האם התעשייה מוגנת מפני מתקפות סייבר? "בחלק מהמפעלים לא מבינים למה זה קשור אליהם"

רפאל פרנקו, סגן ראש מערך הסייבר הלאומי, מספר בראיון שקיים לאחרונה עם "גלובס" כיצד הוא נערך למתקפות עתידיות על התעשייה ועל המתקפה על אתרים ישראלים במאי: "תדרכנו את חברות ההוסטינג, האכלנו בכפית, ובכל זאת זה קרה"

רפאל פרנקן / צילום: עודד קרני
רפאל פרנקן / צילום: עודד קרני

כחודש חלף מאז המתקפה האיראנית על תשתיות מים בישראל, ונראה כבר היה שהנושא ירד מעל סדר היום. אלא שמתחת לפני השטח העניינים לא מפסיקים להתחמם. בעקבות סדרת פיצוצים במתקנים רגישים שאירעו באיראן בחודש שחלף, חלה הסלמה בהתבטאויות האיראניות נגד ישראל. גורמים שונים מייחסים את אותם פיצוצים לישראל, וספציפית מעריכים שייתכן שהם נגרמו כתוצאה ממתקפות סייבר. בעקבות אותן הערכות גברו האיומים המרומזים והמפורשים למתקפת תגמול איראנית נגד ישראל בחזית הסייבר.

סדרת הפיצוצים האחרונה החלה ב-26 ביוני בפיצוץ בבסיס ח'גיר בטהרן, המשיכה ב-30 ביוני בפיצוץ במרכז רפואי בטהרן, ופיצוץ במתקן הגרעין בנתנז כמה ימים לאחר מכן ב-2 ביולי. אתמול אירעו פיצוצים בתחנת כוח אלזרקאן באחוואז ופיצוץ ודליפת גז כלור במתחם הפטרוכימיים כארון בעיר משעור במחוז באחוואז. על פי דיווחים, באירוע זה נפגעו כ-70 פועלים משאיפת גז כלור. סדרת פיצוצים זו הגיע לאחר שעוד בתחילת חודש יוני פקדה את איראן סדרת דליקות בלתי מוסברת במפעלים בסקטור הפלדה.

האיומים במתקפת סייבר נגד ישראל בעקבות האירועים צצו כבר בעקבות האירועים הראשונים בגל הנוכחי. בעוד שאיראן הרשמית מתרצת פיצוץ אחר פיצוץ בתקלות כאלה ואחרות, גורמים לא רשמיים החלו לשגר איומים מפורשים נגד ישראל. על אחד האיומים המעניינים שהגיע מפרשן איראני לענייני צבא המקורב למשטר האיראני, דיווח ערוץ הטלגרם "אבו עלי אקספרס". על פי הדיווח בערוץ, אותו פרשן צייץ בטוויטר איום מרומז, שלכאורה הגיע מפי האחראי על מערך הסייבר באיראן, ולפיו "אם ייווכחו באיראן כי פעולת סייבר ישראלית היא הסיבה לפיצוץ, הרי ש'חורף הסייבר' יגיע אליהם הרבה יותר מהר ממה שהם חושבים".

זה היה יכול להיחשב עוד ניסוח איראני ציורי יצירתי, אלמלא הדהד את הרגלו של יגאל אונא, ראש מערך הסייבר הישראלי, להתריע בהופעותיו הפומביות מפני בואו הקרב של "חורף סייבר". האיומים שהגיעו אחר כך כבר היו מפורשים יותר. כך למשל, דיווח הערוץ על איום באתר המקורב למשמרות המהפכה, שבו פורסמה מפת ישראל עם הכיתוב "נקמה גדולה", ואצבע המצביעה על איזור באר שבע, בו ממוקמים חלק ממשרדי מערך הסייבר.

איום מעניין נוסף עליו דיווח הערוץ "אבו עלי אקספרס" הגיע מפי עיתונאית בכירה בטלוויזיה הרשמית האיראנית, שרמזה שמתקפת הנגד תהיה במה שמכונה "פרויקט האזור האפור". ביטוי זה, הסביר הערוץ, הוא "שם כולל למגוון פעולות התקפיות מתחת לרף ההסלמה, כמו תקיפות סייבר, מאמצי השפעה תקשורתיים, סנקציות כלכליות ועוד".

