יום מתקפת הסייבר על ישראל, כפי שהוגדר ה-7 לאפריל, מעורר כמו תמיד את העיסוק בשאלה, האם אנחנו מוכנים? על מידת המוכנות של צה"ל וכוחות הביטחון האחרים אין לנו מידע רב וכולם מקווים, ששם יודעים את העבודה. אבל האם יתר משרדי הממשלה מוכנים? האם החברות הגדולות במשק עשו את כל מה שצריך כדי להיות מוכנות להתקפה אפשרית כזו? ויותר מכך – מה החובה שחלה על כל אלה על פי החוק?
המרחב הקיברנטי, בו מתקיימות מתקפות הסייבר, אינו מוגבל לתפיסת המציאות לה התרגלנו לאורך ההיסטוריה המודרנית. במתקפת סייבר אין "אויב בעין". העובדה כי אין לדעת האם האחראי למתקפה הינו גוף ממשלתי-מדינתי, האקר משועמם בן 16, טרוריסט זדוני או אקטיביסט צדקן, מקשה עד מאוד על היערכות מוקדמת של ארגונים לקראת מתקפת סייבר. יש כאלה שאף יקצינו ויאמרו שזו מציאות שצריך להתרגל אליה, כפי שנכתב לאחרונה בדוח מקיף על תעשיית אבטחת הסייבר (Cyber Security) של ענק ההשקעות בנק אוף אמריקה – מריל לינץ’, שהגדיר כי חוסר ביטחון הוא המצב הנורמאלי החדש.
הדוח האמור סיכם סקר מקיף שערך הבנק האמריקאי בנושא. 69% מהנשאלים בו השיבו, שהם חוששים לעתים קרובות או מדי פעם שפרטי כרטיס האשראי שלהם ייגנבו על ידי האקרים ממאגרי מידע של חנויות שבהן הם קנו, וזאת לעומת 18% בלבד שהשיבו שהפשע הכי מפחיד בעיניהם הוא פשע שנאה, ואחוז דומה שציין פשעים אחרים כמו הטרדה מינית או רצח. האמריקאי הממוצע, כך נוצר הרושם מהסקר, חושש מהאפשרות שפרטי כרטיס האשראי שלו ייגנבו הרבה יותר מאשר מהאפשרות שיירצח או ייפול קורבן למתקפת טרור.
יתכן ובארץ היו מגיעים לאחוזים קצת שונים, אך הדאגה מפני מתקפות סייבר עדיין גדולה, במיוחד עקב האיומים הרבים עלינו בנושא. עקב כך, אנו עדים לתהליך "התחמשות" של גופים רבים כנגד כל האיומים האפשריים, כאשר ישנה הבנה גוברת כי אין מדובר עוד בשאלה "האם" יתקפו את הארגון, אלא שאלה של "מתי". אך נוסף על כך, השתכללה משמעות השאלה "איך", במקום איך או כיצד יתקפו את הארגון -ל"איך" הארגון ייערך לכך מבעוד מועד, בצורה נכונה ומקיפה ככל האפשר. המציאות בעולם הסייבר מלמדת כי אין תוכנה המסוגלת להתמודד עם מאה אחוז מהאיומים ולהביא לנטרולם בזמן אמת, אלא ישנה חשיבות רבה להיערכות מוקדמת של הארגון, על כלל מרכיביו, לשם חזרה מהירה לשגרה במינימום נזקים.
הדין הישראלי קובע חובה כללית בלבד לאבטחת המידע. אין הוראות ברורות איך יש ליישם את החובה בפועל, או במילים אחרות, מה צריך לעשות גוף בנושא אבטחת המידע, כדי להיות חסין מפני תביעות, מקום בו יסבול גם הוא מחדירת האקרים כאלו אל תוך מערכות המידע שלו. בדומה, אין הוראות ברורות מה החובה החלה על גוף שמתפעל ’עננים’, בהם אגור מידע של ארגונים רבים.
כמו בכל דבר, ראוי שתהא הסדרה ברורה בחוק ובתקנות של נושא אבטחת המידע וההתגוננות מפני מתקפות סייבר. הסדרה כזו צריכה ליצור סטנדרט ברור שבו על גופי הממשלה וחברות לעמוד, סטנדרט שייקח בחשבון את מידת רגישות המידע שיש בידי כל גוף וגוף. אבל למחוקק הישראלי לוקח זמן רב לשנות דברים ולא ראוי להמתין לו בנושא הזה. לכן עד שזה יקרה, דומה שגופים ששומרים מידע יצטרכו לקבוע דרוג עצמאי של המידע שהם שומרים ודרכי השמירה עליו. גוף שידע לעשות זאת נכון, ימצא מרוויח במבחן הזמן הן לצורך תפעול המערכות שלו עצמו, הן מול אלו, שהמידע שלהם שמור אצלו והן כלפי אחרים, שיבקשו בהמשך להפקיד בידיו מידע בעתיד.
בגוף שיפעל נכון, ימצאו מוגנים גם המנהלים וחברי הדירקטוריון, מפני הטענה האפשרית, שלא עשו את הנדרש כדי להגן על המידע האגור במחשבי אותו גוף. כאשר מגיעים לחובה האישית, יש להאמין, התמריץ לפעול יהיה כפול. עד שתהיה חקיקה שתקבע חובה ברורה בעניין, דומה שזו תהיה הדרך היחידה להבטיח הגנה טובה יותר על המידע המצוי במערכות המחשב של חברות וגופים כאלו.