הסטארט-אפ ניישן משאירה את המערכות הקריטיות חשופות
מדינת ישראל, ה"סטארט-אפ ניישן", נחשבת למעצמת סייבר. יזמים צעירים, חברות ענק וסטארטאפים הפכו מזמן לחלק מהמיתוג הלאומי שלנו. אלא שמתחת להצלחה הזו מסתתרת נקודת תורפה בלתי נראית, ומסוכנת: רשתות התפעול התעשייתיות, ה-OT, שמניעות את הכלכלה הפיסית של המדינה. מדובר במערכות הקריטיות שמייצרות ומספקות חשמל ומים, מניעות תהליכי ייצור במפעלים, מערכי תחבורה ובריאות, ודווקא הן נותרות כמעט ללא כל הגנה רגולטורית מחייבת.
ביוני 2025 אישרה הממשלה, במשאל טלפוני, תקנות חירום זמניות להתמודדות עם מתקפות סייבר. עצם האישור מעיד על מודעות, אך גם חושף את עומק הבעיה: תקנות לשעת חירום אינן תחליף לחוק. רק מקבץ קטן של תשתיות קריטיות מפוקחות ומונחות בהקשרי ההגנה בסייבר ע"פ החוק. בהיעדר חקיקה סדורה ומחייבת, ההגנה על שאר המערכות בישראל הפכה בפועל לוולונטרית. ארגון שמשקיע – מוגן, ומי שלא – חשוף.
החולשה הזו חריפה במיוחד בעולמות ה-OT (operational technologies). מדובר במערכות ישנות, רגישות, שלא תוכננו לעידן של מתקפות סייבר מתוחכמות. מאוד מורכב לבצע להן עדכוני תוכנה או לשדרג את האנטי וירוס בלי לגרום להפסקת הפעילות, וזה במרבית המקרים בלתי אפשרי, ובהכרך יגרום לפגיעה זמנית בשרשרת האספקה. מדובר במערכות שהפעילות שלהן חיונית 24/7 והתחזוקה שלהן תלויה במידה רבה בצד שלישי, ספקים, קבלנים, חברות הנדסה – מה שמכונה שרשרת האספקה. גם אם הארגון משקיע בהגנה בסייבר, הוא חשוף לשרשרת אספקה מורכבת, שמהווה נקודת פריצה אידיאלית למתקפות סייבר ודלת כניסה לארגונים רבים.
ההאקרים כבר הבינו את זה. במקום לנסות לפרוץ לארגון גדול ומוגן, הם פוגעים בספק בינוני או קטן שמשרת עשרות גופים גדולים. כדי להשבית דאטה סנטר של בית חולים או של גופים ממשלתיים, כבר לא צריך לפרוץ לשרתים. מספיק להשתלט על מחשב נייד של טכנאי שמטפל במערכת הקירור, בגנרטור או במערכת ניהול החשמל. זו לא תיאוריה עתידנית, אלא שיטת פעולה מוכרת של האקרים כבר היום. ראינו את זה בשנה האחרונה ברחבי העולם ובישראל הן מהצד של קבוצות cybercrime שדורשות כופר, והן מהצד של קבוצות תקיפה בגיבוי מדינתי (למשל תקיפות שביצעו קבוצות האקרים איראנים נגד ישראל).
ועדיין, רוב המשק הישראלי פועל ללא רגולציה לאומית מחייבת. בישראל היום קיימים שלושה רבדים של הנחיות להגנות סייבר: תשתיות קריטיות מובהקות כמו חשמל ומים, שמוגדרות בחוק ונמצאות תחת הנחיית מערך הסייבר הלאומי; רובד שני של הנחיות סקטוריאליות של יחידות הסייבר במשרדים הממשלתיים; ורובד שלישי, הגדול ביותר, שפועל כמעט ללא הנחיה, על בסיס רצון טוב ושיקולי עלות. עבור מדינה שנמצאת תחת מתקפות סייבר באופן יומיומי, זהו מצב בעייתי בלשון המעטה.
בעולם נושא הרגולציה תופס תאוצה ומתחיל להיווצר פער. באירופה כבר הבינו שהשוק לבדו לא יפתור את הבעיה ואימצו את דירקטיבת NIS2, שמחייבת דיווח על כל אירוע סייבר משמעותי, מטילה סנקציות ומגדירה קשת רחבה של סקטורים חיוניים: ממזון וחקלאות, ועד אלקטרוניקה, פסי ייצור, ומרכזי נתונים. כל מדינה באיחוד האירופאי מחוייבת לתרגם את הדירקטיבה לחוק מקומי. בישראל, מרכזי נתונים אינם מוגדרים כתשתיות חיוניות, ומפעלים רבים אינם נכללים תחת רגולציה ייעודית.
גם בארה"ב, שהייתה במשך שנים מנומנמת בתחום, מתעוררים. הנחיות פדרליות וסקטוריאליות בתחומי האנרגיה, התחבורה והתשתיות נכנסות בהדרגה לתוקף, מתוך הבנה שהיעדר אכיפה הוא סיכון אסטרטגי לאומי. רק לאחרונה כלל גופי הסייבר הלאומיים של ארה"ב, בריטניה, קנדה, גרמניה ומדינות נוספות הוציאו מסמך עקרונות להגנת מערכות OT מתוך הבנת החשיבות הנושא.
ישראל, שנחשבת חלוצה בתחום הגנת הסייבר, נשארת מאחור. הפער בין האיומים של 2025 לבין התקינה של העשור הקודם הולך וגדל. בלי תשתית חוקתית מחייבת, הגדרה עדכנית של תשתיות חיוניות, ובלי התייחסות רצינית לעולם ה-OT, זו לא שאלה של האם תתרחש פגיעה משמעותית ברמה לאומית, אלא שאלה של זמן. בנוסף, שימוש הולך וגובר בכלי Gen AI ע"י התוקפים משכלל את תחכום ההתקפות, את הקלות לניצול חולשות, ואת היכולת שלהם לבצע אותן בצורה כמעט אוטומטית ואוטונומית.
אומת הסטארט-אפ ניישן לא יכולה להרשות לעצמה להישען על מזל, וולונטריות ויוזמה פרטית בלבד, כשבלב הסיכון עומד התפקוד היומיומי של הכלכלה כולה.
מיכאל לנגר הוא סמנכ"ל מוצר בחברת Cyolo
