9 באפריל. אתם מגיעים לקלפי כדי להצביע, מצוידים בפנקס הבוחר ובתעודת זהות — אבל אז נציגי ועדת הקלפי אומרים לכם: "מצטערים, אתם לא מופיעים ברשימות ולכן לא יכולים להצביע". לפני כן, אתם מותקפים בעשרות סמסים, שמנסים לשכנע אתכם להצביע למועמד ספציפי, במטרה הפוכה — להמאיס עליכם את המועמד ומפלגתו ולגרום לכם להצביע למועמד אחר. ואז, לאחר הבחירות, ועדת הבחירות המרכזית מתקשה למסור את התוצאות הסופיות לציבור. אלה כמובן תרחישים דמיוניים, אבל הסיכוי שהם יתממשו הולך ועולה.
עם שימוע, בלי שימוע, עם כתב אישום או בלי כתב אישום — ישראל הולכת למערכת בחירות מרכזית. אלא שהפעם, יותר מאי פעם, מערכת הבחירות הזו חשופה לאיומי סייבר — החל בקמפיינים ברשת שעושים שימוש במידע מטעה, ועד התערבות ממשית בספירת הקולות.
קבוצת חוקרים מחברת הסייבר צ'ק פוינט פירסמה דו"ח הסוקר את איומי הסייבר הצפויים במערכת הבחירות הקרובה, בין השאר על בסיס מקרי אמת שהתרחשו בשנים האחרונות במערכות בחירות במדינות אחרות — והם מציעים להיערך בהקדם למגוון תרחישים.
לדברי לוטם פינקלשטיין, ראש מחלקת מודיעין סייבר בחברה, "יש לנו אחריות להבין מהם האיומים שארגונים, חברות או ממשלות מתמודדים עמם. אירועים משמעותיים כאלה הם נקודת עניין משמעותית לתוקפים, מכיוון שהם יכולים להכיע להישגים גדולים מבחינה כלכלית או פוליטית, ולנו יש אחריות לכסות את האירועים האלה. ככל שיש יותר תשתיות ממחושבות, יש יותר נקודות פגיעות".
פורסם ב-TheMarker
עוד ב-TheMarker
טלוויזיה מתקפלת, אסלה חכמה ומונית מעופפת: הגאדג'טים המסקרנים של 2019
משתתפים במיליונים מהאקזיט: כך תוכלו לרכוש אופציות מעובדי ההיי-טק
בשלב ראשון, ממפים החוקרים את השחקנים העיקריים — שחקנים פוליטיים, מפלגות ומועמדים — שיש להם מוטיבציה להשפיע על הבחירות. בנוסף להם, יש את ההאקטיבסטים (Hacktivists) — גורמים שיש להם מוטיבציה להשפיע על התוצאות או על סדר היום מסיבות אידיאולוגיות. לצדם, פועלים גם האקרים זדוניים, שעשוים לנסות לפגוע בבחירות כאתגר טכנולוגי או לטובת פרסום ותהילה. ולבסוף, יש שחקנים מדינתיים — למשל איראן, רוסיה או סין — שלהם יש מוטיבציה להשפיע על תוצאות הבחירות במדינות אחרות ולערער את האמון בשיטת השלטון או בהליך הדמוקרטי. אלה הם הגורמים המאיימים ביותר, עקב התקציבים הגדולים שלהם והיכולות הטכניות הגבוהות.
החוקרים מצביעים על האיומים הבולטים לבחירות בישראל.
1. גניבת פרטי בוחרים
"ההצבעה בישראל אינה ממוחשבת ולכן התשתית המדינתית הניתנת לתקיפה היא בשלב טרום בחירות — רשימות המצביעים והחלוקה לקלפיות, מנגנון פרסום הרשימות לציבור והיערכות מנגנון הבחירות לקראת יום ההצבעה", מסבירה גל פניגשטיין, חברה בצוות החוקרים. "המידע שיש במאגרים כאלה הוא משמעותי — למשל, פרטי בוחרים כמו תאריכי לידה, מקום מגורים, מקום הצבעה ועוד. ברגע שיש לך מידע על כל כך הרבה בוחרים, אתה יכול ליצור עמם קשר, לנתב את מערכות הסמסים אליהם, ולנסות להשפיע על דעתם".
