הממד הנוסף – והמדאיג – של המתקפה על אטרף

מי אמר שערורייה ולא קיבל? ובכן, החל מסוף השבוע, קיבלנו ואנחנו מקבלים כמה כאלה. כוונתי היא לפריצה של ההאקרים האיראנים חברי קבוצת BlackShadow לשרתים של חברת האחסון סייברסרב, ובכלל זה לנתונים של אפליקציית ההיכרויות לקהילת הלהט"ב אטרף. חלק מהשערוריות האלה משותפות גם לאירועי סייבר אחרים, ולקורבנות אחרים של הפריצה הזאת (דוגמת האתרים של חברות התחבורה הציבורית דן וקווים, ושל אתר התיירות פגסוס), אבל כאן יש ממד אחר: פוטנציאל לפגיעה נפשית לא קלה בלא מעט אנשים.

לפני שאכתוב על היבטי הסייבר, כמה משפטים למי שלא מכיר מקרוב את הקהילה הגאה: רבים מהגברים הגייז משתמשים באטרף, שהיא פלטפורמת היכרויות פופולרית ו-ותיקה מאוד. היא קיימת עוד מראשית המילניום ונמצאת בשטח הרבה לפני אפליקציות אחרות כגון גריינדר ואפילו טינדר, שיותר מדוברת כפלטפורמת היכרויות לסטרייטים, אבל גם להט"בים לא מעטים משתמשים בה. כולל החתום מטה. אני אמנם מזמן לא בארון ולכן, חשיפה אודות הנטייה המינית שלי לא תשפיע עליי, והקהילה ככלל התקדמה וניפצה ארונות רבים בעשרות השנים האחרונות – אבל לא כולם. ארון זה רע, אבל לא כל הלהט"בים מקבלים, לצערנו, את הנטייה המינית שלהם ומוכנים נפשית לצאת מהארון (וגם הלהט"ביות, אבל המקרה הזה לא ממש רלוונטי אליהן). ואלה שנמצאים בארון חוששים, באופן טבעי, שהמידע עליהם יפורסם – מה שלפחות לשיטתם עלול לפגוע להם בחיים. שלא לדבר על כך שהמידע כולל את סטטוס ה-HIV של חלק מהמשתמשים, שזה ארון בפני עצמו.

בגלל מה שציינתי למעלה, יש לפריצה לסייברסרב-אטרף עוד ממד משמעותי, נוסף על אלה שיש בכל אירוע סייבר: פגיעה נפשית. לא לחינם האגודה למען הלהט"ב קראה לנפגעים לפנות לקו הקשב שלה, יש עם מי לדבר, ואטרף פתחה קו טלפון לפניות (רק טלפון! גם בתחילת המילניום היה מוזר לו חברת אינטרנט הייתה פותחת רק קו טלפון, ללא מענה אינטרנטי). אגב, אטרף עשתה זאת רק לאחר הפצרות ותרעומת ברשתות החברתיות ובתקשורת.

טרור סייבר נגד אנשים – לא רק נגד ארגונים. צילום: אילוסטרציה - BigStock

המתקפה הנוכחית היא עליית מדרגה, שכן מדובר בטרור נגד אנשים, שעלול לפגוע בהם על רקע נפשי. יש כאן עוד ממד של חרדה נוסף על החרדה ה-"רגילה" – והטבעית – מחשיפה של שמות, מספרי חשבונות בנק או כרטיסי אשראי ופרטים מעין אלה. כמי שמכיר את האימה ואת העצב שבארון, אני יכול להעיד שחשיפה שכזאת עלולה לגבות מחיר נפשי פוטנציאלי כבד מהנחשפים בעל כורחם. על רקע זה, חמורה מאוד ההתנהלות של סייברסרב-אטרף, שלא הגיבה כמה דקות אחרי שנודע על הפריצה וניסתה להרגיע את המשתמשים שלה, אלא רק יממה ואף יותר לאחר מכן.

