"מתקפת סייבר על תשתית חיונית היא רק עניין של זמן"

"אחרי שסגרנו להם את השמים עם כיפת ברזל, ועוד כמה שנים יסגרו להם את המנהרות עם החיישנים שעובדים עליהם כרגע, אז אני לא אתפלא אם בפעם הבאה נפגוש אותם דרך הסייבר", כך אומר אל"מ נ', ראש מחלקת (רמ"ח) הגנת הסייבר בצה"ל, בראיון ל"כלכליסט".

במהלך מבצע צוק איתן נ' וחייליו שיתפו פעולה עם חטיבת הסייבר של השב"כ כדי לסכל את אחת המתקפות המקוונות הגדולות ביותר על האינטרנט הישראלי. המתקפה שנערכה לקראת סוף חודש יולי התבצעה במעורבות של גורמים איראנים במהלך "יום ירושלים הבינלאומי" - יום שמציינת ממשלת איראן בכל שנה ביום השישי של הרמדאן כנגד הציונות וישראל. מתקפה זו כללה לא מעט האקרים מרחבי המזרח התיכון והעולם.

מבחינות רבות, המתקפה היתה מפתיעה. בשבועות שקדמו לה, בתחילת צוק איתן, חברות האבטחה וספקיות האינטרנט דיווחו כי לא נרשמו מתקפות רבות על אתרי אינטרנט, במיוחד לעומת מבצעים צבאיים קודמים. ההאקרים הפרו־פלסטיניים הוגדרו כבודדים ומבודדים, המבצעים מתקפות לא מתוחכמות ולא מתואמות.

נ' אומר כי זאת היתה התמונה בתחילת המבצע, אבל הדבר השתנה ככל שהמבצע התמשך. "היה קשר ישיר בין התקדמות הלחימה ובין תקיפות הסייבר. כאשר צה"ל נכנס קרקעית, היה זינוק בכמויות המתקפות, ובמקומות מסוימים גם ברמת התחכום שלהן". נ' מוסיף כי "המלחמה הבאה יכולה להיות מלחמת סייבר, אבל צה"ל ערוך לכל אפשרות".

ככל שעוברות השנים, תרחישי האימה האפשריים הולכים ומתרחבים: גניבת פרטים של מערכות ביטחוניות סודיות או השתלטות מרחוק על מזל"טים חמושים ושימוש בהם לתקיפת מטרות אזרחיות ואף חיילי צה"ל, פריצה למערכת הבורסה בתל אביב ושיתוק המערכת הפיננסית, פריצה לחברות כרטיסי אשראי ובנקים, קריסת מערכת החשמל בישראל וכיוצא באלה. מומחי אבטחה בכל העולם מזהירים זה שנים מתרחיש יום הדין - מתקפת סייבר על תשתיות קריטיות שיכולה לשתק מדינה או לנטרל צבא. אני שואל את נ' כמה קרוב העתיד הזה.

"כמה שנים. לא יודע אם עשור, או שנה־שנתיים. בהתחשב בזה שיש היום גופים ממשלתיים עם היכולות האלו, זה רק עניין של זמן עד שהן ידלפו החוצה".

מתקפות בהיקפים גדולים יותר וברמת תחכום גבוהה

נ' (46), נשוי ואב לשלושה ילדים, בעל תואר ראשון בהנדסת מחשבים. קודם לפיקודו על מחלקת הגנת הסייבר פיקד על שתי יחידות פיתוח תוכנה מובילות בצה"ל, זאת לאחר שאת ראשית דרכו בצבא עשה דווקא כקצין קרבי.

המחלקה בראשה הוא עומד כיום, השייכת לאגף המחשוב בצה"ל, אחראית על ההגנה על כל התשתיות המקוונות והדיגיטליות של צה"ל. היא כוללת מאות אנליסטים, חוקרים ואנשי אבטחה, רובם חיילים בשירות סדיר ועשרות מתוכם חיילי מילואים. היחידה אחראית על יצירת כלים וטכנולוגיות, פריסתם ברחבי הצבא, ואימון החיילים השייכים ליחידה וליחידות הגנת הסייבר של החילות השונים. היחידה עצמה היא חלק מיוזמה חדשה בצה"ל, וקיימת רק כמה שנים. תקופת הלחימה האחרונה היוותה את טבילת האש המשמעותית שלה. "אפשר להגיד שזאת המערכה המגננתית הסייברית הראשונה בצה"ל. זה לא היה ככה במבצעים קודמים. בפעם הראשונה היה פה מערך הגנת סייבר מסודר שעבד במקביל ללוחמה בשטח. זאת מציאות חדשה".

