בשבוע שעבר הכריזה חברת הגנת הסייבר קונפידס על הקמת חמ"ל סייבר, עם חיוג מהיר ושירות שפועל מסביב לשעון 24/7 ונותן מענה לחברות שמוצאות עצמן תחת מתקפת סייבר או מתקפת כופרה חס וחלילה. לפני כמה חודשים הכריזה התאחדות התעשיינים על הקמת מטה סייבר פנימי, שנועד לתת מענה דומה לחברות ומפעלים שנמצאים תחת מתקפת סייבר. בשני המקרים קופצת שאלה אחת לראש: רגע, זה לא מה שאמור לעשות מערך הסייבר הלאומי?
עוד כתבות בנושא:
אחרי הרבה שיחות עם אנשים שעוסקים בתחום אפשר לנסות ולסכם: יש הרבה תשובות לשאלה מה אמור לעשות מערך הסייבר, ועדיין כולם מסכימים שמשהו שם לא עובד לגמרי כמו שצריך. ישראל נמצאת תחת מטח בלתי פוסק, הולך ומחמיר, של מתקפות סייבר, ובהרבה מקרים נראה כאילו המדינה ניצבת חסרת אונים מולן, כשהתוקפים משיגים את מטרותיהן הנלוזות. חברות שנתקפו מושבתות למשכי זמן ארוכים, משלמות כופר בסכומי עתק ומקוות שאיש לא ישמע על זה, כמויות אדירות של נתונים פרטיים ומסמכים עסקיים דולפות מכל חריץ ופתח ואין מי שיושיע.
הרבה אנשים ביקשו לדווח, להתלונן, להסביר מה נכון ומה לא נכון בתחום הגנת הסייבר הישראלית. חלקם עשו זאת בשמם המלא וחלקם בעילום שם (כשהפרטים המלאים שמורים במערכת). יש כאלה שמשבחים את מערך הסייבר, יש רבים יותר שמותחים עליו ביקורת חריפה, לעיתים גם ביקורת אישית כנגד העומד בראשו, יגאל אונא. לזכות אונא ייאמר שהוא בחר שלא להסתתר מאחורי תגובה לקונית ובריאיון גלוי כאן הוא עונה לכל המבקרים. בסוף הדברים נותרת מסקנה אחת ברורה: הממשלה צריכה להחליט אין היא מגנה על אזרחי המדינה מפני מתקפות הסייבר, ואיזה מין כלי אמור לשמש מערך הסייבר בהגנה הזו.
הסיפור שלפניכם מעלה תמונות קשות בדימיון. זה סיפורה של חברה בענף הביטוח שמצאה את עצמה תחת מתקפת סייבר, שאת מהותה לא הבינה בדיוק. מנהלי החברה שכרו את שירותיה של חברת מחשבים, שמתמחה בהגנה ובהתמודדות עם מתקפות סייבר (IR). במקביל דיווחו גם למערך הסייבר. יכול להיות שזו הייתה טעות. בדיעבד האירוע עצמו היה מינורי ודווקא התנהלות אנשי מערך הסייבר היתה הבעיה. "המערך התנהלו כמו משפחת פשע, משהו הזוי ברמות, שאני לא ראיתי בחיים ואני רואה הרבה לקוחות", אומר מומחה ה-IR שעבד עם החברה.
מערך הסייבר שלח צוות התערבות למשרדי החברה, ואלה הסבירו שמדובר באירוע בינלאומי, שהאיראנים מצותתים, ודרשו לכבות את הסלולריים. ואז דרשו ממנהלי החברה לאפשר להם להתקין את כלי התוכנה שלהם במערכת. יועצי המחשוב העדיפו להתקין את הכלים שלהם ולדבריהם בתוך יומיים הבינו שמדובר בהשתלטות על מספר תיבות דואר של החברה בלי נזק נוסף. אבל זה לא הסתיים בזה.
