מאחורי השולחן של יגאל אונא במשרדים של מרכז הסייבר הלאומי בתל אביב יש מזכרת אחת כבדה במיוחד. זהו מגן הוקרה מעוצב, עם לוחית מוזהבת, שהעניקו לו מקביליו באבו דאבי. אונא היה חלק מהמשלחת ההיסטורית שיצאה לאבו דאבי לפני שבועיים, ומהמגן הזה אפשר ללמוד לא מעט על הקשר העמוק בין שתי המדינות בעולמות הטכנולוגיה והסייבר.
"יש לנו פוטנציאל אינסופי איתם", אומר אונא ומציג הודעת ווטסאפ שקיבל השבוע ממקבילו באמירויות. "ישראל יכולה לתת להם הרבה מאוד בצד הביטחוני בכלל, ובסייבר בפרט - גם הביטחוני וגם האזרחי. יש לנו יכולות, ידע וכלים, שייתנו להם את הפתרונות הטובים בעולם לבעיות שהם מתמודדים איתן. והם רוצים את זה. ישראל היא אחת המדינות המוגנות ביותר בעולם בסייבר, ואין סיבה שהם לא ייהנו מזה. אנחנו רוצים שהם יהיו מוגנים טוב כמונו".
לדבריו, עד עכשיו ישראל וחברות ישראליות עשו במפרץ רק עסקאות "ביטחוניות נטו". השינוי כעת יהיה בעולם המסחרי־כלכלי־תעשייתי - למשל, בנקים. "האמירויות הן מרכז סחר עולמי, שזקוק ליכולות שקיימות בישראל. נעזור לחברות ישראליות למכור שם, והאמת היא שזה כבר קורה, וזה קורה בבום. כמו באר נפט שמתפרצת. יש המון פניות של חברות ישראליות ושל חברות מהמפרץ שרוצות להתחיל לעבוד. יש כאן פוטנציאל של מיליארדים.
"סייבר מחבר אנשים, ולישראל יש עוצמה בעולם הזה, שגדולה דרמטית מגודלה הפיזי או הכלכלי. יש לנו מה למכור לכל השחקנים באזור, שמאוימים על ידי אותם גורמים שמאיימים עלינו".
איראן?
"אתה אמרת. חלק מהשחקנים, אגב, מאוימים רק מעצם זה שהם ידידותיים כלפינו, ולכן זאת כמעט חובה מוסרית שלנו לעזור להם היכן שרק אפשר. המערך שלנו מסייע בבניית קונספט לאומי שלם של הגנה מדינתית, במודל הישראלי. הם לומדים מאיתנו את התפיסה".
ישראל היא אחת המדינות המותקפות ביותר בסייבר. זה המחיר שמשלמת מדינה מתקדמת, רווית טכנולוגיה, שגם מתמודדת עם שלל אויבים - המסורתיים, וגם אלה שקיימים רק בעולמות הטכנולוגיה, כמו ארגוני פשיעה או מדינות רחוקות כגון צפון קוריאה.
אונא (49) הוא האיש שאחראי למניעת התקיפות הללו, וכולנו לקוחות שלו: מהתשתיות הקריטיות של המדינה, דרך החברות הלאומיות, וכלה באחרון האזרחים. כל חייו הוא חי בצללים, וזו הפעם הראשונה שהוא מתראיין.
הוא ירושלמי במקור שמתגורר בגבעתיים, נשוי ואב לשלושה בנים (18, 16 ו־13). בנו הבכור התגייס לאחרונה, למודיעין, כמובן. הוא עצמו קפץ בבית הספר כיתה, ולכן התגייס לצה"ל כבר בגיל 17 וחודשיים ונשלח ליחידה 8200 של אגף המודיעין. עשה קורס ערבית, שירת כקצין בינה רשתית (קב"ר), תפקיד הליבה ביחידה, ונשאר עד דרגת סרן.
כשהשתחרר, רצה לעבוד כמפעיל סוכנים במוסד, אבל בזכות הערבית שלו התגלגל לשב"כ. רצה להיות רכז שטח, אבל הוצב באגף המבצעים של הארגון, שם רצו לנצל את ניסיונו בעולם הטכנולוגי לטובת ניצול מידע ממחשבים. "בערב של רצח רבין הייתי במשמרת, במעקב אחר יחיא עיאש", הוא מספר. עיאש חוסל חודשיים אחר כך במבצע של השב"כ, כשמטען זעיר שהוטמן בטלפון הסלולרי שלו התפוצץ כשענה לשיחה.
