Home
מכוני מחקר
המכון לחירות ואחריות
האכסניה
ביטחון או פרטיות? על הקשר שבין התקפות טרור סייבר, תפיסות איום ותמיכה במדיניות מעקב

ביטחון או פרטיות?

על הקשר שבין התקפות טרור סייבר, תפיסות איום ותמיכה במדיניות מעקב

ד"ר קרן ל.ג. סניידר, ד"ר ריאן שינדלר, שי זנדני ופרופ' דפנה קנטי

דמוקרטיות מודרניות עומדות מזה שנים בפני איומים בלתי פוסקים של אלימות מצד גורמים שונים בזירות שונות. לצד איום מתקפות טרור קונבנציונלי, אנחנו עדים יותר ויותר למתקפות במרחב המקוון. מתקפות טרור הסייבר, אלו המכוונות כנגד תשתיות קריטיות ואלו כנגד מוסדות וארגונים ציבוריים ופרטיים, הפכו על פי מנגנוני האבטחה והמודיעין, לכל כך חמורים, עד שהם דורשים רמות מחמירות ביותר של מעקב סייבר כדי להבטיח את ביטחון הציבור. על מנת להתמודד עם איומים אלו, מדיניות הסייבר במדינות רבות בעולם עושה שימוש בטכניקות מעקב דיגיטליות מתקדמות ביותר, המסוגלות כיום לזהות, לנטר, ליירט, לאסוף ולזהות נתונים בקנה מידה חסר תקדים.
דור חדש זה של אמצעי מעקב דיגיטליים חודרניים, מציף דילמה קריטית במדינות דמוקרטיות סביב השאלה כיצד ניתן לשמר את שיווי המשקל העדין בין שמירה על זכויות אזרחיות יקרות ערך ובין הרצון הבסיסי לביטחון. מחד, העלייה בחשיפה של אזרחים למתקפות טרור סייבר והחשש המתלווה לחשיפה זו לוו בדרישות מוגברות מהציבור לממשלות להנהיג מדיניות אבטחת סייבר מקיפה. מאידך, הנכונות הציבורית לקבל מדיניות ותקנות ממשלתיות המגבילות את חירויות האזרח והזכויות הפרט איננה ברורה מאליה והיא חלק ממערכת עדינה ושברירית המאזנת בין צורך בביטחון ובין פרטיות.

במובנים מסוימים, הפרטיות נתפסת כמחיר הגיוני שיש לשלם עבור ביטחון אישי וחברתי מול איומים חדשים. עם זאת, הציבור רגיש כיום הרבה יותר לחשיבותה של פרטיות מקוונת ומודע יותר לדילמות האתיות, הפוליטיות והמשפטיות העולות מפיקוח ממשלתי אחר פעילות מקוונת ותקשורת. במציאות בה כל כך הרבה מהחיים האינטימיים של הציבור מתרחשים במסגרות דיגיטליות, גילויים לגבי רמת החדירה של ממשלות וארגונים לפרטיותו של הפרט הופכים את השיח החברתי, העוסק בסוגיית האיזון בין פרטיות ובין ביטחון, למורכב יותר.

שימוש בתוכנות חודרניות לעיתים ללא צווים, כמו בפרשת הNSO מוקדם יותר השנה, וסקנדלים בינלאומיים כדוגמת הדלפות המסמכים ע"י אדוארד סנודן ב-2013, מדגישים את המחיר שהפרט נדרש לשלם, בדמות ויתור על הפרטיות שלו, על מנת להרגיש בטוח. הדיון על אמצעי מעקב דיגיטלי מתמקד כיום בשאלות כיצד והאם רשויות צריכות לקבל גישה לחומרים מוצפנים, ומעלה שאלות מרכזיות הנוגעות למידת ההתערבות של המדינה בחיים האזרחיים, והגנה על זכויות אזרח בהקשר של ביטחון.