"אנחנו מגביהים חומות מול היריבים"

האירועים באיראן, החדשות והאיומים המפורשים, מדגישים את החשיבות של חזית הסייבר כמו גם המודעות האזרחית אליה. בעקבות אותה מתקפה על תשתיות המים, החליטו במערך הסייבר, שהמנדט המרכזי שלו הוא הגנה על התשתיות הקריטיות, לצאת בראיון ראשון עם בכיר במערך ולהשיב לשאלות הקשורות להמשך ההיערכות של ישראל אל מול איומים עתידיים על תשתיותיה. הראיון התקיים במשרדי המערך במרכז הארץ, עם רפאל פרנקו, ראש הזרוע ההגנתית במערך הסייבר הלאומי וסגן ראש המערך לנושאי עמידות, בתחילת חודש יוני, לפני האירועים המדוברים. במערך הסייבר, בכל מקרה, לא נוהגים להגיב לפרסומים זרים.

פרנקו החל את דרכו במערכת הביטחון בשירות קבע בצה"ל. משם עבר לתפקיד מבצעי בשב"כ, וברבות השנים התגלגל לתפקיד האחראי על תחום ההגנה על תשתיות קריטיות, תחום שהיה תחת אחריותו של השב"כ מכוח החוק להסדרת הביטחון מ-2002. בהמשך הדרך, עברה הסמכות יחד עם פרנקו, בתחילה ל"רשות הסייבר", ולאחר מכן ל"מערך הסייבר", שאיחד את הרשות יחד עם "מטה הסייבר" לגוף ביטחוני אחד במשרד ראש הממשלה. בפעם הראשונה הוחלט במערך לשתף את הציבור באופן מקיף בפעולות הגוף המתנהל מזה שנים תחת מעטה חשאיות.

תחת אחריותו של פרנקו נמצאים בניין הכוח והפעלת הכוח שיאפשרו את עמידות המשק בפני מתקפות סייבר. הנטל המיוחד של המערך על התשתיות בישראל, מסביר פרנקו, נובע מהעובדה שבמקרים רבים קיימת רק תשתית אחת. למשל, במשק החשמל יש ספקיות שונות נוסף על חברת החשמל לישראל, אולם קיימת בישראל רק תשתית הולכה אחת. "יש נקודה ארכימדית אחת שפגיעה בה יכולה להביא להיעדר חשמל למדינה. אותו דבר גם במים - נכון שיש 56 מקורות אזוריים, אבל חברת מקורות יש רק אחת וכנ"ל בגז הטבעי וברכבת. מדינת ישראל נשתבחה ב-'יש רק אחד'", הסביר פרנקו, "והדבר מביא לתפיסת הגנה שונה מאשר באזורים אחרים כמו בארה"ב ובאירופה. לכן, מאחר שמבינים מלכתחילה שיש מעט תשתיות כאלה, ברור לנו שרמת ההגנה עליהן צריכה להיות אבסולוטית".

על פי פרסום בפייננשל טיימס, באירוע שבו הותקפו מפעלי טיפול בשפכים ובארות מים על ידי האיראנים, ניסו התוקפים להעלות את רמת הכלור במי השתיה. במערך הסייבר לא מתייחסים, כאמור, לפרסומים זרים, אך ניסינו לשאול את פרנקו, מה קרה שם בעצם.

לדבריו, "באירוע המים המדובר קיבלנו דיווח מחברה במשק שאיתרה ניסיונות תקיפה במערכות ההגנה שלה. מערך הסייבר בדק את הדיווח, ומיד הפיץ מיילים דרך רשות המים לכל גורם שעוסק בתחום המים כדי להעביר הנחיות ולקבל פידבקים על ניסיונות תקיפה שנבלמו. במקביל הנחינו קבוצה של 35 האינטגרטורים הגדולים במשק להיות ערניים יותר ולחדד את מערכות אבטחה. הכוונה לחברות שנותנות שירות למשק בתחום הטכנולוגיה התפעולית (OT)".

  האם הייתם ערוכים מראש למתקפה?

"כמה שבועות לפני ההתקפה פרסמנו מדריך לניהול מאובטח של בקרים תעשייתיים. אנו מכירים את האיומים ושיטות הפעולה של היריבים ומגביהים חומות מולם. נכון שיכול היה להיגרם נזק, אך למזלנו לא נגרם. בנוסף, בימים אלה אנחנו גם מקימים מעבדה מיוחדת למערכות SCADA - מערכות שליטה ובקרה לתעשייה".

  מה מצבנו מבחינת הגנה על התעשייה והמערכות המיושנות שמתפעלות אותה?

