"כמו שוער כדורגל שלא יודע מול מי הוא משחק": ראש מערך הסייבר הלאומי עולה להתקפה

יגאל אונא, ראש מערך הסייבר הלאומי, מדבר על ההתקפות בימי הקורונה, האזהרה ששלח לחברות הביטוח עשרה ימים לפני הפריצה לשירביט ("הוצאנו מכתב שצורפה אליו תורת ההגנה") ועל ההערכה שהרע מכל עוד לפנינו ("אנו חווים את המבוא להקדמה")

יגאל אונא, ראש מערך הסייבר הלאומי / צילום: איל יצהר
יגאל אונא, ראש מערך הסייבר הלאומי / צילום: איל יצהר

יגאל אונא ואשתו רונית, שהייתה בהיריון באותם ימים, היו אמורים לטוס מלוס אנג'לס לישראל ב-11 בספטמבר 2001, היום שבו התרסקו מגדלי התאומים. "חמישה ימים לא ידענו מה קורה איתנו", מספר אונא, כיום ראש מערך הסייבר הלאומי, "יצא לי לעבוד עם ה-FBI והאמריקאים הרבה שנים, ואין ספק שמשהו דרמטי השתנה. אחד השינויים הכי דרמטיים בעקבות הפיגועים היה ה'פטריוט אקט' שהוא חוק דרקוני".

אונא, שהגיע למערך הסייבר מהשב"כ, מדבר על האופן שבו ארה"ב התמודדה עם אסון התאומים ומחווה בידיו תנועת מטוטלת. "אם בתנועת מטוטלת אתה לא עובד בצורה מאוזנת, וכל הזמן מאזין לכל מי שמשמיעים 'לא, לא, ולא' - אתה מהר מאוד מגיע לפה". וברגע שהוא אומר "פה" - הוא מזיז את המטוטלת הדמיונית שהוא מחזיק לצד השני.
ההשוואה ברורה. אונא מאמין שמערך הסייבר נטול סמכויות ועלולות להיות לכך השלכות קשות, "כשהחורף יגיע". בשנה האחרונה, בעקבות מגפת הקורונה, חוו כולם עלייה מטאורית בתקיפות סייבר.

הסגרים סיפקו לעולם שפע של האקרים משועממים, בזמן שהמעבר לעבודה מרחוק, סיפק שפע שערי כניסה חדשים למערכות הממוחשבות של הארגונים. עליית המדרגה העולמית לא פסחה על ישראל.

לאחר שנים שבהן נהנה המשק הישראלי מביטחון עצמי חסר כיסוי, הותקפו בזה אחר זה שורה של גופים משמעותיים בישראל. חברת הסייבר ורינט, חברת השבבים טאואר, מפתחת שבבי הבינה המלאכותית הבאנה, חברת התכונה עמיטל והמקרה הידוע מכולם - חברת הביטוח שירביט.

נזהרים מ"דבר" ו"מכת בכורות"

גל התקיפות הלך והתגבר, אבל לדברי אונא עוד לא ראינו כלום. "החורף לא הגיע", הוא אומר בראיון לגלובס, "אנו חווים את המבוא להקדמה לחורף. הנזק מתקיפות סייבר ברחבי העולם ב-2019 חצה את רף טריליון הדולר - כפול משיעורו ב-2018, וזו הערכת חסר. גם בישראל עשינו ניתוח שהתחלק לתרחיש של מכת סייבר קטנה ומכה גדולה. אנחנו מכנים אותן 'דבר' ו'מכת בכורות'".

המודל שמערך הסייבר קיבל ממנו השראה עוסק בתקיפה גלובלית שתגרום נזק מצטבר חמור, בסדר גודל של הסייבר וונאקריי, מתקפה חמורה שבה נגרם נזק מצטבר בהיקף של כארבעה מיליארד דולר.