"הם התחילו להתקשר כל שעה ללקוח להגיד לו שאם לא יתנו להם גישה זה יפגע בו, הם יצטרכו לדווח על כל מה שקרה", מספר מומחה המחשבים, "הלקוח היה אובד עצות. מבחינתו זה גוף של המדינה והוא רוצה לשתף פעולה. אז אחרי עשרות שעות עבודה שהלקוח שילם עליהן, עכשיו התקינו אצלו את הכלים של מערך הסייבר. הם פתחו דלת אחורית במערכת שלו ואמרו לו שהם מוציאים דאטה מהמערכת ומעבירים אותה לגורמים בשירות הביטחון".
היתה רק בעיה אחת: מומחה ה-IR שראה את הנתונים הבחין שאין כל בעיה, שום מתקפה, אין איראנים: "אמרתי להם – 'אני לא רואה פה שום אירוע, תסבירו לי מה ראיתם'. התשובה הייתה 'אנחנו לא יכולים להגיד לך'. הם לא רצו לשתף פעולה ולא הסבירו מה הם רואים. אחר כך הם רצו לבוא לעשות סקר סיכונים. אמרתי ללקוח: 'אתה לא מבין מה הם עושים. הם באים ולומדים את כל מה שיש לך בתוך הרשת, ומוציאים לך נתונים'. אבל הם הפחידו אותו והוא הסכים. ואמר לי שאם הם יפיצו את המקרה זה יפגע לו בתוצאות העסקיות ולבסוף הוא הפסיק את השירות שלי".
הסיפור הזה הוא דוגמה אחת מתוך רבות, שמהן עולה התנהגות כוחנית של מערך הסייבר, שמחפה על היעדר סמכויות אכיפה ביכולת הפחדה מרשימה ועל תקשורת לא חיובית עם קורבנות המתקפות. "כשמערך הסייבר בא לסייע לגוף, אף אחד לא עוצר אותו", מספר מומחה מחשבים אחר, "הם באים, לוקחים את המידע, מוחקים את מה שהיה, מתנהגים כמו הבריון השכונתי. הם הולכים ולא עוזרים לארגון. התפיסה שלהם היא, שהם חלק משרשרת המודיעין ואז מה אכפת להם שהחברה תיפגע? הם שומרים את המידע לעצמם, יש אצלם עירוב אינטרסים".
עינת מירון, מומחית להיערכות ולהתמודדות עם אירועי סייבר, אומרת שהניסיון מראה שמערך הסייבר מעדיף כיום לשמור את כל המידע קרוב לחזה ולא חולק אותו אפילו עם הגופים המותקפים. "המערך קורא לציבור – 'יש לי מוקד 119, דברו איתי!' אבל הוא לא עוזר להם, אז למה הם צריכים את זה? זה מצג שווא. טכנית אין לו יכולת לעזור עם מוקד של חמישה אנשים וצוות התערבות של שבעה אנשים. כל המטרה של המוקד היא צבירת מודיעין. והנה בית חולים חוטף מתקפת סייבר הרסנית, דוגמה לכשל שהיה יכול להימנע".
הביקורת של חברות הגנת הסייבר היא כאין וכאפס לעומת הביקורת של יוצאי מערך הסייבר. רבים עזבו את המערך בשנים האחרונות, חלקם נשאו בתפקידים בכירים. א' הוא אחד כזה, שהתחיל את הקריירה ביחידת הגנת הסייבר של השב"כ, ממנה עבר לרשות הסייבר, הגוף שקדם למערך הסייבר הלאומי ומשם המשיך למערך. לדבריו, איפשהו לאורך הדרך המערך איבד את הכיוון והפסיק להגן על חברות.
"השב"כ טיפל בגופים קריטיים, אנחנו רצינו לטפל בבתי החולים, בסופרמרקטים, בחברות הציבוריות, בכל מי שלא מגינים עליו היום", אומר יהושע (שם בדוי), "אם תוקפים שרת של חברת אירוח אתרים ומורידים מאה אתרים, אז זו לא תשתית קריטית של מדינת ישראל אבל זה פוגע במאה עסקים עם מחזור של מיליון שקל, שאין להם מי שיגן עליהם. אז הנה עכשיו תקפו את בית החולים הלל יפה, ואוניברסיטאות מותקפות יום יום ושעה שעה, המון גופים שאין להם אבא ואמא. להרבה עסקים אין יכולת כלכלית להגיב למתקפות, ובשביל זה הקימו את מערך הסייבר. ברשות הסייבר היינו מטפלים ב-200-250 אירועים בשנה, התערבות IR מלאה, אנליסטים, ליווי משפטי. אם עכשיו מערך הסייבר מגן רק על תשתיות קריטיות, אז תחזירו את האחריות לשב"כ. הוא עשה עבודה מצוינת עם תשתיות קריטיות".
