האקרים הבינו ששירותי האחסון הם נקודות התורפה: "מישהו חייב לקחת אחריות"

לקוחות רבים בחברת שירותי האחסון בוקס התלוננו בחודשים האחרונים שהאתרים שלהם קרסו • בחברה טענו שזו תקלה, אך ריבוי האירועים בתחום, כמו פרשת אטרף וסייברסרב, מציגים תמונה עגומה: הלקוחות חשופים לפגיעה, אף גורם ממשלתי לא לוקח אחריות והתוקפים חוגגים

האקרים הבינו ששירותי האחסון הם נקודות תורפה / צילום: Unsplash, Jackson Simmer
האקרים הבינו ששירותי האחסון הם נקודות תורפה / צילום: Unsplash, Jackson Simmer

תקלה ממושכת בשירותי חברת האחסון Box הובילה בחודש שעבר להגשת תובענה ייצוגית כנגד החברה המספקת שירותי אחסון ואירוח אתרי אינטרנט. לקוחות רבים התלוננו כי האתרים שלהם קרסו והחברה, מצידה, הסבירה ש"כחלק מפעולות תחזוקה נמחק ווליום בסטורג המרכזי, שגרם לנפילה של השרתים השיתופיים של החברה".

בבוקס ציינו אז שהם מסייעים ללקוחות הזקוקים לעזרה, אולם "הלחץ הכבד לא מאפשר להגיע לכולם". איילה (שם בדוי), שבחודש אוקטובר עלתה עם אתר מכירות לכלי בית, היא אחת מהנפגעות. במשך חודשיים, האתר שלה, הדרך היחידה שלקוחות יכולים לרכוש את מוצריה, לא עבד.

"במשך חודשיים לא היה לי איך להתפרנס. הקמתי עסק חדש, התחלתי לבנות את המותג ואנשים התחילו להביע עניין - והם הרסו לי את המותג ואת השם. רק עליתי וישר נעלמתי", היא הסבירה בשיחה עם גלובס. איילה סיפרה שהיא בנתה קמפיינים ומבצעים שמוכנים לחגים, אבל שבוע לפני החג האתר שלה קרס ומאז לא עלה.

היא פנתה לחברה בכל צורה, ולא קיבלה מענה. "האתר שלי זה הבייבי שלי שטיפחתי וגידלתי אותו למשך שנה. בהתחלה הייתי חסרת אונים, מהר מאוד התחלתי לכעוס בצורה משוגעת לגמרי, שלחתי לחברה מלא מיילים, הודעות והתרעות מעורכי הדין. אחרי חודשיים האתר חזר וישר משכתי אותו לחברת אחסון אחרת".

וזאת לא הפעם הראשונה שחברת בוקס מסתבכת ככה: בתחילת השבוע התקיים דיון בבית המשפט המחוזי בת"א סביב תובענה ייצוגית שהוגשה בשנת 2020 ונמשכת עד היום, גם שם נפגעו אלפי אתרים אחרים.

טרנד תקיפות שהתחיל לפני עשור

בוקס היא לא החברה היחידה שמתפרסמת בגלל אירועים שליליים. בין האירועים המתוקשרים, יש את תקיפת שרתי Upress ביום ירושלים האיראני, בו אתרים רבים הוחשכו, ובמקומם הופיעו כתובות נאצה נגד מדינת ישראל. אך אחד האירועים האחרונים הזכורים בהקשר זה הוא פרשת סייברסרב (Cyberserve) - באוקטובר 2021 קבוצת Black Shadow, המזוהה עם איראן, פרצה לשרתי חברת האירוח וגרמה להשבתה.

חלק גדול מהאתרים נפרצו ומידע דלף - אחד מהם היה אתר אטרף של הקהילה הגאה. אטרף הכיל מידע אודות משתמשים להט"בים רבים, לצד נתונים אישיים כמו סטטוס יציאה מהארון ומידע רפואי על מחלות מין. החקירה עדיין מתנהלת ברשות להגנת הפרטיות, אך הדיווחים מעלים תמונה מדאיגה על רמת אבטחת המידע שהייתה שם - משמירת נתונים בצורה לא מוצפנת ועד התעלמות מאזהרות מערך הסייבר.