על פי המערך, תרחיש "דבר", כולל השבתת פעילות קצרה של כיומיים וחצי בפעילות העסקית של כ-40 אלף חברות. בתרחיש הזה, הנזק הכלכלי הישיר והעקיף מוערך בחמישה מיליארד שקל. התרחיש השני, "מכת בכורות", כלל תקיפה ייעודית על חברות בורסאיות, בהן גופים פיננסים משמעותיים, אך ללא גופים ממשלתיים. במצב כזה, בעשרה ימי השבתה של עשרות חברות דולות - הנזק הישיר בלבד מוערך בכ-1.6 מיליארד שקל.

 איראן עלתה מדרגה בכל מה שנוגע להתקפה של יעדים ישראלים?
אונא: "אנחנו חווים עלייה משמעותית בהיקף, ובחומרה של תקיפות הסייבר מתחילת הקורונה. זה לא קשור בהכרח לשחקן ספציפי, זו מכה עולמית וישראל היא חלק מהעולם היותר חשוף, משגשג ועשיר - ולכן גם יעד טבעי ומזמין לתקיפות".

למה אין גורם ישראלי שמפנה אצבע מאשימה לעבר התוקפים?
"בכל העולם יש קושי בממד הסייבר, יותר מאחרים, לעשות 'ייחוס' ולו מההיבט המשפטי. בכמה מקומות בעולם בכלל הועמדו לדין סוכנים ממדינות אחרות בהקשר של סייבר? בשנה המטורפת האחרונה אנו מקבלים ניסיונות תקיפה ממדינות, ארגוני טרור ופשיעה ובעיקר מהאקרים חדשים בתחום. זהות התוקף פחות מעניינת אותנו ולכן אנו כמערך משקיעים בכך פחות. אנחנו לא ארגון אכיפה ולא נביא אותם לבית משפט".

בהשוואה למדינות אחרות בעולם - האם ישראל חוטפת יותר חזק?
"יש נתונים סותרים לגבי זה. יש מקומות שחוטפים פחות כי הם פחות דיגיטליים ופחות עשירים. המיקום הגיאופוליטי שלנו ומקדם העוינות הבסיסי נגד ישראל - מושך אלינו יותר אש גם מצד ההאקרים הבודדים. יש אזורים בעולם עם סנטימנטים אנטישמיים או אנטי ישראלים. אם בעבר בחור בדרום מזרח אסיה יכול היה לקלל אותנו מול ארון הבגדים שלו, היום ליד ארון הבגדים יש לו מחשב דרכו הוא יכול לנסות לתקוף".

איך ייראו החיים שלנו תחת מתקפת סייבר קיצונית שעלולה להתרחש, כתוצאה מתקיפה ישראלית באיראן למשל?
"בלי להתייחס לתרחיש כזה או אחר, בבסיס שלנו אנו נערכים להתרחשות של פגיעה ברציפות התפקודית וניסיון לפגוע בשגרת הקיום שלנו. פחות מענין אותי התרחיש ויותר מענין אותי פוטנציאל הפגיעה. מ-2002, בהשוואה לעולם אנו בין הראשונים שיודעים להגן על תשתיות קריטיות ורק השתפרנו מאז. יש יתרון בלהיות מותקפים קצת יותר מהממוצע העולמי. זה מחזיק אותנו דרוכים ובכושר קצת יותר מאחרים".

לא מכבסים את הכביסה בחוץ

מערך הסייבר הלאומי, שממוקם בבאר שבע, עם סניפים בתל אביב באפקה וברמת החייל, הוא הגוף הביטחוני הכי צעיר בישראל. הוא הוקם ב-2015 במסגרת החלטת ממשלה ומאז ממתין ליציאה מהשיתוק הפוליטי. כשפורסם ב-2018 תזכיר החוק שיגדיר את סמכויותיו, נשמעו קולות ביקורת על היקף סמכויותיו. היו מי שהביעו חשש מעומק הסמכויות שהוא מעניק לראש הממשלה, הבוס של ראש המערך. הגוף שקיבל את סמכויות ההגנה על תשתיות קריטיות מהשב"כ, אמור להתוות את מדיניות הסייבר של ישראל, וגם לשמש יועץ סייבר לממשלה, אבל מוצא את עצמו, על פי אונא, חסר אונים.

