אגף התקשוב וההגנה בסייבר מציג: תפיסת בט"ש בסייבר. פרשנות

כנס התקשוב הבינלאומי הרביעי שהתקיים בשבוע שעבר היה לטעמי אחד המעניינים בהיבט השינויים שעוברים על צה"ל בממד הסייבר. במאמר זה אעשה סיכום אישי שלי לתובנות שעלו בכנס.

בשלוש השנים האחרונות צה"ל עומד בפני אתגר טכנולוגי שעתיד לשנות את דרך התנהלותו בממד הטכנו-מבצעי. לאתגר הזה קוראים בעגה עממית - מרחב הסייבר. למה עממית? כי מתחת למושג מרחב הסייבר מסתתרות תפיסות הפעלה ותשתיות טכנולוגיה שבימים אלו עוברות שינויים מהותיים בצה"ל, בהובלת אגף התקשוב וההגנה בסייבר.

בכנס התקשוב, כבכל שנה בארבע שנים האחרונות, עולים על הפודיום בכירי אגף התקשוב בהווה ובעבר וחושפים, ככל הניתן, את הפעילות של צה"ל בתחום התקשוב והסייבר. השנה האלוף נדב פדן, ראש אגף התקשוב וההגנה בסייבר, תיאר תפיסה מתקדמת שלא ראיתי אצל אף רגולטור אחר בארץ ובעולם. את התפיסה הזו אכנה 'תפיסת הבט"ש בהגנה בסייבר'. זה לא שם שאני המצאתי. לתפיסה נחשפתי לפני מספר חודשים בשיחה עם עמית מלצר, יועץ סייבר והשקעות, בעברו cto ומנהל פיתוח במשרד רוה"מ.

בט"ש בסייבר

הרעיון בתפיסת הבט"ש בהגנה בסייבר לקוח מהתפיסה הצבאית של הגנת גבול שוטפת הכוללת הגנה פרו-אקטיבית. כרקע לדיון מומלץ לקרוא את המאמר של ד"ר זכי שלום במערכות שגם כתב ספר בנושא. המאמר משרטט עקרונות תפיסתיים בהתמודדות עם בעיית הביטחון השוטף שנכונה במרחב הקינטי כמו הקיברנטי.

על מנת להתמודד עם התופעה, אגף התקשוב וההגנה בסייבר חילק את הפעילות התקשובית לשלושה חלקים - תשתיות תקשוב - מרכזי ה-DC, הראוטרים, הסיבים וכל התשתיות. התרחשות מבצעית (לומ"ר) - מעגל האש והפיקוד והשליטה והגילוי וההתרעה. סייבר - התרחשות זדונית שנועדה לשבש את שני המעגלים השניים. 

חלוקה זו תאפשר לצה"ל לקיים את תפיסת הבט"ש בשל היכולת שלו לנטר את התעבורה והפעילות המתרחשת ברמת התשתיות וברמת התקשוב המבצעי בכל מרכיבי הרשת - האלקטרוניקה, התעבורה, המידע והספקטרום. תפיסת הבט"ש מבוססת על היכולת שלך לנטר את כל התעבורה במרחב המוגן בזמן אמת. בלי התנאי הזה, אתה עיוור בסייבר.

פרו אקטיביות

אחד הסימנים שנראה כי צה"ל מבין היטב את זירת מרחב הסייבר היא ההבנה שתפיסת הבט"ש היא היחידה שכרגע יכולה לתת מענה לצבא. מדוע? כי כל השאר התפיסות מהעולם הצבאי הקינטי לא קיימות בסייבר. אין הרתעה שתמנע תקיפות על ישראל ואין עומק אסטרטגי שמאפשר להעביר את המערכה לאויב (צה"ל לא ממש יכול להפיל שרתי 'בולט פרוף' ברוסיה או סין או יכול להפיל מאות אלפי מחשבים אישיים תמימים שסרים לפיקוד בוטנט זדוני בשירות צבא זר).

