיהיה בחוץ, אבל אני מכירה אנשים שהסתובבו באתר הזה כמו בחדר הפרטי שלהם, עם תמונות ושיחות שלא משתמעות לשתי פנים - וזה פשוט מפחיד ברמות שלא הכרנו עד עכשיו"

ח"כ גלעד קריב, צילום: נועם מושקוביץ

ביום שני יתקיים דיון מיוחד בנושא ההגנה על הפרטיות ברשתות החברתיות בוועדת החוקה אולם לא מן הנמנע שדיון זה יתפתח לכיוונים מעט רחבים יותר בעקבות המתקפה הכוללת שנערכת בשעות אלו.

 ח"כ גלעד קריב, יו"ר הוועדה יכנס את הדיון שיתמקד בשאלה האם יש לישראל את הכלים המשפטיים להגן על פרטיות אזרחיה?

"התקפות הסייבר ההולכות וגוברות, המידע הנחשף על ענקיות הטכנולוגיה ומשבר הקורונה - מחייבים את הכנסת לתת קדימות לסוגיית הגנת הפרטיות, הנוגעת לכל אחד ואחת מאיתנו.

מתקפת האקרים, אילוסטרציה, צילום: רויטרס

חוקי הגנת הפרטיות בישראל מיושנים ואין בכוחם כדי להתמודד עם אתגרי התקופה. בכוונתי כיו"ר ועדת החוקה להציב את הנושא כנושא מרכזי ולפעול במשותף עם גורמי הממשלה הרלוונטיים כדי לחזק את ההגנה על הפרטיות של אזרחיות ואזרחי ישראל ועל ביטחון המידע האישי שלהם".

ליאור פרנקל ראש פורום הסייבר באיגוד ההיי-טק הישראלי ומנכ"ל ומייסד חברת הסייבר Waterfall Security אמר:

למה בכלל כל הנתונים האלה נמצאים באינטרנט?

"כולנו רוצים ליהנות מהיתרונות ומהנוחות של מערכות ושירותי online, אין ספק ואין בכלל מה להוסיף על זה. אבל מכאן ועד זה שכל נתון שלנו או עלינו נמצא זמין במערכות ומאגרי המידע של האתרים, לעד, יש מרחק מאוד גדול.
אם, לדוגמא, השתמשתי בשירותי בדיקות רפואיות של חברה כלשהי, אז ברור שאני מעוניין שנתוני הבדיקה וכו יהיו זמינים ונגישים עבורי דרך האינטרנט כל הזמן."

זה נכון גם אחרי חצי שנה? חמש שנים?
"אין שום סיבה לשמור את הנתונים האלו על מסדי נתונים הנגישים מהאינטרנט. אחרי זמן סביר, אפשר היה להעביר לאכסון "קר", ואם הלקוח מעוניין בנתונים, שלח בקשה (דרך האתר...) ואחרי שעתיים או יום, הנתונים שוב יהיו זמינים.
במקרה כזה, כמות הנתונים האישיים והרפואיים אשר היו נחשפים בתקיפת סייבר, הייתה קטנה משמעותית, וכמוה הנזק וההשפעה הכוללת."

תומר אליאס, דירקטור ניהול מוצר בחברת BigID המתמחה בניהול מדיניות פרטיות ברשת: "בעוד שבאיחוד האירופי מוגדר בבירור תוך כמה זמן חברות צריכות לתת מענה לבקשות שלנו בתור לקוחות ומשתמשים (תוך 30 יום) והקנסות למקרה של חריגה מגיעים לכדי 4% מהמחזור השנתי העולמי של הגוף המפר או קנס בשיעור של 20 מיליון יורו. בישראל הקנסות מגיעים לסכום מקסימלי של 29,200 שקל. זה אומר שאם המידע של כולנו נפרץ או דלף מחברה מסוימת, או שהחברה לא מוכנה למסור לנו את המידע ששייך לנו, או מסרבת למחוק אותנו מהמאגר שלה - זה הקנס המקסימאלי שהיא תקבל.

בישראל, יש סיכון רב מהממוצע העולמי לתקיפות, אך מנגד, חוקי הגנת המידע בארצות הברית ובאירופה נוקשים יותר. הקנסות הנמוכים בארץ משפיעים באופן ישיר על רמת המודעות שלנו כלקוחות על הזכויות שמגיעות לנו בתור משתמשים בשירותים או במוצרים של חברות שונות בישראל, רובנו לא קוראים את התקנון או מדיניות הפרטיות של החברות, אנחנו לא מודעים לכך שיש לנו זכויות כלשהן על המידע שלנו ומעטים המצבים בהן החברות מנגישות באופן ברור איך ניתן לגשת למידע ששומרים עלינו ואיך ניתן לבקש להימחק.

לפי בדיקה שערכנו, רוב החברות הישראליות לא מנגישות כל נושאי הפרטיות, כשהטכנולוגיה מתקדמת בצעדי ענק ורוב תחומי חיינו עוברים להתנהל בדיגיטל-יש להתאים את ההגנה על הפרטיות שלנו וההתאמה הזו עוברת הן בתיקון, ועדכון החקיקה והרגולציה בישראל אבל לא פחות מכך במודעות של האנשים.

השתתפה בהכנת הידיעה: דניאל רוט-אבנרי

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו
אטרףמתקפת סייברסייבר

כדאי להכיר