X

התקיפה האיראנית שהציבור לא שמע עליה

חטיבת ההגנה בסייבר זיהתה ניסיון לפגוע בחוליה המחברת בין צה"ל לבין שירותיו האזרחיים, ולאחר מכן החלה במעקב, מארבים, סיכול והגברת ההתגוננות

יואב לימור
, עודכן
0
"כל מי שיש לו מחשב וכבל הוא איום מבחינתנו". אנשי חטיבת ההגנה // צילום: יהושע יוסף // "כל מי שיש לו מחשב וכבל הוא איום מבחינתנו". אנשי חטיבת ההגנה

לפני כמה חודשים זיהה מערך ההגנה של צה"ל ניסיונות תקיפה בסייבר על "שרשרת האספקה". זהות התוקף היתה ברורה: איראן. הממשק שהותקף הוא חוליה רגישה ביותר, החיונית בשגרה וקריטית בחירום. שרשרת האספקה (supply chain) מחברת בין צה"ל לבין השירותים האזרחיים שהוא מקבל כמו דלק, מזון ועוד ופגיעה בה עלולה לפגוע לא רק בתפקוד השוטף שלו; תוקף יעיל גם יוכל לאסוף באמצעותה מידע רב־ערך על חברות, מתקנים ודרכי פעולה, שהם קריטיים להתנהלות המשק כולו.

מי שחשפה את התקיפה היתה חטיבת ההגנה בסב"ר (סביבה רשתית), שפועלת באגף התקשוב בצה"ל. זה התבצע במסגרת מעקב צמוד אחר נסיונות תקיפה במרחב הסייבר הישראלי. מרגע שנחשפה התקיפה, נכנסה חטיבת ההגנה לדריכות שיא: צוותי התערבות מטכ"ליים שמתמחים בהגנה בסייבר והוכשרו באופן ייעודי הוקפצו כדי לטפל בנושא.

במשך כמה ימים ביצעו הצוותים מבצע חשאי, שנועד לחשוף באופן מלא את התוקפים ולסכל את התקיפה. לאחר שנוטרל האיום המיידי על תפקודו השוטף של צה"ל, הוגבהו חומות ההגנה על המערכים שהותקפו, כדי להקשות פגיעה עתידית בהם. הפעילות הזאת אפשרה לחשוף - כמה חודשים מאוחר יותר - ניסיונות תקיפה של האיראנים, שביקשו לחדור לשרשרת האספקה הצה"לית - ונבלמו.

התקיפה הזאת, שנחשפת כאן לראשונה, היא רק חלק קטן ממלחמת הסייבר החשאית שמתנהלת בין ישראל לאיראן. מדובר ברכיב אחד ממערכה רחבה יותר, שחלקה המוכר מתנהל תחת המב"מ (מערכה בין מלחמות) כנגד מאמצי ההתבססות של איראן בסוריה והעברות האמל"ח לחיזבאללה בלבנון - שמרכזיותו של הסייבר בה גדלה במהירות, בהתקפה וגם בהגנה.

חטיבת ההגנה הוקמה לפני כארבע שנים, בסיומה של עבודת מטה ארוכה שבחנה אפשרות (שנדחתה בינתיים) להקים אגף סייבר בצה"ל שירכז גם את ההתקפה וגם את ההגנה. בסופו של דבר הוחלט להשאיר את החלק ההתקפי ביחידה 8200 שכפופה לאגף המודיעין, ואת החלק ההגנתי באגף התקשוב.

החטיבה ממוקמת בבניין משרדים אזרחי בלב תל אביב. הכניסה אליה מוצנעת ונטולת שילוט. ממילא, למעט הקצונה הבכירה, השירות בה הוא בבגדים אזרחיים, כדי שלא למשוך תשומת לב. מכיוון שמדובר ביחידה צעירה, רבים מהקצינים הבכירים בה הגיעו מיחידות אחרות בצה"ל. מפקדה הנוכחי, תא"ל ד', גדל ב־8200 ובתפקידו הקודם פיקד על אחד המרכזים בה. החיילים הצעירים ביחידה כבר אותרו ישירות למערך ההגנה, בתהליך ארוך ותובעני ובאחרונה אף הכיר צה"ל ב"מגן סייבר" כמקצוע צבאי.

איראן לא לבד

תפקידה של חטיבת ההגנה, בפשטות, הוא לשמור על חופש הפעולה ועל הרציפות התפקודית של צה"ל, מהעולמות המבצעיים ועד לתפקוד היומיומי השוטף במרחב האינטרנט האזרחי. היא אמורה לאפשר לצה"ל לפעול בחופשיות בשגרה ובמלחמה, תוך שהוא ממצה את יתרונותיה הטכנולוגיים העצומים של מדינת ישראל במרחב הדיגיטלי. "אם האויב ימנע מאיתנו לנצל את היתרונות האלה - הוא ניצח; ואם יחדור אלינו וישבש את פעילותנו - הוא ניצח", אומר בכיר בחטיבה. "תפקידנו לוודא שזה וזה לא קורה".

