הסודות שעזרו לחמאס, האם באמת למדנו לקח?

אין כמעט ישראלי אחד שלא משתמש בוואטסאפ. שיחות בוקר, קביעת פגישות, שיתוף חוויות מחו"ל וגם ריכולים - אפליקציית העברת המסרים של חברת מטא השתלטה לחלוטין על סדר היום שלנו.

● מנהלים אש בסמארטפון: האם צה"ל יכול להסתדר בלי וואטסאפ?
● רשתות הקמעונאות רוצות מידע מהסלולרי שלכם, לפני שהן מחליטות איפה לפתוח חנות
● תרגום בלעדי מהאטלנטיק: למה האנטישמיות באמריקה מנצחת שוב 
● ראיון | מומחה למשברים כלכליים בטוח: "הביטקוין זו בועה. הוא לא יכנס לתיק ההשקעות שלי" 

אך בחודשים האחרונים נראה שהתלות עולה שלב: אפילו את המלחמה אנחנו מקיימים, בין היתר, בוואטסאפ. זה מתחיל בגיוס המילואים וניהול כוח האדם שמתבצע דרך הפלטפורמה, ממשיך בחיילים שמעבירים תאריכים, שעות ומסלולים של משאיות עם אוכל וציוד שמיועד לבסיסים, ומגיע עד ללוחות שמירות וזמני דיונים מסווגים שנמצאים בקבוצות השונות.

על פי אחת העדויות שהגיעו לגלובס מסתבר שאפילו ניהול אש בלחימה התבצע במקרים קיצוניים בעזרת הוואטסאפ. כך למשל, כלים כבדים אינם יכולים תמיד לעמוד חשופים מול מטרות ולירות, ולכן הם נאלצים להישאר בעמדה אחורית ולעלות לקו ראייה ישיר רק לזמן קצר מאוד ולביצוע הירי בלבד. הפרקטיקה הזאת לעתים מקשה את היכולת לכוון בצורה מדויקת ונדרשת הכוונה חיצונית. פה נכנס לתמונה הוואטסאפ - תצפיתן שעמד בעמדת הסוואה מעיד כי צילם את הפגיעות והעביר באמצעות אפליקציית המסרים את התיקונים הנדרשים.

אגב, אפילו הכתבה שלפניכם עברה את אישור הצנזורה הצבאית דרך הוואטסאפ.

מעבר לתלות המעמיקה בפלטפורמה, השימוש בוואטסאפ עשוי לייצר בעיית ביטחון מידע חמורה - גם מכיוון שמדובר בפלטפורמה אזרחית, וגם כי בסופו של דבר המידע מתגלגל ונותר בידיהם של עשרות משתתפי הקבוצות. מה הסכנה הקיימת, כיצד המידע יכול להתגלגל לחמאס והאם לצה"ל בכלל יש חלופות ודרך להתמודד עם הבעיה?

האם ההצפנה בטוחה?

השימוש הגובר והתלותי בוואטסאפ אינו חדש גם לאויבים שלנו. הדוח השנתי של מערך הסייבר הלאומי, שפורסם ממש בימים אלה, מציג עלייה של 43% בדיווחים על אירועי סייבר בשנת 2023. לענייננו, מתוך 13 אלף דיווחים, כ־68% התקבלו בתקופת מלחמת חרבות ברזל ו־41% עסקו בפריצות לרשתות חברתיות ולחשבונות וואטסאפ - פי 2.5 בהשוואה לשנה שעברה.

 חייל צה''ל משתמש בסמארטפון בשטח. ''יש להגדיר נהלים ברורים'' / צילום: Associated Press, Tsafrir Abayov

איך זה עובד? החייל מקבל הודעה תמימה, שנראית כאילו נשלחה ממחלקת הפיתוח של וואטסאפ, ובה הוא מתבקש למסור קוד שנשלח אליו לטלפון. מה שהוא לא יודע זה שבצד השני של המסך נמצא אויב שמנסה לפרוץ לו לוואטסאפ וזקוק בדיוק לאותו הקוד. באיגוד האינטרנט הישראלי מזהים עלייה משמעותית בדיווחים ובפניות בנוגע לניסיונות תקיפה והשתלטות על מספרים ישראליים בוואטסאפ.

נוסף על כך, האויב יודע למקד את התקיפות שלו נגד בכירים בצה"ל ובגופי הביטחון. יונתן בן חורין, מנהל קו הסיוע לאינטרנט בטוח של איגוד האינטרנט הישראלי, מסביר כי "תמונת המצב שנוצרה בחודשים האחרונים חושפת הישענות מוגזמת על וואטסאפ ככלי עבודה של בעלי תפקידים רגישים ובכירים בשירות המדינה, ורמת מודעות ומוגנות נמוכה בקרב בעלי תפקידים רבים. מספיק שיש חייל בקבוצה שעושה טעות ולא מודע למה שהוא עושה - ואותו התוקף מסתנן לקבוצה".