החוקרים מזכירים כמה אירועים כאלה מהעבר במדינות שונות בעולם. כך למשל, חודש לפני בחירות 2016 בפיליפינים נפרץ האתר של ועדת הבחירות המרכזית על ידי קבוצת אנונימוס המקומית. קבוצת האקרים אחרת במדינה הדליפה מידע רגיש ובו פרטים אישים, מספרי דרכון ועוד פרטים, השייכים ליותר מ–70 מיליון מצביעים פיליפינים. מטרת התקיפה היתה לערער את אמינות מערכת הבחירות הדמוקרטיות ואת היכולת של הממשלה לאבטח אותן. "בבחירות הנשיאותיות בארה"ב, התוקפים השיגו גישה למאגרי רישום הבוחרים ב–39 מדינות לפחות", אומר פניגשטיין. "באילינוי הצליחו התוקפים לגנוב מידע אישי רגיש של יותר מ–15 מיליון תושבים, כולל פרטים אישיים ומספרי ביטוח לאומי".
פגיעה אפשרית נוספת היא במערכות הסמס שמשמשות את המפלגות. "מתמודדים רבים משתמשים במערכות הפצת סמסים", כותבים בצ'ק פוינט. "אפשר לעשות מניפולציות על המערכות האלה כדי לשכנע להצביע למועמד מסוים, או ליצור כלפיו אנטגוניזם".
2. פריצה למערכת המפלגתית
סוג נוסף של פגיעות אפשריות הוא במערכות הפנימיות של המפלגות. כפי שמסבירים חוקרי צ'ק פוינט: "בבחירות לנשיאות בארה"ב, מנגנון המפלגה הדמוקרטית ובו הוועדה הדמוקרטית הארצית (DNC) והרשת של המועמדת הדמוקרטית לנשיאות הילרי קלינטון, הותקפו ונפרצו — וכך הודלפו עשרות אלפי מיילים. חדירה לרשתות מתבצעת לרוב באמצעות איתור חוליה חלשה בשרשרת האנושית, ופיתוי לפתיחת מייל באמצעות תוכן מותאם אישית אל החוליה החלשה, שאליו מצורף קובץ נגוע. מספיקה חדירה למחשב אחד ברשת כדי לאפשר התפשטות גם למחשבים האחרים".
בצרפת היה ניסיון לשידור חוזר של המקרה: ב–2017 פרצו האקרים למחשבי קמפיין הבחירות של הנשיא עמנואל מקרון יום לפני מועד הבחירות, והדליפו מאות מסמכים ותכתובות מייל. חלק מהמידע שהופץ נחשד כמידע שקרי, שנועד להשפיע על דעת הבוחרים ולפגוע בבחירות. בימים האחרונים נחשף קמפיין של גניבת מידע ודרישת כופר מפוליטיקאים גרמנים.
3. השבתת אתרים
סוג פגיעה נוסף הוא באמצעות האקר, שיכול לפגוע במערכות הממוחשבות בבחירות המפלגתיות. "לעומת מערכת ההצבעה הממלכתית, מערכות הפריימריז של המפלגות השונות בישראל ממוחשבות לחלוטין, ולפיכך חשופות יותר לתקיפות סייבר", כותבים החוקרים. הם מזכירים כי בכנס ההאקרים Defcon הוכחו כבר יכולות פריצה למערכות הצבעה ממוחשבות. "ניתן לשלוט על המערכות גם באופן ידני וגם מרחוק — זה אומר שלא השקיעו מספיק מחשבה באיך לאבטח את המכונות האלה", אומר פינקלשטיין.
גם ספירת הקולות אינה חסינה מפגיעות. אמנם בישראל היא מתבצעת באופן ידני, אבל ריכוז הנתונים והסכימה נעשים במערכות ממוחשבות. "בסופו של יום זה מגיע למערכות שבהן צריך להכניס שיקול של אבטחת מידע", טוען פינקלשטיין. "גם אם זה לא יקרה בבחירות הקרובות, בסוף, עם הגידול באוכלוסייה, ישראל כבר לא תוכל להתמודד עם הספירה הידנית והבחירות כולן ייערכו באופן דיגיטלי".
