התשתיות הדיגיטליות בעיר הן מקור לחדשנות אך גם לסכנות שבהתקפות סייבר ואיומים שונים. האם ערי ישראל ערוכות לכך? וכיצד עליהן להתגונן מפני האיומים שמזמן העידן הדיגיטלי? התשובה טמונה לא רק בטכנולוגיה
העיר בעידן הדיגיטלי נעשת מתוחכמת, מרושתת ומקשורת יותר אך בה בעת גם נהפכת לפגיעה יותר. פיתוחים טכנולוגיים מאז ומעולם עיצבו ושינו את הערים, כיצד משנות טכנולוגיות המידע את העיר ומדוע הן מסכנות אותה? הפרק ” תשתיות טכנולוגיות ואיומים בעידן הדיגיטלי”, בתוך המדריך “העיר בעידן הדיגיטלי”, מוקדש לנושא.1 פרק זה דן בהתפתחותן של טכנולוגיות בערים בזיקה לאינטרסים ולכוחות המניעים אותם. כיום ערים מעוניינות לצמצם עלויות של אספקת שירותים עירוניים ולספק שירות טוב יותר. זאת ועוד, חברות פרטיות ואזרחים יוצרים סביבה טכנולוגית מבוססת מידע ושווקים, ההופכת את חוויית התושבות או הביקור בעיר למתוחכמים יותר. לפרק ארבעה חלקים. החלק הראשון מציג את הטכנולוגיות העיקריות הקיימות היום בערים. החלק השני דן בתהליכים טכנולוגיים. החלק השלישי סוקר איומים שונים על מערכות המידע של העיר בעידן הדיגיטלי. איומים אלו כוללים התקפות על תשתיות טכנולוגיות ועל מסדי נתונים. חלק זה כולל מיפוי של סוגים שונים של התקפות, והוא מאורגן באשר לסוג התשתית המותקפת ולסוגי ההתקפה. החלק הרביעי מוקדש להמלצות שונות להגנה על התשתיות הדיגיטליות ועל פרטיות התושבים בעיר. ברשימה זו נסקור בקצרה את הנושא הטכנולוגי ואיומיו (לקריאת הפרק המלא).
טכנולוגיות ואבטחת מידע
התפתחויות טכנולוגיות שונות הנחו את התפתחות העיר מאז תחילת תהליך העיור. גורמים כגון ביצור, תחבורה ואנרגיה השפיעו על מיקום ועל מבנה העיר. בעשורים האחרונים טכנולוגיות המידע – מונח שעניינו שימוש בטכנולוגיות מחשוב ותקשורת לשם ניהול ועיבוד מידע – תופסות מקום הולך וגובר בערים. טכנולוגיות מידע מבוססות מחשוב התפתחו בהקשר ארגוני ותעשייתי במחצית השנייה של המאה העשרים. תחילה כללו טכנולוגיות המידע מחשבים שביצעו פעולות חישוב ואגירת נתונים, ובהמשך התפתחה טכנולוגיה מתקדמת יותר, שכללה רשתות מחשבים המחוברים לרשת האינטרנט. מזעור המחשוב, התפתחות רשתות לתקשורת אלחוטית על גבי סרט רחב והתפתחויות טכנולוגיות לשמירה ולעיבוד מידע רחב היקף מאפשרים פריסה של טכנולוגיות שונות, שפעם היו מוגבלות לתפעול תעשייתי או לאזורים מוגדרים כגון שדות תעופה. 2 כיום עם הפיכת טכנולוגיות רבות לזולות ולפשוטות ערים רבות הופכות ל״ערים חכמות״ באמצעות הטמעה ובנייה של תהליכי עבודה על גבי היישומים הטכנולוגיים.
הטמעה של טכנולוגיות בעיר מונעת מריבוי כוחות ואינטרסים. ערים מעוניינות לצמצם עלויות של אספקת שירותים עירוניים ולספק שירות טוב יותר; ספקי טכנולוגיה שהתמחו במגזר התעשייתי מעוניינים ליצור שווקים חדשים למוצריהם; כמו כן חברות פרטיות ואפילו אזרחים יוצרים סביבה טכנולוגית מבוססת מידע ושווקים, ההופכים את חוויית התושבות או הביקור בעיר למתוחכמת יותר. פרק זה מתמקד בטכנולוגיות המוטמעות בערים ובאופן שיש להיערך לסיכונים המתלווים להן.