את הבעיה הזאת דווקא ניתן לפתור באמצעות אימות דו־שלבי וההבנה שאסור לנו לעולם למסור קוד אימות לשום גורם שמבקש מאיתנו לעשות זאת. אך גם אם כולם נזהרים, נשאלת השאלה - האם ההצפנה של וואטסאפ מספיק בטוחה והאם האויב יכול להגיע אליה, גם בלי שהמשתמש בקצה עושה דבר?

"הרצון לשמור על הסוד ועל ביטחון השדה שזור בכל התקופות הצבאיות - מהימים שבהם דיברו במורס ועד ימינו שבהם יכולות התקשורת עברו את גבולות הדמיון", מסביר ד"ר טל מימרן, מנהל אקדמי של הפורום למשפט בינלאומי באוניברסיטה העברית וראש תוכנית במכון תכלית. "אך אם בעבר הצפנה הייתה חשובה בעיקר בשדה הביטחוני - העידן הדיגיטלי הגביר את חשיבותה גם בשדה האזרחי. למעשה, יש שיגידו ששיטות ההצפנה המתקדמות ביותר בשדה האזרחי לא נופלות מאלה של מדינות רבות".

לדברי ד"ר מימרן, הצורך בהצפנה נובע מהרצון הכללי לשמור על בטיחות ופרטיות, וקפיצות המדרגה הגדולות בתחום קרו אחרי שערוריות שהביכו את חברות הביגטק. אך למרות שהוואטסאפ מוצפן מקצה לקצה, ברור לחלוטין שאי אפשר לסמוך על זה בעיניים עצומות.

"בסופו של דבר, ההבטחות המסחריות הן לא תורה למשה מסיני. אמנם ב־7 באוקטובר אפשר להבין למה השתמשו בוואטסאפ, כי באמת לא הייתה ברירה, אבל לא הגיוני שצבא מודרני יסתמך עליו בשגרה. צה"ל הוא צבא העם של מדינת הסטארט־אפ ואנחנו צריכים לקוות ולהאמין שלכוחות הביטחון שלנו יש גישה גם לאמצעי ההגנה וגם לאמצעי ההתקפה המתקדמים ביותר. יש להגדיר נהלים ברורים שלפיהם שימוש בכלים אזרחיים, גם אם מוצפנים לכאורה מקצה אל קצה, ייעשה רק במקרי חירום דוגמת אסון רב־נפגעים".

"שמעו תדרוכים שלמים"

בינתיים המצב רחוק מלהיות טוב, ומידע רב על בסיסים, יחידות וחיילים מופץ ומסתובב בקבוצות הוואטסאפ ועשוי להגיע לידי האויב. "בשנים האחרונות היה ברור שאויבים כמו חמאס מאזינים לטלפונים של חיילים ושומעים כל מה שהם שומעים ובחלק מהמקרים גם רואים", מסביר ד"ר צ'ק פרייליך, לשעבר סגן ראש המועצה לביטחון לאומי וכיום חוקר בכיר במכון למחקרי ביטחון לאומי.

"לפעמים הם גם שמעו תדרוכים מבצעיים שלמים. צה"ל אמנם מנסה להעלות את המודעות ולתקן את זה, אבל ככה חמאס הצליח להגיע למידע מודיעיני קריטי. צריך להבין שגם מידע לא מסווג שמתפרסם בקבוצות וואטסאפ יכול להיות רגיש מאוד - אפשר לדעת מתי משאית הציוד מגיעה, איפה החיילים נמצאים עכשיו ומה הם עושים.

"כל מידע ושטות שחייל כותב לחברה שלו, כמו שהם עצרו את הלחימה, יכול לשמש מידע נגד צה"ל. אז לכאורה מדובר בנתונים 'חלביים', אבל אם מוסיפים לזה את הידע הנוסף ואת האיכון, זה הופך לנשק".

וצריך לומר - גם אם הוואטסאפ מוצפן והאויב לא יכול לגשת אליו, יש בעיה בעובדה שהמידע מתגלגל בכל מקום ונתון לשיקול דעתו של החייל בשטח. הוא יכול להעביר אותו, לשתף אותו ואף להפיץ אותו ברשתות החברתיות.

ד"ר מימרן מציין שכשמשתמשים בוואטסאפ לצורך מבצעי יש לכך השלכות נוספות. "כשמפקד צבאי או מפעיל כלי טיס מגיע לתקוף - עליו להביא בחשבון את המידע המדויק והעדכני ביותר, ולצורך כך המידע צריך לעבור דרך חמ"ל מסודר, או דרך חדר מטרות. הדבר חשוב לא רק בשביל הפרוטוקול, אלא בשביל שיתקבל אינפוט מקצועי של איש מודיעין, איש משפט, איש חקר ביצועים ועוד.

"חשוב לזכור את ההשלכות הרחבות של כל פעולה צבאית, ובמיוחד תקיפה שיכולה להוביל לנזק ניכר לרכוש, לפציעה או למוות. תקיפות נבחנות בידי הציבור, התקשורת והעולם, ואל לנו לזלזל בהשלכה של שמירה על תדמיתו של צה"ל כתור צבא מוסרי שפועל בהתאם לדיני הלחימה. יש לכך משמעות ביטחונית, כלכלית, גיאו-פוליטית ועוד".