תחומי האחריות של החטיבה מאוד רחבים, וגם יוצאים מגבולות הגזרה של צה"ל. "יש לנו הרבה גורמי עניין שלא יושבים על המערכות שלנו. יש אתרים שפועלים מול אזרחים, מול חברות אזרחיות, מול הבנקים. הם אמנם מטרות פחות רגישות בזמן מלחמה, אבל אני לא מעוניין שאף אתר ייפגע".

נ' מזכיר כי לא מעט מידע רגיש על צה"ל נמצא גם במערכות חיצוניות - מספקיות של שירותים, דרך רכיבים ומוצרים לצה"ל ועד לתעשיות הביטחוניות עצמן.

היו מתקפות על אתרי צה"ל במהלך צוק איתן?

"היו, אבל אני לא יכול לדעת חד־משמעית שהם מוקדו דווקא בהם ולא בכלל באתרים ישראליים".

מה גרם לעלייה ברמת המתקפות?

"אני מאמין שזאת פשוט החלטה של הארגונים הפרו־פלסטיניים להצטרף למאבק. היום ההתארגנויות הן הרבה יותר מהירות, לוקח להם הרבה פחות זמן להגיע למתקפות עוצמתיות ולעבור ממתקפה למתקפה".

האם לא ניתן להסביר את העלייה הזו פשוט בהתקדמות טכנולוגית טבעית?

"קשה לי למדוד את ההתפתחות הטבעית בקרב האויבים. אבל בצוק איתן ראינו מתקפות בהיקפים יותר גדולים וברמות תחכום יותר גבוהות. עומדת לא מעט מחשבה והשקעה מאחורי המתקפות שראינו".

נ' מציין לא מעט את "הציר הרדיקלי" - הכולל את חמאס, חיזבאללה ואיראן - ומוסיף: "יש שם התפתחות לא קטנה בתחום הסייבר. זה תחום שהם מתעסקים בו, ולא רק על הדרך, וקיים שיתוף ידע בין כל הגורמים האלה".

אתה רואה כאן יד מכוונת ונעלמה שמרכזת את כולם ואת כל המתקפות?

"אני לא יכול להצביע ולומר שיש יד מכוונת אחת. לכל גוף בתוך הציר יש אינטרסים שונים, גם אם יש לכולם מטרה משותפת אחת - לפגוע בישראל".

הדיווחים הם שהפעם היתה פחות מעורבות של גורמים ממשלתיים, כמו הצבא הסורי האלקטרוני.

"זה פשוט לא נכון. רואים את הצבא הסורי בפירוש, במקומות אלו ואחרים. אני לא יכול להגיד בהכרח שהוא יותר מתוחכם היום, אבל הוא בהחלט עדיין פעיל".

אחת משרשרת המתקפות שכוונה על ישראל היתה מקהילת אנונימוס, קולקטיב אמורפי של האקרים, אנרכיסטים ופעילים פוליטית מכל העולם, ללא כל מקום מפגש מרכזי או בכירים. אנונימוס מעורב בלא מעט מטרות פוליטיות, חלקן חיוביות - כגון הבאה למעצר של פושעים שהתעללו בבעלי חיים - ואחרות לא ברורות ואף שליליות, כגון מתקפה על חברות, ידוענים וממשלות. גורמים בתוך אנונימוס הכריזו בעבר על מתקפות סייבר על ישראל, אבל עד כה לא הצליחו לבצע כל נזק ממשי. נ' מזהיר, עם זאת, שאין לזלזל בהם. "גם אצלם יש התפתחות. באנונימוס רואים מפגש של הרבה מאוד מוחות, ומשם עוד יכולים לצאת מתקפות מתוחכמות שעוד לא ראינו. חשוב לעקוב אחריהם".