חוליה משלימה. 8200 // צילום: יהושע יוסף

צה"ל הוא מטרה אטרקטיבית לתקיפות. "בעבר, רק מדינות עם יכולת טכנולוגית יכלו לתקוף אותנו. היום כל מי שיש לו מחשב וכבל הוא איום מבחינתנו", מסביר הבכיר. "זה תווך בלי גבולות ולעיתים קרובות גם בלי חתימה. לא תמיד אפשר לדעת מי התוקף ומאיפה הוא תקף".

תפקידה של חטיבת ההגנה הוא למנוע את התקיפות האלה, ולגלות מי עומד מאחוריהן. באחרונה נחשף כי איראן תקפה את תשתית המים בישראל, ובתגובה (על פי פרסום ב"וושינגטון פוסט") תקפה ישראל באיראן ושיבשה את הפעילות בנמל בנדר עבאס. הפעולה האיראנית אמנם לא כוונה כנגד תשתית צבאית, אבל למערך ההגנה היה חלק באיתור עקבות התוקפים - תהליך חיוני להכנת הקרקע לתקיפת נגד בעת החלטה להגיב.

התקיפה הזאת היתה חלק ממגמה גוברת של פעילות אויבים ויריבים בסייבר, בניסיון לאסוף מידע או לשבש את הפעילות הצבאית והאזרחית בישראל. לאיראן יש חלק מרכזי בתקיפות האלה - בין היתר כדי לאזן את נחיתותה מול התקיפות שמיוחסות לישראל בסוריה, וגם כדי לפצות על היעדר גבול פיזי בינה לבין ישראל - אבל היא לא לבד: גם לחמאס יש זרוע סייבר (שהותקפה בשנה שעברה במהלך אחד מסבבי הלחימה בעזה), ואפשר להניח שגם מעצמות ידידותיות יותר ופחות מגלות עניין במרחב הדיגיטלי בישראל.

בעולם הזה כולם אויבים מבחינתה של חטיבת ההגנה. ב־2019 זוהו עשרות ניסיונות תקיפה על צה"ל ופעילויותיו השונות, ככל הידוע כולן סוכלו. "אנחנו מדברים כאן על הדברים המסוכנים. לא על כייסות, על מלחמה", אומר הבכיר.

מדובר באתגר משמעותי, כי צה"ל קיים ופעיל בכל מרחב אפשרי: מהצורך לאפשר העברה שוטפת וחסינה מאיומים של מידע מודיעיני למטוס הקרב שתוקף בסוריה או לטנק המרכבה שפועל בגבול עזה, דרך הגנה על מערכות ההתרעה והצפירה של פיקוד העורף (שכבר הותקפו על ידי איראן בעבר) ועל נתוני המשרתים או כל מידע אחר שנמצא במחשבים, ועד להגנה על אתרי האינטרנט והפעילות ברשתות החברתיות של דובר צה"ל או של הבקו"ם, שמשמשים לקשר שוטף עם האזרחים.

"לצה"ל אין חברת ביטוח. חברה אזרחית יכולה לחיות גם עם הגנה של 99 אחוזים, אנחנו חייבים הגנה מלאה כדי לאפשר ניצחון במלחמה", מסביר הבכיר. "היתרון הוא שיש לנו את צה"ל מאחורינו: כשאנחנו מזהים תקיפה בסייבר, התגובה לא חייבת לבוא רק דרך הסייבר. אפשר גם לשלוח F-16 לעשות את העבודה".

נערכים לאויב של מחר

צה"ל מתייחס אל ההגנה בסייבר כאל ממד לחימה לכל דבר. חטיבת ההגנה מחזיקה "צוותים אדומים", שתוקפים בעקביות את המערכות השונות בצה"ל כדי לוודא שהן מוגנות וחסינות. היא מעורבת גם באפיון הדרישות הטכנולוגיות של מערכות הלחימה השונות: מטוסי הקרב והצוללות, למשל, מיוצרים בחו"ל; חובה לוודא שמישהו לא שתל בהם משהו בשלב הייצור ושלא ניתן לחדור אליהם, כדי להבטיח להם חופש פעולה מבצעי מלא.

