מתקפת וואנקריי, שהתרחשה במאי 2017, נחשבת אחת ממתקפות הסייבר הנרחבות ביותר שהתרחשו בשנים האחרונות. על פי הערכות, במתקפה נפגעו כ-230 אלף מחשבים ב-150 מדינות שהריצו את מערכת ההפעלה הישנה חלונות XP מבית מיקרוסופט. בין הנפגעים היו בתי חולים בבריטניה, חברת התקשורת הספרדית טלפוניקה, חברת הרכבות הגרמנית דויטשה באן, חברת השילוח FedEx וגופים רבים נוספים. מאחורי המתקפה עמדה צפון קוריאה והערכות לגבי הנזק שהיא חוללה נעות בין כמה מאות מיליוני דולרים לכמה מיליארד דולרים.
"חלק מהנפגעים במתקפה בכלל לא ידעו שהם נפגעו, חלק לא רצו לדווח, ואחרים רצו לדווח אך לא ידעו למי. גם לגוף שאחראי על הסייבר במדינות שנפגעו לא היתה שום דרך להפיץ את המידע על המתקפה בצורה אפקטיבית לגורמים הנוגעים בדבר", כך מדגים הודי זק, ראש החטיבה הטכנולוגית במערך הסייבר הלאומי את הצורך במנגנון ממשלתי שמחבר בין גופי המדינה והמשק ומאפשר להם להתמודד באפקטיביות ובמהירות עם מתקפות סייבר.
על מנגנון הדיווח בין המערך לגופי המשק אחראי גוף קיים, הפועל כחלק ממערך הסייבר, שנקרא ה-CERT הלאומי. אך בימים אלה, מפתחת החטיבה הטכנולוגית במערך הסייבר מערכת חדשה לגמרי, במטרה להוסיף שכבת הגנה נוספת, שהפעם תסייע להקדים תרופה למכה. שמה של המערכת, שנועדה לניטור ודירוג סיכוני סייבר בקרב גופי ממשל וחברות, הוא "חלון ראווה". יכולות וידע שנבנו במערך הסייבר ישולבו בכלים שנרכשו מהתעשייה, יעשו שימוש במידע שיגיע מארגונים ממשלתיים ופרטיים, יוצלבו עם מקורות מודיעין ומדדים חיצוניים בלתי תלויים ויחד ייצרו תמונה מקיפה, בזמן אמת, של רמת הסיכון שהגופים חשופים אליו.
המערכת, שנחשפת כאן לראשונה, נמצאת בשלבי פיתוח ומטרתה לשפר את המוכנות של ישראל לאיומים היומיומיים ההולכים ומתרבים ולטיפול בהם ברמה לאומית. "אנשי מערך הסייבר הם אלה שמנחים את גופי התשתיות הקריטיות ביישום מדיניות האבטחה שלהם, והם אמורים להשתמש במערכת שאנו בונים עכשיו על מנת שיוכלו לבוא לגופים כמו חברת חשמל או בנק הדם, ולהגיד להם - 'הנה אנחנו רואים שיש פה בעיה, בוא נטפל בה ביחד, לפני שיקרה משהו שבאמת יפגע בחוסן הלאומי המדינתי'. כך נוכל גם לייצר תמונת מצב לאומית רחבה", אומר זק, שמציין כי עדיין אין בנמצא כלים מסחריים מספיק נוחים וזולים שמאפשרים לבצע ניתוח סיכונים איכותי. החלק הראשון במערכת, המיועד לגופי תשתית מדינתית קריטית, אמור להפוך להיות מבצעי עד סוף 2020. השלב השני של המערכת מיועד לכלל המשק, על בסיס וולונטרי, והיא מתוכננת להיות מושקת במהלך 2021.
"אני מסתובב בכנסים בינלאומיים ומספר לעמיתים בעולם על שיתוף הפעולה בין המגזרים בישראל, והם המומים מכך שגוף פרטי מוכן לשתף מידע עם הממשלה. במדינות מערביות רבות זה בלתי מתקבל על הדעת בכלל", מספר זק. "יש לנו כבר למעלה מאלף גופים בארץ כמו חברות ביטוח ובנקים. חלק לא קטן מהם לא רק מקבל מאיתנו מידע, אלא גם מעביר לנו. יש עכשיו דיונים בכל מיני גופים בעולם שרוצים לשכפל את המודל הזה".
"מצבנו יחסית לעולם - לא רע"
מערך הסייבר הלאומי הוקם בתחילת 2018 מכוח החלטת ממשלה ואיחד לכדי גוף אחד את שני הגופים שקדמו לו ופעלו במקביל - מטה ורשות הסייבר, שלקחו סמכויות שבעבר היו בידי השב"כ. המערך אחראי על גיבוש האסטרטגיה של ישראל בתחום הסייבר, וכן על עמידות המשק מפני מתקפות הסייבר. הוא פועל תחת משרד ראש הממשלה ובראשו עומד יגאל אונא.