 
  

טרנד התקיפות והפריצות הוא לא חדש. כבר בינואר 2012 מאות אלפי ישראליים נכנסו לפאניקה: האקר שהזדהה כסעודי, ובהמשך התגלה כאיראני, תקף מספר שירותי מחשוב בישראל והפיץ מידע אישי הכולל כ-400 אלף מספרי כרטיסי אשראי. הרשות למשפט וטכנולוגיה במשרד המשפטים חקרה את האירוע, והגיעה למסקנה שמקור הידע היה שירות אחסון אתרים באשדוד.

יורם הכהן, מנכ"ל איגוד האינטרנט הישראלי, מי שהיה בזמנו ראש הרשות למשפט וטכנולוגיה, מספר כי אותו שירות אחסון היה ברמה נמוכה מאוד. "נתקלנו בשירות ההוסטינג של שני החבר’ה האלה, הם ניהלו שירות עבור לקוחות רבים. רמת אבטחת המידע שם הייתה רעה מאוד וזה למעשה מה שאיפשר את כל המתקפה הזו".

בעקבות זאת, כראש הרשות הוא קידם את תקנות אבטחת מידע והגנת הפרטיות שחוקקו לאחר 6 שנים, בשנת 2018. "בזמנו הבנתי שיש פה אירוע וחייבת להיות חקיקה אחת שתכפה את הניהול הנכון בהיבטי אבטחת מידע. למדינה לקח 6 שנים לחוקק אותן, ולמרות שכיום יש משפט חקיקתי, עדכני ומודרני, עדיין אין אכיפה".

"מישהו חייב לקחת אחריות על המצב"

לפי מערך הסייבר הלאומי, הרגולטור לתשתיות קריטיות במדינת ישראל בתחום הגנת סייבר, קיימת עלייה בניסיונות התקיפה נגד שירותים שכאלה - 30 אירועים בשנה וחצי האחרונות. גורם בכיר בשוק אמר לגלובס כי ההאקרים הבינו שהבטן הרכה היא חברות האחסון. "ההאקרים עצלנים. במקום שהם יעבדו קשה וינסו לתקוף חברה אחת עם אבטחת מידע גבוהה, הם פורצים לשירות אירוח אתרים ודרכו מגיעים לעשרות אלפי אתרים אחרים.

"זה מגוחך שכלי תקיפה שקיים במשק 8-9 שנים, עדיין מצליח להפיל חברות אחסון - וזה מה שקורה כרגע. יכול להיות שלא תהיה פגיעה משמעותית בתשתיות מדינה, אבל הסכנה התודעתית היא עצומה".

שנה אחרי שנה מערך הסייבר הלאומי מוציא על בסיס יומי התרעות לאלפי גופים במשק ועדיין אין שינוי מהותי. "יש פה כשל שוק מטורף שלא מטופל, והממשלה חייבת לקבל החלטה", תקף הגורם הבכיר. "מישהו חייב לקחת אחריות על המצב הנוכחי".

מומחים בתעשייה מסבירים כי אחת הסיבות שהגענו למצב הזה היא שמדובר בסקטור ללא רגולטור - כל אחד יכול להקים חוות שרתים בביתו. ניצן עמר, ראש מכלול עמידות במערך הסייבר הלאומי, אמר לגלובס כי נוצר מצב שמידע של גופים מתחומים שונים מאוחסן באותה חברה ביחד. "לדוגמה, אין חברת אחסון שמתמחה רק בבריאות. במקרה של תקיפת סייבר התוקף יכול לכוון למידע מסוים ולהגיע למידע רגיש יותר שנמצא שם, ובכך יש בעייתיות ברורה".

סיבה נוספת שמעלים המומחים למצב הקיים היא המודעות ותג המחיר. כשאדם רוצה להקים אתר ופונה לחברת אירוח אתרים, הוא מחפש את החבילה הזולה ביותר ולא מבין עד הסוף מה כלול בה. אין לו שום הבנה לדרוש הגנה או לשאול את השאלות הנכונות. גם החברות עצמן, וזו טענה חריפה שעולה, עלולות להעדיף שהלקוחות ייקחו את החבילה הזולה וכך הן לא יצטרכו להשקיע דבר.