נמל בנדר עבאס, איראן // צילום: GettyImages

"אנחנו נמצאים בכל מקום. מהסיב ועד ללוויין, מהבסיס בעורף עד לחייל הכי קדמי בשטח", אומר אל"מ ר', מפקד מצו"ב (מרכז הצופן והביטחון, שאחראי, בין היתר, על כל הצפנים במדינת ישראל, לרבות של מנגנוני הביטחון והגופים האזרחיים האחרים). "אנחנו מגינים על המערכות, ומגינים על המידע: שאף אחד לא יוכל להיכנס, לשבש, לאסוף או להבין מה קורה שם, וודאי שאף אחד לא יצליח לנצל פרצה כדי לחדור למערכות העיקריות של צה"ל".

במילים אחרות: חטיבת ההגנה היא תעודת הביטוח של צה"ל. "זה אתגר לא פשוט, בוודאי כאשר המטרה היא לפעול בעולם רב־ממדי שבו כל המערכות קשורות האחת בשנייה ומזרימות ביניהן מידע בחופשיות", מוסיף ר'. "בסייבר אתה לא צריך להיות מעצמה כדי לאתגר אותנו. גם יריבים פחות מתקדמים שלנו יכולים לפתח כלים או לרכוש אותם בקלות יחסית בעולם האזרחי".

כאמור, אחד האתגרים המרכזיים של חטיבת ההגנה הוא לזהות את התוקף, רצוי עוד בשלב מוקדם ולפני שנגרם נזק. צוותים של היחידה א ברשת ומחפשים אנומליות - פעילות לא שגרתית המעידה על כך שמשהו חריג קורה. בשפה המקצועית זה נקרא "ציד": להיות מסוגל לאתר את האויב, ולהשתלט על האירוע. לעיתים קרובות הדבר נעשה מבלי שהתוקף יודע שהפך בעצמו לניצוד; כך אפשר לעקוב אחריו, לדעת מי הוא, ולפעול כנגדו.

לחטיבת ההגנה חלק בתגובה, אבל מי שמבצע אותה בפועל היא יחידה 8200 או אגף הסייבר בשב"כ. שיתוף הפעולה בין הארגונים הדוק באופן חסר תקדים - לרבות יחידה משותפת ראשונה בין השב"כ לצה"ל - מתוך הבנת האתגר והצורך לנצל את היתרונות היחסיים שיש לכל גוף. "עולם הסייבר מציב לנו בעיה מורכבת, שדורשת תגובה מורכבת", אומר גורם ביטחוני בכיר. "האיום נמצא בעלייה דרמטית לעומת ממדים אחרים, והוא מחייב שותפויות אסטרטגיות כדי שנוכל להתמודד מולו".

כעיקרון, כל גוף במערכת הביטחון אחראי על ההגנה של עצמו: צה"ל, שב"כ, מוסד, מלמ"ב (הממונה על הביטחון במערכת הביטחון, שאחראי, בין היתר, על המתקנים הגרעיניים בדימונה ובשורק, על המכון הביולוגי בנס ציונה ועל הכוונת הביטחון בתעשיות הביטחוניות). התיאום ביניהם מתבצע במסגרת גוף אחוד, שהשב"כ - כמי שאחראי בחוק על סיכול טרור וריגול, כולל כאלה שמתבצעים באמצעים טכנולוגיים - הוא שמכווין את פעילותו.

במתקפה האיראנית האחרונה על תשתיות המים נדרשו כלל הגורמים לפעולה, יחד עם מטה הסייבר הלאומי שממוקם במשרד ראש הממשלה. "לכל אחד מהארגונים יש את היתרונות שלו. אם לא נשתף פעולה עלולים לחדור אותנו", אומר הבכיר.

רשימת האויבים הפוטנציאליים אינסופית. סביר שיש ביניהם גם כאלה שמשתייכים לצד "הכחול", שלנו. כאן כבר מעורבותו של השב"כ חיונית, משום שהוא היחיד שמורשה לפעול במידת הצורך כנגד אזרחים ישראלים. כנגד כל האויבים/יריבים האחרים הפעילות משולבת, אם כי לצה"ל - ובמרכזו לחטיבת ההגנה - יש את החלק המרכזי בו.

"הציד שלנו מתבצע כל הזמן, 24/7", אומר אל"מ י', מפקד מרכז בחטיבת ההגנה שאחראי על המגע עם אויבים ויריבים. "המאבק שלנו הוא לא רק באויב של היום. אנחנו חייבים לדעת מי יהיו האויבים של מחר, באילו טכנולוגיות ישתמשו ומה הם עלולים לעשות לנו, כדי להיות מוכנים. להסתכל חמש ועשר שנים קדימה".

הרבה מעבר לפיתוח מוצר

בדיוק כמו בגבולות הפיזיים שבהם כלל הברזל הוא שקו המגע תמיד ייפרץ, גם הנחת העבודה הבסיסית של חטיבת ההגנה היא שהאויב יצליח לחדור. "אנחנו פועלים בזמן אמת, על מערכות מגוונות, לעיתים באזורים דלי אנרגיה או במערכות מסווגות עם ממשק אזרחי - אלה אתגרים מסובכים להגנה", אומר ר'. "אנחנו מבינים היום שהמידע והמערכות שמעבירות אותו הם אמצעי לחימה לכל דבר, שחייבים להגן עליהם כדי שנוכל לנצח".

