"היום קשה יותר לקבוע מה זה מעצמת סייבר. פעם הרשימה כללה מדינות כמו סין, ארה"ב, רוסיה וישראל, ופתאום נוספו קבוצות שמייצגות חברות עסקיות. אלו מחפשות חולשות בתוכנה ובחומרה, לומדות איך לנצל אותן לתקיפה ומוכרות את הפתרונות לגופים אחרים, חלקם לגיטימיים וחלקם לא. אז אתה רואה שמדינות כמו וייטנאם, אוזבקיסטאן וכל מיני מדינות במפרץ, מחזיקות ביכולות סייבר. זה לא שפתאום נולדו שם מלא ילדים שמבינים בסייבר. זה הופך את הניתוח של האיומים למסובך יותר".
הניתוח הזה שייך לסנז ישר הישראלית, אנליסטית ראשית של מודיעין ומחקר בחברת Fireeye, חברה אמריקאית שמסייעת לגופים להתמודד עם איומי הסייבר עליהם. Fireye עובדת עם ממשלות רבות, גופי מודיעין, מערכי סייבר לאומיים וארגונים עם רמת סיכון גבוהה כמו בנקים וחברות ביטוח. החברה מגבשת בעבורם פרופיל איום, פורסת סנסורים כדי לזהות מתקפות ומסייעת להם לגבש אסטרטגיית הגנה, לנתח את הנזק שנגרם מתקיפות ולאתר את התוקפים.
"אומרים שאנשי מודיעין אף פעם לא ישנים, וככה זה גם בסייבר", אומרת ישר בראיון לפודקאסט "רוד שואו" של "גלובס". "כל הזמן הסנסורים שלנו פועלים, בתוך הרשתות או מחוצה להן, כולל סנסורים אנושיים שיודעים לאסוף מידע ואינדיקציות, למשל אם מסתובב כלי חדש בשוק השחור של סייבר. בשנים האחרונות היה גידול משמעותי במספר תוקפי הסייבר מכיוון שעלות הכניסה מזערית ומספיק כמה חנונים ומחשב. כל העולם הזה מתעדכן מאוד מהר - המדינות, החולשות, הטכנולוגיה, היכולות ההתקפיות וההגנתיות".
"הייתי ילדה מהפכנית, זה גרם לחיכוכים"
ישר (38), שירתה בחיל המודיעין במשך כ-15 שנה, בין השאר בתפקידי סייבר התקפי. סיפור חייה אינו שגרתי - היא גדלה באיראן ועלתה עם משפחתה בגיל 17. לאחר שסיימה תואר ראשון בביולוגיה וסוציולוגיה, התגייסה לצבא. "הייתי ילדה קצת מהפכנית בבית הספר. ההורים שלי חינכו אותי להגיד את מה שיש לי להגיד וזה גרם לחיכוכים עם כל מיני רשויות, בבית הספר ומחוצה לו. מכיוון שאבא שלי נחקר בעבר על ידי הרשויות באיראן והיה מנוסה בעניין, הוא הבין שאנחנו כנראה צריכים לעזוב בטווח המיידי. מהרגע שהחלטנו זה לקח שנתיים, ועדיין נשארו הרבה דברים מאחור - משפחה, חברים וזכרונות וגם רכוש שנאלצנו להשאיר".
"אני חייבת להגיד שכשהייתי שם באמת האמנתי שאני יכולה להשפיע מבפנים. למדתי בתיכון לא יהודי, ייצגתי את איראן באולימפיאדה של כימיה, ולקחו אותי לסיור במפעל העשרה של המים הכבדים (שמשמשים בכורים גרעיניים - ע"ז). ממש עשיתי כאחרון האנשים. אבל היו אירועים שגרמו לי להבין שאני לעולם לא אוכל להשתלב עד הסוף באיראן. למרות שאני אוהבת אותה עד היום, אתה מבין שאתה לא שייך, יש כל מיני אזורים שאתה פתאום מרגיש שאתה מפוקח בהרבה יותר עיניים בגלל היותך יהודי. המנהלת שלי קיבלה נזיפה שהיא לקחה אותי לסיור במפעל של המים הכבדים".
