10.12.2020

​דברי פתיחה, פרופ אלוף (מיל.) יצחק בן ישראל:

• ישראל הנה חלוצה בעולם בתחום אבטחת הסייבר. כבר ב-2002 הוקמה הרשות הלאומית לאבטחת מידע (רא"ם) בשב״כ ע״פ החלטת הממשלה, במטרה להגן על תשתיות (אזרחיות) קריטיות.

• להגנה לאומית על תשתיות קריטיות יש חשיבות נוספת - ריכוז של מידע מגופים שונים מקנה יתרון בהגנה מפני תקיפות שמקורן בשרשרת האספקה. ניתן לעצור תקיפה על יעד א' כאשר היא עוד בדרכה לתקיפת יעד ב'. מאידך, ריכוז כזה של מידע בכלים המקובלים באותה התקופה (לפני כ-20 שנים) פגע בפרטיות של הגופים עליהם המדינה מגנה.

• ואכן, כאשר רא"ם ניגשה לתשתיות הקריטיות במטרה להוות נדבך הגנה נוסף של חברות אלה, חלק מהגופים הפרטיים - בנקים למשל -  לא הסכימו לאפשר נגישות למחשבים שלהם. מנקודת מבטם - אם יוודע בעולם שלממשלת ישראל בכלל, ולשב״כ בפרט, יש נגישות למחשבי הבנק  - זה יחסל את הבנק מבחינה עסקית. הפתרון לנושא היה יצירת ועדת חריגים לגופים אלה - רשימה שבמשך השנים הלכה וגדלה עד שהפכה גדולה יותר מזו של התשתיות הקריטיות עליהן רא"ם אכן הגנה. יש כאן קונפליקט בסיסי - המשק לא יכול להתקיים בלי מידע שאסור לו להיות מופץ בציבור, אבל כדי להגן צריך לאפשר לגוף ההגנה גישה לאותו המידע. 

• בשנת 2010 הוקדם צוות המיזם הקיברנטי הלאומי (בראשותי) וישראל הפכה לראשונה בעולם שאיזרחה את העיסוק בסייבר - לא רק עיסוק מודיעיני, צבאי, אלא גם תעשייה, אקדמיה, נושא לגיטימי למחקר באוניברסיטאות, יצוא וכיוצא בזה.

• בשנת 2014 בעקבות פרשת סנודן עלה שוב על הפרק המתח בין פרטיות להגנה לאומית כוללת. לאור זאת כונסה שוב ועדה לאומית (בראשותי) שהגיעה למסקנות הבאות:

  • העברת האחריות על הגנת הסייבר של התשתיות הקריטיות מהשב״כ לרשות אזרחית: האחריות על ההגנה הלאומית ועל תשתיות קריטיות לא יכולה להיות בידי גוף בטחוני, במיוחד לא מודיעיני. הציבור חושש ממעורבות בטחונית/מודיעינית בתוך גופים פרטיים, ולכן היה קשה לקבל ממנו שיתוף פעולה שהינו הכרחי להגנה. בעקבות מסקנה זו הוקמה רשות אזרחית, שאחד מעקרונותיה הוא שהיא אינה שייכת למערכת אכיפת החוק (כלומר גם אם התגלה חשד לעבירה במחשבי הגוף הנבדק אין הוא עובר לידי רשויות החוק). 

  • אסור לעקוב אחרי תוכן התקשורת בין אזרחי ישראל באופן גורף. רק במקרה של פעילות חשודה יש הצדקה לבדיקת התוכן. לזיהוי הפעילות חשודה נעשה שימוש באינטליגנציה מלאכותית – דהיינו במכונות שלומדות את ההתנהגות נהורמטיבית של תעבורה ברשת, כך שאפשר יהיה לזהות התנהגות אנומלית, ללא ירידה לתוכן ההודעות.

• עם השנים פותח AI נגדי במטרה לעקוב אחרי המכונות המגינות, ללמוד את ההתנהגות שלהן ולהטעות אותן - זה הוא מעגל שאין לו סוף. החדשות הטובות הן שככל שרמת התחכום עולה כמות הגופים שיש בידיהם יכולת לתקוף מצטמצמת. זה לרוב מצטמצם למדינות ולארגוני תקיפה גדולים מבוססים.

• בימים אלה מופץ המיזם הלאומי של המערכות הנבונות המאובטחות, במטרה להציב את ישראל בין חמש המדינות המובילות בעולם בתחום ה-AI. אחת ממסקנות המיזם היא שככל שהתלות שלנו ב-AI עולה כך גם הפגיעות, לכן יש צורך לאבטח מראש טכנולוגיות AI, כלומר לפתח אותן ביחד עם מערכות האבטחה שלהן (ולא בדיעבד).