במבט אסטרטגי צבאי הגנתי (על ההתקפי לא אוכל לכתוב), כל שנותר הוא תפיסת בט"ש משולבת עם עקרונות ריגול נגדי שאפרט בהמשך. לצד יכולת הניטור של מרחב הסייבר, צה"ל מפעיל גם חמ"ל צה"לי אקטיבי. כלומר, ההגנה שמתבצעת היא פעילה בזמן אמת ולא בדיעבד אחרי שמתגלה חשד או מתקפה. אם לדוגמא יזוהה זיהום שמתפשט ברשת כמו wannacry, חמ"ל כזה יוכל לאכוף מדיניות עדכונים והגדרות בכל רשת צה"ל - בגבול (פרימטר) ובתוך הרשת.

כדי שחמ"ל כזה יוכל להיות אפקטיבי, צה"ל הפך את אגף התקשוב לרגולטור עם אחריות על בניין הכוח בסייבר ולאחרונה גם על הפעלת הכוח בסייבר. שילוב של רגולציה, בניין כוח והפעלת כוח במקום אחד נותנים לאגף התקשוב יכולת ייחודית בהגנה בסייבר שאין לאף גוף אחר בישראל או בעולם. חשוב לציין כי תפיסת הבט"ש בסייבר שמוביל האלוף פדן היא ייחודית לצה"ל בכל העולם. אני לא מכיר גוף ממשלתי או מדינה שהצליחו ליישם תפיסה כזו דה פקטו.

הצלחת היישום של תפיסת הבט"ש בסייבר בצה"ל מבוססת על מספר שכבות שהניחו באגף התקשוב בשנים האחרונות. שיטוח תשתיות. אונטולוגיה אחידה לצבא. היתוך מידע. וביטחון מידע.

שיטוח תשתיות משמעותו ביטול הבידול הבין זרועי וההיררכיה של הרשתות בצבא. אגף התקשוב מאחד רשתות ושם את כל צה"ל על רשת אחת, שטוחה, שתאפשר לו למפות את כל נכסי המידע של צה"ל ואת נקודות החולשה (הכניסות לרשת). מה שאתה לא רואה, לא קיים. והאקרים אוהבים למצוא נקודות עיוורון ברשת הקרבן שלהם. מיפוי הנכסים החשובים ונקודות החולשה יאפשר בנייה מושכלת של מודל הערכת סיכונים לצבא. מודל כזה עוזר להכווין את ההשקעות במו"פ וברכש ועוזר למקד את מאמצי ההגנה במה שחשוב. ניהול מודל סיכונים נכון יאפשר לצה"ל ליישם רציפות מבצעית מבלי לחרוג ממסגרת תקציב קיימת.

אונטולוגיה אחידה היא זו המאפשרת לצה"ל ליישם את הלחימה הרב זרועית. המשגת שדה הקרב בצורה אוניברסלית לכל הזרועות ולתעשיות הביטחוניות תאפשר לחימה משותפת. לא עוד לחימה ברשת, אלא מרחב לחימה משותף - זה הכיוון של אגף התקשוב. תמונת קרב משותפת היא תוצר של אונטולוגיה אחידה. כך גם מכרז האש, מרחב התקשוב ותפיסות הפעלה נוספות המבוססת על המשגה אוניברסלית המרכיבים המתארים את שדה הקרב. תשתית זו גם תאפשר לצה"ל לשלב בעתיד כלים בלתי מאוישים בלחימה בזרועות השונות במודל של אדם-מכונה או מכונה-מכונה בצורה שקופה.

היתוך מידע הוא תחום שהופך את המידע לידע. סגירת מעגל ירי (זיהוי - הפללה - השמדה) הוא מיצוי יכולת זו שעומדת במרכז היכולות המבצעיות של צה"ל. אם היתוך המידע בצה"ל יהיה איטי יותר מזמן החשיפה של האויב הנעלם, צה"ל לא יפגע במטרות. כלומר, קצב היתוך המידע והדיוק שלו הם עיקר היתרון של צה"ל על ארגוני טרור וצבאות אחרים במזרח התיכון. לא סתם אמר האלוף פדן שיכולת התקשוב נקבעה על ידי הרמטכ"ל כיכולת אב מאפשרת. דרגת החשיבות הגבוהה ביותר בעיני המטכ"ל. בין היתר, חלק מהמהלכים לתמוך בהיתוך מידע מהיר ומדויק הם כינוס חוות השרתים ומכרז הענן.  