גם את כל שאר תפקידיו בשב"כ הוא עשה במסלול הטכנולוגי, רובם בעולמות ההתקפה. היה סגנו של מאיר בן שבת (היום ראש המטה לביטחון לאומי) כשזה כיהן כראש האגף הטכנולוגי בשב"כ, וכן ראש חטיבת הסייבר בארגון. ב־2013 מונה לראש האגף וכיהן בתפקיד ארבע שנים. בתחילת 2018 מונה לראש מערך הסייבר הלאומי.
"זה תפקיד שלא ישנים בו", הוא אומר. "אתה לא יכול להתבשם מההישג שהיה לך אתמול, כי כל יום הוא קרב חדש, וכל פרצה קטנה עלולה לגרום לנזק גדול".
מערך הסייבר הלאומי קיים בגלגולים שונים מאז שנות ה־70, בערך מאז הגיע המחשב הראשון לארץ. ההגנה מפני האיומים הממוחשבים הופקדה אז בידי יחידה קטנה באגף האבטחה בשב"כ. ב־2002 הטילה הממשלה רשמית על השב"כ לאבטח את התשתיות הקריטיות במדינה. בארגון הוקם אז גוף שנקרא "רא"ם" - הרשות לאבטחת מידע.
לקח פחות מעשור עד שישראל הבינה שהמענה שהשב"כ נותן לא מספיק מול האיומים שמציב עולם הסייבר, ושגם תשתיות שאינן מוגדרות כקריטיות דורשות מענה. "זה קרה כשראינו שמתחילות תקיפות סייבר מדינתיות באסטוניה, ואחר כך בגאורגיה, ואפילו התקלה שקרתה לצנטריפוגות באיראן (שהותקפו על ידי תולעת שכונתה סטאקסנט, בתקיפה שיוחסה לישראל ולארה"ב). כל התהליך הזה חידד אצלנו את ההבנה שזה פוטנציאל לזירת לחימה".
ראש הממשלה נתניהו הטיל אז על פרופ' יצחק בן ישראל, לשעבר ראש מפא"ת במשרד הביטחון, להקים את "המיזם הקיברנטי הלאומי". בתום תהליך ארוך, שכלל הרבה צוותים והרבה מומחים, עוצבה ההתגוננות הלאומית של ישראל בסייבר. אז גם הוקם "מטה הסייבר הלאומי", שטיפל באסטרטגיה ובתכנון הלאומי. בהמשך הוקמה גם "הרשות הלאומית להגנת הסייבר", שהיתה אחראית לפעילות האופרטיבית - שתי יחידות שאוחדו לפני כשלוש שנים תחת "מערך הסייבר הלאומי".
המערך כפוף ישירות לראש הממשלה, בדיוק כמו המוסד, השב"כ והוועדה לאנרגיה אטומית. יש בו קצת פחות מ־400 עובדים, החל מבנות שירות לאומי וכלה בדוקטורים בתחומים שונים, שיותר ממחציתם נשים. בשונה מהשירות הממשלתי הרגיל, רבים מהעובדים מועסקים בחוזים אישיים, כחלק ממנגנון העסקה שנועד לאפשר תחרות עם עולם ההייטק.
"אנחנו לא יכולים להתחרות איתם, אבל אנחנו משלמים טוב", אומר אונא. "מי שבא לעבוד אצלנו, יודע שהוא מוותר על חלק נכבד מאוד מהפוטנציאל הכספי שיש לו בטווח המיידי. רבים מהעובדים פה כבר בפרק ב', הם כבר עשו קריירה במערכת הביטחון או שכבר עשו לביתם בעולם העסקי, יש להם שיער לבן וניסיון חיים עשיר, ואת זה אין בשום גוף ביטחוני אחר שאני מכיר".
כשני שלישים מהעובדים במערך הם אנשי סייבר - ממתכנתים, דרך אנליסטים ועד האקרים. "אנחנו לא תוקפים את האויב, אלא רק את עצמנו, כדי לוודא שאנחנו מוגנים", אומר אונא. "ההתמחות שלנו היא בהגנה על האזור הכחול, שלנו".
אבל אי אפשר לעשות הגנה מקו השער. כדי להגן על האזור הכחול צריך להיות באזור האדום, של האויב.