כמה היהודים שגרים שם הם ציוניים?
"אפשר להגיד שרוב יהודי איראן הם מאוד ציוניים. זה החלק היותר מסובך כי לאיראנים אין בעיה עם יהודים ואין בעיה לעשות כל דבר שקשור לדת שלך. אני זוכרת שבבית ספר היהודי הייתה תלויה תמונה גדולה של ח'ומייני עם ציטוט שאומרים שציונות לא שווה ליהדות, וצריך להפריד ביניהן. והרי כולנו יודעים שבפסח מדברים על לעלות לציון וציונות היא חלק מההוויה של יהודים".
לרקע שלך יש תפקיד בבחירות המקצועיות שעשית?
"בוודאות כן. זה חלק ממני ולעולם יהיה חלק ממני. ברמה המודיעינית, כשאתה חווה את שני העולמות זה הופך אותך לאיש מודיעין טוב יותר כי זה מלמד אותך לחשוב כמו הצד השני. גם העובדה שהגעתי מסייבר התקפי והיום אני בצד ההגנתי עוזר לי לחשוב כמו תוקף, וגם לחשוב על התרבות התשתיות האיראניות מאוד עזר ליכולות שלי, לפחות בהתחלה. אפשר להגיד שמאז עשיתי הרבה דברים שלא קשורים לארץ המוצא שלי, אבל זה לעולם יהיה חלק ממני".
באחת ממערכות הבחירות השנה דווח על אתרים איראניים שמנסים להשפיע על דעת הקהל. מה היה שם?
"באופן כללי יש מגוון דרכים להשפיע על תוצאות הבחירות - החשש הכי גדול הוא למנוע מאזרחים להצביע בבחירות, אם על ידי שיתוק האינטרנט, שיבוש תחבורה או מחיקת שמות מרשימות המצביעים. האופציה השנייה, שהיא מאוד מתוחכמת ועמוקה יותר, היא ניסיון להשפיע על דעת הקהל. אנחנו רואים את רוסיה, סין ואיראן מתעסקות בזה. הן משתמשות בתשתיות סייבר וברשתות חברתיות אבל בסוף ההשפעה היא פסיכולוגית ומאוד פשוטה. תשאל אותי מי הרוסים או האיראנים רוצים שייבחר בארץ? זה לא מעניין, הם רק רוצים להראות שהם משפיעים, לא משנה לאיזה כיוון. המטרה של תוקף מהסוג הזה היא להגיד - 'תשמעו, אתם חושבים שיש לכם דמוקרטיה ושהרצון של אדם הוא חופשי כשהוא הולך לקלפי? זה לא המצב'. זה דבר שמוריד את האמון של הציבור במערכת".
קרו דברים כאלו בישראל?
"אני לא חושבת שיש עדויות חדות, אבל היו נסיונות בוודאות. יש איזו חוכמה במדינת ישראל והקרבה של אנשים אחד לשני מקשה מאוד להפיץ פייק ניוז כי אנשים עולים על זה מהר מאוד. בארה"ב אלו דברים שלוקחים הרבה מאוד זמן ולפעמים קשה להפריד את האמת מהשקר. פה לא יקרה כי כולם מכירים את כולם. היו אתרים איראניים שניסו להשפיע על דעת הקהל ונחשפו מהר. אפשר להיות גאים באיי.קיו של העם".
ישראל נחשבת למעצמת סייבר, אבל האם הגופים במשק נחשבים מוגנים?
"לא. הייתי מצפה להרבה יותר ממדינה שמורכבת מאנשים יחסית טכנולוגית וממדינה שיש בה את יחידה 8200. אני לא יודעת להצביע בדיוק על הסיבה לכך אבל כנראה שהאנשים הטובים בסייבר לא נכנסים למערכי ההגנה של ארגונים. קיימת מודעות, והשכבה של התשתיות הקריטיות מודעת ומוכוונת על ידי הגופים הרלוונטים בממשלה כי המדינה סימנה אותן. אבל לא לעולם חוסן. אפשר לשבש מדינה עם נוזקה מסוימת כמו סטקסנט (שפגעה בתוכנית הגרעין האיראנית - ע"ז), אבל לא תאמין כמה קל לשבש חיים של מדינה עם דברים הרבה יותר פשוטים. למשל, לא מזמן שימש כלי פשוט לתקיפה של רשתות IT בקנדה ובדרום אפריקה וגרם להפסקות חשמל של מדינה שלמה".