פגיעות העיר בעידן הדיגיטלי
עם התפתחות התשתיות הדיגיטליות בעיר גוברים הקולות המצביעים על הסכנות שבהתקפות סייבר על העיר. 3 כמה התקפות על תשתיות ערים מדגימות את הסכנות הגלומות במערכות אלו. כך למשל, על פי דיווחים בעיתונות ההתקפה על מנהרות הכרמל בחיפה השביתה תשתית תחבורה חשובה. על פי הפרסומים הרבים (שחברת כביש חוצה ישראל הכחישה) סוס טרויאני הצליח לחדור למערך מצלמות האבטחה במנהרות הכרמל ולהביא לשיבושים קשים ולסגירה של הכביש במשך כיומיים.4 פרסומים אחרים מדווחים על מתקפות על מערכת המים בחיפה. 5 דוח מבקר המדינה משנת 2017 באשר לחמש מועצות מקומיות חושף מקרים רבים של פגיעה בעקבות פריצות למאגרי מידע.6 כך למשל, בחודש אוגוסט 2016 נפגע שרת ששימש את מחלקת ההנדסה שבנצרת עילית, לאחר שעובדת פתחה קובץ שנשלח לדואר האלקטרוני שלה. התוקף, ששלח את הווירוס בדואר אלקטרוני, דרש מהעירייה לשלם כופר בסך 10,000 שקלים לשם הסרת מגבלת הגישה לקבצים, והיא בחרה שלא לשלמו. בהיעדר המידע בשרת נפגעה יכולת העירייה להגיש כתבי אישום נגד עברייני הבנייה. 7 מקרים אלו מחדדים את הפגיעות של העיר בעידן הדיגיטלי. ניתוח הראיונות שנערכו מצביע על הבדלים גדולים מאוד בין ערים בתחום המוכנות להתקפות סייבר. ערים בעלות תשתית חזקה של מערכות מידע מסוגלות להעמיד פתרונות ומערכות הנמצאים בחזית הטכנולוגיה והנהלים הארגוניים.
מהו הבסיס החוקי והארגוני לאבטחת מידע בעיר?
ישנה חובה חוקית להגנת הפרטיות של התושבים ושל אזרחים אחרים שנשמר מידע עליהם. ברשויות המקומיות ישנם מאגרי מידע רבים, המשמשים בסיס לעבודתן בתחומים רבים, והם כוללים ענייני כספים, חינוך, רווחה, תכנון ובנייה וכן הלאה. מגמת הערים החכמות מביאה לגידול מערכתי בכמות הנתונים שבידי הרשויות המקומיות ובמספר מסדי הנתונים שהן מפעילות. פגיעה במערכות הממוחשבות ובמאגרי המידע של הרשויות המקומיות עלולה לגרום לנזקים כבדים, ובכלל זה לפגיעה בשירותים הניתנים לתושבים ולפרטיות המידע על אודותיהם, ולכן מוטלת עליהן החובה להגן על המידע. נושא זה קשור לפרטיות המידע,8 ובייחוד לזיקה שבין הפרטיות לבין אבטחת המידע. אבטחת מידע היא קריטית להבטחת פרטיותם של התושבים ולבטיחותם האישית, ולכן היא תנאי לקיום הוראות חוק הגנת הפרטיות וחוקים אחרים. כפי שכותב מבקר המדינה,
היות שמאגרי המידע מכילים פרטים אישיים, ומסירת נתונים על אדם לזולת עלולה לפגוע בפרטיותו, יש לאבטח את המידע. ככל שאדם עלול להיפגע יותר מגילוי המידע עליו ברבים, עולה רמת רגישות המידע ועמה רמת האבטחה שיש לנקוט כדי לשמור עליו. חוק הגנת הפרטיות מגדיר ‘אבטחת מידע’ – כ’הגנה על שלמות המידע, או הגנה על המידע מפני חשיפה, שימוש או העתקה, והכל ללא רשות כדין’. החוק קובע כי ‘בעל מאגר מידע, מחזיק במאגר מידע או מנהל מאגר מידע, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע’.9
המאפיינים של ערים בעלות תשתיות דיגיטליות חושפות אותן להתקפות ייחודיות, מעבר להתקפות הסטנדרטיות על מערכות מידע המחוברות לאינטרנט, כגון התקפות על רשת התקשורת. התרשים הבא מדגים את נקודות התורפה הרבות של העיר בעידן הדיגיטלי.
