שִׂים לֵב: בְּאֲתָר זֶה מֻפְעֶלֶת מַעֲרֶכֶת נָגִישׁ בִּקְלִיק הַמְּסַיַּעַת לִנְגִישׁוּת הָאֲתָר. לְחַץ Control-F11 לְהַתְאָמַת הָאֲתָר לְעִוְורִים הַמִּשְׁתַּמְּשִׁים בְּתוֹכְנַת קוֹרֵא־מָסָךְ; לְחַץ Control-F10 לִפְתִיחַת תַּפְרִיט נְגִישׁוּת.
X

ראש מערך הגנת הסייבר: "האיראנים ניסו לשבש מערכת ההתרעות של פיקוד העורף"

"הגנה לא עושים על קו השער", אומר תא"ל נועם שער, "עושים אותה מקדימה" • רגע לפני שהוא פושט מדים, מדבר ראש חטיבת ההגנה בסייבר על מלחמת הצללים שמנהלים אנשיו נגד הניסיונות לשבש את פעולתם של אמצעי לחימה מתוחכמים, לחדור לרשתות תקשורת ולהשיג מידע מסווג

יואב לימור
, עודכן
3
צילום: אריק סולטן // "אנחנו רואים פעילות איראנית קבועה שמכוונת למרחב הישראלי". ראש חטיבת ההגנה בסייבר, תא"ל נועם שער ,
צילום: אריק סולטן // "אנחנו רואים פעילות איראנית קבועה שמכוונת למרחב הישראלי". ראש חטיבת ההגנה בסייבר, תא"ל נועם שער

זה קרה לפני קצת יותר משנה. מערך ההגנה בסייבר של צה"ל איתר ניסיון לתקוף את מחשבי מערך הגילוי וההתרעה של פיקוד העורף. המשמעות של תקיפה כזאת ברורה: מי ששולט במערך הגילוי וההתרעה, שולט במדינה שלמה. הוא יכול להפעיל אזעקות כשיחליט, וגרוע מכך - לשבש איתור של טילים ורקטות המשוגרים אל ישראל ולמנוע הפעלת אזעקות.

עוד באותו ערב כונס דיון חירום אצל ראש חטיבת ההגנה בסייבר, תא"ל נועם שער. החטיבה היתה אז בחיתוליה, וזה היה אחד האירועים המבצעיים הראשונים שלה. לנוכחים בדיון לא היה צריך להסביר את חומרת האירוע. בוודאי כאשר מי שעמדה מאחוריו היא איראן, שביקשה לפגוע באחת הרשתות הפנימיות הקריטיות של צה"ל.

הציבור הישראלי מכיר את איראן מעולמות הגרעין והטרור, ובשנים האחרונות גם מההתכתשות הבלתי פוסקת סביב ניסיונות ההתבססות האיראניים בסוריה. האיום הקיברנטי מוכר פחות. ראש הממשלה הזכיר אותו בשבוע שעבר, כשסיפר שאין יום שבו איראן לא תוקפת את ישראל.

מערך הסייבר האיראני נשלט בידי משמרות המהפכה. אלה מפעילים מספר גדול של חברות, שפועלות עבורם. את חלקן - למשל, קבוצה העונה לשם "צבא הסייבר האיראני" - אפשר לייחס בקלות לטהרן. אבל לא מעטות מהן תמימות למראה ופועלות בשמות שונים ומשונים, כמו "צבא השמש" או "34APT".

על פי דו"ח הקרן הוושינגטונית להגנה על דמוקרטיות, התקציב שהקצתה איראן לפעולות בסייבר ב־2016 עבר את מיליארד הדולרים, לעומת 76 מיליון חמש שנים לפני כן. יש הסבורים כי קפיצת המדרגה נבעה מכך שאיראן נפגעה בעצמה: מבצע "משחקים אולימפיים", המיוחס ליחידה 8200 של צה"ל ולאמריקנים, שיבש במשך חודשים את העשרת האורניום במתקן בנתאנז, לאחר שתולעת בשם "סטאקסנט" הוחדרה בחשאי למחשבים ששלטו בצנטריפוגות ושינתה את פעילותן.