זק מגדיר את החטיבה הטכנולוגית, בראשה הוא עומד: "המנוע והמצפן" של המערך. "המנוע - כי אנחנו מספקים את הידע, המערכות והיכולות, שיאפשרו לכולם לעשות את העבודה שלהם, והמצפן - כי אנחנו היחידים שיש להם את היכולת להסתכל שנים קדימה, ולשאול מה ההשלכות שעשויות להיות לנושאים כמו בינה מלאכותית או קוואנטום, על הסייבר", אומר זק.
"המשימה שלנו היא להביא את ישראל לרמת מוגנות והתמודדות עם איומי סייבר שהיא גבוהה משמעותית מהמצב הקיים. מצבנו יחסית לעולם הוא לא רע, בטח בהשוואה לרוב העולם, כולל המדינות המתקדמות. אבל אנחנו בהחלט מרגישים שיש צורך מול האיומים הקיימים, לייצר קפיצת מדרגה ברמת ההתמודדות שלנו".
לזק רקע עשיר בעולמות הביטחון והסייבר. הוא בוגר תוכנית תלפיות. לאחר שירות בחיל האוויר, נמנה לדבריו על "הדור הראשון של מקימי מנהלת חומה במשרד הביטחון, האחראית על ההגנה מטילים בליסטיים, והיה מעורב בפרויקט הראשון של מכ"מ החץ אור ירוק מטעם אלתא. במגזר הפרטי הוא עובד קרוב ל-20 שנה.
לעולם הסייבר נכנס זק לפני חמש שנים, כשמונה למנהל הראשון של חטיבת הסייבר סקיוריטי של ורינט, שבימים אלה נמצאת בכותרות לאחר מתקפת סייבר חמורה שחוותה. לאחר ורינט שימש זק סמנכ"ל תפעול של סטרטאפ הסייבר סטרטג'יק, שעסק גם כן בניתוח סיכונים. אל המערך הגיע זק לפני קצת יותר משנה ונחת הישר בכסא ראש מכלול התכנון. "מה שהניע אותי זה תחושה שיש פה צורך אמיתי ברמה הלאומית", הוא אומר בריאיון ל"גלובס".
עוברים משאלונים לאיסוף מודיעיני
עוד לפני מערכת "חלון ראווה" שמפותחת בימים אלו, מעטפת ההגנה של מערך הסייבר כוללת שלוש שכבות, שאמורות לסייע לכל הגופים הרגישים במדינה: מצוד הרמה, מערכת לגילוי וחקירה של איומים במרחב הסייבר הישראלי שאוספת ומנתחת מידע; כדור בדולח, מערכת שמשלבת בהפקת התובנות גם נתוני מודיעין, שמתקבלים מגופים מסחריים ולא מסחריים; וסייבר נט, מערכת לשיתוף והפצת מידע בקרב גופים במשק. חלון ראווה היא השכבה הרביעית.
איך היא נראית ומתפקדת בפועל?
"זה לא כמו מייל, זו רשת לא מסווגת, אבל מאוד מאובטחת, ועם חדרי צ'אט לפי סגמנטים, בהם אפשר לדווח באופן אנונימי. בנק שמדווח על סיכון סייבר לא בהכרח רוצה לומר מי הוא, אבל כן רוצה שבנקים אחרים יידעו. הבעיה היא שגוף שרוצה להבין את רמת המוכנות שלו כנגד איומי סייבר עושה את זה כיום באמצעות חברות חיצוניות, שפעם בשנה באות ומפזרות שאלונים למחזיקי העניין בארגון. הפירמות הללו, גדולות כקטנות, אוספות את התשובות לשאלונים, מנתחות אותן, מכניסות לאקסל, ומנפיקות דו"ח".
ומה הבעיה עם זה?
"חלק לא קטן מהחברות מדווחות באופן סובייקטיבי את מה שהן חושבות, או את מה שהן רוצות לדווח. חלק אולי אפילו לא ממש מבין מה שואלים אותן. אם הגנת הסייבר נעשית במיקור חוץ, אז חברת הביקורת שואלת שאלות, והחברה בתורה שולחת את זה לקבלן המשנה שלה שמטפל לה ב-IT ובאבטחת סייבר. ואז, הקבלן שואל את עצמו 'מה אלה רוצים מהחיים שלי, אני לא מקבל על זה כסף', הוא מסמן וי, וי, וכן הלאה. התהליכים האלה חלקיים, ידניים, סובייקטיביים, ואפילו אם הם מצליחים להגיע לאבחנה מדויקת, היא רלוונטית רק לאותה נקודת זמן ואין יכולת להשוות לדוחות קודמים או לחברות דומות".
