דרושה רגולציה
מי שיש לו עוד ספק לגבי מהו התחום הכי חם בענף ה-IT, היה צריך לבקר ביום חמישי האחרון במלון הילטון בת"א. במלון התכנסו למעלה מ-1,000 מקצועני אבטחת מידע מכל המשק, כדי להשתתף בכנס אבטחת המידע InfoSec 07, הנערך זו השנה השישית ברציפות. השורה הארוכה של החברות שהציגו בתערוכה, הצפיפות בכניסה, ומגוון ההרצאות והמרצים אישרו את מה שידענו כבר מזמן: תעשיית אבטחת המידע היא התעשייה הכי מעניינת בשנים האחרונות.
מי שראה את כל המנמ"רים, מנהלי האבטחה, מנהלי התשתיות ונציגי כל החברות שהשתתפו באירוע, לא יכול היה שלא לחשוב שאילו הארגונים בארץ ובעולם היו מתייחסים לאבטחה באותה רצינות שבה הם מתייחסים לכנס InfoSec 07 - מצבנו היה הרבה יותר טוב.
אבל אבטחה היא עדיין תחום שדורש הסברים והוכחות. היא עדיין נושא שמתייחסים אליו כאשר קורה אסון, או כאשר נערכים כנסים כגון InfoSec07, שם ניתן ללמוד על החידושים בתחום. בשטח, המציאות לא נעשית מעודדת יותר. כמות האיומים הולכת וגדלה, כאשר על הכוונת נמצאים יותר ויותר רכיבי תשתית בארגון, שבעבר לא הותקפו, והמידע הרגיש ביותר - והיקר ביותר - חשוף לסכנות יותר מאי פעם. העלייה ברמת האיומים לא באה לידי ביטוי בהשקעות של הארגונים באבטחה. מנהל האבטחה עדיין צריך להזיע לא מעט כדי לשכנע את ההנהלה שלו להשקיע במניעת איומים ובהגנה טובה יותר על הקניין הרוחני, ולא להגיב בזמן אמת, כאשר מתרחש אסון.
הסקר השנתי שנערך על ידי חברת האבטחה SECOZ ואנשים ומחשבים, בנושא מודעות הארגונים לאבטחת מידע, העלה השנה ממצאים מעניינים. מצד אחד מסתמנת עלייה במודעות לנושא מצד מועצות המנהלים, אבל מצד שני, ל-54% מהארגונים בישראל אין תוכנית להתאוששות מאסון בעת התקפה. כשאתה מנסה לפרוט את הנתון הזה לפרטים אתה מגיע למסקנה כי בין הארגונים הללו ישנם כאלה שהמידע שלהם, הוא למעשה המידע שלנו ועלינו. חלק גדול ממה שאנו עושים בחיינו תלוי במידע הזה, ואובדנו עלול לגרום נזק לכל אחד ואחד מאיתנו - לא רק לארגון. אין צורך להכביר בדוגמאות, מספיק להסתכל על המגזר הפיננסי, הממשלתי, ועוד.
בניסיון להבין מדוע, ומאין נובע הזלזול הזה, נולדה אחת התובנות המרכזיות של InfoSec07: העדר רגולציה. אם נרצה או לא, חלק גדול מאורחות חיינו, העסקיים וגם הפרטיים, מונע על פי חוקים של עשה ואל תעשה - מותר ואסור. כך בנויה חברה מודרנית, שיש לה ממשל הקשוב לצרכי האזרחים, שרואה בחקיקה לא רק מנוף לעצירת תהליכים ופגיעה בגופים גדולים, אלא כלי שבעזרתו הוא מגן על אזרחי המדינה באשר הם.
המצבור של התגברות האיומים, והמשך הזלזול של מועצות המנהלים בכל הקשור לתוכניות התאששות מאסון מביאים למסקנה כי יש להתחיל במהלך - מוזר אבל מתבקש - שבסופו תהיה חקיקה מדוייקת לגבי האחריות של הארגונים על המידע שלהם ועל הצורך שלהם לשמור עליו. במילים אחרות - רגולציה, אותה מילת גנאי שגורמת לכל מנכ"ל ויושב ראש מועצת להזיע כשהם שומעים אותה.
כל הסימנים מראים שאין ברירה. המציאות היא שגם לגבי מוסדות כגון בנקים וגופים פיננסיים, שם שמירה על המידע היא הדבר הכי חשוב, אין שום חקיקה המגדירה במדוייק אילו פעולות הם צריכים לנקוט בנושא אבטחת המידע והתאוששות מאסון. יש תקנות, יש הבנות, יש נהלים - אבל חקיקה מפורשת לא קיימת.
