רמי אפרתי, ראש אגף בכיר למגזר האזרחי במטה הסייבר הלאומי, אומר כי מערך ההגנה הישראלי, שאמור להתמודד עם מתקפות הסייבר הבלתי פוסקות נגד מערכות תשתית, בנקאות, מאגרי מידע ואתרים, צריך להיות מוכן לאיומים החדשים שעומדים בפתח. עם זאת, הוא הראשון להודות שלאיש אין כיום מושג מה יהיו האיומים של המחר.
"נכון לעכשיו, אנחנו יכולים לעמוד מול האיומים, אבל חשוב לזכור שהאיומים בזירה הזאת משתנים מעת לעת. אם ישנם סוסים טרויאנים שאני לא מכיר שמחכים לפקודה, זה מדאיג. פעם היו לנו וירוסים והיום אנו עומדים בפני מתקפות מתוחכמות בהרבה. משום כך, אחד התפקידים החשובים ביותר של המטה הוא להשתנות כל הזמן לפי האיומים", הוא מסביר.
אפרתי נכנס לתפקיד לאחר שראש הממשלה, בנימין נתניהו, נתן את האור הירוק להקמת המטה לפני מעט יותר משנה. תפקידו מרכזי מאין כמוהו: הוא אמור להתוות את המדיניות שתוביל להגנה על מערכות המחשוב של המגזר האזרחי. בעולם שבו ניתן לשתק מדינה על-ידי פגיעה ממוחשבת ברשתות החשמל והמים, במערכות הרמזורים והתקשורת, בבנקים, בשדות תעופה ובמרכזים הלוגיסטיים של ספקיות מזון, מדובר באחריות אדירה.
מה זה לוחמת סייבר
ההגדרה המקובלת ללוחמת סייבר היא "חדירה למערכות מחשוב ממניעים פוליטיים על מנת לרגל, לחבל או להפריע לפעולתן", אבל מקובל גם להבדיל בין פעולות שמבצעים האקרים פרטיים לכאלו שמוציאות לפועל מדינות. דוגמאות מהעולם לא חסרות: בפברואר 2005 גרמה התקפת סייבר להפסקת חשמל באזור כפרי מצפון לריו דה ז'נרו והותירה עשרות אלפי בני אדם מנותקים. שנתיים וחצי לאחר מכן, ב-27 בספטמבר 2007, גרמה התקפה דומה לניתוק הזרם בחלק ממדינת אספריטו סנטו בברזיל.
הפעם 3 מיליון בני אדם נותרו ללא חשמל למשך יומיים. אין הוכחות חד משמעיות לגבי זהותם של מובילי ההתקפה, אולם ראיות נסיבתיות רומזות ששני האירועים הם פרי עמלו של הצבא הסיני. על-פי אותן הערכות, ההאקרים הסיניים חיבלו ברשת הברזילאית כניסוי כלים ובדיקת היתכנות לקראת התקפות משמעותיות יותר במדינות אחרות לגמרי.
איום משמעותי אחר, מהמרכזיים בתחום לוחמת הסייבר, מגיע מכיוון המערכת הפיננסית בכלל והבנקאית בפרט. האף.בי.איי, למשל, דיווח שלפחות 100 מיליון דולרים נשדדו ב-2011 בצורה אלקטרונית מחשבונות ביותר מ-130 בנקים בארצות הברית. "ראיתי התקפות שבהן נגנבו יותר מ-10 מיליון דולרים בתוך פחות מ-24 שעות", אומר שון הנרי, סגן מנהל סוכנות הבילוש הפדראלית לענייני סייבר. "אם סכומים כאלה היו נשדדים על-ידי שודדים חמושים, זה היה מייצר כותרות בכל העולם, אבל כשבבעלותך מערכת שנפרצה בצורה כזו, כמובן שלא תרצה שאף אחד יידע על זה, כי זה עלול לערער את האמון הציבורי בעסק".
מילות המפתח בדבריו של שון הנרי הם "אמון הציבור". תרחיש כמו ריקון כמות גדולה מספיק של חשבונות בנק עשוי לעורר בהלה שתשלח אל הסניפים המונים שידרשו למשוך את כספם. במקרה כזה, מוסדות פיננסים אדירים עשויים לקרוס ולגרום לאפקט דומינו, שיערער כלכלות גדולות ומשמעותיות.
מה קנה המידה?