פער משמעותי בין החקיקה לפרקטיקה

החובות על שירותי אחסון אתרים חלות בחוק הגנת הפרטיות, מתוקף היותם מחזיקים במאגרי מידע. לכן, ברשות להגנת הפרטיות פועלים באפיקים חשובים כדי להשתלט על הכאוס, אך סמכותיהם מוגבלות ולא כל אירוע שקשור לשירותי אחסון בהכרח קשור לענייני פרטיות (בדומה לבוקס).

בנוסף, ברשות להגנת הפרטיות מבינים שבין החקיקה לפרקטיקה יש פער - החברות אינן מכירות את החובות החלות עליהן ולא בקיאות בצורת ניהול מאגר המידע, ניהול ההרשאות ורמות האבטחה.

ב־2020 החליטה הרשות לבחון את מגזר חברות אחסון ועיבוד מידע. היא פנתה ל-36 גופים המנהלים שירותי אחסון ועיבוד מאגרי מידע בישראל. לפי הממצאים, "אין עמידה מספקת בהוראות החוק והתקנות". הליקויים המרכזיים הצביעו על אי ביצוע סקר סיכונים ומבחני חדירה תקופתיים, ובעיקר כשל רוחבי הנובע מרמת מודעות נמוכה של גופים למלוא חובותיהם על פי החוק והתקנות.

בעקבות ממצאי הדוח, הרשות הבהירה לתעשייה מי נחשב למחזיק במאגר מידע על פי החוק. מי שמחזיק במאגר מידע חייב להירשם ברשות להגנת הפרטיות ולוודא שהוא שומר על המידע כהוגן. הרשות הבהירה בדוח כי "מחזיק" הוא גם מי שמעניק שירותי אחסון או גיבוי לאחרים.

כחלק מתוכנית העבודה של הרשות לשנת 2023, נשקלת האפשרות לבצע הליך פיקוח נוסף בשירותי אחסון בישראל על מנת לבדוק שהליקויים תוקנו. לצד זאת, אחת הבעיות היא שאין לרשות כלי אכיפה רלוונטיים ומספקים לצורך אכיפה אפקטיבית של החוק.
בעיקרון, הענישה המרכזית של הרשות חזקה מדי - השבתת השירות עד תיקון הלקויים. ענישה זו לא אפקטיבית במקרים קטנים ולכן מקודם תיקון חקיקה שאמור לאפשר לרשות להטיל עיצומים כספיים על הפרות, מה שצפוי להגביר את הציות של גופים מכלל מגזרי המשק.

יורם הכהן ומומחים נוספים העלו הצעה להקים זרוע מאוחדת של הגופים הרלוונטיים. "מצד אחד, למערך הסייבר אין את הסמכות הפורמלית בסקטור הזה אבל יש לו יכולות מחקר וניטור. מצד שני, לרשות להגנת הפרטיות יש את הסמכויות, המשאבים והכלים בחוק. השאלה הגדולה ביותר היא למה אין שיתוף פעולה ממוסד ביניהן?", שואל הכהן.
אחת ההצעות שעלו בתקופה האחרונה היא להקים גוף היברידי, בדומה למוקד 105 לשמירה על ילדים ברשת, כך שכל גוף יביא לשולחן את היכולות שלו וכך הם ישתפו פעולה נגד איומים אפשריים ויספקו מענה הוליסטי יותר לאירועים.

לצד זאת, דווקא משום שמדובר בנושא מורכב, יש הטוענים שנדרשת התערבות של רגולטור שייקח תחתיו את כולו. כך, יכפיפו תחתיו את שירותי האחסון והוא יהיה אחראי על הסקטור הזה בכל מובן - הוא יבנה פרקטיקות מקובלות ושיטה ברורה להתנהלות, וידע לדרוש עמידה בתקן אבטחת המידע. עם זאת, המבקרים חוששים כי עשוי להיות כאן "מגדל בבל רגולטורי" שיגרום לבלבול רב יותר