אלא שלא הבנקים הם הבעיה. גם בהעדר חקיקה יש להניח שהם עושים הכל כדי לשמור על המידע שלהם, כמו שהם שומרים על הקופות שלהם, מתוך אינטרס עסקי ברור. הבעיה היא בשורה ארוכה של גופים, שעוצמתו וחשיבותו של המידע שבידיהם היא כל כך גדולה, עד כי מתבקש שהם יתנו את הדין במקרה של אסון. קופות החולים, חברות הביטוח, גופי רווחה וסיוע לאזרחים, רשויות שלטון, וגופי הבטחון - כל אלו מחזיקים במידע מגוון, שנפילתו לידיים הלא נכונות עלולה לגרום לאסון שאף אחד לא יכול להעריך את גודלו.
כל הגופים הנ"ל עושים הרבה בשביל לשמור על המידע, אבל בהעדר חקיקה מוסדרת, יש איים שלמים של פעולות. נהלים שהארגונים עצמם ממציאים או מכתיבים לאחרים, שכולם טובים וכבודם במקומם מונח, אבל אין להם את אותה רמת סמכות שרגולציה יכולה להעניק. הכוונה היא לחקיקה במובן המופשט של המילה, עם הגדרות משפטיות ברורות, שקופות וניתנות למדידה על פי סרגלים מאוד מוכרים.
חקיקה שכזו תסייע לכל אותם גורמי מקצוע בארגונים האמונים על האבטחה להגדיר את עצמם ואת תפקידם בצורה ברורה. חלוקת העבודה בינם לבין בעלי תפקידים אחרים, כגון המנמ"ר, תהיה הרבה יותר חדה ולא נתונה לפרשנות. תפקיד ה-CISO יהפוך לתפקיד רשמי, אולי ברישיון, וגם סמכויותיו יהיו מכוח חוק ולא רק מכוח סמכויות שהארגון בוחר אם להעניק לו או לא. בנוסף, הפקרה של מידע תיחשב לעבירה על החוק.
אחד המנמ"רים אותו פגשתי אתמול ב-InfoSec07 התרשם מאוד מכמות המבקרים, והסכים איתי, חלקית, שעושה רושם שאבטחת מידע היא הנושא הכי חשוב היום בארגונים. "חשוב כן, מרכזי לא", אמר אותו מנמ"ר. "לפעמים נדמה שמרוב הגנות, שריון וכלי הנשק, החיילים יהיו כל כך כבדים ואיטיים עד שהם לא יוכלו בכלל להילחם". הגישה הזו רווחת בהרבה מאוד ארגונים. הנהלות רואות באבטחה נטל, ומנסות לצמצם כמה שיותר את הנזקים, בערך כמו שנהגים ניסו במשך שנים לא לחגור חגורות בטיחות על בסיס המשפט שמאפיין את הישראלים יותר מכל: "לי זה לא יקרה". חוק, רגולציה, ישימו גבולות ברורים. שאלת האכיפה או אי האכיפה היא סוגיה אחרת, אבל כדי שתהיה אכיפה צריך קודם כל חוק.
הפקרות ושמה מאגרים אילו עו"ד יורם הכהן, לא היה מופיע אתמול כראש הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים, והיה חופשי לדבר כאזרח, מן הסתם היה מסכים למשפט הבא בניסוח זה או אחר: מה שמתחולל כיום בכל הקשור לשמירה על מאגרי מידע הוא שערורייה. או במילים פחות עדינות: ברדק.
חופש המידע, אחד מבסיסי השלטון הדמוקרטי, מאפשר לכל ארגון לאסוף מידע על כל אחד ואחת מאיתנו ולבצע בו פעולות מפעולות שונות, מבלי שרשויות החוק יודעות האם השימוש הוא ראוי ולא פוגע באחרים. החיבור בין משפט, טכנולוגיה ומידע לא קיים למעשה במדינת ישראל. זה המנדט שקיבל עו"ד הכהן כאשר נתבקש על ידי הממשלה להקים את הרשות החדשה - מלאכה עליה הוא עומל מזה שנה. אילו בתי המשפט ורשויות האכיפה ייקחו ברצינות את הרשות הזו, הרי שיש סיכוי שתוך זמן לא רב תמונת המצב בתחום השמירה על הפרטיות, במיוחד בכל הנוגע להעברת מידע כלכלי, תעשה תוך ציות לחוק.