הדו"ח האמריקני, שפורסם בנובמבר וכותרתו היתה "השימוש של איראן במלחמה כלכלית מוכוונת סייבר", מצטט את ראש סוכנות המודיעין הלאומי (DNI) לשעבר, ג'יימס קלפר, שאמר כי "איראן רואה בתוכנית הסייבר שלה את אחד הכלים לפעולה נגד אויביה". בארה"ב מכירים את הפעילות הזאת מקרוב: בשנים האחרונות הותקפו עשרות חברות, בין היתר באמצעות מתקפה מרוכזת על מערכת הבנקאות, שפגעה ישירות ב־46 בנקים אמריקניים (לרבות "בנק אוף אמריקה") וגרמה להם נזק של עשרות מיליוני דולרים. מי שהיתה אחראית לתקיפה הזאת היא קבוצה שכינתה את עצמה עז א־דין אל־קסאם, שלמרות ההכחשות מטהרן, יש ראיות לקשר שלה לשלטונות האיראניים.

מתקפה קשה יותר היתה על חברת הנפט הסעודית "אראמקו", חברת הנפט הגדולה בעולם, כשווירוס מסתורי, "שאמון", מחק את רוב המידע ממחשביה והחליף אותו בדגל ארה"ב שעולה בלהבות. את האחריות למתקפה הזאת קיבלה קבוצת האקרים איראנית בשם "חרב הצדק" (Sword of Justice), שפעלה לדבריה "בתגובה לפשעי הסעודים". ב־2017 הפעילה איראן את "שאמון 2", שפגע במשרדי ממשלה ובחברות ביטחוניות בסעודיה.

על פי הדו"ח, היתה עלייה חדה במספר תקיפות הסייבר האיראניות נגד ישראל במהלך מבצע צוק איתן, בקיץ 2014. בין היתר, איתר השב"כ ניסיונות ליצור עומס מכוון על רשתות התקשורת האזרחיות כדי להביא לקריסתן. חלק מהתקיפות יוחס במישרין לשלטון האיראני, וחלקן לקבוצות האקרים שפועלות מטעמו בשמות מזויפים.

כמה חודשים אחר כך אותר מבצע גלובלי איראני בשם Cleaver, שנועד לבצע חבלות סייבר. מבצע אחר, שאותר בידי חברת הגנת הסייבר הישראלית Clearsky, חשף פעילות ריגול איראנית ברשת, שגנבה מידע שנועד לאפשר פעילות התקפית עתידית.

• • •

כעת חושף צה"ל, לראשונה, כי גם הוא עומד בפני מתקפות סייבר בלתי פוסקות מצד האיראנים. "אנחנו רואים פעילות איראנית קבועה שמכוונת למרחב הישראלי", אומר תא"ל נועם שער בראיון בלעדי. "זאת פעילות שמכוונת בדרך כלל אל האזורים החשופים יותר של צה"ל, ואנחנו פועלים במגוון דרכים ושיטות כדי למנוע פגיעה משמעותית.

"איראן פעילה כבר כמעט עשור בשלושה תחומים: CNE (Computer Network Exploitation) - 

סייבר למטרות ריגול; CNA (computer Network Attacks) - סייבר למטרות תקיפה; ולאחרונה, יותר ויותר גם CNI (Computer network Influence) - סייבר למטרות השפעה, בעיקר באמצעות אתרים מזויפים ופרופילים מזויפים ברשתות החברתיות.

"יש, למשל, אתר בשם 'תל־אביב טיימס' (Tel-Avivtimes.com), שחברת Clearsky משייכת אותו לאיראן. זה אתר שפונה לקהל הישראלי, בעברית, ונועד להשיג השפעה".

לדברי שער, האיראנים פועלים גם מול מדינות אחרות בעולם הערבי, דוגמת סעודיה, וגם מול המערב - בעיקר ארה"ב. איראן אחראית גם לעיקר פעילות הסייבר של חיזבאללה.

איראן פועלת גם באמצעים אחרים. הקבוצות שפועלות מטעמה מקימות פרופילים מזויפים בפייסבוק ובטוויטר ואוספות באמצעותם מידע. לא פעם היעד הוא אנשי צבא, בעיקר חיילים: הנושא הזה נחשף לפני כשנתיים במבצע מיוחד של מחלקת ביטחון מידע בצבא, שנועד לסכל פעילות של חמאס ברשת. סביר להניח שאיראן פועלת באותן השיטות.