"מדינת ישראל צריכה להיות גם באזור האדום. יש גופים אחרים במערכת הביטחון שעושים את זה (בעיקר יחידה 8200 של אמ"ן, השב"כ והמוסד; י"ל), ואנחנו עובדים איתם בשיתוף פעולה מלא".
שיתוף הפעולה הזה כולל שיתוף במידע, ובמידת הצורך מבצעים משותפים, כשכל גוף פועל על פי התמחותו - בהתקפה או בהגנה.
לפני כמה חודשים התמודדה ישראל עם מתקפה על תשתיות המים האזרחיות - בעיקר בערים. אונא מסרב להתייחס לפרסומים כי איראן היא שהיתה אחראית למתקפה, אבל אומר כי לא נגרם בה כל נזק. "מבחינתי היתה פה חציית קו בחוצפה של ניסיון לפגוע בתשתיות אזרחיות, למרות שהתקיפה עצמה היתה ברמה נמוכה".
על פי פרסום ב"וושינגטון פוסט", ישראל ביצעה בתגובה תקיפת סייבר על נמל בנדר עבאס באיראן והשביתה בו את הפעילות לימים ארוכים. אונא מסרב להתייחס, אבל מעריך ש"אנחנו עתידים לראות עוד חציות קווים, הסלמה וניסיונות תקיפה מצד גורמים עוינים. אלה יכולים להיות גם ארגוני טרור.
"זאת אחת הבעיות של הממד הזה: שסף הכניסה בו הוא נמוך מאוד. אתה לא צריך חיל אוויר או נשק אסטרטגי אחר. אתה יכול ללמוד את זה באינטרנט, לקחת בני נוער מוכשרים ולעצב אותם כמו שאתה רוצה".
האויבים שלנו טובים?
"כדאי להתייחס בכבוד לכל אחד מהשחקנים במגרש הזה, כי בסייבר אתה יכול להיות מופתע גם מדוד הקטן, ואנחנו ממש לא רוצים להיות הגוליית שנפגע ממנו. בסוף יכול לבוא מישהו שאין מאחוריו מעצמה, לעקוץ אותנו ולגרום נזק משמעותי".
אתה מזהה אצל היריבים שלנו פוטנציאל לדבר כזה?
"מירוץ החימוש בסייבר קיים בכל העולם, ובוודאי באזור שלנו".
מתקפה כזאת, שבוצעה בשנה שעברה בידי גורם עוין, הצליחה להציב פיתיון באתרי אינטרנט פופולריים בארץ, כך שכל מי שעבר דרכו נדבק. המטרה לא היתה רק כופר, אלא בעיקר תדמיתית - השמצה אנטי־ישראלית בוטה, בהיקף אדיר, שהיתה אמורה להביך את ישראל.
כשהדיווחים הראשונים הגיעו למערך הסייבר, החלה פעילות מניעה רחבה, תוך ניצול הקשרים הבינלאומיים של המערך. התוקף נחסם בצומתי מחשב ברחבי העולם, כך שנבלמה יכולתו להגיע לישראל, ובזמן הזה, נוקו האתרים מהתוקף.
מה היה קורה אם הם היו מצליחים?
"מבוכה אדירה. תחשוב על עשרות או על מאות אלפי מחשבים בארץ שהיו מודבקים. ישראל היתה מושפלת".
מה הלקח?
"שהאיום נמצא לא רק בתשתיות הקריטיות, אלא בכל מקום. אתה אף פעם לא יכול לדעת מאיפה זה יבוא. אתה יכול לנפח יופי של סירה, אבל אם יהיה בה חור אחד קטן, אתה בבעיה קשה. לכן אנחנו עובדים גם על מודעות של כלל הגורמים, כדי שיבינו שהאיום כאן, והוא אמיתי".
מערך הסייבר הלאומי עובד משני מוקדים, בתל אביב ובבאר שבע. בתל אביב ממוקם המטה במשרדים חדשים ברמת החייל, שנחנכו בימים האחרונים. בבאר שבע נמצא חמ"ל הסייבר הלאומי, שבו עוקבים אחר כל התקיפות שמבוצעות על מדינת ישראל.
"מרכז הכובד של תעשיית הסייבר הישראלית עדיין נמצא במרכז", אומר אונא, "אבל אני מקווה שבעוד כמה שנים, אחרי ש־8200 ואגף התקשוב בצה"ל יירדו דרומה, לא תהיה עוד סיבה להחזיק מתקנים במרכז והכל יהיה בדרום".
