לפני מספר שבועות קבוצת האקרים הקשורה לטענתה לחיזבאללה פרסמה סרטון שבו הודיעה על הצלחתה האחרונה. הסרטון כלל תיעוד של מחבלי חיזבאללה יורים טילים לעבר צפון הארץ, ואז כמה תמונות תקריב של אחד ממשרדי הממשלה בירושלים, המחזיק מידע רב על אזרחי ישראל. ההאקרים הודיעו בסרטון שהשיגו גישה לנתונים רגישים הקשורים בפרטיותם של אלפי ישראלים, והפיצו את המידע הזה בערוץ טלגרם המזוהה עמם. 

המתקפה על אותו משרד הייתה אחרונה בשרשרת ארוכה של מתקפות סייבר על ישראל מאז פרוץ המלחמה. באפריל דווח על פריצת סייבר נרחבת במשרד המשפטים, בספטמבר על פריצה למשרד הביטחון. בנוסף קבוצות תקיפה של האקרים השיגו מסמכים מסווגים ממשרד הכלכלה והתעשייה, בנק ישראל, הבורסה, עיריות, בתי חולים ממשלתיים ולעוד כמה מוסדות אחרים בעלי קשר ישיר למשרדים ממשלתיים. מכל אלה דלפו מסמכים פרטיים בהיקפים עצומים. שומרים חשף בעבר כי בשבועות הראשונים למלחמה, קבוצות תקיפת סייבר הקשורות לאיראן, חיזבאללה וחמאס, תפסו גם הן את ישראל בהפתעה ותקפו מאגרי מידע רגישים של אזרחים ושל כוחות הביטחון, לרבות תיקים רפואיים של חיילים. מאז המתקפה רק התעצמה רק שהפעם היא נותרה הרחק מהעין הציבורית.

מדוע? מאותה הסיבה שאיננו מפרטים כאן את שם המשרד שהוזכר בפתיחת הכתבה או את סוגי המידע שדלפו ממנו ומגופים אחרים. הסיבה היא פרקטיקה משפטית שהפכה שגורה לאחרונה, של הוצאת צווי איסור פרסום על קיומן של רבות מן המתקפות האלה, כולל על עצם קיומן. רק במקרים מעטים הותר לפרסם כי המתקפות אירעו ושוחרר תיאור חלקי של סוג המידע שדלף. וגם אז זה קורה רק כאשר את מתקפת הסייבר קשה מאוד להסתיר מהציבור, כמו שאירע השבוע (יום א'), כאשר מערכת לחצני החירום של חברת "מאגר-טק" נפרצה לכאורה על ידי קבוצת תקיפה איראנית, שהשמיעה באמצעותן אזעקות "צבע אדום", מסרים בערבית ושירי תמיכה בטרור ב-20 גני ילדים ומוסדות חינוך ברחבי הארץ. 

הקבוצה האיראנית, כך פורסם באותו הדיווח, טענה כי פרצה גם למערכות המשרד לביטחון לאומי וגנבה מידע על אלפי שוטרים. ברוב המקרים, הפריצות נעשו במחשכים ופרטים אודות הנתונים שזרמו אל פורומים בדארקנט והופצו בערוצי טלגרם, נשארו מוסתרים מהציבור הישראלי. 

כך נוצר מצב אבסורדי שבו אלפי ישראלים שמידע אישי שלהם דלף ברשת וזמין לא רק לתאי הטרור במזרח התיכון, אלא לכל מי שמחפש, אינם מודעים לכך שנפלו קורבן לפריצה. צו איסור הפרסום לא רק שמונע מהם לדעת וגם לדרוש דין וחשבון מרשויות המדינה, הוא במידה רבה מגן על משרדי הממשלה שנפרצו מפני ביקורת ציבורית שראוי שתשמע. פועל יוצא עלול להיות שההסתרה תביא גם לטיוח - כך שמחדל שרחוק מן העין לא יקבל את המענה הנחוץ על מנת שמקרים כאלה לא ישנו בעתיד. 