"התסכול שלנו בא לידי ביטוי כאשר אנשי סייבר מקצועיים ובאים ואומרים על סף דמעות 'אנחנו רואים את המתקפות עומדות להתרחש לנגד עינינו', אבל הגופים שאנחנו פונים אליהם להזהיר אותם לא רוצים לעשות מה שצריך".

לאורך כל הריאיון עימו, שהתקיים במשרדי המערך החדשים ברמת החייל, הוא נזהר שלא להזכיר שמות, שלא לפגוע. הקירות במשרדי המערך אמנם שקופים, אבל באקוסיסטם של תעשיית הסייבר עתירת הממון והכוח, משתדלים לא לכבס כביסה מלוכלכת בחוץ. לפעמים מתקשים להודות שיש בכלל כביסה.

אונא מדבר על הפריצה לשירביט שאותה הוא מגדיר "חברת ביטוח קטנה", מבלי לנקוב בשמה. לדבריו, "קח חברת ביטוח שחוטפת, אני רואה שהשערים פתוחים, וכל דיכפין ייתי וייכנס. אני רוצה להגיד להם 'עצרו'. אבל היום אני לא יכול לעשות כלום. אני יכול להתחנן, להתפלל ולבקש יפה. אין לי כלי אחר. מה נשאר? לעשות להם שיימינג? הממשלה לא עושה דברים כאלה".

אנשים לא מבינים איך נוצר מצב שאף אחד לא דאג למנוע את המקרה של שירביט, שמטפלת במידע של לקוחות כל כך רגישים כמו עובדי המוסדות הביטחוניים.
"הוצאנו מכתב לכל חברות הביטוח, עשרה ימים לפני האירוע, שצורפה אליו תורת ההגנה. אמרנו 'חבר'ה, אל תתאמצו. זה מה שאתם צריכים ליישם יחד עם רשות שוק ההון'. רוב חברות הביטוח מוגנות טוב".

אבל לא כולן.
"לכן אני רוצה במקרים מסוימים את הסמכות לבוא ולהגיד לחברה 'תעצרי בצד ותוציאי תעודות', תבצעי עכשיו את הדברים האלה, כי את מחזיקה נתונים של אזרחים, כי את חוליה חשובה בשרשרת האספקה, וכי גם למוניטין יש ערך. במשרד המשפטים מבינים שיש צורך כזה. אני אומר את זה קצת בחיוך מריר, כי כשיצאנו עם תזכיר החוק ב-2018, איזה עליהום עשו - האח הגדול, וכל מיני דברים".

ראש המערך מתייחס לסוגיית הסמכויות של מערך הסייבר שכאמור כבר הקימה עליה לא מעט ביקורת מצד מומחי משפט ופרטיות. ספרון שכותבים בימים אלה ד"ר תהילה אלטשולר שוורץ, עו"ד רחל ארידור הרשקוביץ, ועידו סיון סיבליה, מהמכון הישראלי לדמוקרטיה מפרק לגורמים את הסמכויות שמבקש המערך באמצעות תזכיר חוק הסייבר, מתוכו יילקחו ככל הנראה גם הסמכויות שיבקש המערך להעביר בהוראת שעה.

בשיחה עם "גלובס" הצביעו ד"ר אלטשולר שוורץ ועו"ד ארידור הרשקוביץ על המשמעויות האפשרויות של דרישת המערך. השתיים מזהירות כי אחד מהסעיפים שהמערך עשוי לבקש הוא סעיף כוללני שבפועל יעניק למערך גישה לארגונים כמעט בכל תסריט אפשרי. כך למשל אחד הסעיפים מתוך התזכיר קובע כי מערך הסייבר יהיה מוסמך להפעיל את סמכויותיו כאשר הדבר נדרש לשם הגנה על "אינטרס חיוני" מפני מתקפת סייבר. אלא שאחת ההגדרות ל"אינטרס חיוני", היא, למשל, "אינטרס שקבע ראש הממשלה בצו לאחר התייעצות עם השר הנוגע בדבר". (גילוי מלא: ד"ר תהילה אלטשולר שוורץ היא מחברת הקוד האתי של גלובס).