דרך אחרת היא של פעילות ממוקדת נגד יעדים מרכזיים. "הם מטרגטים בכירים בצבא או בחברות גדולות. מכינים רשימות של אנשים שהכתובות שלהם גלויות ושולחים אליהם אימייל תמים לכאורה, תוך שימוש בטכניקות של 'הנדסה חברתית' (Social Engineering) - וכך משתלטים על המחשב או על הסלולרי שלהם. המטרה היא ריגול".

בחזרה לאירוע התקיפה של מערכות ההתרעה הישראליות. לדיון הלילי שכינס תא"ל שער הגיעו כל הגורמים המקצועיים - בהגנה, במודיעין, ביחידת הממונה על הביטחון במערכת הביטחון (מלמ"ב) ובפיקוד העורף. הגילוי לא היה מקרי: הוא נבע ממעקב אחר הקבוצות האיראניות הפעילות בתחום הסייבר וניתוח הפעילות שלהן. כך התגלה שקבוצה מסוימת פעילה בישראל: התברר שהיא נוכחת בכמה מערכות.

"הדבר הראשון שהיינו חייבים לוודא הוא שמערך הגילוי וההתרעה לא נמצא בסכנה מיידית", אומר שער. "הגענו למסקנה שלא. כלומר, היתה סכנה, אבל לא מיידית. מכאן התחלנו לפעול לא רק כדי לחסום אותם, אלא גם כדי להבין איפה הם היו ואם הצליחו לגרום נזק.

"הבירור הזה הוא קריטי. אתה יכול לזהות כלי תקיפה ולהרוג אותו, ואפילו להרגיש הכי טוב בעולם על זה שנטרלת את הסכנה, אבל לא להבין איזה נזק נגרם לך. כי אם הכלי הזה כבר אסף מידע וחזר הביתה או עשה לך חורים ברשת - אתה עלול להיות בבעיה".

בשלב הבא נסגרו הפרצות, וההגנה על מערכי הגילוי וההתרעה עובתה מייד. "אתה לא יכול לחכות שמחבלים ייצאו מהמנהרה. אתה חייב לסכל את זה מייד, לפני שייגרם נזק".

ואיך אתם יודעים שאלה איראנים?

"לפי הטכניקות, הטקטיקות והפרוטוקולים שהם משתמשים בהם. אני לא צריך הוכחה משפטית. ברור לי שזה הם".

אגב, במהלך הפעילות הזאת אותר מערך נוסף, של גורמי פשיעה, שניסו לעשות כסף מפשעי סייבר. המידע הועבר למשטרה, שחסמה את הפרצה.

• • •

נועם שער (45) עשה את רוב שירותו במודיעין, בעיקר ב־8200. אחרי שפיקד על אחד המרכזים ביחידה, הוא מונה לראש חטיבת ההגנה בסייבר (או בשמה הרשמי המעוברת בצה"ל: ההגנה בסב"ר - סביבה רשתית). בתחילת החודש שעבר פרש מצה"ל - מן הסתם, לקריירה בתחום ההייטק.

הוא נשוי לליהיא, מהנדסת תעשייה וניהול, אב לשלושה וחובב אקסטרים. ברקורד שלו שמונה ריצות מרתון, שלוש תחרויות חצי איש ברזל, וגם תחרות אחת של איש הברזל.

כמו רוב אנשי המודיעין, הוא סגור מאוד. שוקל כל מילה. לא פעם אומר במבוכה "על זה אני לא יכול לדבר". להגנה הוא הגיע דווקא בגלל הניסיון שצבר כתוקף ב־8200, שהתמחה בצד "האדום", האויב. מי שמכיר את החולשות של הצד השני, שעסק כל חייו בעקיפת מחסומים ובפתרון בעיות, יודע מה צריך לעשות כדי להתגונן מפני סכנות.


בצבאות רבים בעולם כבר הוגדר הסייבר כממד הרביעי - נוסף על היבשה, הים והאוויר. חייל במערך ההגנה בסייבר // צילום: דובר צה"ל

ועדיין, הוא הראשון להודות שאין 100 אחוזי הגנה, וכנראה לא יהיו לעולם. אנשים מתכננים מערכות, ולאנשים יש חולשות. ולכן גם למערכות שהם מתכננים יהיו חולשות. התפקיד שלו ושל אנשיו הוא לאתר את הבאגים האלה במחשבים, לנצל אותם למשימות התקיפה ולמנוע מהאויב להשתמש בהם נגדנו.