לרגל אירועי שבוע הסייבר שסדנת יובל נאמן למדע, טכנולוגיה וביטחון באוניברסיטת תל אביב קיימה השבוע בשיתוף פעולה עם המטה, מתראיין אפרתי בפעם הראשונה בתפקידו הנוכחי. לפני הצטרפותו למטה, הוא היה יזם בתחום הביו טכנולוגיה והסייבר סקיורטי, ניהל את חברת בריינסטורם שעסקה בתחום תאי הגזע והמחלות הניווניות, הקים חברה משלו והיה סמנכ"ל בחברת נייס. קודם לכן, היה עמוק בעולם הצללים של המודיעין, בעיקר במסגרת יחידה 8200. הוא השתחרר מצה"ל ב-2007 לאחר 28 שנות שירות בדרגת אלוף משנה וגם היום הוא אינו מוכן לומר מילה על התחומים שבהם עסק בתקופת שירותו.
"לא כל יום יש לך הזדמנות להיות חלק מבנייה של מערך שמצד אחד אתה חושב שהוא חשוב ומצד שני אתה גם חושב שאתה יכול לתרום לו", מסביר אפרתי בן ה-63 את המעבר הלא מובן מאליו מקריירה מצליחה במגזר הפרטי אל המגזר הציבורי. "ברגע שקיבלתי את הפנייה היה לי יחסית קל לקבל את ההחלטה. להקים מטה כזה בתחום שהוא הלוהט בעולם כיום, עם האיכויות והיכולות שיש לי בתחום הביזנס ועם הרקע המקצועי שיש לי, בעצם מאפשר לעשות את אחד הדברים שאני אמון עליהם - קידום התעשייה הישראלית".
אפרתי מסביר שהקמת המטה כגורם שמשקיף על תחום הסייבר כולו, הייתה חשובה דווקא בגלל שלא מעט גורמים בארץ ניהלו עד כה מערכה מוצלחת למדי. "בישראל הרבה מאוד גופים עסקו בתחום הסייבר: הגופים הביטחוניים, הרשות לאבטחת מידע שהוקמה ב-2002 כדי להגן על תשתיות קריטיות והמיזם הקיברנטי שהוביל ב-2011 איציק בן ישראל והוביל להקמת מטה הסייבר.
ישראל זיהתה את הבעיה ב-2002 כאיום צפוי וכבר אז היו מחשבה מעמיקה וניתוח אמיתי של האיומים. עם זאת, עשר שנים עברו והשוק התפתח בצורה מדהימה: יש לנו פתאום הרבה חברות בתחומי האנרגיה ועוד מעט אנחנו נהיה מעצמת גז בכלל; יש הרבה איומים בתחום הפיננסים; תחום התקשורת מאוים והקניין הרוחני מאוים. משום כך, כמטה אנחנו גוף שעוסק בתכנון, בהתוויית קונספט לאומי, בגיבוש מדיניות ובראייה קדימה. אנחנו צריכים לגבש מדיניות לתפישה לאומית של הגנת המדינה בתחום".
אפרתי מדגיש שמצבו של המגזר האזרחי בתחום הסייבר אינו רע בכלל ואומר שלמרות הדיווחים התכופים על מתקפות סייבר נגד ישראל (שאת חלקן ייחס ראש הממשלה השבוע לאיראן), הן עדיין לא הצליחו לגרום לנזק משמעותי. ועדיין הוא מתאר את המצב ככאוטי למדי. "המגזר האזרחי הוא המגזר הגדול במדינת ישראל ואף אחד עד כה לא דיבר איתו. איש הישר בעיניו יעשה.
"לא היו לנו סטנדרט או אמת מידה כלשהי לקביעת הרמה. אם מדובר בבנק שלרשותו עומד יותר כסף, הוא משיג הגנה יותר טובה, אם זה גוף עם פחות כסף, הוא משיג הגנה פחות טובה; התקנים הקיימים הם תקנים לאבטחת מידע ויש הבדל גדול בינם לבין סייבר: באבטחת מידע אתה פוחד שהמידע ידלוף ממך החוצה למתחרים או לאחרים, בעוד שבסייבר אתה חושש ממצב שישמיד לך את כל בסיסי הנתונים".
אחד הנושאים המשמעותיים שבהם מטפל אפרתי הוא הסטנדרטיזציה בסייבר ובנייתו של תקן מחייב. הוא צופה שתקן כזה יפורסם בתוך כמה שנים ושיישומו יארך שנים אחדות. עד אז, הוא מקווה שמכה קיברנטית קשה לא תנחת על ישראל.