איזו בעיה רחבה יכולה להיות ומה עלולה להיות המשמעות שלה?
"המקרה שהכי מדגים את זה הוא מתקפת NotPetya, תקיפה שפגעה בעיקר באוקראינה, גם כן ב-2017. התוקף הצליח להשבית ארגונים רבים על ידי שתילת קוד זדוני בתוכנה אוקראינית לניהול חשבונות. כל ארגון שהשתמש בתוכנה הזאת הפך בעצם סוכן של התוקף, עד שהוא החליט להפעיל אותה.
"למה אני מספר לך את זה? כי יש תוכנות מקומיות כאלה לניהול חשבונות גם בישראל, ואם מישהו תוקף דרך תוכנה כזאת שהיא ספציפית לישראל, אז חשוב לנו להבין מה מחובר למה - דבר שאנחנו יכולים ללמוד רק מתוך תמונה לאומית. לא מזמן פורסם שהאקרים איראנים גנבו במשך עשר שנים מידע רגיש מחבר מסוימת שמציעה שירותי גישה מרחוק לעובדים של הארגון. במקרה כזה אנחנו חייבים לבדוק היכן עוד מותקנת התוכנה ונדרש טיפול, כי ייתכן שהבעיה רחבה יותר".
איזה מידע אתם בעצם צריכים מהארגונים לצורך כך?
"מבחינת הפתרון אנחנו מדברים פה על רשומת ביג דאטה, שאוספת מידע מארגונים, כמובן בהסכמה ובידיעה. חשוב לי לומר את זה. ברמה העקרונית אנחנו רוצים לאסוף מידע גם מתוך הארגון - איפה הנכסים הקריטיים שלו, מה התהליכים המהותיים שלו, איפה השרתים הכי רגישים שלו, איזה מערכות הגנה יש לו, ומה רמת הטיפול בהם, ולבדוק האם הן מטופלות נכון.
"במלים אחרות, זה אולי יופי שיש לך פיירוול, אבל אם לא עדכנת אותו שנה, זה לא שווה כלום. זה הממד שנלמד מתוך הארגון, אבל יש גם איסוף מחוץ לארגון, על סמך מה שאנחנו יכולים לראות מבחוץ. למרות שלכאורה אנחנו יכולים לעשות את זה בלי לשאול אף אחד, אנחנו עדיין עושים את זה באופן וולונטרי ובהסכמה. החלק השני של המערכת יהיה מבוסס על האיסוף מחוץ לארגון. זה יהיה החלק שיאפשר לארגונים להבין את רמת הסיכון שלהם.
"זו תהיה מערכת בלתי מסווגת, שתתבסס על המערכת שנבנתה לתשתיות הקריטיות וההצטרפות אליה תהיה וולונטרית. 'אתם מתקשרים להבין מה רמת הסיכון שלכם? אז הנה, יש פה מערכת של גורם מוסמך ואובייקטיבי. אתם יכולים להירשם, להעלות אליה מידע מסוים, לאפשר לנו אולי לנטר דברים מסוימים אצלכם'. כמובן שזו תהיה מערכת הרבה פחות מעמיקה, אבל כזאת שתיתן לארגון מושג יותר טוב איפה הוא עומד, מול מצבו היום".
איך אתם עושים את זה?
"יש כל מיני מנועים שאנחנו משתמשים, בהם, למשל שירותים של חברות דירוג סייבר כמו BitSight, אותם אנחנו מצליבים עם מודיעין. זה יתרון שיש לנו על מרבית החברות, כי מודיעין איכותי זה דבר יקר ומורכב. הארגון מקבל חזרה שירות, בחינם או בתשלום סמלי שמספר לו מה רמת הסיכון שלו ואיך היא משתנה".
מערך הסייבר הוא בכל זאת גוף ביטחוני. שירות לעסקים קטנים וסיוע בחיסכון בהוצאות על סייבר היא עילה מספיק טובה לקשר את המערכות שלהם לשלכם?
"הפאזה הבסיסית היא ניטור מבחוץ. הארגון לא צריך לעשות שום דבר חוץ מלהסכים. אני לא מתקין אצלו כלום".
למה שארגון פרטי יפנה לשירות ממשלתי אם יש גופים מסחריים שמציעים גם כן שרותי דירוג סייבר?
