התפתחות הבינה המלאכותית עלולה להפוך את מתקפות הסייבר למסוכנות מאי פעם. "לכל אזרח ישראלי יש סיבה לדאגה", מתריע מבקר המדינה מתניהו אנגלמן, שהדוחות שפרסם בשנים האחרונות חשפו שורת ליקויים בהגנה על המידע האישי של כולנו
הבינה המלאכותית מחוללת מהפכה בשנתיים האחרונות. כלי בינה מלאכותית מתפתחים במהירות מסחררת ותופסים מקום הולך וגדל בעוד ועוד תחומים שפוגשים אותנו בחיי היום-יום. הם מסוגלים לבצע בתוך כמה שניות משימות שלבני אדם לוקח לעיתים שבועות ארוכים לבצע. וכן, גם בהכנת הכתבה הזו נעזרנו בכמה כלי AI, שהפכו את מלאכת התמלול, הסיכום והעריכה לקלה ומהירה יותר.
אבל לצד האפשרויות שנראות בלתי מוגבלות - יש גם סיכונים. בזמן שאנו נהנים מהנוחות של שירותים דיגיטליים בכל תחומי חיינו, מתקפות סייבר הופכות לאיום גובר על מערכות ציבוריות בישראל, כפי שעולה משורה של דוחות שפרסם מבקר המדינה בשנים האחרונות.
Q&A Panel on Cybersecurity
בינה קוראת לגנב
הבינה המלאכותית רק הופכת את מלאכתם של התוקפים לקלה יותר, כפי שהסביר לאחרונה גיל שויד, המייסד ויו"ר הדירקטוריון של חברת צ'ק פוינט, בשיחה עם מבקר המדינה ונציב תלונות הציבור מתניהו אנגלמן. השיחה התקיימה במסגרת כינוס הוועד המנהל של ארגון EUROSAI, ארגון המבקרים האירופי המונה 51 מבקרי מדינות מכל רחבי היבשת, אשר המבקר עומד בראשו. "בעבר היה צורך במומחיות טכנית ברמה גבוהה כדי לחולל מתקפת סייבר. כיום אפשר לעשות זאת באמצעות כלי בינה מלאכותית", אמר שויד. לדבריו, העובדה שכלי AI מסוגלים לזהות את השפה האנושית מקילה על עברייני סייבר לבצע למשל הונאות פישינג, המבוססות על התחזות לשם קבלת מידע.
רגולציה רכה מדי
מה עושה ממשלת ישראל כדי לצמצם את הסיכון הנשקף מניצול לרעה של כלי בינה מלאכותית? בדוח מבקר המדינה מנובמבר 2024 נכתב שיש מקום רב לשיפור בנושא. "הכיוון הממשלתי נכון להיום הוא של רגולציה רכה - להתפתח עם הטכנולוגיה ואט-אט לקבוע את הכללים", הסביר דניאל ג'יקובס, מנהל האגף לביקורת טכנולוגיות דיגיטליות ומערכות מידע בריאיון להסכת "AI פשוט". ג'יקובס הוסיף: "ההמלצה של מבקר המדינה בנושא הזה היא קודם כל להביא את תוכנית הרגולציה הלאומית לאישור הממשלה. אבל זה לא מספיק. מבקר המדינה ממליץ לבחון פתרונות על מנת לאפשר לגורמי האכיפה להתערב כשצריך, כדי שגורמים עוינים לא ינצלו את הטכנולוגיה לרעה".
האם ישראל מוכנה לעידן ה-AI?
ליקויי אבטחה חמורים
הגורמים העוינים לא שוקטים על השמרים. דוחות מבקר המדינה חשפו בשנים האחרונות ליקויי אבטחה חמורים בכמה ממערכות המידע הקריטיות בישראל, ובהן מערכות מידע של מרכזים רפואיים, של תשתיות אנרגייה ותחבורה, של רשות מקרקעי ישראל, של המאגר הביומטרי של צה"ל ושל מאגר המידע של בחינות הבגרות וציוני הבגרות במשרד החינוך. פרצות מדאיגות נמצאו גם בהגנה על מאגרי המידע של גופים ציבוריים שבהם נשמר מידע רגיש הכולל נתונים בריאותיים, פיננסיים ואישיים של מיליוני אזרחים בישראל.
"עלינו לוודא שמידע זה מוגן כראוי. מתקפות סייבר עלולות לשבש שירותים חיוניים, לחשוף מידע אישי ולפגוע בציבור", אמר המבקר אנגלמן בריאיון להסכת "דוח מצב". לדבריו, "מתקפות סייבר אינן עוד תרחיש עתידי, אלא מציאות יום-יומית. לכל אזרח ישראלי יש סיבה לדאגה".
האם המידע הביומטרי של החיילים נשמר כראוי?