"צריך להבין שבתחום הזה אין הגנה מוחלטת, ולעולם לא תהיה. אי אפשר לסגור מערכות כאלה בצורה הרמטית. אני רוצה להכניס לארץ מערכת תקנים וולנטריים. אנחנו אומרים לשוק 'זה התקן', ואז מציעים לכוחות השוק ליישם את זה. אם זה הולך טוב - בסדר, אם לא - תמיד אפשר בדרך חוקית להפוך את התקן למחייב. מה שחשוב הוא שכל הגופים במדינת ישראל יצטרכו לעמוד בתקנים הללו. אנחנו מתחבטים בשאלה באיזו רמה יהיה התקן ואת מי הוא יחייב.
"ברור שהמכולת של ציפי בחולון לא תצטרך לעמוד באותה רמת תקן של חברת טבע או של בנק כלשהו. נצטרך כנראה לקבוע רמות שונות. אם, למשל, מאפייה גדולה שמספקת לחם לצבא תידרש לעמוד ברמה 2 של התקן ואז תרצה להגיע לרמה 3 כי זה יעלה לה את רמת הביטחון, יכול להיות שנצטרך לתת לה תמריצים. זו לדעתי השיטה הנכונה. אם השוק חושב שהמדינה הולכת לקראת יישום של זה, גם החברות הפרטיות יצטרפו".
עוד נושא שמעסיק את אפרתי הוא שאלת ההסמכה של אנשים או של גופים לספק לארגונים הגנת סייבר. "האם כל שני חבר'ה שיצאו עכשיו מהצבא, או שלושה חבר'ה שהם האקרים בינוניים או טובים, רשאים להתעסק באבטחה ולבצע בדיקת חדירה לארגון כדי לאתר את נקודות התורפה שלו? הבעיה היא שכרגע אף אחד לא בודק את האנשים הללו. אף אחד לא בודק את רמת המהימנות שלהם. זה כרגע המצב ואי אפשר להמשיך כך. הצענו להקים ועדה ציבורית שתגדיר מהם מקצועות האבטחה, ואז נקבע איזו רמת אבטחה ניתן לכל גוף. לאחר מכן, אם מישהו יוגדר לרמת אבטחה כזו או אחרת, נצטרך להסמיך אותו ולראות איך מחדשים לו את הרישיון".
כיאה לאדם שמגיע למטה מהמגזר הפרטי, אפרתי מעוניין להשתמש באיום גם כהזדמנות לפיתוח התעשייה הישראלית. "סייבר זה לא עסק של ביטחון אלא גם עסק של ביטחון. כפי שאני רואה את התחום, יש איום שקיים ובמדינה כמו ישראל זה מאוד טבעי שאנשים שבאו מהתחום יפתחו תעשייה אדירה בתחום הסייבר סקיורטי. זה משהו שמאוד-מאוד קרץ לי. לקחת את האיום ולהפוך אותו להזדמנות", הוא אומר.
"יש לנו תשתית מדהימה של אנשים שהם מהטובים בעולם בתחום. הם חכמים ובעלי ניסיון לא פחות מהתוקפים ואנו מצפים מהם לחשוב בצורה מתאימה. אלה אנשים שקיבלו את ההכשרה שלהם בצבא ובקרוב יהיו אחרים שקיבלו אותה כבר בתיכון. אחד התפקידים המרכזיים של המטה הוא להכין תשתית להגנה מדינתית - תשתיות טכנולוגיות, תעשייה מתקדמת, הון אנושי משובח, הכשרה מצוינת עם הרבה שבחים לצה"ל, הכשרה אקדמית ומרכזי חדשנות. כל הדברים הללו יהפכו את האיום גם להזדמנות. אנחנו יכולים לצמוח כלכלית בצורה מדהימה".
עם זאת, לאפרתי חשוב גם לשלוח מסר חשוב דווקא לאנשים שאינם חלק מהתחום. אם לסכם במשפט אחד: החזית במאה ה-21 נמצאת בכל מקום. "לציבור הרחב ולהתנהגותו ברשת יש חשיבות מרכזית", הוא מדגיש. "ככל שנעשה יותר פעילות של מודעות, נביא להגדלה משמעותית של הביטחון בהתנהגות ברשת. אני רוצה שאנשים יחשבו פעמיים לפני שהם מעלים משהו לרשת חברתית. שמבוגרים יבינו שססמה אחת לא יכולה לשמש לכל החשבונות, למשל. כולם צריכים להבין שהמודעות להתנהגות ברשת היא גם חלק חשוב מתפיסת ההגנה הלאומית".
הכתבה המלאה - במגזין G
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל
קוד האתי
המופיע
בדו"ח האמון
לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה
אוטומטית ולא יפורסמו באתר.