זה עולם מאתגר, רווי איומים, שרובם בלתי נראים. בשונה ממטוסים, מטנקים ומטילים, ואפילו ממנהרות, בסייבר אין לכאורה שום דבר פיזי. האויב בלתי נראה, ולעיתים גם בלתי מוגדר. הוא יכול להיות מדינה (גם ידידותית), שרוצה לאסוף מידע או להכין מבצע ליום פקודה; הוא יכול להיות עבריין שרוצה כופר; והוא יכול להיות סתם גיק מחשבים, שפורץ למערכות לשם השעשוע.

התפקיד של החטיבה שלו הוא לחסום את כל אלה. "הגנה לא עושים על קו השער", הוא אומר, "עושים אותה מקדימה". על פי פרסומים מקצועיים, חלק מההגנה נעשה עמוק בעורף האויב: מדובר בעיקר בחיפוש סימנים מעידים, בהטמנת מלכודות ובמעקב אחר גורמים שמסומנים מראש כמועדים.

"אנחנו משתפים פעולה עם 8200 בחלק מהדברים, ועם אגף הסייבר של השב"כ בדברים אחרים. מערך הגילוי וההתרעה שבנינו מנסה להסתכל רחוק ועמוק, ולאתר את התקיפה לפני שהיא מגיעה, או בזמן שהיא מתרחשת. בזכות המערך הזה איתרנו לא מעט תקיפות, איראניות ואחרות. בעיקרון, הסיפור שלנו הוא לזהות את נקודות התורפה של המערך התוקף ולראות היכן אפשר לשבש אותו בדרך". 

בשנת 2018 טיפלה חטיבת ההגנה בסייבר ב־130 תקיפות על צה"ל, בממוצע אחת לשלושה ימים. מדובר בעלייה משמעותית לעומת שנים קודמות, וההערכה היא שהמספרים יאמירו בשנים הקרובות. יש לזה כמה סיבות: השקעת משאבים (כספים, חינוך וכוח אדם) במדינות כמו איראן, רוסיה וסין; הקלות שבה אפשר לרכוש על המדף טכנולוגיות תקיפה וריגול מתקדמות מחברות אזרחיות; ומצד שני - ההישענות הגוברת של צה"ל על טכנולוגיה.

אין היום מערכת בצה"ל שאין בה רכיבים טכנולוגיים. ממטוסי קרב ועד טילים, ממערכות שליטה ובקרה ועד חדרי מלחמה. הכל מרושת, מקושר, ממוחשב. זה נותן יתרון אדיר בצד ההתקפי, אבל גם מייצר נקודת תורפה משמעותית בצד ההגנתי. בעולם שבו כל הצדדים עוסקים כבר שנים רבות בחסימות GPS כדי לשבש יכולות, אפשר רק להניח מה יקרה אם מישהו יצליח לחדור למערכות המחשב של חיל האוויר, המודיעין או צבא היבשה.

• • •

בארה"ב כבר הגדירו את תחום הסייבר כאיום מספר אחת על המדינה ועל האינטרסים שלה. בישראל הרשימה עדיין נראית אחרת (איראן, סוריה, לבנון, עזה), אבל סביר להניח שהיא תשתנה בשנים הקרובות. הסייבר יתפוס בה מקום יותר ויותר מרכזי.

גם בסייבר, האיום העיקרי בשנים האחרונות מגיע מאיראן. "היכולות שלהם בינוניות, אבל משתפרות בהתמדה. בניגוד להסתכלות המערבית, שעל פיה אתה עושה מבצעי סייבר תוך הקפדה על מינימום חשיפה, האיראנים לא חוששים להיתפס. גם אם נתפסו - הם ממשיכים הלאה.

"גורמי הביטחון והמודיעין באיראן הם שקובעים לקבוצות התקיפה השונות את תוכניות העבודה. הכל מתוכנן, מסודר, מתוקצב. בכל קבוצה כזאת עובדים בין בודדים לעשרות. לעיתים יש קשרים בין הקבוצות, מה שעלול להקשות עלינו לשייך מי עושה מה".