"עוד לפני האירוע התחלנו מהלך עם ההתאחדות התעשיינים. הרעיון היה להקים אצלם יחידה וולונטרית שתעסוק גם בהעלאת מודעות, סקרי סיכונים והכשרות לתעשייה. גם היו"ר הקודם שרגא ברוש, וגם היו"ר הנוכחי ד"ר רון תומר מסורים לנושא. אנו בוחנים יחד פתרונות טכנולוגיים כדי לתת מענה רחב יותר של ניטור והערכת סיכונים לתעשייה. נכון שיש עוד מה לשפר, אבל הבעיה היא לא הטכנולוגיה, אלא האתגר להגיע לכל המפעלים הללו, שחלקם שואלים 'מה הקשר שלנו לסייבר?".

  יש בכלל זמן לכל ההסברים האלה? זה יכול לקחת שנים.

"אנחנו פועלים מול התעשייה כדי לאמץ את ההנחיות שלנו, לפיהן יש להפעיל קודם כל את ההגנות הבסיסיות. הרי לא צריך שמפעלי הייצור יהיו באינטרנט. כבר עכשיו אנחנו מקבלים פידבקים מהסקטור התעשייתי במשק, לפיהם גופים עשו מה שצריך, כמו לנתק את היחידות התעשייתיות מהאינטרנט, או להפריד בין רשת הייצור לרשת המנהלה.

  אני רוצה לשאול על האירוע של השחתת האתרים שאוחסנו בחברת יופרס במסגרת אירועי OP-Jerusalem ו-OP-Israel. כיצד קורה דבר כזה, אנחנו הרי מעצמת סייבר. אינכם חושבים שאף על פי שמדובר בנזק זניח, היה עליכם לדאוג למנוע אותו ולו בשל הסיכון לנזק תדמיתי?

"צריך לחסן את הציבור - הוא צריך לדעת שיכולים לקרות דברים כאלה ושלרוב הם לא מסוכנים. אין דין בית חולים כדין מאות אתרים שנפלו. כמה שבועות לפני האירוע קראנו לכל חברות אירוח האתרים, ההוסטינג, ואמרנו להן שאנחנו רוצים לתדרך אותם לקראת המתקפה הצפויה וביקשנו שייערכו בהתאם. האכלנו אותן בכפית ובסוף זה בכל זאת קרה".

  לא יכולתם לסרוק את הרשת ולבדוק מראש?

"סרקנו. אז יש כאלה שיגידו שאם היתה רגולציה, כל זה היה נמנע, אבל אני לא חושב שדברים כאלה צריכים לבוא מרגולציה. הלכנו למהלך אחר - תודעה ציבורית. מהצד השני, שוחחנו עם ראשי המשק - עם התאחדות התעשיינים, לשכת רואי החשבון, לשכת ארגוני העצמאים (לה"ב) ואמרנו - זה מה שעשינו, זה לא עבד ועכשיו אתם מוזמנים להעביר את המחאה שלכם בעצמכם. בשבוע שעבר כל הארגונים האלה הוציאו מסמך לגופים שלהם שאמר: חברים - בקשו מכל הארגונים שמקבלים מכם שירות, לעמוד בהנחיות מערך הסייבר".

  ואתה לא חושב שזה צריך להיות התפקיד שלכם להיות אחראים לכך?

"האם נכון שמערך הסייבר יקפוץ עם תיק הג'יימס בונד (כדי להתערב בפועל באירועי סייבר, א"ב)? חד משמעית לא. מה שנכון - שהגוף יהיה מאומן ובעל יכולות וכלים ורק במקרה קיצון מסוימים שזה נוגע לביטחון הלאומי, אז המערך צריך לקפוץ. חיל הפרשים לא קופץ לכל אירוע. המטרה שלו היא שהגופים יהיו מספיק חזקים להכיל כל אירוע בעצמם.

"מה שאתה מתאר זה את 'שיטת המטריה', או 'כיפת ברזל', אבל צריך לזכור שגם היא לא מגינה ב-100%. פה יש הרבה מאוד טכנולוגיות והעושר הטכנולוגי מביא למורכבות הגנתית. בסופו של דבר, אם מסתכלים על נזק במרחב הישראלי - אין נזקים אמיתיים במרחב הסייבר הישראלי".

  ומה עם האירועים שפורסמו סביב פרשת חור האבטחה באפליקציית אלקטור לניהול קמפיין בחירות, שסבלה מחורי אבטחה שחשפו את ספר הבוחרים הישראלי. גם שם נכנסתם לפעולה אחרי שהסוסים ברחו מהאורווה.