התשתית הדיגיטלית בעיר מהווה נקודת תורפה גדולה, בגלל הפגיעות של רכיבי IoT, רשתות SCADA או רשתות אלחוטיות. גם ההטמעה של העיר החכמה בעולם הפיזי מאפשרת להתקפות על העיר להיות אפקטיביות הרבה יותר ומסוכנות, לפחות פוטנציאלית. זאת ועוד, הממשקים הרבים שיש לעיר עם התושבים ועם העובדים חושפים את העיר להתקפות רבות. התקפות על הגורם האנושי במערכות מידע הופכות להיות בעלות משמעות יותר ויותר באבטחת מידע. לכן העובדה שמערכות העיר החכמה מתקשרות עם תושבים בעזרת ממשקי mobile, מחשבים בבתי ספר ובאזורים ציבוריים ומחשבים המיועדים לעובדים מגדילה את חזית הפגיעה האפשרית בעיר. לבסוף, האינטגרציה של מאגרי המידע, אחד העקרונות הבסיסיים ביישום דיגיטלי, מגדילה את הסיכון לפגיעה בפרטיות התושבים והופכת את מטרות העיר החכמה למעניינות יותר להתקפה.
כיצד מערכים מפני האיומים?
הפתרונות לאיומים שמולם ניצבת העיר החכמה כוללים הפעלה של תהליכי תכנון, בנייה ותחזוקה נכונים והטמעה של תרבות של אבטחת מידע בכל רמות הארגון. ישנן פרקטיקות רבות המקובלות בעולם אבטחת המידע. בפרק המלא ניתן לקרוא המלצות מפורטות המתמקדות באיומים על העיר החכמה. ההמלצות מציגות פתרונות טכנולוגיים סטנדרטיים למימוש ולאחריהם פתרונות מורכבים יותר, הדורשים מאמצים ארגוניים ולא רק טכנולוגיים.
- ערן טוך, “תשתיות טכנולוגיות ואיומים בעיר הדיגיטלית“, מתוך העיר בעידן הדיגיטלי: תכנון, טכנולוגיה, פרטיות ואי שוויון. עורכת טלי חתוקה, אוניברסיטת תל אביב, 2018 ,עמ’ 40–53. ↩
- Antony Bryant et al., “Information Systems History: What is History? What is IS History? What IS History?… And Why even Bother with History?,” Journal of Information Technology 28, no. 1 (2013): 1–17 ↩
- A.Bartoli et al., “Security and Privacy in Your Smart City,” in Proceedings of the Barcelona Smart Cities Congress (2011); A. S. Elmaghraby and M. M. Losavio, “Cyber Security Challenges in Smart Cities: Safety, Security and Privacy,” Journal of Advanced Research 5, no. 4 (2014): 491–497; Rob Kitchin, “The Real-Time City? Big Data and Smart Urbanism,” GeoJournal 79, no. 1 (2014): 1–14 ↩
- אי-פי והארץ, “אי-פי: השיבושים במנהרות בכרמל – בשל מתקפת האקרים,” הארץ, 27.10.2013, https://www.haaretz.co.il/captain/net/1.2150513; אחיה ראב”ד ו- AP, “מנהרות הכרמל נסגרו עקב מתקפת האקרים,” Ynet, 27.10.2013, https://www.ynet.co.il/articles/0,7340,L-4446249,00.html. ↩
- כתבי ynet, “ארגון סורי ערך מתקפת סייבר נגד מערכת המים,” ynet, 25.05.2013, https://www.ynet.co.il/articles/0,7340,L-4383924,00.html . ↩
- מבקר המדינה, “דוחות על הביקורת בשלטון המקומי לשנת 2017,” 21.11.2017, http://www.mevaker.gov.il/(X(1)S(ckekgop4frdnnkgarvasl4iz))/he/Reports/Pages/610.aspx?AspxAutoDetectCookieSupport=1. ↩
- אילן ליאור, “מבקר המדינה: מאגרי מידע רגישים ברשויות המקומיות חשופים להתקפות סייבר,” הארץ, 21.11.2017, https://www.haaretz.co.il/news/politi/.premium-1.4619758. ↩
- להרחבה ראה: מיכאל בירנהק, “הגנה על הפרטיות בעיר הדיגיטלית“, מתוך העיר בעידן הדיגיטלי: תכנון, טכנולוגיה, פרטיות ואי שוויון. עורכת טלי חתוקה, אוניברסיטת תל אביב, 2018 ,עמ’ 56–85. ↩
- מבקר המדינה, “אבטחת מידע והגנת פרטיות ברשויות המקומיות,” (מעקב מורחב – דוח ביקורת שנתי מס’ 62, 2012), 207. ↩