הנה כמה ליקויים בולטים שנמצאו בביקורת בשנתיים האחרונות:
- המוסד לביטוח לאומי: נכון לפברואר 2024, בכל יום מתבצעים עשרות אלפי ניסיונות לתקיפת סייבר נגד המוסד לביטוח לאומי. אירוע סייבר עלול לגרום לפגיעה חמורה בפרטיות של מיליוני אזרחים ותושבים המקבלים שירות מהביטוח הלאומי ולפגוע ביכולתו לשלם קצבאות. דוח מבקר המדינה מנובמבר 2024 מצא כי למרות הסכנה, הביטוח הלאומי לא עדכן את מדיניות אבטחת המידע והגנת הסייבר שלו משנת 2014, במשך עשור, אף שהסיכונים בתחום השתנו במידה ניכרת בשנים שעברו מאז. נמצאו גם פערים בגילוי אירועי סייבר ובטיפול בהם, וכן נמצא שיכולת ההתאוששות במקרה של אסון היא נמוכה. "פרצות בתחום הסייבר הן בגדר מחדל, בייחוד בזמן מלחמה", התריע המבקר אנגלמן. "אסור להמתין שאויבינו יניחו את ידם על מאגרי המידע של הביטוח הלאומי - חובה לסתום את הפרצות".
- מסמכי הזיהוי: 45% מבעלי תעודות הזהות ו-37% מבעלי הדרכונים עדיין החזיקו במסמכי זיהוי מהסוג הישן, שקל לזייף אותם - כך מצא דוח ביקורת שפורסם במאי 2023. רק 1% מבעלי תעודות הזהות הביומטריות השתמשו בהן כדי לקבל שירותים ממשלתיים בצורה מאובטחת. "בביקורת גם עלו פרצות של ממש בביקורת הגבולות בנתב"ג, ויש חשש שהדבר ידוע לגורמים המבקשים לנצל זאת לרעה", התריע המבקר.
הדרכון הביומטרי ותעודת הזהות החכמה
- המרכז לגביית קנסות: במאגרי המידע של המרכז לגביית קנסות שמורים פרטיהם של כשלושה מיליון ישראלים - ובביקורת נחשפו פערים חמורים בהגנה על המידע הרגיש הזה. "עובדים שסיימו את תפקידם עדיין מחזיקים בהרשאות למערכות, והדבר חושף את המערכת לסיכונים," התריע הדוח במאי 2023.
- משרד ראש הממשלה: בביקורת שפורסמה ביולי 2024 עלה חשד שעובדים לשעבר, לרבות בכירים, המשיכו להשתמש בחשבונותיהם במשרד ראש הממשלה לאחר סיום העסקתם. בין היתר נעשה שימוש בחשבונו של שר לשעבר ובחשבונו של בעל תפקיד בכיר שסיימו את כהונתם זה מכבר. בביקורת גם נמצא שהרשתות המסווגות של משרד ראש הממשלה הן ברמת הגנה נמוכה מהנדרש. "אלו תקלות חמורות שיש לתקנן בהקדם", קבע המבקר. אבל זה לא הכל: צוות מהחטיבה לביקורת משרדי הממשלה ומוסדות השלטון שבדק את מערך הגיור הצליח להנפיק תעודת המרה כוזבת. תעודה כזו מאפשרת למחזיק בה להתחזות ליהודי ולקבל אזרחות ישראלית מכוח חוק השבות.
מבקר המדינה: "עובדים לשעבר השתמשו בחשבונותיהם במשרד ראש הממשלה לאחר תום העסקתם"
האקרים בשירות הביקורת
בצעד ייחודי ויוצא דופן לגבי מוסדות ביקורת במדינות בעולם מעסיק משרד מבקר המדינה האקרים שמבצעים בדיקות חדירה למערכות ציבוריות. בהסכת "דוח מצב" אמר המבקר אנגלמן: "אנחנו לא מסתפקים בבחינת הדיווחים שמעבירים אלינו הגופים המבוקרים, אלא בודקים בפועל כיצד ניתן לפרוץ למערכות ציבוריות. לעיתים, הגופים הללו מתקנים את הבעיות שאנו מגלים בזמן אמת".
אבל חוץ מתיקונים נקודתיים, האם הביקורת אכן מצליחה להביא לשינוי? "הגופים המבוקרים הופכים את הדוחות שלנו בתחום הסייבר ומערכות המידע לתוכניות עבודה, במטרה למנוע את החדירה הבאה", אומר המבקר. "בכך תרומת הביקורת היא משמעותית ביותר".
המבקר ממליץ על שורה של צעדים להתמודדות עם האיומים, ובכללם להגדיר גופים ציבוריים מסוימים כתשתיות קריטיות שיש להגן עליהן, להקים מנגנוני ניטור מתקדמים ולשפר את שיתוף הפעולה עם מדינות וארגונים בין-לאומיים בנושא. "בעולם כולו סובלים מהתקפות סייבר. מדובר על נזק של קרוב לעשרה וחצי טריליון דולר שצפוי בשנת 2025 עקב התקפות סייבר", אמר המבקר.
המבקר אנגלמן משמיע קריאה ברורה לממשלה: "יש להחמיר את הנהלים ולהשקיע בהגנת סייבר באופן מיידי. עלינו להבטיח שהמידע שלנו יישמר בטוח, שהשירותים יישארו זמינים על מנת להגן על הציבור".
במציאות שבה האיומים על המרחב הדיגיטלי שמשמש אותנו נעשים מתוחכמים ומסוכנים יותר ויותר - דוחות מבקר המדינה מציבים תמרורי אזהרה, אך גם מסייעים לגופים הציבוריים להשתפר ולהיערך לעתיד בטוח יותר.