כשהשיחה עוברת משאלות על הגנה לשאלות על מתקפה נ' מוכיח כי הוא יכול להיות אף יותר דיסקרטי משהיה עד כה ומבהיר רק כי מערכת הגנת הסייבר אינה מסוגלת לבצע את עבודתה ללא מתקפות מניעה. "אי אפשר לפעול אם אתה יושב על הגדר כל הזמן, המטרה שלי היא למנוע מהם להגיע בכלל לגדר". הוא לא הסכים לפרט את האמצעים שצה"ל משתמש בהם, אבל ציין כי "יש פעולות סיכול".

אף שנ' לא הסכים להוסיף מידע על המתקפות שמחלקת הסייבר הישראלית מבצעת, אין ספק שהסייבר הפך להיות גם נשק התקפי בידי ממשלות, ובראשם ממשלת סין. כך, למשל, צבא ההאקרים הסיני מתקיף תדיר יעדים מערביים. השנה נעצרו בקנדה חמישה האקרים מהצבא הסיני בחשד שניהלו פריצה לשרתי התאגיד הביטחוני לוקהיד מרטין, וגנבו את התוכניות למטוס החמקן F–35. לפי בלוג האבטחה המוערך KrebsOnSecurity, ב־2012 סינים גם פרצו לשרתי אלביט ורפאל וגנבו את התוכניות למערכת כיפת ברזל וטיל החץ.

עשרות גורמים עובדים בשיתוף פעולה ללא תיאום

שיתוף הפעולה עם השב"כ במבצע האחרון מעלה שאלות לגבי מערך הסייבר הישראלי, המפוצל תחת עשרות גורמים, לגבי שיתוף הפעולה בין הגופים הללו וגבולות האחריות של כל אחד מהם. ספקיות אינטרנט, חברות אבטחה, התעשיות הביטחוניות, הבנקים ובנק ישראל, משרד ראש הממשלה והאוצר, אגף ממשל זמין, מחלקת פשעי המחשב במשטרת ישראל, מרכז הסייבר הממשלתי, יחידות הסייבר בתוך צה"ל וכן חטיבות הסייבר בשב"כ ובמוסד, וכמובן אלפי חוקרי אבטחה אקדמאיים ועצמאיים - כולם עובדים כיום בתוך סביבה לא מוגדרת וללא תיאום.

בתפיסת העולם של נ', היעדר גבולות גזרה ברורים בין כל גופי הסייבר השונים הוא כורח המציאות. "אני אמנם אחראי להגנה על הסייבר בצה"ל, אבל שוער שיושב רק על הקו יחטוף הרבה מאוד גולים. חייבים לצאת החוצה מגבולות הגזרה, להבין מה קורה בחוץ. אני לא יכול להגן על צה"ל רק מבפנים. לפיכך כל מתקפה מעניינת אותי".

נ' אומר כי שיתוף הפעולה בין הגורמים אינו חדש. "הצורך לא התעורר דווקא מהמתקפה הזאת. קהילת המודיעין כל הזמן עושה הערכות מצב מתמשכות".

אבל התוצאה, הוא מודה, יכולה לפעמים להוביל לעודף טבחים במטבח. "לא תמיד ברור מה היעד של מתקפה. היא יכולה ללכת כנגד תעשיות, המגזר הפיננסי או תשתיות צה"ל. לכן בשלבים הראשונים, עד שנבין נגד מי המתקפה ממוקדת, אתה תראה שכל הגורמים בארץ עוסקים בה. יש שיתוף פעולה אוטומטי עם כל מתקפה נכנסת במטרה לנסות ולהבין את המהות המודיעינית, היכולות, המקור והכוונות של המתקפה".

איך מחליטים מי לוקח פיקוד?

"עם הזמן, מתברר מי הגורם הדומיננטי שאחראי על יעד המתקפה. הוא מקבל את ההובלה, ושאר הגורמים מסייעים לו. לצורך העניין, אם יש מתקפה על שרת שנמצא בתחום האחריות של השב"כ, הוא יכול להחליט האם הוא מעוניין להיעזר ביכולות שלנו שעומדים לרשותו".

זה נשמע מאוד לא יעיל.

"בדיעבד אפשר להסתכל אחורה ולהגיד - או.קיי, זה בסך הכל אנונימוס, או גורמים פרו־פלסטיניים לא מאורגנים, אבל כאשר זה קורה, אי אפשר לדעת אם אולי מתחבא מישהו מאחוריהם".