רם לוי: "יש למערך הסייבר ניגוד עניינים מובנה כי האינטרס הלאומי הוא להבין מי מבצע את התקיפה והאינטרס של הארגון הוא למזער את הנזק"
רשות הסייבר פעלה במשך פחות משנתיים, תוך שתפיסת ההפעלה שלה שמה במוקד חברות שאינן תשתית קריטית ועדיין פגיעה בהן עלולה להיות קשה לעיכול, למשל חברת טבע או חברת תנובה. "הקו הזה התמסמס בשנים האחרונות", אומר יהורם (שם בדוי), שהיה בכיר ברשות הסייבר, "מערך הסייבר התחיל להתעסק בהיבטי מודיעין וזה מייצר מלחמות עם השב"כ. וכך גם מעט משאבים שיש למערך לא הולכים למקום הנכון. המערך איבד את הדרך וכשיגאל אונא אומר שצריך חוק אני מתגלגל מצחוק. יש הרבה חוקי תנועה אבל תאונות הדרכים לא פוחתות בגלל חוקים".
יהויקים (שם בדוי) היה ראש אגף במערך הסייבר, ויש לו דברים טובים להגיד על המערך, ובכל זאת הוא מבקש להישאר בעילום שם. "אני מאוד אהבתי את המקום שעבדתי בו, ואני לא רוצה ללכלך, אלא לתת תשובות שישקפו כנות ופתיחות", הוא אומר. לדבריו, מערך הסייבר מגדיר שלושה סוגים של אירועים שבהם הוא יתערב: מתקפת סייבר על תשתית מדינה קריטית, או כשהתוקף הוא קריטי, למשל על רקע לאומי, או כשיש חשש שהמתקפה תזלוג מהקורבן לעוד הרבה חברות דומות. "המערך נמצא בסוג של מלכוד", הוא אומר, "באירוע שירביט למשל, הם הכריזו שהחברה קורבן של איראן וראית שהשיח השתנה ללגיטימציה לחברה - אתם לא מצפים שהחברה תתמודד מול איראן. וזה גם חשוב מבחינת החברה לענייני ביטוח ולתביעות עתידיות שיוגשו נגדה ולכן יש לחץ שהמדינה תודה שזו מתקפה איראנית".
יש פער בין הציפיות של החברות ממערך הסייבר לבין מה שהוא בפועל מוכן לעשות?
"אני מסכים ואני חושב שהפתרון הוא לתאם ציפיות, אבל במערך חוששים לעשות את זה מהרבה סיבות - מיצוב, פוליטיקה, אגו. לא רוצים שיגידו שהמלך הוא עירום. בתכלס, ברוב האירועים המערך הוא כמו המז"פ – לוקח טביעות אצבע ואומר: 'אם נדע נחזור אליך'. אבל אי אפשר להגיד לציבור – אין לנו מה לעשות, אנחנו לא מסוגלים לעזור".
מערך הסייבר הלאומי הוקם ב-2016, כמסגרת שתחתיה פעלו שני גופים: מטה הסייבר הלאומי (שהוקם ב-2012) שהיה גוף רגולציה ומדיניות והרשות הלאומית להגנת הסייבר, שנועדה להיות גוף ביצועי ומניעתי. ברקע היו מלחמות גנרלים בין השב"כ לבין מטה הסייבר אבל המטרה היתה ברורה לכולם – להגן על המגזר האזרחי מפני מתקפות סייבר. שנה לאחר מכן הוביל ראש הממשלה אז, בנימין נתניהו, מהלך מפתיע שביטל את המבנה הזה והפך את המערך לגוף הסייבר האזרחי היחיד. בתוך כך הוא העביר אליו את סמכות ההגנה על תשתיות קריטיות שהייתה לפני כן בידי השב"כ. לראש המערך התמנה יגאל אונא, מי שנתניהו הגדיר כ"מועמד שלי" לתפקיד, תוך שראש המטה ד"ר אביתר מתניה וראש הרשות בוקי כרמלי, פורשים מתפקידיהם. מאז ועד היום נמצא מערך הסייבר ותורת ההפעלה שלו בוויכוח בין הגורמים הפעילים בתחום. הוויכוח הזה מתגבר לנוכח דרישת מערך הסייבר להקנות לו סמכויות בחקיקה להיכנס לכל גוף וגם לאכוף על גופים להתמגן.