חוליה פגיעה נוספת היא האתרים הרשמיים. כבר במערכת הבחירות המוניצפליות קיבלנו קדימון לכך, כשאתר התוצאות הרשמי לא עמד בעומס והיה לא זמין במשך שעות רבות. אפשר לנסות לתקוף את האתרים האלה במתקפות עומס (DDoS), או חמור מכך — לפרוץ אליהם ולעשות בהם מניפולציה. חוקרי צ'ק פוינט כותבים כי "האתרים מציגים את אחוזי ההצבעה באופן שעשוי לגרום לאנשים להחליט אם ללכת להצביע או לא. זוהי עוד הזדמנות להשפיע על סיכויים של מועמד". גם זה כבר קרה: בבחירות הכלליות ב–2017 בצ'כיה, נפרץ אתר הבחירות המשמש לפרסום תוצאות ההצבעה.
4. הקרב על התודעה
לבסוף, האיום המשמעותי ביותר, הוא כנראה בכלל בתחום התודעה. המקרה המפורסם ביותר כמובן הוא הטיית הבחירות לנשיאות בארה"ב. "בפרשת קיימברידג' אנליטיקה נחשפה מערכת משומנת להשפעה על תודעת הבוחרים ולהטיית תוצאות הבחירות, שהתנהלה באמצעות פרסום והפצת מידע מטעה באינטרנט, בין היתר על ידי שימוש בפרופילי פייסבוק מזוייפים", טוענים חוקרי צ'ק פוינט.
פינקלשטיין מציין כי כמות הבוטים (פרופילים מזויפים שנועדו להדהד מסרים אותנטיים למראית עין) יכולה להיות ענקית, והמפעיל שלהן יכול לתחזק פרופילים מזויפים במשך שלוש וארבע שנים, ולהתחיל להפיץ תעמולת בחירות רק בסמוך להן. עיקר האתגר לדבריו הוא לשמור על אמינות ואמון הציבור בתהליך: "לעתים, מספיקה הורדת אתר ממשלתי לכמה שעות כדי לנטוע ספקות בציבור לגבי ניקיון המערכת. נטיעת הספק יכולה להתבצע די בקלות, ואם אנחנו רוצים לשמור על הדמוקרטיה והאמינות שלה, גם בדברים הקטנים צריכים להשקיע".
5. איך מתגוננים?
אז מה עושים? החוקרים מסבירים כי אם נרצה או לא נרצה, מערכת הבחירות הקרובה תהיה מושפעת מפעילות של בוטים וצריך להיות מוכנים לכך תודעתית. "המערכה על דעת הקהל מתרחשת בתחום האפור שבין ניסיונות שכנוע לגיטימיים לבין פריצה לחשבונות וזיוף מסרים", נכתב בדו"ח. "עלינו להבין שאף על פי שכמעט לא ניתן לחמוק מהשפעות אינטרסנטיות ברשתות, ניתן לצמצם אותן על ידי בחינת אמינות ומהימנות המידע שאלגוריתמים מציגים לנו".
בצ'ק פוינט קוראים למצביעים לגלות עירנות גם לתכנים, מחשש לפייק ניוז: "ניתן לזהות כתיבה מגמתית, בדרך כלל אמוציונלית ופרשנית. סימן נוסף הוא שימוש במתרגמים אוטומטיים, בייחוד לשפה העברית. אלה חושפים פעילות זרה, שכן ניתן למצוא שגיאות כתיב וניסוח המעידות כי לא נכתבו על ידי דובר השפה".
למפלגות ולמתמודדים מציעים החוקרים להשתמש באמצעי הגנת סייבר. "ההגנה מתחילה בשימוש באמצעי הגנת סייבר ייעודיים", טוענים בצ'ק פוינט. "סקירת הפריצות שאירעו בעבר מלמדות שאת חלקן הגדול ניתן היה למנוע בהקפדה על כללים פשוטים יחסית: בירור היכרות מקדימה עם כותב המייל, הימנעות מפתיחת קבצים או קישורים שלא הוזמנו על ידי הנמען והתקנה של מוצרי אבטחה".