כך למשל, אישים במערכת, שעבודתם נוגעת לסוגיות הקשורות בענייני סייבר, הודו בשיחות עם שומרים שהם לא הכירו את הפרטים בנוגע לאותה פריצה לאחרונה שתוארה בתחילת הכתבה – נתון המלמד על החשיבות הרבה שאנשי המשרד המדובר מייחסים לשליטה במידע על מחדל האבטחה שארע תחתם. למרבה הצער, לא כך הם נהגו במידע הרגיש שהיה ברשותם. 

במסגרת תחקירי מחדל ה-7 באוקטובר, משרד מבקר המדינה עובד בימים אלה על דוח חדש הסוקר את היערכות המדינה לאירועי סייבר, את תפקוד במהלך המלחמה ואת מידת המוכנות של עשרות ארגונים חיוניים במשק. אולם התייחסות לכשלים במגזר הציבורי אפשר כבר למצוא בדוח שפורסם בנובמבר האחרון. בין היתר מצא המבקר ליקויים באבטחת המידע בדואר ישראל ובבנק הדואר, ליקויים ליבתיים במערך המחשוב של הביטוח הלאומי, כמו גם ליקויים הנוגעים להגנה על המידע ומערכות המחשוב ברפאל. עוד התייחס המבקר באותו הדוח, ל"דיווח חסר של משרדי הממשלה בנוגע לסיכוני התקשוב העיקריים שהם צריכים להידרש להם", וכן לקיומם של "פערים ניכרים בתחום ניהול סיכוני התקשוב בממשלה". 

לפחות במקרה אחד המוכר לשומרים, נראה כי לאחד ממשרדי הממשלה הייתה אחריות ישירה לכך שהפריצה התאפשרה – זאת, בשל יצירה של דף רשת לא מאובטח שלא עמד בסטנדרטים בסיסיים של אבטחת סייבר. זהות המשרד והפרטים נמצאים תחת צו איסור פרסום כמובן. 

מה-7 באוקטובר 2023 ועד ליולי 2024, כמעט מחצית מהפעולות האיראניות שצפתה בהן מיקרוסופט כוונו לחברות ישראליות, בעוד שלפני המלחמה רק 10% ממתקפות הסייבר האיראניות כוונו לישראל

הפריצות גדלו, וגם צווי האיסור

את הגידול הדרמטי בהיקף איומי הסייבר מאז מתקפת ה-7 באוקטובר, משקף הדוח השנתי של מערך הסייבר הלאומי, שמצא כי 68% מתוך 13 אלף מתקפות הסייבר נגד מטרות אזרחיות ב-2023 בוצעו בשלושת החודשים האחרונים של השנה, לאחר פרוץ המלחמה. על פי הדוח, באותו רבעון סוכלו או נמנעו כ-800 אירועי סייבר בעלי פוטנציאל נזק משמעותי למדינת ישראל. אינדיקציה לנעשה ב-2024 אפשר לקבל בדיווח של מיקרוסופט, שמצא כי מאז תחילת המלחמה הגבירה איראן את התקפותיה נגד ישראל. מה-7 באוקטובר 2023 ועד ליולי 2024, כמעט מחצית מהפעולות האיראניות שצפתה בהן מיקרוסופט כוונו לחברות ישראליות, בעוד שלפני המלחמה רק 10% ממתקפות הסייבר האיראניות כוונו לישראל.

בכמה מקרים פורסמו פרטים חלקיים לגבי כמה מן המתקפות על משרדי ממשלה, לעתים לאחר מאבק משפטי. כך היה לדוגמה כאשר פרטים אישיים של עובדי מדינה דלפו ממאגר נתונים ממשלתי והגיעו לידי גורמים זרים. במקרים אחרים, ישראלים יכולים ללמוד משהו על דליפות הנתונים רק באמצעות פרסומים בתקשורת הזרה. הגרדיאן הבריטי, למשל, פרסם ביולי האחרון, כמה דיווחים שנגעו לפריצת סייבר למשרד המשפטים, שגם דווחה בלקוניות בישראל. עם זאת, מידע לגבי נתונים נוספים שנפלו בידי התוקפים רלבנטי בעיקר לאזרחי ישראל, והתקשורת הזרה אינו מגלה בהם עניין.