הפעילות עצמה מורכבת. בחטיבת ההגנה ממשילים אותה למבצע מיוחד. לעיתים הפעילות הזאת מתבצעת בשטחנו, ולעיתים נעשית בשטח האויב. "אנחנו חייבים לפעול בצורה חשאית, כדי שלא יידעו שנכנסנו", אומרת סא"ל ש', ראש הענף שאחראית על פיתוח אמצעי הלחימה ומרכיבי ההגנה במצו"ב. 

"כשאנחנו מאתרים אויב, לא תמיד מסירים אותו מייד. לעיתים אנחנו רוצים לעקוב אחריו וללמוד אותו. אנחנו לא חברת אבטחה שתפקידה רק לדווח שהיתה התקפה, ושהיא סוכלה; אנחנו צריכים לדעת להגיד לרמטכ"ל או לראש הממשלה מי תקף אותנו, כדי לאפשר למדינת ישראל להגיב".

"אנחנו חייבים להפגין עליונות בעולם הזה, וגם להראות אותה", היא ממשיכה. "בדיוק כמו שחיל האוויר אחראי לעליונות האווירית של ישראל, אנחנו אחראים לעליונות בסייבר: זה נכון גם בהגנה על הגבול, וגם בפעילות בשטח האויב, בעומק". עם זאת, מודים ביחידה, במציאות הטכנולוגית הקיימת לא ניתן לבנות חומת הגנה מוחלטת על הכל; לכן גם ההחלטה הקבועה היא להגיב בעוצמה על כל תקיפה - כפי שקרה באחרונה מול איראן לפי הפרסומים - "כדי שהאויב לא יחשוב שהוא יכול להסתובב לנו ברשת מבלי שתהיה על כך תגובה קשה".

כדי לזהות את התוקף חייבים בחטיבת ההגנה לדעת לחשוב כמוהו. זאת עוד סיבה לסינרגיה עם 8200, שנחשבת לאחת מיחידות התקיפה הטובות בעולם. "אנחנו צריכים לדעת לזהות איך נראה תוקף. זה נשמע פשוט, אבל זה רחוק מכך. הרשתות רועשות, עם המון תעבורה. יש בלאגן שלם, שרק חלק קטן ממנו הוא התוקף, שגם עושה כל מאמץ אפשרי כדי להיטמע ולהישאר שקט ולא בולט", אומר ר'. "בצד השני לא עובדים מטומטמים. אנחנו רואים לא מעט מבצעים מתוחכמים, ארוכים, חשאיים, שצריך להשקיע לא מעט כדי לפרום אותם ולדעת בוודאות ששום נזק לא נגרם".

הצורך הגובר לסכל תקיפות מצד אויבים הוא רק אתגר אחד שחטיבת ההגנה מתמודדת איתו. אתגר נוסף הוא תקציבי. העולם הטכנולוגי דורש השקעות עתק, גם בהגנה. מעטים בעולם יודעים לעשות את מה שחטיבת ההגנה עושה - החל בביצור הגבולות הטכנולוגיים של צה"ל, וכלה באיתור האויב ובהשתתפות בתקיפתו. "זה לא ידע צבאי קלאסי. יש חברות אזרחיות שהיו מוכנות לשלם הון כדי לקנות את מה שאנחנו עושים כאן", אומר הבכיר.

וכתמיד בעולם הטכנולוגי, האתגר הסבוך ביותר הוא השארת כוח האדם האיכותי בצה"ל. המוטיבציה של הנוער להגיע לחטיבת ההגנה (כמו ל־8200) היא בשיא, בראיית הקריירה העתידית באזרחות. השירות במערכים הטכנולוגיים בצה"ל נותן למשרתים בעולם הסייבר לא רק ניסיון בסביבה טכנולוגית מתקדמת במיוחד, אלא גם אתגר משמעותי מול אויב אמיתי. 

"בסופו של דבר אני מתחרה על האנשים המצוינים האלה מול המעצמות הטכנולוגיות הכי גדולות בעולם", הוא מוסיף. "מציעים לאנשים שלי משכורות של פי ארבעה או חמישה ממה שהם מקבלים בצה"ל, ובכל זאת הם נשארים. למה? כי הם יודעים שהם לא עוזרים לפתח עוד מוצר שיסדר עוד כסף לאיזו חברה אזרחית. פה הם באמת מגינים על המדינה ועל ההורים שלהם".

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו
יואב לימורישראל היום

כדאי להכיר