אונא מנמק את הצורך הגדול של המערך בסמכויות בהשוואה לצורך של הגופים האחרים, בכך ש"הם לא מתמחים בסייבר. זה לא התפקיד של רשות הפרטיות, צה"ל, משטרת ישראל וגם לא של השב"כ. להבדיל מרשות הפרטיות ואפילו רשות הטבע והגנים - אנחנו לא רשות חוקרת אין לנו סמכות מעצר ואנחנו לא מעמידים לדין".

החשש של המבקרים הוא לא מזה, אלא בדיוק מאותם סעיפים שיעניקו למערך גישה כמעט לכל פינה במשק תחת אצטלה ביטחונית, במקום לתת את הסמכויות לרגולטורים וגופי האכיפה המגזריים. החשש הוא שבמקום לחזק את האופי האזרחי שלו, הוא מבסס את עצמו כעוד גוף ביטחוני.

"אנחנו עוסקים באיום עם סממן ביטחוני. התוקפים שמעניינים את מערך הסייבר הם בעלי השלכה על ביטחון המדינה. אם זו תקיפה חמורה אנו צריכים להתמודד איתה באמצעים הכי מתקדמים וטובים שיש כולל סמכויות משפטיות. לאף גורם אחר אין אחריות, או הכלים הטכנולוגיים לטפל במרחב האזרחי. צה"ל מטפל רק בעצמו, וגם הגופים האחרים עסוקים בעצמם. אנו הגוף היחידי שמוגדר כמי שדואג ומטפל בשמירה, הנחיה וביצוע הגנה במרחב האזרחי. אנו פועלים במרחב האזרחי מול הציבור ועם הציבור יש לנו מוקד 119 שמקבל פניות מהציבור".

הביקורת נגדכם גורמת לעיכובים?
"יש איזונים בדמוקרטיה. דמוקרטיה לפעמים מעצבנת, אבל היא חשובה".

שוער כדורגל שלא יודע מול מי הוא משחק

כשאתה מסתכל קדימה, איך נראית מפת איומי הסייבר העתידיים?
"לפני פחות משנה הייתי בכנס הביטחון במינכן, והזמין אותי נשיא ב.מ.וו לארוחה אינטימית באמצע אולם תצוגה. הוא הציג את רכב האוטונומי העתידי שלהם. אתה נכנס בו ממש לתוך סלון. שאלתי אותו האם הוא יושק ב-2023 או 2024. הוא ענה 2021. זה אמנם נדחה בגלל הקורונה, אבל הם כבר מוכנים. למה הוא הזמין אותי? כי הוא הבין שהעסק הזה הוא עוד משטח תקיפה. אנו רצים אקספוננציאלית להרחבה של משטחי התקיפה.

"בנוסף, יש גורמים שאנו לא מזהים אותם תוקפים אותנו עתה, אבל ההערכה היא שזה יקרה. כשאתה מדבר על שינוע גז ומשאבי אנרגיה ועל ושיתופי פעולה בינלאומיים אחרים, אז יש מתחרים - חלקם עסקיים, חלקם גיאופוליטיים, וחלקם סתם אנטישמים וחלקם גם וגם. ואיך הכי נוח לתקוף? בסייבר".

ובמשחק הזה, רואה את עצמו אונא, כמו שוער במשחק כדורגל, "שמאחוריו שער גדול וחשוף יותר משל האחרים, ושהוא לא יודע כמה מגרשים יש מולו, או מול כמה שחקנים הוא משחק".