רם לוי, מנכ"ל קונפידס, אומר שבמבנה הקיים מערך הסייבר נותן מענה חלקי בלבד למתקפות סייבר: "המערך מגיע עם כוונות טובות אבל הן מוגבלות לסיכול האירוע ולהסתכלות לאומית רחבה. אבל הוא לא עונה על הצרכים האמיתיים של חברה עסקית לחזור לפעילות במהירות. יש לו ניגוד עניינים מובנה כי האינטרס הלאומי הוא להבין מי מבצע את התקיפה והאינטרס של הארגון הוא למזער את הנזק". לוי מציע חשיבה חדשה: מערך הסייבר יעבוד מול מומחה הסייבר שכל חברה תבחר, כמו שרשות המיסים עובדת מול מייצגים של העסקים ולא מול העסקים עצמם, וכך אפשר יהיה לייצר שיתופי פעולה מקצועיים שיפחיתו את חרדת הנתקפים.
גם בועז דולב, מנכ"ל חברת קלירסקיי, אומר שלא צריך לצפות שמערך הסייבר יתערב בעצמו במניעת אירועי סייבר: "יש אלפי חברות שנתקפות, תפיסת 'אנחנו נשמור עליכם' לא מתאימה. כל חברה צריכה לשמור על עצמה. לא יכול להיות מקום מרכזי ששולט על הכל ומגייס עוד ועוד אנשים. צריך ביזור חכם, הנחיות לגופים מה לעשות, ומי שלא מבצע יקבל קנס על כל יום". עם זה הוא מתריע מפני הדרישה לאפשר למערך הסייבר סמכות להיכנס לכל גוף, ואומר כי היא מסוכנת. לדבריו, יש להקים מחדש את מערך הסייבר כגוף חצי אזרחי, מעין "חברת הייטק": "בואו נפיק לקחים מהאירועים בשנים האחרונות כדי שעשר שנים הבאות יהיו הרבה יותר טובות. ראש הממשלה צריך להבין שיש בעיה שפוגעת בהתפתחות הכלכלית של ישראל".
אורי אפשטיין, מנכ"ל אשנב מערכות מידע מקבוצת אמן, אומר גם הוא שמערך הסייבר לא צריך להגן בעצמו על חברות מפני מתקפות סייבר, אבל הוא קורא להרחיב את ההגדרות של מי הוא גוף קריטי לצורך הגנה של המדינה, למשל בתי החולים: "הפריצה להלל יפה עוד תעלה בחיי אדם ולצערי לא מתייחסים לבתי חולים כמו לחברות תעופה, הם לא נחשבים לתשתיות לאומיות קריטיות". מנגד הוא סבור שכל חברה אחרת צריכה להגן על עצמה. "כל מתקפות הכופרה ששמענו עליהן בוצעו מאינטרס כספי, לא על ידי ארגוני טרור. זה נכון שקל לגייס את העם והפטריוטיזם לטובת הגנה מחורשי רעתנו ואז שואלים למה המדינה לא מגנה עלינו מהטרוריסטים, אבל אלה מאפיונרים. ואתה לא אמור לצפות מהמדינה להגן מפני כל אחד שתוקף".