​​

• בשנים האחרונות אנחנו רואים את מעורבות הולכת וגדלה של איראן בתקיפות סייבר. האוכלוסיה במזה״ת מאד צעירה (ממרוקו ועד איראן חצי מהאוכלוסיה מתחת לגיל 25) ויש נסיון להכניס ״אמצעי לחימה״ של הדור הצעיר - יכולות מחשביות ואינטרנטיות. לאיראן יש יכולות גבוהות מאד בתחומים אסטרטגיים (חינוך, תעשיות מקומיות) וכעת רואים את הפירות.

• באופן ממוקד יותר - בשנתיים האחרונות המערכה הגלויה בסוריה מתקרבת לסופה, איראן לוקחת חלק פעיל והיא מרחיבה את המערכה למערכה סייברית ולאו דווקא על הקרקע.

• גם בסוגיית העמימות או העדר העמימות חל שינוי - יש מגמה של פתיחות ולקיחת אחריות פומבית. מדובר במגמה המתבטאת במישורים נוספים מעבר למרחב הסייבר ומטרתה להראות יכולות - פנימה והחוצה. 

• הצלחתה או אי הצלחתה של מתקפה היא עניין של הצגת העובדות בצורה מגמתית. גם אם תקיפה לא הצליחה, מקורות מידע רבים היום יציגו אותה באופן שמאדיר את יכולות הצד התוקף - מצביע על יכולות, פעלתנות והמצאות בתוך הזירה (נכון לא רק במרחב הסייבר).

• קשה להגדיר איזה ארגונים נמצאים בסיכון שכן מבחינת חיזבאללה וחמאס - כל ארגון בישראל שייך ליישות הציוניות וככזה הוא יעד התקפה פוטנציאלי.

​​

 

• אנחנו מתמודדים עם ציר שיעי (מתחיל בעיראק, עובר דרך סוריה וממשיך ללבנון) שיש לו זרועות - ״פרוקסי״ , לחלקן יש הבנה גם במרחב הקיברנטי. 

• פיתוח זירת המאבק הקיברנטית היא קומה נוספת בנסיון של איראן לפתח זירות מאבק נוספות - מעבר לזירה הקינטית.

• ניתן לראות את היכולות והתפיסה של חיזבאללה בזירה הקיברנטית דרך הפעילות שלה ברשתות החברתיות - ניכר שיש הבנה מעולה של איך עובדים בהן ומה אפשר להשיג דרכן:

  • תקיפה לצורך פגיעה במערכות.

  • ריגול. 

  • שימוש במרחב הקיברנטי כדי להשפיע על התודעה. 

• המערכה שבין המערכות - שימור של מדיניות עמימות, מדיניות של אי לקיחת אחריות על תקיפות (בדומה למדיניות ישראל בסוריה בשנים האחרונות). היתרון הוא שמדיניות זו לא מכריחה את הצד השני להגיב. הכלי הזה מתגלה כמאד רלוונטי גם בתקיפות סייבר. 

• כדי לבצע תקיפות סייבר חשוב מאד לצד התוקף להבין ולהכיר את ההקשרים הגיאופוליטיים, את הפסיכולוגיה של הצד המותקף. 

 

• לכאורה, תוקף סייבר יכול לבצע את הפשע המושלם - אי אפשר לשייך לו את התקיפה. בפועל, למרות נסיונות הסתרה כמעט ״מושלמים״ קשה להסתיר זהות של תוקף במרחב הסייבר לאורך זמן, בעקר בגלל ניטורים ומעקב מתמשך של מדינות על תעבורת האינטרנט ותקשורת מחשבים בכלל. 

• עד היום התקיפות הגדולות והשיוך לקבוצות תקיפה מתבצעות לרוב ע״י גופי מודיעין בארה״ב - חברות הסייבר והמחקר נשענות לרוב על הפרסומים הללו כדי להתחיל ולפרום תקיפות אחרות ולדמות אותן לתוקפים שנחשפו לרוב בארה״ב.

• בשנה האחרונה, בעקבות עלייה בכמות התקיפות והצורך בהרתעה - חל שינוי במדיניות ישראל במרחב הסייבר - ממצב של עבודה חשאית לחלוטין לייחוס פומבי לתקיפות. במקביל הוקמו גופי סייבר רבים שמגינים על המרחב הישראלי מפני תקיפות.

• התקיפות האיראניות מתבצעות בשלושה מישורים, איתן מערכות ההגנה צריכות לדעת להתמודד:

• תקיפה אישית - באמצעות פישינג/התחזות/רשתות חברתיות. המטרה היא השתלטות על מרחב המחשוב האישי. התקיפות נעשות בעיקר ע״י קבוצת התקיפה המוכרת Charming Kitten הפעילה מזה 6-7 שנים. אנחנו רואים הרבה מאד תקיפות כנגד חוקרים, בעיקר חוקרי איראן. 

• תקיפות מערכות מחשוב של חברות ישראליות - כולל במגזר הפיננסי, תוך ניצול חולשות ידועות בשילוב פישינג. עיקר ההתקדמות של הקבוצות האיראניות היתה בתקיפות אלה, ובמיוחד של קבוצת Muddy Water, שהצליחה להכנס לעשרות חברות ישראליות במהלך השנה האחרונה.

