3X3 - התשתיות, המאגר והעובדים: מה עומד בפני הסייבר הישראלי

תחום הסייבר נהפך לתחום אסטרטגי בישראל, ומאז 2010 הממשלה לא מפסיקה להשקיע בפיתוח התשתיות שיסייעו להפוך את ישראל למעצמת סייבר – ובכללן הקמת מטה סייבר לאומי שפועל כ"מועצת-על" של התחום, וייסוד רשות סייבר לאומית שאחראית ליישום המדיניות. הצעדים האלה עובדים לאיטם, וכיום היקף התרומה של תחום הסייבר לייצוא נאמד ב-6 מיליארד דולר בשנה. למרות ההשקעה בתחום ופריחה של מספר החברות הפועלות בו, כ-350, הוא עדיין מציב אתגרים לא מבוטלים. בשבוע שעבר חגג הענף את שבוע הסייבר – שהיה רווי מפגשים, דיונים והזדמנויות. לצד החגיגות ביקש "מגזין כלכליסט - Digital" משלושה בכירים בענף הסייבר לסמן את האתגרים שבו, ולהציע דרכים להתמודד איתם.

ליאור פרנקל, מנכ"ל ומייסד ווטרפול סייבר

התשתיות התעשייתיות: לגלות את נקודות התורפה

"מדינת ישראל הגדירה לאחרונה כי פגיעה בתשתית קריטית היא פגיעה בתשתית שההשבתה שלה עשויה לגרום לנזק גדול מאוד למשק ולמדינה. הרבה מאוד תשתיות, כגון מערכות בתי החולים, מערכות רמזורים ואפילו מערכות המחשוב של הבחירות, אינן חלק מהגדרת 'תשתית קריטית'. גם התשתיות של תעשיות המזון אינן מוגדרות כאלה. התוצאה היא שתשתיות אלו לא נכנסות למטריית ההגנה של רשות הסייבר. ההבחנה לא ברורה. אם מחר יש מלחמה ומשביתים לך מפעל של אסם או בית חולים – האם זה לא משהו שעלול להעמיד את המדינה בסכנה?

"לגבי גופים שלא נכנסים להגדרת תשתית חיונית, כל רגולטור המפקח על תחום מסוים אחראי להגדיר את המדיניות הנדרשת בתחום. המפקחים על הבנקים ועל שוק ההון כבר הגדירו את המדיניות לארגונים שעליהם הם ממונים; אך משרד הבריאות או משרד הפנים טרם הגדירו אותה לבתי חולים, קופות חולים או רשויות מקומיות.

פרנקל. דרושות תקיפות יזומות צילום: ליאור פרנקל

"הבעיה השנייה בהגנה על תשתיות היא התאמת הכלים לצורכי התחום: ישנה קונספציה מוטעית בשיטה שבה מגינים על מערכות של גופי תשתיות מפני תקיפות סייבר. אחד הדברים שתופסים חלק גדול מדי בתשומת הלב הוא זיהוי התקיפה וההגנה על הנתונים. בבנקים, או בחברות טכנולוגיה – זה אכן חלק עיקרי: הם רוצים לדעת אילו נתונים דלפו כדי לדעת להתמודד עם הבעיה. הנזק הוא השימוש של התוקפים במידע שדלף. אבל בעולם התשתיות הפיזיות - מפעלי תעשייה, מערכות רמזורים או תחנות כוח - ברגע שהנזק נעשה גילוי התקיפה כבר לא מעניין (מה גם שהגילוי בממוצע קורה לאחר כמה שבועות). ההשבתה של התשתיות היא הנזק עצמו.

"הקונספציה הזאת צריכה להיעלם מעולם ההגנה על התשתיות. צריך לשנות פרדיגמה ולהגדיר את היעדים – הגנה על הקיים, ורק לאחר מכן לעבור לגילוי חדירות.

"לשם כך יש צורך ברגולציה רצינית יותר. המדינה צריכה להקים גוף שיהיה מסוגל לתקוף את התשתיות הקיימות, ולהראות היכן נמצאות נקודות התורפה של המפעלים. הגוף יספק להם אישור תקינות. בארצות הברית יש לרשויות כמו ה-FBI וה-DHS יכולות כאלה, והן יודעות לבדוק ולחדור למפעלים ולהראות להם היכן נמצאות בעיות האבטחה שלהם".

פרויקט המאגר הביומטרי הוא אחד הפרויקטים היותר שנויים במחלוקת בשנים האחרונות בישראל. אף ששימוש בתיעוד ביומטרי כבר הפך נפוץ בעולם, הביקורת על אופן ההטמעה שלו בישראל הופכת אותו לאתגר הסייבר הבא של המדינה.