מומחה הסייבר סא"ל (מיל') טיראן פרטוק, יוצא סיירת מטכ"ל, שהוביל את ייחוס מתקפת שירביט לזרועות איראניות, אומר שהמינימום הנדרש ממערך הסייבר הוא לייחס את האירוע לגורם שאחראי לו: "גמגום המערך יצר נזק בלתי נסלח לחברה והוא אפשר קרנבל תקשורתי בהעדר גורם מוסמך, שאומר לציבור האם זה אירוע נקודתי או לאומי. גם אצל המדיה יש בלבול עצום שנובע מהוואקום הזה, משום שלקרקס האיראני שמתנהל בטלגרם בדרך כלל מוזמנים גם כתבים שחושבים שהם מתכתבים עם האקר מגניב עם קאפוצ'ון וגשר בשיניים כשבפועל הם מתכתבים עם איש חיזבאללה מזוקן. הנהלה צריכה לדעת מול איזה תוקף היא עומדת ומה מרחב ההחלטה שלה". פרטוק מביע תמיהה מדוע לאחר ניסיון ההתנקשות באיש העסקים טדי שגיא מיהרה הממשלה להעריך מי הגורם המתנקש: "לטדי שגיא כן ולשירביט לא? מה המסר, שמי שיש לו מקבל תמיכה 'ממטבח מרכזי' בעוד שחברה קטנה תוגש כמנחה לטורף איראני?"
יגאל אונא: "יש מקרים שאני מגיע לא על תקן מד"א אלא על תקן זק"א. לא נעים, אבל אין כל כך מה לעשות עם הגוף הזה, הוא מה שנקרא גווייה"
אפשר לטעון כנגד כל הדוברים האלה, שהם מדברים מהפוזיציה: הם ירוויחו אם הגנת החברות במשק תוטל באופן ברור על חברות הגנת סייבר פרטיות. אבל זה אינו האינטרס שמאחורי יהורם, ותיק בתחומי הגנת הסייבר של המדינה. לדבריו, המצב בשוק ההייטק והמאבק הנואש על הבאת מומחי סייבר למגזר הממשלתי, מצביע על פיתרון אחר לגמרי: "אני ממליץ למדינת ישראל לקבל החלטה אמיצה: בואו נחזיר את התשתיות הקריטיות לאחריות השב"כ, ונצמצם את מערך הסייבר לכדי מטה יעיל, שיקדם את חשיבת הסייבר בישראל באמצעות חינוך, רגולציה ותשתיות אבל לא יהיה גוף מבצעי".
ד"ר תהילה שוורץ אלטשולר, עמיתה בכירה במכון הישראלי לדמוקרטיה ומומחית למשפט וטכנולוגיה, מצביע על בעיה אחרת בתפקוד מערך הסייבר: "המערך הוקם כגוף מודיעיני, הוא לא תפור טוב. מי אתה, מערך הסייבר? איך קרה שאחרי שנים של התעסקות יש לנו עכשיו פצצה בידיים שלא יודעים איך לטפל בה?". לדבריה, מערך הסייבר צריך להיות גוף אזרחי, שחל עליו חוק חופש המידע, כמו גופי רגולציה אזרחיים אחרים. "הייתי רוצה שמערך הסייבר יקבע סטנדרטים מינימליים לשוק ושכל האכיפה תיעשה דרך הרגולטורים היעודיים כמו רשות הגנת הפרטיות, הממונה על שוק ההון ועוד. צריך לשנות את הפרדיגמה וזה צריך להיות חלק מהדיון שיתקיים במשרד המשפטים על הסדרת כל המרחב המקוון, ביחד עם רגולציית ה-AI, הרכבים אוטונומיים וה-IOT".
ראש מערך הסייבר יגאל אונא נשמע כמי שרגיל לשמוע דברי ביקורת. הוא בן 49, עם ותק של 33 שנים בתחום הגנת הסייבר. בצבא הוא שירת ביחידת 8200 באמ"ן ולאחר מכן המשיך לשורה של תפקידים בשב"כ, האחרון בהם היה ראש אגף סיגינט. בתפקיד הנוכחי הוא מכהן ארבע שנים, לאחר שכהונתו הוארכה פעמיים. בינתיים הוא לא מדבר על פרישה מהתפקיד.
ישראל תחת מתקפת סייבר הולכת ומתעצמת, ונראה שמערך הסייבר לא מסייע לחברות הנפגעות.