ארי בן עם, עמית במרכז הסייבר והחדשנות הטכנולוגית בקרן להגנה על דמוקרטיות, סבור כי צווי איסור פרסום במקרים של פעולות סייבר הם לא רק מעשה אנטי-דמוקרטי, אלא גם מזיק גם ברמה הטכנולוגית על מנת להישמר מפריצות דומות בעתיד

לעיתונאים ולציבור הרחב עומדים משאבים מוגבלים בלבד בבואם להילחם בשימוש רחב ההיקף בצווי איסור פרסום, אומר אלעד מן, היועץ המשפטי של עמותת "הצלחה", שלקח חלק בניסיון לבטל צו כזה. "לא היו הרבה מקרים שבהם מישהו קרא תיגר על הצווים האלה", הוא מסביר. "ראשית, לא הרבה אנשים בכלל מודעים לקיומם. שנית, לכלי תקשורת אין משאבים כלכליים, כוח אדם ורוחב פס בשביל לטפל בזה. צריך ייצוג משפטי, שבעצמו אינו זול, והתוצאה לא מובטחת".

"לא היו הרבה מקרים שבהם מישהו קרא תיגר על הצווים האלה. ראשית, לא הרבה אנשים בכלל מודעים לקיומם. שנית, לכלי תקשורת אין משאבים כלכליים, כוח אדם ורוחב פס בשביל לטפל בזה"

יגאל אונא, שכיהן כראש מערך הסייבר הלאומי בין השנים 2018 ל-2022, מציין כי השימוש הנרחב בצווים הוא פרקטיקה חדשה. בתקופתו, הוא מעיד, "לא ממש אהבתי צווי איסור פרסום כי הם רק מושכים עוד תשומת לב, עוד רעש". במישור הציבורי ובהינתן הקושי להיאבק בצווי איסור פרסום, אונא סבור שיש להשתמש בהם אך ורק במקרים של איום ממשי ודוחק על הביטחון הלאומי, אחרת מדובר לדבריו, "ממש בניצול". עו"ד מן מציין לגבי משרדי הממשלה, כי "להגבלה של מידע אין שום השלכות תדמיתיות. הם מציגים את זה כאמצעי הכרחי מבחינת הביטחון הלאומי ויחסי החוץ". 

ארי בן עם, עמית במרכז הסייבר והחדשנות הטכנולוגית בקרן להגנה על דמוקרטיות, מוסיף כי הוצאה של צווי איסור פרסום במקרים של פעולות סייבר הם לא רק מעשה אנטי-דמוקרטי, אלא גם מזיק גם ברמה הטכנולוגית על מנת להישמר מפריצות דומות בעתיד. לטענתו, "צווי איסור פרסום מונעים פרסום של מחקרים על המתקפה המסוימת בידי צדדים שלישיים. אם מחקרים לא מתפרסמים, זה אומר שלא מתפרסם מידע על גורמי סיכון או על טקטיקות, טכניקות או נהלים של התוקפים, מה שאומר שארגונים אחרים לא יוכלו לשכלל את אמצעי ההגנה שלהם בהתאם".

לצו יכולות להיות גם סיבות טובות

עמית אשכנזי, לשעבר היועץ המשפטי של מינהלת הסייבר הלאומית הישראלית (INCD) במשרד ראש הממשלה, שכמו אונא גם לו ניסיון רב בהגנת הסייבר של ישראל, מאשר כי בתקופתו נעשה שימוש בצווי איסור פרסום רק במקרים נדירים. אשכנזי מנמק זאת בכך שלעיתים יש לצווים ערך פוטנציאלי ואף נחיצות על מנת למתן את ההשפעה השלילית של דלף המידע.