יכול להיות שהבעיה היא שלא הייתה עדיין את הפריצה הגדולה, זאת שתעלה את המודעות של אנשים.
"נכון, אנחנו לפני אותו אירוע מכונן שממש ישקשק את כולנו. באיראן, למשל, זה קרה ובאמת המדינה השתנתה לחלוטין מבחינת יכולות הגנת הסייבר לאחר אותו אירוע של התולעת. בארה"ב היו את הבחירות ב-2016. באוקראינה יש מקרה כזה כל שנה, שמבוצע על ידי הרוסים. בישראל עוד לא קרה, זה לא שמישהו מנסה להסתיר. אגב בעולם הפיננסי זה כן קרה. היתה מתקפה מאוד גדולה שבמסגרתה גנבו סכום של כמיליארד דולר מ-100 בנקים. הבנקים שנשדדו לא היו פה אבל חלק מהוצאת הכספים כן הייתה מישראל".
אירוע מכונן כזה הוא משהו שמאוד ילחיץ את התושבים.
"כן, החוכמה היא לעשות את התרגילים הנכונים, כמו שעושים תרגיל מוכנות למלחמה, אז כך גם בסייבר. זה יעזור לעבוד ברוגע כשמתרחשת מתקפה אמיתית. גם אני, שחיה את העולם הזה, אלחץ אם מחר אני אקום ויהיו שיבושים פה, למשל בתחבורה. זה קשור לאובדן שליטה ולהיבטים פסיכולוגיים. צריך לתרגל כי זה יקרה, אין מצב שזה לא יקרה, ואם מכילים את האירוע מהר אפשר לצאת מזה יחסית בזול".
כינויי חיבה לתוקפי סייבר
מה האיומים החדשים, ואלו שצריך לפחד מהם לשנה הקרובה?
"קודם כל איראן הפכה בשנה האחרונה ממדינה שהתעסקה בהרבה כלים פשוטים ולא מתוחכמים למשהו אחר, גם מבחינת העצימות, אולי גם מבחינת הנחישות וגם מבחינת הטכנולוגיה. אי אפשר כבר להקל בה ראש. רואים את השיפור ברמה הטכנולוגית שלהם, ואני יכולה להגיד שמושקעים משאבים גדולים גם ברמה האזרחית וגם ברמה הממשלתית בהתמודדות עם האיום האיראני בתחום הסייבר. הממשל האיראני תוקף המון פנימה, בתוך איראן, את מתנגדי המשטר. והם גם תוקפים מדינות באירופה כמו בריטניה וגרמניה, ואת ארה"ב. המדינה הכי מותקפת על ידה היא סעודיה ורק אז ישראל".
הם תוקפים גם יעדים אזרחיים?
"יש מגמה חדשה של קבוצות שיש להן כנראה מוצא איראני. קשה עדיין לקבוע אם הן מוכוונות על ידי הממשל או שזה כמו המודל הרוסי שהממשל מעלים עין. מתקפות כאלו מתבצעות גם בישראל, ולא מדובר במתקפות פשוטות כמו DDos (מניעת שירות על ידי יצירת עומס על השרת - ע"ז), אלא ממש ריגול בסייבר. הסנקציות באיראן קשות אז הם מוכרים את המידע בדארק נט ועושים כסף לא רע בכלל. באיראן יש כמה קבוצות שאנחנו מסתכלים עליהן. יש להן יכולות ממש הרסניות, והן היו רוצות לשבש את החיים שלנו".
איזה עוד תוקפות משמעותיות יש היום בעולם, שמאיימות גם על ישראל?