ביטחון מידע הוא היכולת של צה"ל למנוע זליגת מידע ולהבטיח את מהימנות המידע. הן בהיבט הטכנולוגי והן בהיבט האנושי באמצעות סיווג ביטחוני ושמירה על היררכיית סוד (בעיית הגורם האנושי). ביטחון מידע, לצד שמירת סודות מהאויב, אמור גם להבטיח למקבלי ההחלטות בצה"ל שהמידע שקיים במערכות של צה"ל יהיה אמין ומהימן (נכון). פייק ניוז יש גם במערכה צבאית, לא רק בחדשות.

ריגול נגדי בנוסף לבט"ש

ארבעת האלמנטים האלו מבטיחים בהסתברות גבוהה שצה"ל יוכל ליישם תפיסת בט"ש בהגנה בסייבר בצורה טובה. לצדה, כפי שציינתי צה"ל יצטרך לשלב תפיסת עבודה של ריגול נגדי בסייבר. בעוד המגזר העסקי והאזרחי מוטרדים בעיקר מפשע סייבר שמטרתו כספית (מרבית ההתקפות בסייבר הן למטרת רווח כלכלי), המגזר הביטחוני וצה"ל בתוכו מוטרדים מתאים רדומים ל'יום הדין' - יום פתיחת מלחמה קינטית נגד ישראל.

אם יש משהו שצריך לזכור לגבי כלי נשק צבאיים בסייבר הוא שמדובר בנשק חד פעמי. אם מצאת חולשה ופיתחת כלי תקיפה שיכול לפגוע ביכולת של צה"ל, הוא יעבוד פעם אחת. אחרי גל התקיפה הראשון המהנדסים של צה"ל והתעשיות יחקרו, ימצאו את החולשה, ויסגרו אותה. מאותו רגע, כלי התקיפה סיים את תפקידו.

בעיני היריב, כדי להשיג מיצוי יכולת מרבית מכלי התקיפה בסייבר הוא צריך להשתמש באלמנט ההפתעה. כלומר, להשתיל סוכני תוכנה רדומים בדמות יישומים שקטים שמחכים ליום פקודה ויכולים לשבש את פעילות מערכות צה"ל הקשורות ליכולת התארגנות גיוס המילואים, ביכולת של צה"ל להוציא התקפת נגד מהירה או ביכולות ההגנה האווירית של צה"ל. ההנחה היא שכלי סייבר משבשים כאלו ישמשו את היריב לפני פתיחת מתקפה קינטית על מנת להשיג יתרון טקטי בפתיחת הלחימה.

תיאור מצב זה אינו שונה ממה שהתרחש במלחמת יום הכיפורים עם סוללות ה-SA-6 ששיתקו את פעילות מטוסי חיל האוויר הישראלי עד שהמהנדסים בתעשיות הביטחוניות מצאו פתרון לשבש את מכ"מ הסוללות. (אפשר לקרוא על כך בין היתר גם באתר של רן לוי או בכתבה של יעקב אגסי). בסייבר, ככל הנראה מדובר בתרחיש דומה - הפעלת יכולת התקפית חד פעמית וזמנית בהשפעתה עד להתאוששות צה"ל.

סוכני תוכנה רדומים כאלו שבנויים היטב אינם אמורים לצוף באמצעות הגנת בט"ש בסייבר. זאת, מכיוון שהם אינם פעילים למעט איתותים תקופתיים למרכז פיקוד מרוחק המבוססים על תקשורת לגיטימית שקשה מאד לגלות אותה. יש כאלו גם שמתוכננים לפעול עצמאית ללא קבלת הוראה מרחוק אלא על פי תנאי בסביבת המחיה שלהם (אם קורה X,Y ו-Z - תפעל).