הסודות שעזרו לחמאס

כשמדברים על נגישות למידע בלתי מסווג שרץ בוואטסאפ וברשתות החברתיות, אי אפשר שלא להזכיר את הקשר לאירועי 7 באוקטובר. אחד המאמרים שעוסקים בכך הוא "הסוד הבלתי מסווג" - שכתבו עבור מרכז בגין סאדאת סא"ל במיל' ארז מגן, מומחה לאבטחת מידע שכיהן בעברו כסגן ראש מחלקת ביטחון מידע של אמ"ן בצה"ל וקצין ביטחון המידע של פיקוד דרום, וד"ר נתנאל פלמר, מרצה בכיר במחלקה ללימודי המזרח התיכון באוניברסיטת בר אילן.

במאמרם טוענים השניים שמתקפת חמאס התבססה על מודיעין שחלק מרכזי ממנו "הוא מידע אזרחי או מידע צבאי שאינו מסווג בהכרח". כלומר, המידע הזה אינו מוגדר כמסווג, אבל בפועל הוא ערכי לאויב. "לצד המידע הצבאי היה ברשות חמאס מידע אזרחי, פרטי ומנהלתי שאפשר לו לממש את כוונותיו ולפעול בצורה אפקטיבית בתוך היישובים שתקף", נכתב.

"מלבד מפות שזמינות לעין כול, ניכר כי לחמאס היה מידע על אתרים מסוימים בתוך היישובים, אשר חלקו ניתן לאיסוף ברשת האינטרנט, וכן מידע אשר ניתן לאסוף בהפעלה אנושית של אזרחים ללא נגישות צבאית, כמו מיקום כיתות הכוננות, מוקדים מרובי חיילים ואזרחים, מעטפת ההגנה של היישובים ועוד".

לפי המאמר, המידע הטקטי הופך לערכי, במיוחד כשהפרטים מצטרפים לתמונה הגדולה מהמקורות המודיעיניים השונים. הכותבים אף טוענים שהמידע הזה לא צריך להיות מוגדר כבלתי מסווג, ושהמגמה צריכה להיות צמצום קלות ההשגה של מידע אזרחי שאינו חיוני. "יש צורך לשמור על חופש מידע מרבי, אך גם להכיר באילוצי ביטחון".

כל המידע, על מגש של כסף

ומה חושבים בצה"ל על כל זה? ניתן להעריך שהם מודעים לסיכון שבשימוש בוואטסאפ. גם אם ניתן איכשהו "להכיל" תקשורת בלתי מסווגת בפלטפורמה, המציאות של תכנון מבצעי או מודיעיני בוואטסאפ לא מתקבלת על הדעת.

בשנים האחרונות צה"ל מנסה להתגבר על הבעיה ומתפאר בעובדה שיש טלפון צבאי שמאפשר ללוחמים בשטח להסתמס, לצלם ולדבר בשדה הקרב. על פי הפרסומים השונים, המכשיר הזה בשימוש הצבא מאז 2018, ולפי פרסום באתר N12, כמות המכשירים האלה בצה"ל הוכפלה מאז תחילת המלחמה.

עם זאת, בחודשים האחרונים עולות טענות שאין מספיק מכשירים לחיילים, מה שלמעשה מחייב שימוש של סמארטפונים בשטח. דה פקטו, המשמעות ברורה: כל הנחיה וקריאה לחיילים מתבצעת בוואטסאפ. ערמות של מידע מצטברות בפלטפורמה האזרחית.

​מעבר לכל הסיכונים, אפשר רק לתהות מה יקרה אם הוואטסאפ יקרוס. הרי אין חוזה ביטחוני בין צה"ל למטא, ואין שירות לקוחות שנועד לפתור בעיות אלה. אז איך צה"ל מרשה לעצמו להסתמך על פלטפורמה אזרחית שאין לו קשר ישיר אליה?

ואחרי הכול דווקא כאן, ובמיוחד בימים אלה, נשאלת השאלה איך צה"ל מתכוונן להילחם באויב שלו, ולא לתת לו על מגש של כסף את כל המידע שהוא צריך.

מדובר צה"ל נמסר בתגובה: "מערך ביטחון המידע מבצע ניהול סיכונים שוטף, בקרה וניטור על השימוש בתקשורת בלתי מסווגת ביישומון וואטסאפ. צה"ל שם דגש על אחריות המשרתים לשמירה על מידע מסווג, הן במשמעת פיקודית והן בביצוע מעקב הדוק של חריגה מההנחיות. ככלל, חל איסור לחיילי צה"ל לשאת מכשיר סלולרי אזרחי ברצועת עזה למעט דרגי מ"פ ומג"ד. הדרגים הרלוונטיים מקבלים סלולר צבאי לשימוש מבצעי ועוברים תדרוכים מסודרים על ידי קצין ביטחון המידע באוגדה. צה"ל משקיע מאמצים בבניין כוח ובהגברת השימוש בתקשורת מוצפנת ובפלטפורמות בשליטת צה"ל".