אם כן, מה עומד בלב נכונותו של הפרט לקבל מדיניות ותקנות ממשלתיות המגבילות את חירויות האזרח האישיות והפרטיות? במאמר שלנו, אשר התקבל לאחרונה לכתב העת Journal of Cybersecurity, אנו בודקים האם חשיפה לסוגים שונים של התקפות סייבר משפיעה על עמדות בנושא מדיניות סייבר. במקביל, אנו בוחנים את המנגנון הפסיכולוגי העומד בבסיס תמיכה זו – תפקידן של תפיסות האיום מפני תקיפות הסייבר.

מחקרי עבר בדקו ומצאו כי בתחום הסייבר, היכולת של אנשים להעריך במדויק איומים ביטחוניים וכלכליים מוגבלת בגלל רמות נמוכות של ידע בנושא אבטחת סייבר, ההשפעה של הטיות קוגניטיביות בחישוב הסיכון ועיוות סיכוני הסייבר על ידי התקשורת. אם כן, בשל מומחיות טכנית מוגבלת יחסית במרחב הסייבר, תפיסת האיומים מבוססת במידה רבה על עוצמת ההתקפות אליהן אנשים נחשפים. לאחרונה, מחקרים שבדקו את השפעותיה של תפיסת האיום, מצאו כי האיום הנתפס ממלא תפקיד חשוב בתיווך בין חשיפה למתקפות טרור סייבר ותמיכה בהעדפות מדיניות אבטחת סייבר.

סוגיה חשובה נוספת הנבחנת במאמר היא האם הציבור בכלל מבדיל בין רמות שונות של התערבות ממשלתית ואסטרטגיות פיקוח כחלק ממדיניות סייבר שהציבור דורש מממשלתו כשהוא מאוים? במחקר זה נבחנו שלושה ממדים שונים של מדיניות סייבר: מדיניות מניעה, מדיניות התראה ומדיניות פיקוח. (1) מימד מדיניות מניעת סייבר מתייחס לרעיון שהמדינה צריכה לחייב חברות מסחריות ליישם רמות מינימום של אבטחת סייבר כדי למנוע נזק; (2) מימד מדיניות התראת סייבר, מתייחס לאחריות המשוערת של המדינה להבטיח שאזרחים יקבלו התראה כאשר מתגלה פריצה או מעשה של מתקפת טרור סייבר; (3) מימד מדיניות הפיקוח על אבטחת סייבר, מתייחס לתפיסה שהמדינה צריכה להתערב ישירות כדי להציע הגנת סייבר לאזרחיה ולעסקיה. כל אחד מהמימדים הללו, ממלא תפקיד באבטחת המרחב הקיברנטי, כאשר חוסר הוודאות לגבי צורתם ומהותם של איומים פוטנציאליים מצריך מערך מגוון של פעולות מניעה.

כדי לבחון שאלות אלו, ערכנו ניסוי סקר בקרב 1,022 משתתפים ישראלים. המשתתפים, נחשפו באופן רנדומלי לאחד משלושה תנאים: לאחת מבין שתי קבוצות ניסוי או לקבוצת בקרה. המשתתפים בקבוצות הניסוי נחשפו לשני קטעים וידאו שונים בהם הוצגו דיווחי חדשות מדומים של התקפות סייבר, כאשר שתי הקבוצות נבדלו בתוצאות מתקפת טרור הסייבר. משתתפי קבוצת הניסוי התקפת טרור סייבר קטלנית צפו בקטע וידאו שהציג מתקפות טרור סייבר שונות פיקטיביות בעלות השלכות קטלניות אשר פגעו בישראל במהלך השנים הקודמות, לדוגמה מתקפת טרור סייבר אשר ניתקה חשמל לבית חולים וגרמה למוות של חולים (קטע פיקטיבי). משתתפי קבוצת הניסוי התקפת טרור סייבר לא קטלנית, צפו בדיווח חדשותי שעסק במתקפות טרור סייבר לא קטלניות שאיימו על ישראל בשנים האחרונות, לדוגמה משתמשי טלפונים ניידים שהופכים לפגיעים יותר לתקיפת סייבר כשהם מתקינים משחקים ויישומים חדשים בטלפונים שלהם. דוגמאות לקטעי וידאו משתי קבוצות אלו מוצגות להלן בתרשים 1 ו-2 (המשתתפים בסקר שהוקצו לקבוצת הבקרה לא נחשפו לכל התייחסות למתקפת טרור סייבר).