מה הכי חשוב להם - להשיג מידע או לשבש פעילות אצלנו?

"גם וגם. אנחנו רואים מאמצים אקטיביים שלהם לשבש לנו פעילות".

ראיתם ניסיונות לשבש אמצעי לחימה צה"ליים?

"כן".

הקושי של חטיבת ההגנה מתעצם בעולם שבו אמצעי הלחימה הגדולים של ישראל נבנים במדינות אחרות. המטוסים נבנים בארה"ב, כלי השיט בגרמניה. במהלך הבנייה, מישהו יכול להתקין או להטמין משהו שיאסוף מידע או ישבש. לא צריך דמיון מפותח כדי להבין מה אפשר, למשל, לעשות לצוללת בעומק הים.

"אנחנו עושים 'מבצעי זיכוי', כדי לוודא שהכלים שלנו בטוחים", אומר שער. "לוקחים את הכלים וחוקרים אותם לעומק, לוודא שאין בהם דברים שלא אמורים להיות. על זה שמים שכבה עבה של ניטור מתמיד, וגם מקשיחים את המערכות הדיגיטליות".

היו ניסיונות לחדור למערכות מבצעיות דרך מחשבים?

"כן, אם כי בכלים ובשיטות שהאיראנים משתמשים בהם היום, אין להם דרך לעשות את זה ביעילות".

• • •

בדיוק לפני שנה, בינואר 2018, זיהה ה־SOC (Security Operation Center) של פיקוד המרכז ניסיונות התחברות למערך התצפיות שפרוס ברחבי הפיקוד - מצפון השומרון ועד דרום יהודה. מדובר במערך מבצעי קריטי, המאפשר למנוע פיגועים, ובוודאי לאתר בדיעבד כל פעילות. השתלטות עליו מעניקה לתוקף לא רק מידע זמין על גזרה רחבה, אלא גם מסכלת אמצעי הגנה חיוני של צה"ל.

כמו באירוע בפיקוד העורף, גם במקרה הזה כונס דיון חירום והופעלו כוחות ההגנה המטכ"ליים של חטיבת ההגנה. מחקר של מערך הגילוי העלה שמדובר בניסיון תקיפה אקטיבי של תשתית צבאית, שפעלה במרחב אזרחי. הניסיון נחסם וסוכל לפני שהתוקף הצליח לחדור לרשתות המבצעיות.

שער מגלה כי מניתוח השיטות וטכניקת הפעולה התברר שמי שעמד מאחורי התקיפה הוא חמאס. "גילוי התקיפה התבסס על שיטות פעולה שלימדנו את האנשים שלנו. הצוות הספציפי שגילה אותה התאמן בסימולטור של הסייבר, שבו תורגלו תרחישים דומים לזה שבו הם נתקלו במציאות".

גם כאן, הציד היה אקטיבי. היה ברור שמדובר במערכות המשתמשות באינטרנט האזרחי כדי לאסוף מידע ולתקוף את ישראל. "יש כאן פוטנציאל משמעותי של נזק. אין גבול למה שהוא יכול לעשות".

מבחינת חטיבת ההגנה, זאת היתה עדות נוספת לאיום ולמענה. שער מדבר על שתי רגליים: רגל אחת עושה את הגילוי ומסכלת את מאמצי התקיפה רחוק ככל הניתן מהיעד הנתקף; הרגל האחרת אמורה ליצור מרחב דיגיטלי חסין עבור המערכת, כדי שלא יצליחו לחדור אותה. "אם נזניח את אחת משתי הרגליים, נישאר במקום".

כדי לייצר מרחב חסין, צריך לדעת איך התוקף נראה ומה הוא מסוגל לעשות. לחיות אותו. בד בבד, צריך להכיר לעומק את מושא ההגנה, את החוזקות והתורפות של המערכת. "זאת הגנה על תא שטח מפני אויב או יריב, בדיוק כמו באוגדה מרחבית".

רק שלאוגדה יש תחומי גִזרה, ובסייבר אין.

"נכון. וזה בדיוק האתגר".

הרמטכ"ל, למשל, מוגן פיזית, אבל עלול להיות חשוף כשהוא מדבר בסלולרי או גולש במחשב בבית. גם רעייתו או ילדיו עשויים להיות מטרה. "זה מרחב חדש, מופשט, שהוא בכל מקום, כל הזמן".