דווקא באזרחות יש הבנה מתגברת שצריך לתאם בין כל המאמצים השונים של חברות האבטחה והסייבר.

"יש תהליך בממשלה להסדיר את הדברים ברמה הלאומית. ראש הממשלה הורה על הקמת מרכז סייבר, שהחל עבודת מטה על תפיסת ההגנה הלאומית. הוא מקיים דיונים עם כל גופי הסייבר במדינה, ומנסה לייצר את נקודת האיזון המתאימה".

האם לדעתך האחריות על מערך הסייבר צריכה להיות בידי צה"ל?

"אני לא יודע להצביע על איזה גוף צריך להיות אחראי, אבל ברור שחייב להיות גורם מוביל שמסתכל על כל החזיתות ברמה גלובלית, מבין את האיום ואת ההשפעה שלו על ישראל, ומחליט על דרכי הפעולה, הגנתיות והתקפיות".

קצין קרבי לשעבר מפקד על מאות האקרים צעירים

בעולם הסייבר המורכב מכל כך הרבה גורמים, יש ליחידה של נ' יתרון מיוחד על פני חברות האבטחה וגופי הביון השונים - מאות החיילים שלו הם צעירים, ותחום ההאקינג תמיד היה המשחק של הצעירים. כאשר אנו שואלים את נ', קצין קרבי לשעבר כאמור, כיצד הוא מתמודד עם פער הדורות ועם פיקוד על חיילים שמבינים במחשבים יותר מבנשק, הוא צוחק ומפנה את ראשו במבוכה. "האמנות זה למצוא את נקודת האיזון שתאפשר לך לעבוד עם הצעירים האלה במסגרת ההיררכיה של צה"ל. אתה לא יכול למשטר אותם על כל דבר קטן, אתה חייב לתת להם מרחב לעבוד. לדוגמה, בצבא יש שעות עבודה מאוד מסודרות, אבל האקרים הם הרבה פעמים אנשי לילה. אז אנחנו לא קשוחים איתם. אולי הם יתחילו את היום יותר מאוחר, אבל אז הם לפעמים עובדים הרבה יותר שעות ונותנים תפוקות מדהימות".

נ' מתאר צוות נאמן וחדור מוטיבציה, שמבין טכנולוגיה ויודע את החשיבות של העבודה שלו וכמה היא מרתקת יותר ממה שהוא ימצא באזרחות. "כוח האדם מאותר במיוחד. אנחנו מסתכלים על המועמדים הרבה לפני הגיוס. אנחנו מחפשים אנשים עם יכולת לימוד, הסתגלות, נחישות וסקרנות. אלו אנשים עם חשיבה לא סטנדרטית, אלא יותר אינטואטיבית, יצירתית ואינדיבידואליסטית. קשה לך לפעמים לצפות איך הם יתנהגו, ובמציאות הצבאית ההירככית זה לא תמיד מסתדר".

הוא מוסיף כי יש ליחידה שלו יתרון נוסף - טכנולוגי. "אנחנו קונים ומשתמשים בכלי אבטחה אזרחיים, אבל גם מפתחים טכנולוגית. אתה לא רואה את זה באזרחות, שם מסתמכים על מוצרי מדף. אצלנו החיילים צריכים להתמודד עם בעיות מאוד ייחודיות, צריכים לפתח פתרונות שנתפרים לבעיות ספציפיות ונקודות תרופה מדויקות".

האם לא כדאי לנתק את השאלטר? האם אנחנו לא נסמכים יותר מדי על טכנולוגיה בצה"ל?

"אי אפשר להחזיר אחורה את הגלגל. אבל שלא יהיה שום ספק - ללא טכנולוגיה, לא נוכל לשמר את היכולות התפוקתיות שלנו".

אתם כבר ראיתם ניסיונות למתקפות סייבר צבאיות? ניסיון לשתק יחידות ורכבים לפני מתקפה, למשל?

"עדיין לא זיהינו כאלו עד כה. אבל בהתחשב באיך שהיכולות הטכנולוגיות של האויב השתפרו מאז עופרת יצוקה ועד היום, זה בהחלט ייתכן שנראה התקפות כאלו כבר בהיתקלות הבאה".