"רוסיה לעולם תישאר אחת התותחיות בעולם הסייבר. התוקפים שם משלבים כלי סייבר עם מערכה תודעתית על דעת הקהל. יש להם יכולות תקיפה מאוד מתקדמות, דרך לוויינים, חשמל וכל מיני דברים של סרטים בדיוניים. ברוסיה יש גם ארגונים שמבצעים פשעי סייבר, ומדי פעם הממשלה מגייסת את היכולות שלהם כדי למסך עשן, כדי שהצד השני לא יחשוב שהתקיפה הגיעה מרוסיה. יש לנו מערכת מאוד מורכבת עם רוסיה, זה ברור לכולם שאנחנו נמצא פה בישראל יכולות תקיפה רוסיות אבל לעולם לא תהיה קבלת אחריות מאחורה.
"סין עברה רפורמה משוגעת בשנה האחרונה. היו הרבה ארגונים ועכשיו הוקם גוף סייבר גדול שממש מתזמר את היכולות שלהם. יותר ויותר רואים האקרים סין בישראל. יש את צפון קוריאה שזה מערך בוטיק, שממש אפשר לזהות אותו מכיוון שההצפנות שלהם ממש חזקות. יש להם מערכים ממשלתיים, במיוחד בתחום של תעשיות בטחוניות, וגם האקרים שממש מרוקנים בנקים. ויש גם את וייטנאם, שיכולות הסייבר שלה התחילו מהאזנה חוקית בתוך המדינה, למשל מציאת גנבים, מלביני מס וכו'. אנחנו מזהים גם תקיפות מפקיסטן ומהודו".
את עוקבת אחר ארגונים הרבה זמן ואפילו זרקת פה כינוי חיבה לאחד מהם. אתה מפתח איזו הערכה או חיבה אליהם?
"לגמרי. אנשי מודיעין באופן כללי נקשרים לפעמים לאובייקטים, וזה נכון גם לגבי סייבר. זה לא הזדהות אבל לפעמים אתה ממש מבין מאיפה זה בא. אבל זאת תחרות יומיומית וזה או שהוא משיג את המטרה או שאתה משיג את המטרה שלך, ולכן אתה חייב להיות כל הזמן על המשמר".
כמה אופי התקיפות קשור לתרבות במדינה או לאופי הממשל?
"זה מאוד קשור, עד כדי בלתי נפרד. אחד הדברים שמדינות או ארגוני סייבר נבדלים אחד מהשני זה ברמת הסקיוריטי. יש כאלו שיפרצו לרשת שלך ולעולם לא תוכל לדעת ויש כאלו שלא איכפת להם כי זה לא נחשב גנאי. למשל בנושא הסיני זה ממש מפתיע אותי - גם המדינות המיודדות עם סין, שמקיימות איתן יחסים עסקיים מלאים, מטורגטות באופן יומיומי על ידי התוקפים הסינים".
מה הסינים מנסים להשיג?
"הם לא ייכנסו למכרז בלי לדעת איזה מחיר הם צריכים להציע. מבחינתם זה לא משהו רע, זה כמו בדיקת נאותות. הם מפתחים כלים ואז הם מתחילים לעשות קמפיין, שכולל תקיפה של כמה מדינות. יש גם סדר גיאוגרפי, בדרך כלל תוקפים את טורקיה ואז את איראן, שבהן יש להם אינטרסים מאוד גדולים בגלל מכרזים כלכליים ותחבורתיים, ואז מגיע תורנו. יש לנו סנסורים ואנחנו יודעים שאנחנו צריכים להיות בהיכון".
כמה זה נורא, אם בסוף הם רק רוצים לדעת כמה להציע במכרז?
זה כמו סכרת. זה לא הורג אותך מחר אבל זה הרוצח השקט. אני חושבת שמדינת ישראל עשירה בדבר אחד, שהיא אולי הכוח הגדול שלנו כעם, וזה החדשנות. זה מצע הגידול לאותן חברות סיניות. מרמת החקלאות ועד הביולוגיה, הרפואה, תעשיית ההגנה האווירית. כל הפורמולות והנוסחאות זה מבחינתם זהב. הם יגנבו את זה עכשיו ומחר לא תרגיש את זה - זה לא שהם ימכרו מחר בבוקר כיפת ברזל. אבל לאורך זמן תראה שיש להם מערכת דומה עם שיפורים, מחיר זול יותר וגם את רשימת הלקוחות שלך. לאורך זמן הם מפרקים את הכלכלה".