• • •

בצבאות רבים בעולם כבר הוגדר הסייבר כממד הרביעי - נוסף על היבשה, הים והאוויר. בצה"ל היתה דומיננטיות מוחלטת לאגף המודיעין, בגלל מרכזיותו של הסייבר באיסוף ובתקיפה והקשר הישיר שלו לעולם המודיעיני. זאת גם הסיבה שבאמ"ן עמדו על הרגליים האחוריות למנוע הקמת זרוע נפרדת לסייבר.

בשנת 2011 החליט הרמטכ"ל דאז, רב־אלוף גבי אשכנזי, על הקמת שני גופים המופקדים על המרחב הקיברנטי: האחד ביחידה 8200 של אגף המודיעין, שיהיה אחראי להתקפה ולאיסוף; והשני - מחלקה באגף התקשוב, שתהיה אחראית להגנה על המרחב.

ב־2015, כחלק מהתוכנית הרב־שנתית "גדעון", החליט הרמטכ"ל, רב־אלוף גדי איזנקוט, על הקמת זרוע סייבר. בשלב הראשון הוקמה חטיבת ההגנה בסייבר, המבוססת על מחלקת ההגנה, ובראשה הועמד קצין בדרגת תא"ל. תחת חטיבת ההגנה פועלות שתי מחלקות - מחלקת מבצעים להגנה ומחלקת מודיעין להגנה, כל אחת מהן בראשות קצין בדרגת אלוף משנה.

"אני רואה אותנו ואת 8200 כשני חלקים שמרכיבים שלם", אומר שער. "אנחנו שותפים בכל דבר - מהמידע ועד למסלולי גיוס וקבע, ואנשים שעוברים מכאן לשם".

אבל לא הגיוני שהכל יישב במקום אחד, שיראה את התמונה בשלמותה?

"יש המון יתרונות במצב הנוכחי. 8200 קריטית לתפקוד של אמ"ן, ואנחנו קריטיים ליצירת מרחב דיגיטלי ברמה המטכ"לית. כרגע פתרנו את זה בדרך של עבודה משותפת. ועדיין, אני מעריך שבעוד עשר שנים זה ייראה אחרת".

חטיבת ההגנה אחראית לכל צה"ל, מלמעלה ועד למטה. שער מחלק את האחריות שלה לשלוש קטגוריות עיקריות: הגנה על רשתות המחשבים של הצבא וכל התהליכים שמתקיימים עליהן - איסוף מודיעין, ייצור מטרות, פיקוד ושליטה, וכמובן, תכתובות ומידע; הגנה על תשתיות מבוססות רשת - כמו מזגנים, מעליות, חשמל - שאת כולן ניתן לתקוף; ואמצעי הלחימה עצמם.

"היום הכל מבוסס סייבר. בכל טיל יש רשת מחשבים. כל מערכת מתנהגת אחרת. צריך להכיר אותה ולתפור לה תוכנית פעולה". אנשי חטיבת ההגנה מנחים את היחידות השונות כיצד לנהוג, ובודקים־תוקפים אותן ואת האמל"ח עצמו כדי לוודא שהם חסינים.


"בכל טיל יש רשת מחשבים". תא"ל שער ואנשי חטיבת ההגנה בסייבר // צילום: אריק סולטן

האויב מתקדם במהירות. מה שלקח שנים רבות בעולם הישן, לוקח חודשים ספורים בסייבר. צה"ל חייב להיות לפחות צעד אחד לפניו. בסימולטור הייחודי, שמופעל זה פחות משנה, כבר התאמנו יותר מ־1,600 חיילים וקצינים; נעשו תרגילי תקיפה על יחידות ועל מערכות, כדי לאתר פרצות ולסתום אותן. נערכים גם תרגילים משותפים עם צבא ארה"ב, לרבות החלפת מידע.

תקיפה יזומה כזאת נעשתה על מערך התצפיות של צה"ל. "הכנסנו לזה גם את המפקדים בשטח. עיוורנו להם את המערכת, והם היו צריכים לתת לזה פתרונות. מובן שהכל היה מתואם, עם נצרת בטיחות, כדי שנוכל להחזיר את המצב אחורה בתוך שניות מבלי שייגרם נזק, ועם בקרי בטיחות, כמו שעושים בכל תרגיל. וזאת רק דוגמה".

