קשה לומר שפרסום פרטיהם האישיים של עשרות מיליוני גולשים, אשר נרשמו לאתר הבגידות הבינלאומי ’אשלי מדיסון’, הפתיע רבים. ההודעה שיצאה לפני כחודש מטעם האקרים, אשר כינו עצמם בשם ’אימפקט טים’, אולי הפתיע קצת יותר. אלו, אשר גנבו את המידע ממאגר המידע של אתר הבגידות השנוי במחלוקת, איימו גם להפיץ אותו. באתר הבגידות כנראה לא לקחו אותם ברצינות. התחושה שהשתלשלות העניינים הזו שידרה היא, שהתרגלנו לכך שאתרים ומאגרי מידע בעולם נפרצים. גם אלו שבישראל.
השאלה שמעלה הפרשה הזו ודומות לה היא האם זוהי גזירת גורל? לפי מספר המקרים שמדווחים חדשות לבקרים על מאגרי מידע שנפרצו או דלפו, עושה רושם שהציבור מקבל מצב זה בהכנעה וחבל שכך, כיוון שגם אם נדמה שכן, לא מדובר במלחמה אבודה.
נושא אבטחת מידע מצוי תמיד במרוץ מקביל. מצד אחד פועלות חברות רבות ליצירת תוכנות שיבטיחו את המידע ומנגד האקרים ודומיהם מפתחים דרכים לפרוץ למערכות מחשב ולהוציא את המידע. סייבר, זו המילה שכבר ניתנה למלחמה הזו. השאלה היא, למעשה, איך להיערך נכון באותה מלחמה.
הסייבר ספייס, בו מתקיימות מתקפות הסייבר, אינו מוגבל לתפיסת המציאות לה התרגלנו לאורך ההיסטוריה המודרנית. במתקפת סייבר אין "אויב בעין". העובדה כי אין לדעת האם האחראי למתקפה הינו גוף ממשלתי-מדינתי, האקר משועמם בן 16, טרוריסט זדוני או אקטיביסט צדקן, מקשה עד מאוד על היערכות מוקדמת של ארגונים לקראת מתקפת סייבר.
עקב כך, אנו עדים לתהליך "התחמשות" של גופים רבים כנגד כל האיומים האפשריים, כאשר ישנה הבנה גוברת כי אין מדובר עוד בשאלה "האם" יתקפו את הארגון, אלא שאלה של "מתי". כפועל יוצא נדרש הארגון להתמודד עם שאלת ה"איך", כלומר כיצד הוא ייערך לכך מבעוד מועד, בצורה נכונה ומקיפה ככל האפשר. המציאות בעולם הסייבר מלמדת כי אין תוכנה המסוגלת להתמודד עם מאה אחוז מהאיומים ולהביא לנטרולם בזמן אמת. האתגר הוא למצוא תוכנה שתקרב אותם קרוב ככל האפשר למאת האחוזים. אלא שגופים שמחזיקים מידע בעל רגישות נמוכה, לא יזדרזו לשלם את עלות התוכנה, שלתפיסתם אינה פרופורציונאלית לאופי המידע המצוי במערכותיהם. גוף כזה חוזר לנקודת הפתיחה ושואל את עצמו מה עליו לעשות.
הדין הישראלי קובע חובה כללית בלבד לאבטחת המידע. אין הוראות ברורות איך יש ליישם את החובה בפועל, או במילים אחרות, מה צריך לעשות גוף בנושא אבטחת המידע, כדי להיות חסין מפני תביעות, אם יסבול גם הוא מחדירת האקרים כאלו אל תוך מערכות המידע שלו. מבחינות רבות הנושא פתוח לפרשנויות שונות.
נעשו ניסיונות להסדיר את נושא אבטחת המידע במסגרת תקנות לחוק הגנת הפרטיות, אך הן לא קודמו במשרד המשפטים. טיוטת תקנות הוצעה על-ידי הרשות למשפט טכנולוגיה ומידע כבר בתחילת שנת 2010. טיוטה מתוקנות לאחר הערות הציבור יצאה שנתיים מאוחר יותר. מאז לא נעשה דבר. שרי משפטים באו והלכו, ודומה שהנושא לא העסיק במיוחד אף אחד מהם. גם הקמה של גופים ממשלתיים שעוסקים בסייבר, עדיין לא הניבה הסדרה בחוק.
הסכנה בהעדרה של הסדרה ברורה של התחום היא שביום הדין, האזרח הקטן, זה שהמידע עליו דלף, לא יוכל לבוא חשבון עם מי שממנו דלף המידע. אותו גוף יוכל לטעון כי קיים את הוראות החוק, שהוא כאמור כללי מאוד. בתי משפט יהססו לקבוע הלכה הקובעת דין חדש והכאוס בתחום רק יימשך.
חוסר הבהירות יכול גם להביא להאטת הפעילות במשק. מקום בו גוף נעזר במאגרי מידע לצורך פעילותו, שכן גוף כזה יכול להיתקל בסירוב לקוחות פוטנציאליים להיות חלק ממאגר המידע שלו, מפחד שהמידע אודותיהם ידלוף.
המצב הזה מעמיד גופים המחזיקים במידע בדילמה כפולה. ראשית הם ישאלו מה עליהם לעשות כדי לא להיות חשופים לתביעות ביום הדין ויותר מכך, מה עליהם לעשות כאן ועכשיו כדי לשכנע את לקוחותיהם, שהם יכולים לישון טוב בלילה ולא לדאוג שהמידע שלהם יחליף ידיים. אין ספק שגופים כאלו לא צריכים להמתין למחוקק. גופים ששומרים מידע צריכים לעשות מעשה ולקבוע לעצמם דרכי שמירה ואבטחה מחמירות ביותר. גוף שידע לעשות זאת נכון, ימצא מרוויח במבחן הזמן הן לצורך תפעול המערכות שלו עצמו, הן מול אלו שהמידע שלהם שמור אצלו והן כלפי אחרים, שיבקשו בהמשך להפקיד בידיו מידע בעתיד. גוף כזה יוכל להמשיך לעבוד בבטחה גם עם מידע אישי רב במערכות המחשב שלו.