"מעבר לכך שאנו נעזרים בשירותים של חברות מסחריות, שכל ארגון יכול גם לפנות אליהן ישירות - אני חושב שמה שאנחנו נותנים לו הוא משהו קצת יותר הוליסטי. לחברה מסחרית יש את ההתמחות שלה. אם היה בישראל גוף, פרטי או לא פרטי, שנותן שירות כזה באיכות סבירה, לא הייתי פה. דרך אגב, בארה"ב וריזון מנסה להציג פתרון דומה אבל הם רק בהתחלה".
אתה יכול לפרט יותר לגבי התועלת מהמהלך הזה?
"בכך שאני מאפשר לארגונים, אפילו למשרדי עורכי דין קטנים או לרשת סופרמרקטים, נגישות למערכת שתאפשר ניהול סיכונים, אני מסייע לו לנהל את המשאבים, האסטרטגיה וההגנה יותר טוב. העלאת רמת החסינות שלו תורמת להעלאת החסינות במשק, כי למערך מתאפשר לייצר תמונה סטטיסטית רחבה של הפגיעויות והכשלים הפוטנציאליים ברמת המשק. כך נוכל לדעת טוב יותר כיצד להנחות את הציבור.
"היבט נוסף הוא ביטוח הסייבר - עניין שאנחנו מעדיפים לעודד ברמת מדיניות. הקושי להעריך את רמת הסיכון מעלה את מחירי הפרמיות, והדבר מרתיע גופים מלרכוש ביטוח סייבר. אבל ברגע שיש מערכת מקובלת של דירוג סייבר, עצם הידיעה שהארגון מחובר אליה היא כבר משמעותית. זה כמו שאני אולי לא יודע מה רמת הבריאות של אדם, אבל אם אני יודע שפעם בחצי שנה הוא הולך לרופא, אני יותר שקט לבטח אותו".
זה לא עלול לעודד הקטנת ראש?
"זה נותן איזה סוג של אינדיקציה שהארגון בכלל מתמודד עם הבעיה באיזושהי צורה מובנית. וגם, אתה תוכל לראות שהוא משתפר או מתקלקל עם הזמן. ואז אתה יכול על סמך זה להעריך איזו פרמיה אתה דורש ממנו, איזה רמת כיסוי אתה מוכן לתת לו".
איך ניתן לדעת על המצב של הארגון מבלי להיכנס עמוק פנימה?
"באמצעות ניטור מבחוץ, הצלבה של המידע בין כמה גופים ובין כמה טכנולוגיות שונות, השוואה מול מתארי ייחוס, וחיבור של המידע יחד למסגרת אחידה. ההצלבה היא גם מול תפריט איום ייחוס שאנחנו בונים שרלוונטי לישראל או לסקטורים שונים בישראל. באופן עקרוני, האיום על בנק בישראל שונה מהאיום על חברת משלוחים בצרפת או בית חולים בארה"ב. התוקפים הם אחרים, סוגי התקיפות אחרים, יש גופים שיותר פעילים אצלנו, ופחות במקומות אחרים, וההיפך.
"אם חלק מהארגונים יהיו מוכנים להוציא לנו מידע מתוך הרשת שלהם, בשביל לשפר את הניתוח שאנחנו מסוגלים לתת, אז זה בכלל יהיה טוב. אבל אנחנו לא בונים על זה. אנחנו מאוד רגישים לאספקט הזה של 'אנחנו לא אח גדול'".
מה היקף ההשקעה במערכת? האם יהיו בה דברים שאין במערכת שמיועדת לתשתיות קריטיות?
"המערכת הזאת נשענת על היכולות שאנחנו בונים בשלב הראשון לתשתיות מדינה קריטיות. אין פה עוד פיתוח. המאמצים יהיו יותר בכיוון של הנגשה ושנמוך של המערכת הראשונה. אם נראה שיש ביקוש, הדבר עשוי להניע אותנו להקדים קצת, ואולי אף לעבוד על שתי המערכות במקביל. בשוק הביטוח, כאמור, יש עניין רב מאוד במערכת. יכול להיות שנוסיף לה מרכיב לכימות רמת הסיכון במונחים כספיים, מרכיב שבמערכת תשתיות קריטיות הוא פחות רלוונטי, כי אותי לא כל כך מעניין מה הנזק שנגרם לחברת חשמל, אלא מעניין אותי אם החשמל יורד או לא יורד".
מה יקרה אם יבוא גוף פרטי שיציע שירות יותר טוב משלכם? אתה לא מגביל אותם באופן הזה?
"אני אגיד לך יותר מזה: אם שנתיים לאחר שבנינו את המערכת יבוא גוף פרטי ויציע משהו דומה פחות או יותר - אני מושך את השאלטר. המטרה שלי להעלות את עמידות המשק, אם אני ארגיש שעמידות המשק מושגת בלי המעורבות שלי - מצוין".