הצלחתם לשבש מערכות לחימה?

"אנחנו לא תוקפים מערכות לחימה בלי בקרה צמודה. בשונה ממערכות תקשורת, שבהן ההתאוששות היא טבעית ומהירה יותר, במערכות לחימה צריך להיות זהירים מאוד, במיוחד באלה שמפעילות ירי".

בסופו של דבר, המערכות האלה משתמשות בתקשורת שאפשר לשבש.

"אגיד רק שבדקנו את החסינות של המערכות".

וכמה הצבא מוגן?

"אני גדלתי בצבא במקום שבו המנטליות היא שאין יעד שאי אפשר להיכנס אליו, השאלה היא רק כמה זמן מקציבים, כמה משאבים, אילו טכניקות פעולה. לכן, גם כמגן אני מאמץ את אותה התפיסה ואומר לעצמי שנקודת המוצא שלנו חייבת להיות שאין דבר שאי אפשר לחדור אליו".

קו המגע ייפרץ תמיד?

"חזקה עליו שייפרץ, כן. חייבים לחשוב כך. ולכן את האזורים החשובים יותר שלנו חייבים לשמור טוב יותר ולהתאמן עליהם יותר. וללמוד, ולשפר, ולשנות. כל הזמן".

מערכות ההגנה עצמן אינן אוטומטיות. יש אדם במערכת. "קח מצב קיצון של ניסיון לשבש מערכות תוך כדי לחימה. יכול להיות שגם למרות הפגיעה נרצה להפעיל את אותה מערכת, כי נגיע למסקנה שהיא קריטית לתפקוד הצבא, ולא נרצה שמחשב ינעל אותה אוטומטית. לכן חייב להיות דרג כלשהו, אפילו תפעולי, שיידע לקבל החלטות, לטפל בנזקים ולמזער אותם בזמן אמת".

ועדיין, הנחת היסוד צריכה להיות שלא כל איום אותר או נחסם. שתקיפות מבוצעות כל העת, לעיתים בהצלחה, ונזקים נגרמו, או שכבר הונחה תשתית לגרימתם ביום פקודה. "הבלתי נודע מטריד מאוד בעולמות האלה. המחשבה היא על פעולות שנעשו והתקפלו, שיהיה לנו קשה לדעת עליהן, ומכאן לך תדע מה מחזיקים עלינו השחקנים שפועלים מולנו".

שער אומר שהמודעות בצבא לאיומי הסייבר גדלה משמעותית בשנים האחרונות, "ועדיין, יש עוד דרך לעשות. למשל, בתיעדוף של תוכנות הגנה בתוך פרויקטים של אמצעי לחימה. מה שהצבא קונה או מייצר היום יישאר איתנו במשך שנים, ולכן חשוב מאוד להקפיד על ההגנה עליו. אנחנו עכשיו בתהליך שאמור להבטיח שניקח חלק בכל הצטיידות במערכת חדשה".

• • •

כוח האדם בסייבר הוא הסיפור. להגנה, כמו להתקפה, מגיעים הטובים ביותר. פעם החלום של הצעירים היה קורס טיס או שירות בצנחנים, היום הוא 8200. כולם לומדים סייבר בתיכון, וכולם חולמים על אקזיט. שירות ביחידות הסייבר בצבא משפר דרמטית את הסיכויים לאקזיט, או לפחות לג'וב מרופד היטב בחברת הייטק.

רק מעטים מגיעים. הטובים ביותר. יחידות הסייבר יכולות לבחור גם בעלי פרופיל קרבי; הצורך בטובים ביותר הוא כל כך גדול, כל כך ייחודי, שהוא גובר על כל צורך אחר. זאת גם התשובה שהמפקדים הבכירים נותנים להורים, שצובאים עליהם בתחינות שילדיהם ישובצו במערך הנחשק - התקפי או הגנתי.

אתגר משמעותי הוא להשאיר את הטובים בקבע. לשמר את הידע והניסיון שנצברו במערכת. שער אומר כי בשנת 2018 הצליחה החטיבה להשאיר 70 אחוז מהטובים - אלה שסימנה כמספרי 1.