תחת אונא פועלות במערך ארבע זרועות עיקריות ("מכלולים"). הראשונה עוסקת בהגנה שוטפת של התשתיות הקריטיות - שכוללות, בין השאר, את חברת החשמל, בנק ישראל, רכבת ישראל, בתי הזיקוק, המוביל הארצי, הבורסה לניירות ערך, בנק הדם ועוד, על פי רשימה סגורה שאושרה בידי הממשלה ונקבעה בחוק. הזרוע הזאת גם מנחה את האבטחה לגופים אחרים, שאינם מוגדרים כקריטיים (כמו הבנקים המסחריים או חברות ביטוח) באמצעות משרדי הממשלה השונים, אבל נותנת מענה גם לאחרון האזרחים, באמצעות מוקד 119 שפועל מהחמ"ל הבאר־שבעי.
הזרוע השנייה עוסקת בגילוי ובזיהוי מוקדם ככל האפשר של התקפות שבוצעו, בסגירת הפרצות ובמזעור הנזקים, אם נגרמו כאלה. הזרוע השלישית עוסקת בטכנולוגיה, חלקה נרכש בחברות אזרחיות וחלקה מפותח במערך הסייבר עצמו - למשל, מערכת שמבצעת סריקה אינטנסיבית של המשק כדי לאתר פרצות - עניין שלמדינה אין אינטרס להפקידו בידי חברה אזרחית, מקומית או זרה. הזרוע הרביעית עוסקת ב"אקו־סיסטם" - אסטרטגיה, קשרי חוץ וקידום היצוא של ישראל בתחום הסייבר.
"מדינות רבות לא מוכנות לקנות מהתעשייה הישראלית אם אין מאחוריה גיבוי של המדינה. אני מוסמך מטעם הממשלה לתת את הגיבוי הזה. מאז שאני כאן, חתמנו כבר על 15 הסכמים כאלה, ובהם עם הודו ומדינות רבות נוספות, כולל כאלה שאין להן יחסים רשמיים עם ישראל.
"התחום ההגנתי בסייבר פותח לנו דלת בלא מעט מדינות בעולם. בצ'אד, לדוגמה, עצם פתיחת היחסים איתם, השלום־שלום, היה בסייבר. למשלחת הראשונה הצטרף איש שלנו, שבא לעזור להם לערוך סקר סיכונים לאומי.
"בדרום אמריקה, למשל, יש לנו הסכם עם הבנק לפיתוח אמריקה הלטינית. היום יש להם שני מומחי סייבר - עובדי הבנק, ישראלים דוברי ספרדית, שמונו בהמלצתנו. כל התפקיד שלהם הוא לקדם ולשפר את הגנת הסייבר ב־22 מדינות בדרום אמריקה ובמרכזה".
למערך הסייבר הסכמים לשיתוף פעולה אופרטיבי עם 90 מדינות, ובשנה הקרובה צפויים להיחתם הסכמים עם מדינות נוספות. "זאת בורסה של מידע שעובדת מסביב לשעון. אם יש אירוע שקורה בדרום אמריקה בלילה - נניח, תקיפה של בנק מסוים שם - הוא מדוּוח לי מיידית, ובבוקר אנחנו כבר ערוכים עם כל המידע וההגנה הדרושה על הבנקים שלנו".
שיתוף פעולה כזה סייע לאחרונה להגן על שגרירות ישראלית שהותקפה בסייבר. מאותה שגרירות התקבלה אינדיקציה על כך שהיא "משדרת", כלומר שיוצא ממנה שידור של מחשב שלא אמור להיות. כדי לפעול בתחומה, היה צריך לתאם את הפעילות עם השלטונות המקומיים.
"הבנו שמישהו מנסה להוציא לנו מידע מתוך השגרירות. בתוך כמה שעות עלה צוות שלנו על מטוס והגיע למדינה המדוברת, שדורשת אישורי כניסה לישראלים. כשהם הגיעו לשם, הם התחילו לחפש את הפרצה כדי לחסום אותה. זה כמו לחפש מחט בערימה של שחת, או נכון יותר - לחפש מחט בערימה של מחטים.
"לקח כמה ימים, אבל בסוף מצאנו, ואפילו הצלחנו לתפוס את כלי התקיפה בשלמותו. זה התברר כנכס, שאפשר לנו לקבל בתמורה נכסים אחרים".
נגרם נזק?
"לא. למזלנו תפסנו את האירוע בזמן".