"המאגר הביומטרי כפי שהוא מיושם כיום הוא איוולת", אומר מימרן. "ריכוז הנתונים הביומטריים במאגר מתבצע ללא שקיפות: לא ברור מהם הנתונים, ולא ברור כיצד מאבטחים אותם. אבל עמימות היא לא קונספט שעובד בטכנולוגיה, ובעיקר הוא לא עובד בסייבר: אם יש הגנה חזקה, אתה לא צריך להסתיר אותה, אלא להפך. העמימות במקרה הזה לא מייצרת אמון במערכת". עוד בעיות במאגר הביומטרי מזהה מימרן בשימוש בטביעות אצבע לאימות, כיוון שקל להאקרים לזייף אותן, ובמבנה הכוכב של המאגר: מרכז אחד המתממשק לנקודות קצה.

מימרן. ללמוד מהביטקוין

"בעולם הסייבר ההגנה שלך חזקה כמו החוליה החלשה ביותר ברשת שלך. זאת אומרת שאם המאגר מתחבר למשרדי ממשלה או רשויות שונות (כדי לספק זיהוי חד-ערכי לרשויות שמבקשות אישור זיהוי), הוא מאובטח ברמה שהם מאובטחים. אם יהיה חיבור למשרד ממשלתי עם ציוד מיושן ורמת אבטחת מידע לא נאותה, תיווצר נקודת כניסה פוטנציאלית לכל תוקף שיהיה מספיק מתוחכם כדי לנצל את הפרצה הזאת, והאקרים הם אנשים מתוחכמים.

"הפתרון לכך היה צריך להתחיל בבניית מאגר שמתבסס על טכנולוגיה כמו הבלוקצ'יין. זו הטכנולוגיה שעומדת מאחורי הביטקוין למשל. בשביל לפרוץ מאגר מבוסס בלוקצ'יין אתה צריך גישה לפחות ל-50% מכל המידע, שמוחזק באופן מבוזר ולא במאגר מרכזי אחד. לו הייתה הממשלה באמת משתמשת בטכנולוגיה כזו, היא לא הייתה מהססת להצהיר על כך בראש חוצות".

תחנת פיילוט של המאגר הביומטרי. קל להאקרים לזייף טביעות אצבע צילום: עמית שעל

כח אדם: דרושים מיליון עובדים

"אחד האתגרים הגדולים בסדר היום של התחום הוא המחסור החמור בכוח אדם שמתמקצע בסייבר: הרשות לחדשנות סיכמה לאחרונה את המחסור הצפוי במהנדסי תוכנה בכעשרת אלפים בעשור הקרוב. אך לא רק בתחום הפיתוח אנו רואים מחסור משמעותי, אלא גם בתחום התפעול השוטף. בעולם מעריכים את המחסור בכמיליון אנשי סייבר עד שנת 2020.

"בשונה מתחום הפיתוח והתוכנה, אנשי סייבר נדרשים לעבודה סיזיפית ומדויקת, עם ירידה לפרטים ושימוש ביכולת אנליטית גבוהה. נוסף על כך, עליהם לא רק להכיר את תחום עבודתם, אלא גם את תחומי הארגון שבו הם פועלים או נותנים לו שירות, ולכן הם צריכים להיות בעלי מחשבה בין-תחומית. הם נדרשים ללימוד בלתי פוסק - כי הפושעים אינם נחים לעולם - וליכולת עבודה תחת לחץ.

כהן. הכשרה כבר בבתי הספר

"פתרון אחד למצב הוא 'מיקור' של חלק מהעבודות בתחום לאינטליגנציה מלאכותית: כדי להתמודד עם הדרישה הגדלה לאנשי סייבר, עלינו לחשוב מחוץ לקופסה ולעבור לתפיסת הגנת מידע שונה. בשנה האחרונה אנו רואים כניסה משמעותית של אינטליגנציה מלאכותית לתחום אבטחת המידע, אשר מאפשרת ניטור כמויות מידע אדירות, ועשויה לענות על חלק מהצרכים.

"פתרון נוסף הוא עיבוי ההכשרה של אנשי הסייבר: אין מנוס מבניית תוכנית אסטרטגית ברמה הלאומית להגדלת מערך לימודי המחשבים והסייבר עוד בבית הספר, וכן יצירת תוכניות הסבה שונות לאנשי IT ותקשורת”.