"אני אחראי על רציפות תפקודית של המערכת כדי שהיא לא תושבת. אני אחראי על חיי אדם. שלא ימותו אנשים מאירוע סייבר. שלא תהיה פגיעה כלכלית. שלא ייפגע שירות חיוני לציבור. ולצד זה יש מי שאחראים על פרטיות. יש מספיק נושאים שאני אחראי עליהם וגם באירוע הזה פעלתי עם רשות הפרטיות עד שהבנו ששללנו אפשרות לאירוע סייבר, ווידאנו שזה לגמרי אירוע מתחום הפרטיות. גם טכנולוגית, האירוע לווה על ידי יחידת מבדקי החוסן של מערך הסייבר.

"בכל מקרה, אנחנו מנהלים את המתח בין הפרטיות לסייבר יותר טוב מאתמול, ויודעים לדבר עם רשות הפרטיות ולהתאים את הנהלים ביחד ונשתפר במעלה הדרך".

  האם יש לכם את המשאבים הדרושים לשם כך?

"לנו, כן".

"כשלישראל יהיו עננים לאומיים, ההגנה תשתפר"

  עד כמה הייתם מעורבים בהגנה על מערכת הבחירות?

"התבקשנו על-ידי ועדת הבחירות המרכזית להגן על הבחירות וסייענו לה לעבור שלוש מערכות בחירות בצורה מוצלחת. הענקנו לה סיוע רב".

  עד עכשיו לא ממש נחשפתם לציבור. יש לכם תוכניות להיפתח יותר?

"אנו עושים המון פעולות מודעות ויותר ונמצאים יותר עם הפנים לאזרח. יש הרבה יותר פניות במוקד 119, שמיועד לפניות מהמשק ומהאזרחים, ואנו מקדמים מהלכי מדיניות עם גופי משק גדולים. בימים אלה אנו נמצאים במהלך עם לשכת עורכי הדין".

  אילו עוד תוכניות יש לכם בקנה להגנה על המשק הישראלי?

"זה ייקח שנים בודדות, אבל בסוף התהליך המדינה תעלה על תשתית שמעוצבת מיסודה לפי צרכיי סייבר (Cyber by design). כשלישראל יהיו עננים לאומיים, רמת ההגנה על המשק תשתפר משמעותית.

"המטרה היא להעלות תשתית ממשלתית שעליה יוכל להתבסס כל המשק. מאחר שההשקעה הראשונה תתבצע על ידי המדינה, רמת האבטחה צפויה להיות בכמה סדרי גודל טובה מאשר היום. רמת האבטחה שהצבנו לספקיות הענן שרוצות לעבוד בישראל, בהשוואה למה שהן נותנות בכל העולם, היא בסדרי גודל גבוהה ממה שהן רגילות לתת. הדבר נובע גם מיכולת גילוי וזיהוי מקדים ויכולת העבודה איתנו. יהיה שיתוף מידע בין מערך הסייבר לאותו ספק".

  ספר לנו על המאמצים שלכם במסגרת המאבק במשבר הקורונה.

"שאלתי את הצוות - האם יש סיכוי שבגלל שיש פנדמיה עולמית - האם יכול להיות שמדינת ישראל לא תוכל לקבל סחורות מחו"ל, כי מדינות ישמרו לעצמן? שאלנו את עצמנו מה יכול להיחשב כרגע כקריטי לעם ישראל, בין אם אלה חברות של מכונות חמצן, חברות תרופות, או בתי חולים. שאלנו האם יכול להיות שלא יהיו ביצים במדינת ישראל ואכן עשינו בדיקה במועצת הלול לבדוק שאכן המערכות מוגנות ואת אותו הדבר עשינו גם במועצת החלב.

"בנוסף, שאלנו גם איך מוודאים שכל שרשרת האספקה האווירית מוגנת סייבר. מיפינו 282 ארגונים, כאלה שביומיום אתה לא עובד מולם, כי לא עניין אותך מי מייצר אלכוג'ל או אביזרים למכונות הנשמה. נעזרנו גם בחטיבת ההגנה בצה"ל שעברה להיות תחת פיקודנו לצורך העניין. הגענו לבתי חולים, ביצענו מבדקי חדירה וסייענו להגביה את ההגנות.

"לבסוף, העלינו באתר הממשלתי שלנו מרקטפלייס, חלקו מוצרים חינמיים, וחלקו מוצרים בהנחה, עם למעלה ממאה ארגונים שמוכנים להתנדב ולהגיד למשק - בגלל ההשתנות הדיגיטלית - הנה יש לכם מוצרי הגנה לשימושכם בתקופת הקורונה".