זו הסיבה שאחד הדברים שעו"ד הכהן החליט לעשות הוא לשנות את כללי המשחק שהיו נהוגים עד כה ויצרו העדר מוחלט של פיקוח על הנעשה. עד כה היו הביקורות בגופים המחזיקים במאגרי מידע מינוריות, מתואמות מראש, והן נערכו פעם בשנה במקרה הטוב. לארגונים המבוקרים ניתנה התראה מראש, ממש כמו במסדר המפקד בטירונות. הכול נראה מצוחצח, נקי ומוכן לביקורת. 10 דקות אחר כך - חוזר הברדק לחגוג.
בכל מה שקשור למחשבים וטכנולוגיות איסוף מידע ונתונים, אין כמעט אפשרות לגלות עקבות של ניסיונות לטשטוש או ייפוי המצב. לכן, מעתה, כל ארגון שמחזיק בידו מידע בעל ערך על כולנו יצטרך להיות מוכן לביקורת בכל רגע. נכון, זו משימה כמעט בלתי אפשרית, כי התקנים מוגבלים. אבל עו"ד הכהן לא מסתיר את כוונותיו: נתעסק בעיקר עם הגופים הגדולים, אלו שמחזיקים הרבה מאוד מידע חשוב ורגיש מאין כמוהו.
זה מה שהופך את הסיפור למעניין יותר. השימוש במידע שקיים בארגונים הוא הרבה יותר אפור מאשר ברור וחד. כל בעל מאגר יכול לעשות עם איתו, ברמה עסקית-מסחרית, כמעט ככול העולה על רוחו. כמה פעמים ביום קיבלתם מיילים מגורמים שונים שמעולם לא פניתם אליהם ובטח שלא מסרתם להם את המייל שלכם? כמה פעמים בשבוע אתם מקבלים לתיבת הדואר הפיסית שלכם מכתבים, הזמנות וחוזרים ואינכם מבינים למה? אם עד כה שמרתם את הקוריוז הזה לעצמכם, מעתה מצפה עו"ד הכהן שאתם תספרו לו על כך, במיייל, בטלפון או דרך האתר. המידע ייבדק, וארגון שיש חשד שהשימוש שהוא עושה במאגרים אינו סביר, יהיה צפוי לביקורת פתע של אנשי הרשות, שיצויידו בסמכויות מתאימות.
זאת, בנוסף לשינוי בחוק הגנת הפרטיות, כדי שיהיה יותר ספציפי, חד וברור. במידה מסויימת, המודל שהרשות בראשותו של עו"ד הכהן הולכת ליישם הוא המודל של ה-BSA, המנהל מאבק תמידי במעתיקים וגונבי זכויות. מאבק סיזיפי, שלא הצליח להוריד את כמות הפיראטיות, אבל לפחות חדר לתודעתם של מנהלים, שלא רוצים להמצא במצב בו נמצא המנהל מתשדירי השירות של ה-BSA: מזיע וחיוור, כאשר הוא רואה ששני השוטרים שעלו איתו במעלית, באים בעצם ללשכתו.
מעבר לפעולות החקיקה והאכיפה, תצטרך הרשות גם לערוך מבצעי הסברה וחינוך להעלאת המודעת בקרב כלל האוכלוסיה, שכן כל אחד מאיתנו יכול להחזיק במאגרים ולהיות קורבן של שימוש לא נאות במאגרים אחרים. החינוך יצטרך להיות גם ברמת בתי המשפט והשופטים. בישראל עברו שנים רבות עד ששופטים הבינו כמה חמורה היא עבירת הפיראטיות. בכל הקשור למאגרי מידע, התודעה שואפת לאפס. התחושה היא שהכול מותר ושאין למי לפנות אם גילית שמידע רגיש עליך הגיע לידיים לא רצויות.
סוחרי המידע הם בדרך כלל בארגוני ענק שלאזרח הקטן אין סיכוי להתמודד איתם. בדרך כלל, הקורבנות לא מודעים לעובדה שאותם ארגונים עוברים על חוק, כשם שהרבה מאוד דברים אחרים שמהווים עבירה על החוק נחשבים לנורמה אצלנו. הציפייה היא שהרשות בראשותו של הכהן, תהיה המפלט האחרון של אזרחים, קבוצות ועסקים שהמידע הרגיש שלהם, נסחר כמו בשוק ואין דין ואין דיין. כאן, כמו בהרבה מאוד דברים אחרים, הטכנולוגיה היא שחקן משנה. היא כלי חשוב לשמירה על אחד הערכים היותר חשובים בדמוקרטיה.