החמ"ל בבאר שבע ממוקם בבניין משרדים חדש, לא רחוק מהאוניברסיטה. סמוך לשם יקים צה"ל בקרוב את קריית התקשוב, וגם לא מעט חברות אזרחיות ממקמות באזור את השלוחות הדרומיות שלהן.
החמ"ל עצמו פועל 24/7. הוא מאויש בידי סטודנטים שלומדים בבאר שבע, ומעליהם מנהלים שעובדים במערך הסייבר. לחמ"ל הזה מתנקז כל המידע הרלוונטי על תקיפות סייבר בישראל ובעולם. חלקו מתקבל באמצעות הקו המיוחד שנפתח (119). "כל אחד יכול להתקשר ולדווח על כל דבר", אומרת דנה (34), ששירתה ב־8200 ואחר כך עבדה בשב"כ, וכיום מנהלת את החמ"ל. "כשמתקבל מידע, אנליסטים שלנו עוברים עליו כדי להבין אם מדובר באירוע סייבר, ואם כן - כיצד להגיב לו".
בימים האחרונים מנהל מערך הסייבר חקירה בעקבות תלונות שהגיעו מכמה חברות אזרחיות במקביל, על מייל שנראה לגיטימי אבל חשוד כזדוני. החקירה טרם העלתה מי בדיוק עומד מאחורי התקיפה המתוחכמת, אבל ברור שמדובר בניסיון לגנוב מידע מחברות מובילות במשק.
"יש חברות שבטעות לחצו על הקישור ונדבקו", אומרת דנה. "מרגע שקיבלנו את המידע הראשוני, התחלנו בחקירה, ואז הוצאנו עדכון לכל החברות עם פרטי המיילים החשודים, כדי שהן יכניסו אותם למערכות ההגנה ויחסמו אותם. חוקרים שלנו הגיעו אליהן והתחילו לחפש במערכות שלהן, עד שניקו אותן לגמרי. זה כמו זירת חקירה של מקרה רצח".
לפני כמה חודשים, היא מספרת, התקבל מידע על חולשה שעלולה לסכן 2,700 חברות וגופים ישראליים, שמשתמשים בתוכנה מסוימת. אנשי המערך פנו לכל החברות וביקשו מהן לטפל בבעיה, אבל אחת מהן, חברה בורסאית גדולה, גררה רגליים. רק לאחר התערבות ישירה מול המנכ"ל ביצעה החברה את כל הפעולות ההגנתיות שנדרשו כדי לסגור את הפרצות. בדיעבד התברר כי החברה הזאת הותקפה בעבר.
כחלק משיתוף הפעולה עם העולם האזרחי, פועלת בחמ"ל מערכת שנקרא סייברנט. המערכת הזאת, שפותחה בתעשייה האווירית, היא רשת חברתית לכל דבר, אבל למורשים בלבד. מעין מועדון סגור של אנשי הסייבר בחברות השונות, שבו הם יכולים להתעדכן בזמן אמת באירועים בעולם, בסכנות ובפתרונות, וכן לדווח בעצמם על אירועים או לעדכן בפיתוחים חדשים.
מומחי סייבר נוהגים לתייג את ישראל בחמישייה הפותחת של מעצמות הסייבר בעולם, לצד ארה"ב, סין, רוסיה ובריטניה. אונא אומר שמעצמת סייבר היא "מדינה שיש לה יכולת ועוצמה בקנה מידה עולמי, שלא נופלת ממעצמות אבסולוטיות אחרות".
"כשראש הממשלה ראיין אותי לתפקיד, הוא אמר לי שישראל חייבת לשמור על מקומה בחמש המדינות המובילות בתחום. שאלתי, 'למה חמש ולא ארבע, או שלוש?' נתניהו התעצבן ושלח אותי לעשות שיעורי בית. אז עשיתי, וחזרתי, והראיתי לו שיש לא מעט מדדים שישראל נמצאת בהם במקום השני בעולם, אחרי ארה"ב: מדדים של ידע אקדמי, מחקר אקדמי, פרסומים מובילים בקטגוריות חשובות.
"ברשימה של חברות הסייבר ה'חמות' ביותר יש 150 חברות, מהן 113 אמריקניות, 18 ישראליות, שבע בריטיות, ואחר כך יש זנב ארוך. וזה בלי עוד עשר חברות ישראליות שרשומות בארה"ב מטעמי מיסוי".
איך אתה מסביר את זה?
