Tal Pavel

התקפות קיברנטיות על ערב הסעודית

/ב , /על ידי

בתאריכים 27-28 פברואר 2017 התקיימה בערב הסעודית הועידה הבינלאומית השניה לאבטחה קיברנטית (ICSC2017) בהשתתפות כאלף נציגים, בארוע המהווה כינוס האבטחה הקיברנטית הגדול ביותר בממלכה, במטרה "לפשט שיתוף לאומי, אזורי ובינלאומי בין גופי ממשל, תעשיה ותשתיות קריטיות".

מנכ"ל המרכז הלאומי לאבטחה קיברנטית בערב הסעודית (NCSC), המארגן את הארוע, אמר כי מוסדות ומתקנים בה חוו 992 התקפות קיברנטיות במהלך שנת 2016 מהאקרים אשר ביקשו למנוע שרות, לגנוב מידע ולפגוע בתשתיות הממלכה. 124 מהמתקפות היו ברמה לאומית. בנוסף, המרכז הזהיר מפני 1,865 התקפות מתוכננות. לדבריו, לאחרונה הסתיימה בניית פלטפורמה לאומית לניטור שוטף אחר סיכונים קיברנטיים, לצד שיפור היכולות טכניות לאומיות להבנת הסיכונים "המאיימים על רשתות המדינה והמערכות הדיגיטליות שלה".

עוזר שר הפנים לנושאים טכנולוגיים ציין כי מספר מתקפות שארעו לאחרונה הן בעלות מאפיינים דומים לדליפות מחברות סעודיות שארעו לפני ארבע שנים ואף באמצעות אותה התוכנה, וקרא לפיתוח מערכות לאבטחה קיברנטית עבור הממלכה.

לדעת המומחים, כדי להתמודד עם האיומים על הממלכה, עליה לפתח תקינה, מסגרת משפטית, לשתף ולהפיץ מידע והתראות קריטיות ומעל לכל לייצר מודעות רבה יותר בקרב בעלי העניין בתחום האבטחה הקיברנטית. עוד דווח כי שוק האבטחה הקיברנטית בערב הסעודית צפוי לגדול ב-60% לכדי 3.48 מיליארד דולר בשנת 2019.

בהקשר זה פורסם בתחילת ינואר 2017 כי שר החוץ הסעודי אמר שאבטחת מידע היא "אחד מהנושאים שבראש סדר העדיפויות שלו וכי מערכות המידע ערוכות להתמודד עם כל מתקפה אלקטרונית המבוצעת על ידי גורמים חיצוניים או מדינות". אכן, מסקירה שפורסמה כבר בסוף יוני 2016 עולה כי ערב הסעודית היא המדינה המותקפת ביותר קיברנטית במזרח התיכון, ולמרות שרמת האבטחה בה משתפרת, עדיין היא חסרה אסטרטגיה לאומית ברורה, מדיניות ומסגרת משפטית.

אין פלא, הואיל ובערב הסעודית המספר הגבוה ביותר של מנויי אינטרנט מקרב העולם הערבי ושיעור הגישה לאינטרנט צמח בה משנת 2010 ב-30%, כמו כן מצויים בה 40% משתמשי הטוויטר ו-10% ממשתמשי הפייסבוק בעולם הערבי. אכן, הממלכה ניצבה בשנת 2015 בפני למעלה מ-160 אלף התקפות קיברנטיות מידי יום והיתה בכך למדינה המותקפת ביותר במזרח התיכון.

כדי להתמודד עם אלו, חסרה ערב הסעודית כללים ותקנות ספציפיים בנושאי אבטחה לצד אסטרטגיה לאומית בתחום הקיברנטי. דוגמא לכך היא העובדה כי המונח "מידע אישי" אינו מוגדר בחוק הסעודי ומדיניות הממשלה דורשת ממוסדות פיננסיים ומספקים מקוונים לנסח כללים פנימיים לניהול אבטחת הנתונים של לקוחותיהם. לצד העובדה כי לא קיימת ישות משפטית אשר תפקידה לעדכן במקרה של דליפת נתונים, כך שבתי המשפט נאלצים להתמודד עם ארועים שכאלה על בסיס עקרונות השריעה. כמו גם העובדה כי למרות פעילות הממשלה לניטור תכנים מקוונים, לא נעשה די לאיתור והתמודדות עם איומים קיברנטיים אשר אינם קשורים באקטיביזם או מוסר.