חילופי מהלומות הסייבר בין ישראל לאיראן מילאו את הכותרות בשבועות האחרונים: חשיפת ynet בדבר מתקפה איראנית על תשתיות המים בישראל - שלא צלחה ולא הביאה כלל לשיבושים, הובילה בתורה לתגובה ישראלית מתונה בדמות תקיפת סייבר של נמל איראני, שכעת מתברר שהנזק שלה משמעותי מכפי שצפו בהתחלה, וכי האיראנים מתקשים להחזיר את הנמל לפעילות מלאה.
המקרה המסוים הזה אולי עבר בשלום יחסית, אבל בדיוק לפני שנה פורסם דו"ח מבקר המדינה, ולפיו מדינת ישראל, אומת הסייבר, אינה ערוכה להתמודד עם מתקפות סייבר המכוונות כלפי תשתיות חיוניות: "בשנים האחרונות אנו עדים להתקפות סייבר מסוגים שונים, אירועי כופר ונוזקה, הונאות, מעילות וגניבת מידע עסקי", כתב אז המבקר, "זירת הסייבר אף הפכה לזירת לוחמה בין ארגוני טרור ופשיעה למדינות ואף בין מדינות".
מתקפות כנגד תשתיות קריטיות יוצרות קמטים של דאגה בכל העולם. מדובר במתקפות סייבר שנועדו לפגוע בתשתיות של מים, חשמל ואנרגיה או מערכי תחבורה למשל, ועלולות להוביל לשיבושים באספקה, לגניבת מידע רגיש, לסחיטה, לנזקים כלכליים משמעותיים וגם לפגיעה פיזית ממשית באזרחים. "מתקפות כאלה דורשות יכולות טכניות מתוחכמות יותר ממתקפות הסייבר המוכרות לנו", אומר דניאל כהן, חוקר בכיר במרכז לסייבר ע"ש בלווטניק באוניברסיטת תל-אביב, וראש תוכנית מודיעין אסטרטגיה במכון אבא אבן במרכז הבינתחומי. "הציבור רגיל לשמוע על מתקפות פישינג, מתקפות מניעת שירות (DDoS) או השחתה של אתרים. פה זו רמה קצת יותר גבוהה".
בישראל, ההגדרה של תשתיות קריטיות כוללת כמה עשרות גופים חיוניים, בהם מד"א, רכבת ישראל, בז"ן, הנמלים, מקורות, בנק ישראל, חברת החשמל ועוד. מהצד השני - המשק הישראלי: מתקפת סייבר שמופנית כלפי בתי חולים, בנקים ומוסדות פיננסיים, חברות תקשורת או חברות מזון - עשויות לייצר גם פגיעה ממשית באזרחים. "ארגוני הביטחון בישראל מוגנים על ידי גופי הביטחון בהקשר של סייבר", מסביר כהן, "המשק והתשתיות הקריטיות הם באחריות מערך הסייבר הלאומי, ככה שאם בית חולים בישראל נפגע - יש את המענה ברמת המדינה".
לדבריו, הניסיון האיראני לפגיעה בתשתיות המים בישראל הוא קפיצת מדרגה, במתח שבין המדינות. "אני מעריך שבשנה הקרובה אנחנו נראה עוד ניסיונות של איראן למתקפות סייבר, ומאחר והם יראו שקשה להם להשיג פגיעה בתשתיות קריטיות וביטחוניות - נראה אותם הולכים לכיוונים אחרים, של השפעה על דעת קהל למשל".
אבל מתקפות סייבר על תשתיות חיוניות יכולות להיעשות גם מחוץ להקשר גיאו-פוליטי כזה או אחר. "זו לא בהכרח פעולה מדינית", אומר כהן, "בנמל אנטוורפן בשנת 2013, סוחרי סמים שכרו האקרים שישתלטו על מערכות הבקרה כדי שיוכלו לאסוף מידע ולנתב סחורות לטובתם - ולהבריח סמים".
כהן מסביר שמתקפות סייבר על תשתיות קריטיות מכוונות בדרך-כלל לפגיעה במערכות SCADA - מערכות בקרה תעשייתיות, המופקדות על תהליכי ייצור, תהליכים במתקנים ובתשתיות, ניטור ופיקוח עליהם. "הרבה פעמים מדובר במערכות מיושנות, שמלוות בתוכנות מיושנות. במתקפת WannaCry ראינו שבתי חולים בעולם עדיין משתמשים בתוכנות משנות ה-90 של המאה הקודמת, שאפילו מיקרוסופט כבר הודיעה שהיא לא מאבטחת יותר".
מצד אחד גופים עם מערכות מיושנות, מצד שני אנחנו רואים עוד ועוד דיגיטציה של תשתיות ותהליכים עם מוצרי IoT. מה יותר מדאיג?
"יש מיעוט של מומחים שאומרים שבכל מה שקשור באבטחה של תשתיות קריטיות צריך לחזור לעבוד עם מערכות אנלוגיות, כי ככל שהולכים יותר לכיוון האינטרנט של הדברים - יש יותר חולשות. מצד שני, בסופו של דבר אנחנו לא יכולים להלחם בקדמה. אי-אפשר ללכת אחורה, העולם שלנו מרושת יותר מיום ליום וכל יום יוצא פיתוח חדש שמחובר לרשת. בסוף, יעילות של ארגון דיגיטלי, יכולת חישובית ויכולת ייצור - גוברת על השיקול של תקיפות סייבר".
מה התרחיש הכי גרוע של מתקפה כזו?
"אני לא רוצה להיות נביא זעם, אני יכול לדבר על מה שקרה בעבר. ב-2015 רוסיה השאירה מאות אלפי בתים באוקראינה בשיא החורף בלי חשמל. זו דוגמה חריגה להשפעה שיכולה להיות למתקפה מהסוג הזה ולפגיעה שלה באזרחים. ישראל התחילה להיערך לכל הנושא הזה הרבה לפני מדינות אחרות, ולכן פוטנציאל האיום הוא כנראה משמעותי יותר דווקא מהצד של המשק, ולא של תשתיות קריטיות".