  מה אתה יודע על התגברות מתקפות סייבר על המגזר הפיננסי, כולל נזקים, גניבות או תשלומי כופר. חברות הסייבר הפרטיות אומרות שזה קורה אך לא מוציאות החוצה כדי לא לעורר פאניקה.

"אני לא מכיר התגברות של מתקפות על מוסדות פיננסים. הם תמיד יעדים אטרקטיביים, ולאו דווקא יותר בעת הזו. מה שכן, יש עלייה בעולם הכופרה (הנועלת את מחשב המשתמש ודורשת תשלום עבור שחרורו). ראינו הרבה ניסיונות, אבל הסיבה היא שסוג כזה של מתקפות בנוי על היכולת לרכב על סיפור טוב, בין אם זה מבצעי קיץ, חזרה לבית הספר או קורונה. ההתמודדות עם כופרה היא באמצעות מודעות. זה הכישלון של הגורם האנושי בקצה. אין דרך אחרת להתמודד עם כופרה, רק לאמן את הגורם האנושי".

מה דעתך על הטענה שהשמיע מפקד 8200 לשעבר נדב צפריר, שעומד בראש קבוצת טים8, לפיה עלולה להיווצר בעיה בשימוש במוצרי סייבר מבוססי בינה מלאכותית שמזהה אנומליות, בתקופה כמו של הקורונה בה הנורמלי משתבש?

"כרגע זו לא בעיה בעולם, אלא בעיה בעולם שלפתחנו. וכן, לוודא שמערכות הבינה מלאכותית עושות מה שהן צריכות לעשות, זה אתגר, אבל לא האתגר של היום, ולא האתגר של מחר, אלא של מחרתיים". 

מים, חשמל וגם פיננסים - על מי אחראי מערך הסייבר?

במדינת ישראל הוגדרו בחוק הביטחון כ-30 גופים המהווים תשתית מדינה קריטית, ובהם גופים כמו חברת המים מקורות, חברת החשמל, רשות הנמלים, רכבות, בז"ן ועוד, אותם מנחה המערך על פי חוק. אחריות המערך לא מתמצה בהם. לצידם, מפקח המערך למעשה על כל המשק הישראלי בדרגות שונות של סמכות. המגזרים האזרחיים המוגדרים כרלוונטיים למערך הסייבר הם אנרגיה, מים וביוב, מזון, תקשורת, תחבורה, בריאות, פיננסים, מפעלים חיוניים (כהגדרתם בחוק), גופים המחזיקים חומרים מסוכנים, המגזר הממשלתי והשלטון המקומי, מאגרי מידע, תשתיות תקשורת ואינטרנט, גופים המצויים בשרשרת האספקה של תשתיות קריטיות וכן מגזר ההשכלה הגבוהה.

מערך הסייבר מיישם אחריות זו באמצעות גופים שונים ושיתופי פעולה. הוא מפעיל את הגוף שנקרא ה-CERT הלאומי - המרכז הארצי לניהול אירועי סייבר - שפועל בכל שעות היממה, שבעה ימים בשבוע.

המרכז כולל חמישה תת מרכזים. מרכז מבצעי לדיווח על אירועי סייבר, אליו מגיעים דיווחים על מתקפות סייבר, חשדות וניסיונות פריצה, חולשות ופרצות אבטחה שמזוהות במשק. המרכז מקיים קשר רציף עם הציבור ועם ארגונים וחברות במשק במטרה לשתף ולקבל מידע אודות חשד לתקיפות סייבר, ומעניק סיוע ראשוני והמלצות לטיפול ולהגנה בחיוג חירום 119.

לצדו, פועלים ארבעת תתי-מרכזים כמרכזי שליטה ייעודיים שהקים המערך הסייבר בשיתוף משרדי הממשלה הרלוונטיים, אשר מעניקים מענה לאיומי סייבר ייחודיים למגזרים הפיננסי, הממשלתי, גופי ביטחון פנים ומגזרי האנרגיה, החשמל, ספקי התקשורת והמים. המרכזים מקבלים מידע מגופים בתחום העיסוק, מנתחים אותו ומשתפים עימם מידע רלוונטי, מגבשים תמונת מצב, מטפלים באירועי סייבר, מסייעים בחזרה לרציפות תפקודית וכן מתחקרים אירועים. בשנתיים הקרובות מתוכננים לקום גם מרכזי שליטה בתחומי, תחבורה והגנת הסביבה.

באחרונה הסכימו המערך ורשות המים על הקמת חמ"ל לנושא המים במסגרת ה-CERT בבאר שבע.