כדי לזהות סוכני תוכנה רדומים כאלו במערכות צה"ל יש צורך בשיטות ריגול נגדי לגילוי מרגלים. המטרה היא לשלוח מומחי סייבר שיניחו כי כאלו קיימים במערכות צה"ל ועכשיו צריך לחפש אותם ולגרות אותם לחשוף את עצמם. צה"ל צריך לחשוב כמו התוקפים. לנחש אילו מערכות או תהליכים ממוחשבים סוכני תוכנה כאלו יוכלו לשבש או להרוס במהלך שיתן לתוקף פוטנציאלי את חלון הפעולה הקינטית הארוך ביותר מול צה"ל.

דרך אגב, פעולות ריגול נגדי כאלו בסייבר מחייבות את צה"ל לבחון גם תשתיות אזרחיות. מדוע? כי צה"ל חייב לקחת בחשבון גם תרחישים של שיבוש המרחב האזרחי כפעולה שמטרתה שיבוש יכולת גיוס המילואים של צה"ל. ולא רק. אם האויב יצליח לשבש את בתי החולים, אספקת המזון, המים וכל תשתית נדרשת לקיום עורף אזרחי, יהיה לצה"ל קשה לפעול.

בלי פעילות רציפה של המשק האזרחי, צה"ל לא יוכל לגייס את העוצמה הדרושה להעברת הלחימה לשטח האויב. כאן כבר עולה השאלה מי צריך להיות אחראי על התשתיות האזרחיות במדינת ישראל, צה"ל או רשות הסייבר בהיבט ההגנה בסייבר. זה דיון שלא אכנס אליו בכתבה זו. אבל כן אמליץ לכל אזרח לחשוב על תרחישים. בסייבר אין גבולות בין העולם הצבאי לאזרחי.

הגנה מבוססת תהליכים מבצעיים

אין ספק כי יישום תפיסת הבט"ש בסייבר בצה"ל היא ייחודית ופורצת דרך. אמנם באגף התקשוב וההגנה בסייבר הדגישו בכנס כי מדובר בצעדים ראשונים, אך ניכר מהדברים כי ההבנה כבר שקעה. אחד המהלכים שהולכים לחזק יישום תפיסה זו הוא התערבות אגף התקשוב בתהליכים מבצעיים של צה"ל בכל הקשור להגנה בסייבר.

הוספת ממד הסייבר לתכנון תהליכים מבצעיים בלחימה משותפת יאפשר לאגף התקשוב להסתכל רוחבית על פעולה שמכתיבה חטיבת המבצעים, ויחייב את האגף לשלב בהגנת הסייבר גם הגנה על הספקטרום כפי שטענתי קודם לכן. שילוב הסייבר בלחימה מבצעית משותפת למרחב פעולה אחד יתן את אותותיו גם בפן ההתקפה. אמנם אי אפשר לדבר הרבה בהקשר זה, אך שילוב כזה יצריך את צה"ל בשינוי ארגוני היות וכיום ההגנה וההתקפה מתחלקות בין התקשוב ל-8200.

לסיכום, המהלכים שעושה צה"ל במרחב הסייבר כפי שהשתקפו בכנס התקשוב הבינלאומי הרביעי מראים על הבנה עמוקה של מרחב הסייבר ועל תעוזה ליישם תפיסת בט"ש בסייבר בצורה שלא יושמה במקומות אחרים. צה"ל במבנה השטוח, הבין זרועי, שמאפשר לחימה במרחב משותף מפעיל מאות אלפי סנסורים. כל חייל הוא סנסור וכל מערכת ממוחשבת היא סנסור מחד, ודלת כניסה מאידך. במציאות כזו, רק תפיסת בט"ש פרו-אקטיבית יכולה להקטין את ההסתברות שצבא אויב יוכל לשבש את פעילות צה"ל בשגרה וחירום ולהבטיח לצה"ל מינימום נחיתות מבצעית בפתיחת מערכה צבאית.

אולי יעניין אותך גם