מקרה כזה, שבו השניים מסכימים כי הייתה הצדקה לשימוש בצו הוא הפריצה לאפליקציית ההיכרויות אטרף שפופולרית בקרב קהילת הלהט"ב. בשנת 2021, כזכור, קבוצת האקרים הקשורה לאיראן פרסמה מידע אישי של יותר מחצי מיליון משתמשי אטרף ובהם גם מי שנמצאים בארון בכל הנוגע לנטייתם המינית. אונא ואשכנזי מספרים כי צו איסור פרסום רחב נדרש כדי למנוע מכלי התקשורת לתאר את הפריצה וכדי למנוע מן התוקפים להבין מה יש להם ביד. 

עם זאת, הצו שניתן היה חלקי, ורק "כשהתקשורת בישראל התחילה לפרסם שהייתה פריצה לאתר אטרף, התוקפים הבינו שיש להם אוצר בידיים, ואז התחילו להדליף ולנצל אותו, וגרמו הרבה סבל להרבה קהילות להט"ביות בישראל", אומר אונא.

אונא סבור שיש להשתמש בצווים אך ורק במקרים של איום ממשי ודוחק על הביטחון הלאומי, אחרת מדובר לדבריו, "ממש בניצול"

מטרת צווי איסור הפרסום הנוגעים לתקיפות סייבר, מצדדת גם שרית קרני, מנהלת אגף הסייבר במשרד מבקר המדינה, היא בין היתר, "להגן על הציבור שהמידע לגביו דלף ולמנוע מתוקפים את היכולת לנצל לרעה מידע שדלף או את וקטור התקיפה עד לביצוע פעולות מיידיות לסגירתו". 

צו איסור הפרסום יצוין, מאפשר לרשויות אף לסגור את פלטפורמות המדיה החברתית ואת אתרי האינטרנט שבהם פורסמו הנתונים. יחד עם זאת, מציינים גורמי המקצוע, כי גם במקרה שאחד מערוצי ההפצה שלהם נחסם, האקרים נוהגים להפיץ את המידע הלאה במהירות באמצעים אחרים. "אלה שמשתמשים בטכנולוגיה לטובה ואלה שמשתמשים בה לרעה נמצאים בתחרות בלתי פוסקת", אומר אונא. "לפעמים אתה מפסיד במירוץ, אבל רוב הזמן אנחנו המנצחים".

"זה תמיד שילוב של אנשים, תהליכים וטכנולוגיה. עם זאת, התפשטות התקיפה וחומרת הנזק תלויה ברמת אמצעי ההגנה הטכנולוגיים הקיימים ויכולת הארגונים לזהות ניסיונות תקיפה במהרה"

איך מתרחשות רוב התקיפות? לרוב מעורבות בהן טעויות אנוש, אומרת קרני. לדבריה, "זה תמיד שילוב של אנשים, תהליכים וטכנולוגיה. עם זאת, התפשטות התקיפה וחומרת הנזק תלויה ברמת אמצעי ההגנה הטכנולוגיים הקיימים ויכולת הארגונים לזהות ניסיונות תקיפה במהרה".

קרני מוצאת נחמה בכך שבעקבות העלייה הגדולה במתקפות, "סיכוני סייבר מוכרים כעת כאחד האיומים האסטרטגיים המובילים במדינה - לצד סיכונים כמו רעידות אדמה או שריפות. לכן המודעות והמשאבים המוקדשים לנושא זה גדלו באופן משמעותי". 

עוד גדל כאמור גם השימוש בצווי איסור הפרסום, לא בהכרח מן הסיבות המטיבות עם האינטרס הציבורי, אלא יותר ברצון של רשויות המדינה להסתיר או לטשטש את פרצות האבטחה הרבות שנגלות בתדירות גבוהה מאז ה-7 באוקטובר. אותו ציבור הוא גם שבסופו דבר, נופל קורבן לאותם מחדלים חוזרים ונשנים.