אם כבר מזכירים כדורגל. מולכם עולות חברות סייבר עם משאבים לקנות את ליאו מסי ורונאלדו ולהרכיב נבחרת חלומות.
"אני חושב שאנחנו משלמים מעט מדי, אך עם זאת פועלים יחד עם האוצר כדי לתת פייט. אם כבר, יש לי יותר בעיות בשימור עובדים".

"בנקים משמעותיים מאוד אוימו"

אונא חושף בראיון שני אירועים שלא פורסם. בראשון, שהוא מודה שאין מדובר בו באירוע פריצת סייבר קלאסי, בוצע ניסיון סחיטה נגד שורת בנקים בישראל. אם לא תשלמו, אוימו הבנקים, תתרחש נגדם מתקפה מסוג "מניעת שרות", במסגרתה מפגיזים התוקפים את היעד בפקודות מחשב שנועדו להעמיס עליו ולהביא לקריסתו. הבנקים דיווחו למוקד שיתוף המידע של הסקטור הפיננסי בבאר שבע, המחבר את משרד האוצר לבנקים, לחברות הביטוח ולבתי ההשקעות. לדברי אונא, "בנקים משמעותיים, אוימו - שלמו או שנפגע לכם בשירותים, ולקוחות לא יוכלו לעבוד איתכם. זו לא הייתה חדירה פנימה. בישראל מוגנים ברמה מרשימה בינלאומית הלוואי ועוד מגזרים היו מוגנים כמו הפיננסים. ברגע שהתקבל המכתב הייתה פה היערכות לאומית עם עוד גופים ממשלתיים".

במקרה נוסף, שגם הוא לא פורסם ואשר אירע לפני מספר חודשים נפגעה חברה שנחשבת חשובה בשרשרת האספקה של הרשויות מקומיות, באופן שהעמיד סיכון למאגרים של רשויות מקומיות ולפגיעה בשירותים לאזרח. המערך "זיהה כלים ופוטנציאל לאירוע כופרה או דלף מידע או מחיקה שנמנעו בזכות זיהוי, התערבות שלנו בזמן ושיתוף פעולה של הגוף".

איך יכול להיות שבכל העולם דיברו בחודשים האחרונים על הפריצה לחברת סולרווינד ואצלנו לא נשמעה מילה?
"זה פורסם בכל האתרים שלנו".

יכול להיות שיש פריצת ענק כזאת שלא יודעים עליה?
"כן, אבל הסבירות לכך נמוכה. זה יהיה יהיר מצדי להגיד שזה לא יקרה במאה אחוז".

איך נראתה השנה האחרונה שלך?
"תשאל את הצוות שלי. אין סופ"ש, אין שבת, אין חג".

איך נראית העבודה עם ראש הממשלה בנימין נתניהו?
"ראש ממשלת ישראל בקשב גבוה מאוד לסייבר ולכן אני נהנה מתמיכה, רוח גבית ויכולת לקדם דברים. בגלל מגוון הדברים שראש הממשלה עסוק בהם, אני נדרש לרמת עצמאות ויכולת לקדם את הדברים יותר גבוה ממקומות אחרים. אני לא יכול להתלונן".

ממשרד המשפטים נמסר כי "המשרד רתום לסייע להשלמת המהלך החקיקתי כך שניתן יהיה להסדיר משפטית את הפעילות השלטונית להגנת הסייבר על מנת שיעמדו לרשות המדינה כלים מגוונים ואפקטיביים להתמודדות עם איומי הסייבר בממשלה ובמשק האזרחי".

יגאל אונא (49)
מכהן כראש מערך הסייבר הלאומי מאז שנת 2017 • שירת כקצין בדרגת סרן ביחידת המודיעין 8200 ● ב-1995 הצטרף לשב"כ ובהמשך היה מעורב בחיסולו של המחבל יחיא עיאש ("המהנדס") ● נשוי, אב לשלושה ומתגורר בגבעתיים • בעל תואר ראשון בניהול והיסטוריה ותואר שני במנהל עסקים מאוניברסיטת תל אביב 

צרו איתנו קשר *5988