"ישראל מתבססת הרבה יותר ממדינות אחרות על מידע ועל טכנולוגיות מידע, בגלל היעדר משאבים אחרים. יש פה עוצמה אדירה. כשמוסיפים לזה את הצד הביטחוני, ואת העובדה שאנחנו מאוימים יותר מאחרים ונדרשים להגן על עצמנו, יחד עם האופי הישראלי, שהוא מטבעו פחות מרוסן - התוצאה היא עוגת סייבר לתפארת".
על פי הנתונים של מערך הסייבר הלאומי, במחצית הראשונה של 2020 גייסה תעשיית הסייבר הישראלית, למרות הקורונה, השקעות של כ־1.2 מיליארד דולרים ב־43 עסקאות סייבר - עלייה של יותר מ־50 אחוז בהשוואה לתקופה המקבילה אשתקד. בתקופה הזאת גם נוספו שני יוניקורן (חברות ששוויין מוערך ביותר ממיליארד דולר) ישראליים חדשים: SentinelOne ו־Snyk. 25-20 אחוז מחברות היוניקורן בתחום הסייבר הן ישראליות.
כ־29 אחוז מההשקעות בסייבר בעולם מתבצעות בישראל. בישראל פועלות כיום כ־540 חברות סייבר, בהשוואה ל־250 חברות לפני עשר שנים. היצוא הישראלי בתחום הסייבר ההגנתי עמד בשנה שעברה על 6.5 מיליארד דולר, גידול של 600 אחוז מאז 2011. ההערכות הן שיחד עם תחום הסייבר ההתקפי, ישראל מייצאת טכנולוגיות סייבר בכ־10 מיליארד דולר בשנה - יותר מהיצוא הביטחוני הקלאסי כולו. "התחום הזה רותח. וכשאומרים מעצמה - זאת מעצמה", אומר אונא.
.jpg)
אחת הסיבות שתחום הסייבר מתפתח היא שהאיום בו נוגע לכל אחד. כל מי שיש לו מחשב או טלפון חכם - מאוים. אפשר לנתק אותו משירותים חיוניים, לקחת לו מידע, להשתמש בו בלי ידיעתו, לחסום אותו. במערך הסייבר אומרים שרוב האיומים הם פליליים, ובתקופה האחרונה יש זינוק בתקיפות כופרה (תקיפות למטרת תשלום כופר).
בין המותקפים לא מעט חברות, כולל בנקים. חלקן הגדול משלם ולא מדווח על כך, כדי שלא ייוודע שהן הותקפו (ושילמו). "זה עדיין נתפס כאן כבושה, אבל אנחנו מנסים לקדם את המודעות בתחום גם בקרב חברות וגם אצל אזרחים. לנקוט צעדי הגנה בסיסיים, לגבות חומרים. כך, גם אם יש התקפה, הנזק שנגרם הוא קטן יחסית".
מערך הסייבר מקיים מעקב שוטף אחרי התקפות שמבוצעות על גורמים רשמיים, על חברות ועל אזרחים. את חלקן הוא מאתר בעצמו, חלקן מדוּוחות לו, לרבות על ידי אזרחים. מוקד 119, שפועל מבאר־שבע, הוא ייחודי מסוגו בעולם: ישראל היא המדינה הראשונה שפתחה קו לאומי כזה לפניות.
מנתונים שמתפרסמים כאן לראשונה עולה כי במחצית הראשונה של 2020 התקבלו במרכז המבצעי של מערך הסייבר 7,164 דיווחים, מהם 6,893 התבררו כאירועי סייבר. 2,523 מהם היו חדירות למערכות מחשוב, 525 דיווחים על גניבת מידע, 517 ניסיונות דיוג ("פישינג" - ניסיון לגניבת מידע על ידי התחזות), 179 דיווחים על חולשות במערכות מחשוב, 120 דיווחים על תוכנות זדוניות כמו כופרה, 29 דיווחים על ניסיונות לפגוע ברציפות התפקודית של חברות וארגונים, 34 ניסיונות לעקוף מנגנוני הזדהות, ועוד כ־3,000 פריצות לחשבונות ברשתות החברתיות. ההערכה היא כי מדובר רק במקצת מתקיפות הסייבר שאירעו בפועל, וכי רוב התקיפות לא דווחו, לעיתים כי האזרחים כלל אינם מודעים לקיומו של המוקד הלאומי.
לעיתים מתברר שמקורן של התקיפות הללו, בעיקר בעולמות הכלכליים, הוא בישראל. "אלה חבר'ה שעסקו בעבר בעולמות של לוחמת מידע והבינו שאפשר לעשות מזה הון", אומר אונא.