אז כל הזמן מדברים על זה שאנחנו לא משקיעים במחקר, אבל מה שצריך להדאיג אותנו זה שהמידע שיש לנו זולג לכל מקום.
"יש לי חברה שהפכה להיות ראש מעבדה והיא מפתחת כל הזמן פטנטים חדשים בתחום החקלאות. וכל פעם אני יודעת שיש באזור שהיא עובדת עוד ועוד מהלכים סיניים שאנחנו רואים. זה קרה, השאלה מה אנחנו עושים עם זה".
"אני לא אוהבת שפוגעים בתשתיות אזרחיות כדי להפעיל לחץ על מדינות"
סנז ישר, היום אנליסטית מודיעין ומחקר ראשית בחברת Fireeye, שירתה בצה"ל בין השאר ביחידת סייבר התקפי. הנושא הזה נמצא בשנים האחרונות בכותרות בעקבות הקמת חברות סייבר התקפי. אלו מוכרות טכנולוגיות שמנצלות חולשה לממשלות וגופי מודיעין. אולם בין לקוחותיהן יש גם חברות מדינות לא מערביות, ולפי מחקרים שנערכו בעולם, הטכנולוגיות הללו משמשות גם לרדיפה של מתנגדי משטר וקבוצות מיעוט.
מה את אומרת על חברות כאלו, אין עם פעילות כזאת בעיה אתית?
"אני לא הייתי עובדת בחברה כזאת, אישית. וזה לא שלא היו לי הצעות. אני כן חושבת שאם יש מקום אחד שאני יכולה לדמיין שהם עדיין עומדים ברף מוסרי מסוים זה בישראל. הכל פה מפוקח תחת צו ביטחוני. אז אם עושים דברים כאלו, עדיף שזה יהיה בתוך מדינת ישראל. עם זאת, שמענו על חברות שמושכות טאלנטים למדינות שהחוק הישראלי לא חל עליהן ואז יש לי בעיה מאוד גדולה עם זה. הם למדו את המקצוע במערכות שלנו וזה בעייתי גם מבחינת האתיקה וגם בריחת המוחות".
קיבלת הצעה כזאת לעבור לחו"ל?
כן.
באופן כללי, יכול להיות שבעולם הסייבר היטשטשו גבולות המוסר? יותר קל לבצע תקיפת סייבר מאשר לפרוץ לאנשים הביתה.
"אני אגיד משהו שהוא לא מאוד פופולרי. אני חושבת שדווקא בתחום הסייבר המוסר הוא יותר חזק מאשר בתחום הקינטי. למשל, אם מדינה מסוימת יורה על המדינה שלך רקטות ואתה רוצה לנטרל את האיום, אז אתה יכול לשלוח מטוסי חיל אוויר ולתקוף למשל את מערכות החשמל במדינה התוקפת. כל תקיפה קינטית כזאת, יש בה הרבה אבידות"
אבל תקיפת סייבר היא יותר סטרילית, אתה מוריד חשמל בלי בעיה.
"עושים את זה במינון. אני זוכרת שבדקנו תרגיל שרוסיה עשתה. אחד הדברים שהם עשו זה להוריד את ה-GPS בכל מקום ואת יכולת התקשורת. כשהם נכנסו לגיאורגיה הם הורידו את הטלפונים ולא היה אפשר לגייס חיילי מילואים ואז רוסיה נכנסה למדינה, עשתה מה שרצתה ויצאה. אם זה יותר קל, אז כנראה שאתה צודק - כי בזמן האחרון רואים דברים שאני לא כל כך אוהבת. אני לא אוהבת שפוגעים בתשתיות אזרחיות, אפילו אם זה בסייבר, כחלק ממדיניות כדי לגרום לחץ על אותה מדינה. לי אישית יש בעיה מוסרית עם זה, אבל לא ראיתי את זה הרבה פעמים. כל הצדדים לוקחים על עצמם אחריות מבצעית".