• תקיפות תשתית על מערכות מדינתיות - במעגל הזה אני מעריך שהיכולות של הקבוצות האיראניות נמוכות עד בינוניות.

• במרחב הסייבר חשוב ביותר להפעיל מעגלי אבטחה - בדיוק כמו בעולם הרכב: נועלים את הרכב, מפעילים אזעקה, מחברים לחברת ניטור. עסקים חייבים להבין להפנים, ולהשקיע בנושא. 

• אי אפשר לצפות ממשלת ישראל שתגן על כל אזרח במרחב הסייבר. בהמשך להשוואה לעולם הרכב - כשגונבים לך את המכונית אתה לא פונה לממשלה - יש חברות ביטוח, אפשר להגיש תלונה במשטרה, יש דרג שצריך להיווצר. גם בסייבר - חברות הביטוח, חברות האבטחה הפרטיות וחברות מוצרי האבטחה הן הקו הראשון שאמור לסייע בהתמודדות עם אירוע סייבר. 

• חשוב שארגונים יפנימו את הצורך בהשקעה בהגנה בשנים הקרובות - גם בכסף וגם בחשיבה בהגנה על המידע.

• המלצה חשובה: גיבויים. יש הרבה מתקפות כופרה בארץ בתקופה האחרונה, חשוב לוודא שיש לכם את היכולת להתאושש.

 

 

• להערכתי יש נסיונות תקיפה לפגיעה במערכות בתדירות הרבה יותר גבוהה ממה שאנחנו מכירים מהתקשורת. אלה נסיונות צנועים יחסית אותם מערך ההגנה  הישראלי, מהטובים בעולם, מצליח לחסום. להערכתי התוקפים לא רוצים מנסים משהו נועז מדי מחשש לאסקלציה בתגובת הנגד. 

• לגבי מדינות במעגל הרחוק יותר - להערכתי צפון קוריאה לא מרגלת אחרי ישראל אלא סין, המשתמשת בצפון קוריאה כפנים לתקיפות. למעשה לצפון קוריאה חסרות היכולות האלה, יש עליהם סנקציות כבדות, אפשרויות החינוך שלהם מוגבלות מאד. לסין לעומת זאת יש אלפי סיבות לרגל אחרי ישראל - גניבת קניין רוחני בתחומי רפואה, אקדמיה ועוד. 

• הייחוס הופך קשה יותר בשנים האחרונות בגלל מדינות שמנסות להתחזות לאחרות, צריך להתסכל על מניעים והקשרים רחבים ולא רק על מאפייני ייחוס קלאסיים. יש לתת יותר משקל לניתוח גיאופוליטי מאשר לניתוח פורנזי.

• ארגונים צריכים למפות את סוג המידע שיש ברשותם, להבין איזה מידע עשוי לעניין מדינה עוינת (גם יכולת טכנולוגית) ולנהל את הסיכונים בהתאם. 

• יש למדינה תפקיד בהעלאת המודעות להגנת סייבר, במיוחד לתשתיות קריטיות. חשוב לתת לארגונים תרחישים אפשריים לתקיפות, אזהרות ממוקדות, מידע, הדרכה, ליווי הקפדה על רגולציה. 

 

​

• בשנה האחרונה ראינו עלייה בכמות התקיפות, ניתן לייחס אותה לדעתי לעובדה שיש לאנשים המון זמן פנוי בעקבות הקורונה. הזמן הפנוי וההסתגרות בבתים מאפשרת לגופי תקיפה להיות יצירתיים ולהשתכלל.

• בעיה שאני נתקל בה הרבה בשנים האחרונות - מידע רגיש מגיע באמצעות האינטרנט לאנשים שאין ביקורת על רמת החשיפה שלהם (כתבים ביטחוניים למשל). המדינה חייבת להפעיל ביקורת על התקשורת הזו ולוודא כי אין מידע מסווג שנשמר בצורה לא רצינית.

• משטח התקיפה אמנם גדל מאד בעשור האחרון (כמות הנכסים במרחב הסייבר)  אבל שיטות התקיפה נשארו רדודות. רוב התקיפות הכי פוגעניות מתחילות בפישינג או ב-Malware שמצפין קבצים. אפשר לחסום 80-90% מתקיפות אלה בצורה פשוטה. 

• המדינה הגדירה שמרחב הסייבר הוא מרחב לחימה - לכן היא אמורה לשמור על הגבולות הוירטואליים שלנו, ככל הניתן. הבעיה היא  שזה הדבר אפשרי מבלי לעשות נזק משמעותי לצורה בה האינטרנט עובד.

• מבחינת רמת הסיכון של כל ארגון - למרות שכולנו נתפסים כ״אויב ציוני״ (כפי שעלה כאן בדיון) לדעתי יש הבדלים ברמת האטרקטיביות של ארגונים כיעד לתקיפה מדינתית, אשר לרוב ממוקדת ביעד ספציפי.