איך אתם עוזרים למשרד עורכי דין קטן שהותקף, ונעלו לו קבצים קריטיים של לקוחות ודורשים ממנו כופר?
"קודם כל, שיתקשר למוקד. לפעמים נדע להפנות אותו לאתרים שיש בהם את המפתח לפתיחת החסימה. זה בערך בשליש מהמקרים. אם לא, נדע לתת לו פתרונות כדי שהבעיה לא תתרחב. ואם אנחנו מזהים שזה קשור לעולם הפלילי, נחבר את זה למשטרה. זה מוביל לחקירות, ולפעמים גם לתפיסות.
"יש גם כאלה שמשלמים. או שמשלימים עם העובדה שאיבדו מידע או תמונות, ולא רוצים לשלם כדי לא להיחשף. אני פוגש לא מעט כאלה, כולל אישי ציבור בכירים, שמעדיפים לא לשלם, העיקר שלא תהיה פדיחה".
למשל?
"בלי שמות, אבל מדובר במכה. וזאת לא מכת מדינה, זאת מכה עולמית".
לפרשת הפריצה לטלפון של בני גנץ, שמיוחסת לאיראן, אונא לא מתייחס במישרין, רק אומר ש"אי אפשר להאמין כמה פייקים יש בעולם הזה".
במערך הסייבר יש יחידה שתפקידה לעקוב אחר כל פרסום על תקיפה שנחשפה בעולם ועשויה להיות רלוונטית לישראל. לעיתים קרובות חולשות שהתגלו במערכות מחשב עלולות לשמש גם לתקיפה נרחבת של אתרים או תשתיות בארץ. במקרה כזה מוזהרים מי שמשתמשים בכלים האלה ונדרשים לנקוט פעולות שונות כדי לסכור את הפרצות.
"האנשים שעובדים ביחידה הזאת הם לא תמיד נעימים לשתיית קפה איתם, כי הם נודניקים. זה חלק מדרישות התפקיד, וזה מוכיח את עצמו. בעולם הזה של סגירת חולשות אין מאה אחוז, אבל אנחנו ראשונים בו בעולם, כי אנחנו פועלים מהר מאוד".
דוגמה לכך היתה ב־2017, כאשר חולשה בשם WannaCry במערכת ההפעלה "אופיס", שסוכנות NSA האמריקני עבדה איתה, דלפה לרשת. הצפון־קוריאנים ניצלו אותה לתקיפה נרחבת של תשתיות ברחבי העולם, ועשרות אלפי ארגונים וחברות נפגעו. בריטניה, למשל, דיווחה על נזק של יותר מ־2.5 מיליארד ליש"ט. ישראל, לעומת זאת, כלל לא הופיעה בדו"ח של המדינות שנפגעו. מרגע שהחולשה נחשפה, הפרצות נסגרו.
עד כמה האזרח בבית צריך לחשוש?
"זה כמו המעבר מהעולם שבו רכבנו על סוסים לעולם שבו יש מכוניות. צריך להיזהר יותר כשעוברים את הכביש, אבל אי אפשר לעצור את הטכנולוגיה. צריכה להיות לנו מודעות שכשאנחנו יוצאים מהבית, אנחנו עלולים להידרס".
מה אני כאזרח לא יודע?
"אתה לא יודע עד כמה האיום הזה דומיננטי וחזק, ועד כמה הוא קיים בכל מקום. כמו שאמרו במשחקי הכס: Winter is coming. החורף מגיע, ומתקפות הסייבר על ישראל צפויות להתעצם בשנה הקרובה. זה יגיע להיקפים עצומים, וזה רק מתעצם מאז פרצה מגיפת הקורונה, כי כולם עובדים מהבית באמצעות פלטפורמות דיגיטליות.
"כשמוחאים כפיים על הטכנולוגיה של רכב אוטונומי שנוסע בלי נהג - אנחנו, אנשי הסייבר, אומרים אוי ואבוי".
כחלק מכך, בשנים האחרונות מוטרד מערך הסייבר מהאפשרות שמטוסי נוסעים יותקפו בסייבר. ככל הידוע, עדיין אין לכך תקדים, אבל החשש הוא מהשתלטות על מערכות של מטוס לצורך חטיפתו או ריסוקו, או למטרות כופר.