תרשים 1: מתוך הסרטון שהוצג למשתתפים במערך הניסויי חשיפה להתקפת טרור סייבר קטלנית

תרשים 2: מתוך הסרטון שהוצג למשתתפים במערך הניסויי חשיפה להתקפת טרור סייבר לא קטלנית

ממצאי המחקר מראים כי חשיפה למתקפות טרור סייבר קטלניות מגבירה את תפיסת האיום ממתקפות טרור סייבר במידה רבה יותר מאשר התקפות סייבר לא קטלניות/כלכליות. כמו כן נמצא כי משתתפים שנחשפו לקבוצת הניסוי מתקפות טרור סייבר קטלניות, נטו יותר לתמוך בפיקוח ממשלתי על אבטחת סייבר בקרב עסקים, כמו גם ביישום אסטרטגיות להגברת המודעות הציבורית בעקבות התקפות סייבר, ביחס למשתתפים שנחשפו לקבוצת הניסוי מתקפות טרור סייבר לא קטלניות ומשתתפים בקבוצת הביקורת.

בכל הקשור ליכולת ההבחנה בין סוגי המדיניות השונים, הנתונים מצביעים על כך שבמקרים מסוימים עצם החשיפה למתקפת טרור סייבר, קטלנית או לא קטלנית, משפיעה על רמת התמיכה בסוגים ספציפיים של מדיניות אבטחת סייבר ביחס לקבוצת הבקרה: משתתפים שנחשפו למניפולציה של מתקפת טרור הסייבר הקטלנית נטו לתמוך יותר במדיניות התראות אבטחת סייבר ביחס לקבוצת הבקרה. לעומת זאת, משתתפים שנחשפו למתקפת טרור הסייבר הלא קטלנית, נטו לתמוך יותר במדיניות פיקוח על אבטחת סייבר ביחס לקבוצת הבקרה. כל אחד מסוגי המדיניות הללו מעלה שאלות לגבי פעולת האיזון העדינה בין פרטיות ומדינות הגנת סייבר.
לסיכום, המחקר מספק ראיות לכך שחשיפה למתקפות טרור סייבר מנבאת תמיכה במעורבות ממשלתית נרחבת יותר ביותר בתחום הסייבר, כאשר תפיסות איום מתווכות השפעה זו. במילים אחרות, תפיסות האיום של הציבור בעקבות התקפות סייבר מובילות לקריאה להתערבות ממשלתית. מחקר זה גם שופך אור על תהליכי קבלת החלטות של הפרט ומסייע בהבנתנו את הדרך בה אנשים עשויים להגיב לאיומי סייבר חדשים. מידע זה עשוי גם לעזור לקובעי מדיניות להבין את הרגשות וההכרות המורכבות שמעוררות התקפות, מה שיכול לשפר את ניסוחי המדיניות הנותנים מענה לצורכי הציבור.

---
ד"ר קרן ל.ג. סניידר היא עמיתת מחקר במכון לחירות ואחריות בבית ספר לאודר לממשל, דיפלומטיה ואסטרטגיה באוניברסיטת רייכמן, ועמיתת מחקר בבית הספר למדעי המדינה באוניברסיטת חיפה.
ד"ר ריאן שינדלר הוא עמית מחקר פוסט-דוקטורט בבית הספר לממשל בלווטניק, אוניברסיטת אוקספורד, ועמית פוסט-דוקטורט ב-Nuffield College.
שי זנדני הוא מומחה בנושאי הגנת סייבר ונשיא GYTs Management Services Inc.
פרופ' דפנה קנטי היא פרופ' למדעי המדינה ודיקן הפקולטה למדעי החברה ע"ש שמואל והרטה עמיר באוניברסיטת חיפה.

הרשומה מתבססת על המאמר הבא:

Keren L.G. Snider, Ryan Shandler, Shay Zandani, and Daphna Canetti. 2021. Cyberattacks, cyber threats, and attitudes toward cybersecurity policies." Journal of Cybersecurity. https://doi.org/10.1093/cybsec/tyab019