"אכן, מורגשת עלייה דרמטית גם בכמות המתקפות וגם באיכות. אבל אנחנו מקבלים את התחושה ההפוכה מהשטח. התפקיד שלנו הוא לא למנוע תקיפות, התפקיד שלנו הוא למנוע נזק מהתקיפות. אנחנו לא באים להחליף את תעשיית הסייבר הישראלית בטיפול והגנה על החברות. זו טעות נפוצה. מערך הסייבר הוא עוד מעגל הגנה לאומי מול איומים גדולים ומשמעותיים יותר, ומול מניעת נזקים משמעותיים יותר".
יש טענה שבזמן אירוע אתם לא עוזרים לחברות, רק אוספים מודיעין.
"מי שאומר לך דבר כזה, הוא טועה ברמה שהוא לא מבין את המציאות בה הוא חי. יש מקרים שאני מגיע לא על תקן מד"א אלא על תקן זק"א. לא נעים, אבל אין כל כך מה לעשות עם הגוף הזה, הוא מה שנקרא גווייה. התפקיד שלנו לוודא שכשיש אופי של מגפה, מה שהרג את הגוף הזה לא יפגע באחרים. כי הוא כבר אבוד וצריך שיקום ואני לא גוף משקם".
מתי השתנתה המדיניות של רשות הסייבר שהתמודדה מול המתקפות?
"אני הייתי במטה הסייבר בראש היחידה הטכנולוגית ואני לא מכיר את מה שאתה אומר. לא מכיר אירועים שהרשות טיפלה בהם. תביא לי לקוח אחד מרוצה שרשות הסייבר הצילה אותו מתקיפה. מצד שני, התערבות בשטח כמו שהיו בשנה וחצי האחרונות, לא הייתה מעולם. הדבר הראשון שעשיתי כשנכנסתי למערך היתה שינוי מבני, להתאים את המערך למציאות שבה אנחנו חיים. העבודה שלי היא כמו של שוער כדורגל: אתה כל הזמן עסוק רק בלגמור עוד יום בשלום. אבל במבחן התוצאה, תראה לי אירוע קריטי אחד שבו ישראל בתחום האחריות הישיר שלי – נפגעה. אם כמות התקיפות עלתה פי 10,000 וכמות הנזק עלתה ב-1 נקודה משהו, אז זה המבחן שאתה צריך לבדוק".
אתה מבקש סמכויות אכיפה למערך הסייבר אבל אולי ההתנגדויות מצדיקות מחשבה מחדש?
"אני לא חושב שיש הרבה התנגדויות. השנה וחצי האחרונות חידדו לנו איפה הפערים. הסמכויות המרכזיות שחסרות לנו הן בנושא סרבנות. אנחנו מבקשים את היכולת במקרים מסוימים במקומות שבהם הפגיעה תסכן הרבה אזרחים ואינטרסים חיוניים, לחייב את הגוף לתת לנו לעבוד. אנחנו מאתרים מאות ואלפי חולשות ורוב הגופים לא מסרבים לעדכן הגנות אבל הבעיה היא רק בקצוות".
האם מערכת היחסים בין המערך לשב"כ תקינה?
"בשנים האחרונות היא הולכת ומשתפרת. המחלוקות הן היסטוריה, זה כבר לא עניין. לראייה, זכינו ביחד בפרס ביטחון ישראל – אנחנו, שב"כ, מוסד, אמ"ן, מלמ"ב. לא היינו זוכים בפרס הזה אלמלא היינו יודעים לעבוד מצוין ביחד".
מה התוכניות שלך לעתיד?
"ראש מערך הסייבר מתמנה לשלוש שנים, וסיימתי אותן לפני שנה. מאז הכהונה שלי הוארכה על ידי ראש הממשלה הקודם ופעם נוספת על ידי הנוכחי, לבקשתי. מה יהיה בהמשך? נראה. בכל מקרה זה לא יהיה יותר משש שנים כי זה מה שקובע החוק. אני באמת לא עוסק בזה כרגע. כיף לי, מעניין אותי, מאתגר לי יש המון עבודה. ולכן זה לא על הפרק".