"חשוב מאוד להשאיר את טובי האנשים, גם אם מדובר בחתימה לטווח קצר של שנתיים־שלוש, ולבנות שדרת פיקוד שנשארת לטווח הזמן הארוך. משרתי הקבע בחטיבת ההגנה הם קבוצת איכות יוצאת דופן, ושכבת הפיקוד בחטיבה מצוינת. מדובר בגדולי המוחות של ישראל, בעלי כישורים ויכולות שמבוקשים מאוד באזרחות. צה"ל לא מתחרה בתנאים באזרחות, אבל אני מאמין שהאנשים הטובים בוחרים להמשיך בשירות, בגלל המשמעות. 

"מדובר באתגר מבצעי ומקצועי ראשון במעלה, לצד תחושת שליחות ותכלית".

אחת הטענות המופנות דרך קבע לאנשי הסייבר - ההתקפי וההגנתי - היא שהמידע שנצבר בראשם במהלך השירות משמש אותם אחרי השחרור לחברות טכנולוגיה, שלעיתים מוכרות את הידע בעולם, ובכך מצמצמות את היתרון האיכותי של ישראל על יריבותיה.

שער אומר שאינו מכיר מקרים שבהם נלקח הקניין הרוחני (IP, Intellectual Property) כמו שהוא. "מי שמשרת ביחידות האלה זהיר מאוד ומודע לסכנה, ולכן לא מוציא דברים שעלולים לסכן את הפעילות שלנו", הוא אומר. 

"ממילא, ההגנה בין צה"ל לאזרחות שונה. אנחנו מתכוננים ליום פקודה שבו נימצא במצב קיצון, מצב מלחמה, והגופים האזרחיים מנהלים סיכונים מסוג אחר. וחוץ מזה, ב־2019 אורך החיים של טכנולוגיה הוא קצר מאוד". 

בינתיים, בחמ"ל של חטיבת ההגנה עובדים 24/7 כדי לתת מענה לאיומים ולמתקפות. במלחמה יעבדו כאן במוד חירום, עם שליטה לא רק על עולם הסייבר, אלא גם על התפעול של כלל המערכות בזמן אמת, במטרה ליצור חסינות למערכות ולאפשר לצה"ל חופש פעולה מבצעי.

מה אתם מעריכים שיקרה במלחמה הבאה?

"הנחת העבודה היא שיהיו לא מעט הפתעות. אין לי ספק שינסו לשבש את פעילות צה"ל, וזו הסיבה שאנחנו מתכוננים ומתאמנים לתרחישי קיצון. בתרחיש המחמיר, נראה ניסיונות לאתגר את מערכות האמל"ח שלנו, כמו מערך ההגנה האווירית. אנחנו מבינים את זה ומתכוננים לזה, מחסנים את המערכות המרכזיות בפני תקיפה, בונים פתרונות לאיתור כל ניסיון חדירה, ומאמנים את כוחותינו בהתאם. צריך להבין שהמערכה השתנתה, האויב השתנה ושדה הלחימה השתנה, ומרחב הסייבר הוא אחד המרחבים שבו אנחנו רוצים להשיג עליונות על אויבינו.

"אנחנו מביאים בחשבון מה יקרה בעוד 10 או 20 שנה, כי העולם ישתנה וייכנס לעידן הפוסט־קוונטי, שבו תהיה קפיצת מדרגה בכמה סדרי גודל ביכולת החישוב. זה ייצר יותר איומים, כי כוח החישוב שיהיה אפשר להפעיל יהיה גדול משמעותית מזה שקיים היום".

ראש השב"כ כבר הזהיר מפני ניסיונות התערבות של גורמים זרים בבחירות. צריך לדאוג?

"האחריות על תקינות תהליך הבחירות היא של מטה הסייבר הלאומי והשב"כ. צה"ל מסייע ככל שנדרש, במסגרת שיתוף הפעולה והשיח היומיומי בין גופי ההגנה בסייבר. מהניסיון שלי, לאור ההכנות שנעשו, יהיה קשה מאוד להשפיע ישירות על הבחירות. זה מסתכם באפשרות לפגיעה נקודתית עם אפקט מוגבל והשפעה שהיא בעיקר פסיכולוגית".

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו
סייברצבאצה"ל

כדאי להכיר