שערוריית מערך וחוק הסייבר

שערורייה אחרת בסיפור הזה, וגדולה לא פחות, נמצאת בכל הקשור למערך הסייבר – בין אם באשמתו ובין אם לאו. בתגובה לתקשורת של המערך צוין שהוא התריע "כמה פעמים" בפני סייברסרב על כך שהיא חשופה לפגיעה, על כך שיש ליקויי אבטחה בשרתים שלה ושעליה לתקנה. אלא שלמרבה הצער, זה לא "עליה לתקנה", כי מערך הסייבר לא יכול להורות לתקן ליקויי אבטחה, בפרט כאשר מדובר בחברה פרטית. אין לו כל סמכות אכיפה, ולו כי חוק הסייבר עדיין לא חוקק: הוא תקוע מאז 2018, בגלל מערכות הבחירות האינסופיות ועוד שורה של דברים וכשלים ביורוקרטיים. א-פרופו כשלים. ולמרבה הצער, נראה שלא דחוף גם לממשלה החדשה להביא לחקיקתו. לפחות כאן, "ממשלת השינוי" לא כל כך משנה.

בין אם אלה האיראנים או לא, על כולנו להתעורר – ומהר. קבוצות התקיפה כמו BlackShadow רק הולכות ומשתכללות, ועוקפות את הארגונים ובטח שאת הרגולטור. על אלה האחרונים "לשים גז" במלחמה נגדן

אלא שגם אם וכאשר החוק יעבור, הוא לא יחול על חברות פרטיות כמו סייברסרב. בסעיף 4(א) להצעת החוק מצוין במפורש שמערך הסייבר יוכל לתת הוראות והנחיות לארגון רק אם הוא מקיים "פעילות חיונית", קיימת בו "חשיפה קריטית" והוא לא נוקט פעולות לטיפול בה, ותקיפת סייבר נגדו "עלולה לגרום לפגיעה ממשית באינטרס ציבורי חיוני". "ארגון שמקיים פעילות חיונית" הוא, לפי החוק, כזה שמספק שירותים חיוניים לאזרחי המדינה. היכרויות הן לא שירות חיוני, וכך גם אחסון אתרים. לכן, גם אם החוק יעבור – הוא לא יחול על אפליקציות כמו אטרף וחברות כגון סייברסרב. למעשה, הוא יחול על מספר מצומצם של גופים, מצומצם מאוד. מה לגבי כל היתר? מערך הסייבר יכול לתת להם המלצות – והוא עושה את זה כבר כיום – והארגונים יכולים לקבל אותן או לא. ובעברית פשוטה: לעשות מה שבא להם.

כאן נכנסת לתמונה גם הרשות להגנת הפרטיות, שלה דווקא יש סמכויות אכיפה מול גופים מסחריים כמו סייברסרב, אבל זה לא תמיד אפקטיבי. הרשות אמנם מפרסמת מעת לעת על גופים שהיא מוצאת שעברו את חוק הגנת הפרטיות – רק באחרונה היא עשתה זאת בכל הקשור להתאחדות לכדורגל ולדרך ארץ, מפעילת כביש 6, ואף נותנת קנסות, כמו במקרה של רמי לוי, אבל היא מוכיחה שטחנות הצדק טוחנות לאט ולפעמים מאוחר מדי.

לסיכום, בין אם אלה האיראנים או לא, על כולנו להתעורר – ומהר. לצערי, השורות הבאות אמורות להיות מובן מאליו – אבל הן ממש לא: על הנהלות הארגונים להקצות את מרב המשאבים ולגייס את מיטב האנשים כדי להגן על הפרטיות שלנו, הלקוחות; על הממשלה והכנסת להזדרז עם חקיקת חוק הסייבר וכבר לעבוד על תיקון, שייתן לרשות סמכויות אכיפה רבות יותר, גם על חברות פרטיות ותוך איזון עם אינטרסים דמוקרטיים וכלכליים (יש עם זה בעיות שלא עסקתי בהן כאן, עקב קוצר היריעה, אבל אפשר להתגבר עליהן); ועלינו, המשתמשים, לפקוח עין, להעמיק יותר בנושא הזה, גם אם הוא נראה לנו משעמם משהו, ולדרוש מהחברות להגן ככל שהן יכולות על הנתונים שלנו – גם מפני מתקפות סייבר.

הכופרות, כמו במקרה הזה, כאן כדי להישאר ולהתגבר, ומאוד, וקבוצות התקיפה כמו BlackShadow רק הולכות ומשתכללות, ועוקפות את הארגונים ובטח שאת הרגולטור. על אלה האחרונים "לשים גז" במלחמה נגדן.