כדי למנוע זאת, יצרו אנשי המערך קשר עם יצרניות המטוסים הבולטות, איירבוס ובואינג, ויחד איתן הם פועלים לחסן את המערכות השונות מפני תקיפה בסייבר. מדובר באתגר לא פשוט, משום שהמערכות מתקשרות במהלך הטיסה עם גורמים חיצוניים, שלכאורה אפשר להיכנס דרכם למערכות של המטוס.
אתה מעריך שאפשר להשתלט על מטוס מרחוק?
"אנחנו מעריכים שכן, ועושים הכל כדי שלא יהיה אפשר להגיע לזה. השאיפה שלנו היא להפוך את ישראל למרכז ידע עולמי בתחום".
זה עולם של גדרות וסולמות. אתה מגביה את הגדר בהגנה, והתוקף מייצר סולם גבוה יותר כדי לעקוף אותה.
"נכון, אבל לצערנו, הקצב שבו זה מנוצל לרעה על ידי הרעים הוא הרבה יותר גבוה. הם יותר ממוקדים, יותר נחושים, יותר זריזים ופחות ביורוקרטיים מאשר הטובים".
אז אנחנו צריכים להיות מוטרדים מהבנק ששומר על הכסף שלנו?
"מוטרדים לא, אבל לשאול שאלות - כן".
אילו?
"אילו צעדים הבנק נוקט. אגב, אנחנו רואים ששאלות כאלה לנותני השירות גורמות להם בדרך כלל לפעול להקשחה ולהעלאה של רמת ההגנה שלהם. בסוף כל אחד רוצה לתת שירות טוב, ואם העסק יבין שהשירות הטוב ביותר הוא גם בהגנת סייבר, הוא ישקיע בזה את מה שצריך".
אונא אומר שלמרות שאיום הסייבר גדול, הוא קל לצמצום בכמה צעדים פשוטים. זיהוי רב־שלבי, למשל, או לא להתפתות ללחוץ על לינקים מגורם לא מוכר, וכן ביצוע של עדכוני תוכנה. "אם תנקוט את הצעדים האלה, זה כבר יצמצם את הסיכון ב־80 אחוז".
הפעולות הללו נכונות ברמת הפרט, וגם ברמת הארגון, אם כי בו כבר נדרשת רמה גבוהה יותר של הגנה. במערך הסייבר מודעים לכך שאין מערכת שלא ניתנת לפריצה, הכל תלוי בכמות המאמץ שישקיע התוקף ובאיכותו.
האתגר העיקרי הוא ברמת המדינה - בגופים השונים, וכן במנגנוני הביטחון. מערך הסייבר הלאומי לא מגן על גופי הביטחון בישראל. צה"ל, שב"כ, מוסד, הוועדה לאנרגיה אטומית ומשרד הביטחון - כל אלה מגינים על עצמם, אבל מתואמים עם מערך הסייבר הלאומי ומקיימים לא מעט מבצעים משותפים.
אתה חושב שנראה בקרוב את מלחמת הסייבר הראשונה?
"העולם כבר נמצא היום עמוק בתוך מלחמות הסייבר. מי שמדבר על חמישה ממדים נפרדים - ים, אוויר, יבשה, חלל וסייבר - טועה לגמרי, כי הסייבר כבר מזמן נמצא בכל הממדים. מטרתן של מלחמות היא לפגוע ביכולות של הצד השני או לשלול אותן לגמרי. העולם מתבסס על טכנולוגיות מידע, כך שאנחנו חשופים למצב שבו אפשר להכריע מדינה בינונית ואפילו גדולה רק בכלי סייבר".
איך?
"לגרום לפגיעה קינטית, לפיצוצים ולבעיות אחרות משמעותיות, שישללו ממנה את היכולת לתפקד".
מה האיום הכי גדול על ישראל?
"ברמת המדינה - תקיפות כדי לגרום נזק, לגנוב מידע או לזרוע אי סדר, כולל באמצעות שימוש בכלי תודעה כמו פייק ניוז. זה כלי לחימה לכל דבר, שאנחנו רואים בו יותר ויותר שימוש בעולמות הפוליטיים.
"ברמה האזרחית - בעיקר תקיפות למטרות כופרה. אנחנו רואים בתחום הזה הידרדרות עולמית. הכל מותר. זה כבר לא רק נשק של מדינות או ארגוני טרור; כל ארגון פשיעה או כנופיה מקומית משתמשים בסייבר, פורצים לך למחשב ואומרים שימחקו לך את החיים אם לא תשלם. זה ביזנס כלכלי מאוד".
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו