"ערוכים היטב לאיומים"
חמ"ל הסייבר של ישראל הוא ה-CERT הלאומי שממוקם בבאר שבע. לראשונה, מעניקים אנשיו לישראל דיפנס הצצה לפרטי פעילויותיו. מיוחד
דן ארקין
| 24/05/2018
צילום: באדיבות מערך הסייבר הלאומי
זה קרה בחול המועד פסח 2018, כאשר מקומות עבודה רבים היו סגורים. מתקפת סייבר 'מתונה', הופלו אתרים של הסתדרות המורים, של עיריות הרצליה ואילת ושל בתי חולים. מומחי הסייבר הגדירו את המתקפות "לא מתוחכמות, קל היה לשחזר את המידע. ההאקרים הללו התמקדו באתרים קטנים יחסית, כאלו שלא הושקעו משאבים רבים באבטחת המידע שלהם".
דוגמה לניסיון אמת רציני יותר שאירע באחרונה: קמפיין PHISHING ממוקד נגד המדינה, ניסיון פריצה לעשרת אלפים תיבות דואר. האירוע טופל על ידי מערך הסייבר הלאומי ולא נגרם נזק. המשמעות: מדינת ישראל מאוימת על בסיס יומי על ידי קבוצות או יחידים. מאז אותר והוגדר האיום, המדינה משקיעה משאבים גדולים במלחמה נגד איומי סייבר. זרוע הביצוע הממלכתית-ממשלתית היא מערך הסייבר הלאומי. אמצעי הלחימה המרכזי הוא חמ"ל הסייבר בבאר שבע, ה-CERT הלאומי.
מרגע שזוהו איומי סייבר נגד מדינת ישראל פעלה הממשלה, ובנחישות רבה ראש הממשלה בנימין נתניהו, להקמה ולארגון המוסדות הייעודיים למלחמה במתקפות סייבר. אנשי מערך הסייבר הלאומי מעידים שראש הממשלה זיהה מוקדם את משמעות האיום, ומכאן שהוא נחשב לפטרון המערך.
כבר באוגוסט 2011 אישרה הממשלה את הקמת מטה הסייבר הלאומי, מאוחר יותר הוקמה רשות הסייבר, ובסוף 2017 החליטה הממשלה לאחד כל הגופים – את מטה הסייבר ואת הרשות – ליחידה אחת, היא מערך הסייבר הלאומי. בהגדרה הרשמית אחראי המטה לכל היבטי הגנת הסייבר במרחב האזרחי, לגיבוש מדיניות, לבניין הכוח הטכנולוגי ולהגנה מבצעית בסייבר.
יגאל אונא, ראש מערך הסייבר הלאומי, הגדיר את מהות האיום בכנס סייברטק 2018 שהתקיים בתל אביב בינואר האחרון: "איומי הסייבר קודרים יותר ויותר. חורף הסייבר כבר כאן, וישראל איננה יוצאת מן הכלל". קודמו בתפקיד, ד"ר אביתר מתניה, אמר כי: "איום הסייבר הוא גלובלי, ולכן ההתמודדות והפתרונות חייבים להיות גלובליים".
המגמה התוקפנית של פצחנים, בודדים או מטעם מדינות, לתקוף מטרות היא חובקת עולם: נרשמים יותר ויותר ניסיונות לפגוע בתשתיות קריטיות, בתעופה האזרחית (יש עדויות שגדל מספר איומי התעופה מאז נכנס לשירות מטוס הנוסעים החדש של בואינג ה'דרימליינר'), יש יותר מקרי התערבות סייבר בבחירות לאומיות, ואפילו ניסיונות לפגוע במוראל לאומי. ההאקרים מנסים לפגוע בתוכנה ובחומרה.
רפי פרנקו, ראש מכלול עמידות במערך הסייבר מספר בראיון לישראל דיפנס כי "על מדינת ישראל יש ניסיונות תקיפה על בסיס יומי. רמת האיום גבוהה. אולם ישראל ערוכה היטב לאיומים ולתרחישים בתשתיות קריטיות, בממשל, באנרגיה. המדינה ערוכה היטב.
"מכלול העמידות כולל הגנה על כל התשתיות הקריטיות, מה שאנו קוראים תמ"ק – תשתיות מדינה קריטיות. חשמל, מים, גז טבעי, רכבות, רשות שדות התעופה, בתי הזיקוק, שרשרת ייצור החשמל וההולכה, משרדי ממשל המדינה, בתי חולים. בסך הכול 26 תשתיות קריטיות, שאותן אנו מנחים באופן ישיר. ההנחיה כוללת הכוונה והדרכה. הפצת חומר הדרכה על דרכי התגוננות, הגברת המודעות לסכנות הסייבר. אנו במטה הסייבר הלאומי מייצרים מעין כיפת ברזל סייבר, מערכת הגנה כדי למנוע התקפות למניעת שירות (DOS). אנו עוסקים בימים אלו ממש בכתיבת תורת ההגנה הלאומית למשק בנושאי סייבר".
מערך הסייבר כבר פרסם מסמך עב-כרס שכותרתו "תורת ההגנה בסייבר לארגון", וכך נאמר במבוא: "מרחב הסייבר הוא חלק בלתי נפרד מחיינו. אנו מחפשים מידע באינטרנט, מנווטים את דרכנו בכביש באמצעות תוכנת ניווט, משוחחים בטלפון הסלולרי, ולחלקנו יש קוצב לב או משאבת אינסולין המחוברים לאינטרנט – כולם חלק ממרחב הסייבר. ברמה העסקית אנו משתמשים בכרטיס אשראי, מנהלים בסיס נתונים של לקוחות, מנהלים ארגון גלובלי על ידי רשתות מחשוב, משווקים, קונים ומוכרים – והכל תוך התבססות על מרחב הסייבר".
ב'בור' של הסייבר
חדר המלחמה, או ה'בור' הארצי של הסייבר, או חמ"ל הסייבר הוא ה-CERT הלאומי שמושבו בבאר שבע. השם הרשמי הוא CERT-IL, כאשר CERT הוא CYBER EVENT READINESS TEAM , 'צוות כוננות לאירועי סייבר', ובעברית - מתא"מ, 'מרכז תיאום אירועי אבטחת מידע', או מרכז לטיפול באירועי סייבר במגזר האזרחי. הגדרות המשימה: מחקר ותגובה לאירועי אבטחה, תיאום טיפול באירועים בעת התרחשותם, ניטור מקורות מידע לזיהוי איומים, שת"פ עם גורמי CERT בעולם לבלימת התקפות מחו"ל, הסברה ופרסום. לראשונה מוצג ה-CERT הלאומי לפרטי פעילויותיו לישראל דיפנס.
ה-CERT הלאומי פועל בכל שעות היממה וימי השנה בקריית הסייבר בבאר שבע, קרוב לאוניברסיטת בן גוריון ולתעשיות. הוקם על ידי רפאל בשיתוף חברות מטריקס, EMC ו-IBM. הוא מאויש על ידי ציוותי תגובה שיודעים לתת מענה לאירועי סייבר. ה-CERT מקיים קשר עם כ-60 מתקנים דומים בעולם ועם 80 ארגונים פיננסיים חשובים בעולם והוא מוקד לביקורי אח"מים ואורחי הממשלה: עד כה ביקרו בו אורחים מעשרות מדינות, כולל ראשי ארגוני סייבר, יועץ נשיא ארה"ב לביטחון המולדת ולוחמה נגד טרור, שר הסייבר של אוסטרליה, השר לביטחון פנים של קנדה, נשיא בולגריה ושרים מיפן.
הפנייה ל-CERT הלאומי בכל תחומי מדינת ישראל היא בחיוג 9344*. המתקן מורכב משני חלקים: בשכבה (TIER) הראשונה כעין חדר מיון, שם מתקבלות הפניות על ידי צוותים מול מחשבים. הם ממיינים את הפניות, נותנים מענה ראשוני לפונה ומעבירים אותו לאולם הסמוך, המהווה את מרכז המבצעים והחקירות. משימות חמ"ל הסייבר הלאומי: ייצור תמונת מודיעין בנושאי סייבר, בניית המצב וכלים להכנת תמונת מצב לאומית (אזרחית ולא צבאית) , מתן הנחיות לציבור, פיתוח והכוונה בנושאי רגולציה הקשורים לביטחון סייבר, הכשרת כוח אדם, תחזוקה ותפעול של מתקני סייבר בחברות ובמפעלים ומשרדים.
מסביר רפי פרנקו: "בכל חומת הגנה יש חור, לפעמים יותר מאחד. תפקיד ה-CERT הוא להיכנס לפעולה כאשר יש אירוע סייבר, ניסיון תקיפה או אפילו חשד לתקיפה. במקרה הצורך, יוציא ה-CERT צוות תגובה IR - INCIDENT RESPONSE. צוות זה מורכב מטובי המומחים, הם יבואו למפעל הנפגע ויסייעו לאנשיו לסלק את האירוע, כדי שלא ייגרם נזק.
"משימה נוספת שלנו היא בניית הכוח הטכנולוגי. הכנת טכנולוגיות הגנת סייבר כחול-לבן למרחבי ההגנה בארץ וגם בחו"ל. לישראל מקום נכבד ביותר בתעשיית הסייבר העולמית – 20 אחוזים מההשקעות העולמיות בסייבר הן בחברות ישראליות, יצוא של קרוב לארבעה מיליארד דולר בשנה.
"ה-CERT הוא מתקן עסוק - יש לנו כ-140 פניות בחודש, 81 טיפולים באירועים בחודש. ומהו אירוע? ניסיון להתחזות לאתר אינטרנט באמצעות PHISHING, או ניסיון להכניס קוד זדוני (MALWARE) או כל פוגען אחר. אנו גם מפיצים כל חודש כ-500 התראות סייבר עם הנחיות התגוננות. זה כולל התראות תקיפות סייבר בחו"ל. אנו מפיצים את החומר באמצעות רשת CYBERNET או באי-מיילים לחברות. הפצת ההתרעות היא לפי נושאים, כמו פיננסים, אנרגיה וכו', כאשר החומר ממוקד להגנה על התחום הספציפי.
"ה-CERT פועל מול כמה מגזרים בסקטור האזרחי, שהעיקריים הם SOC (SECTOR OPERATIONAL CENTER) פיננסים, אנרגיה וממשל. מי שמטפל בפיננסים יהיה מי שמיטיב להכיר את התחום, מדבר בשפת אנשי הפיננסים והבנקאות ומסוגל לרדת לעומקן של התרעות מתקפות סייבר בתחום זה. בדרך כלל יהיה זה איש שבא מעולם הפיננסים".
מי הם התוקפים?
רפי פרנקו משיב ואומר כי "אני לא מתמודד מול תוקף אלא מול טכנולוגיה של תקיפה, זה מה שמעניין אותי".
הוא מגלה כי השנה תשיק המדינה את 'מערכת יובל', שהיא מערכת טכנולוגית שבאמצעותה יוכל כל ארגון במשק לבדוק בכוחות עצמו את רמת ההגנה נגד סייבר ואת כשירותו בנושא הגנה וביטחון סייבר, ולפי הנתונים לקבל המלצות כיצד להיערך, לשנות ולשפר.
מקצוע לחיים
השנה יפרסם מערך הסייבר הלאומי, במסגרת רגולציה, את רשימת מקצועות הסייבר, מה שקרוי אסדרת המקצוע. ניתן לבשר כי הרשימה תכלול חמישה מקצועות: מיישם סייבר, חוקר סייבר, בודק פגיעויות, טכנולוג סייבר ומתודולוג סייבר.
סייבר כמקצוע צובר תאוצה והכרה. מתנהלים חוגי סייבר בבתי ספר תיכוניים, מערך הסייבר הלאומי מקיים קורסים לחרדים ולנשים חרדיות, המקצוע הוכר כאחד המקצועות המיועדים לחיילים משוחררים, והמערך מקיים פעילות עם צה"ל כדי להכשיר אנשי סייבר בתיכון ולקלוט אותם אחרי הגיוס לצה"ל כמומחי סייבר בשורותיו.
ברוב מוסדות ההשכלה הגבוהה בישראל יש כבר לימודי סייבר, כך בטכניון ובאוניברסיטאות בן גוריון, תל אביב, ירושלים ובר אילן.
חמ"ל הסייבר של ישראל הוא ה-CERT הלאומי שממוקם בבאר שבע. לראשונה, מעניקים אנשיו לישראל דיפנס הצצה לפרטי פעילויותיו. מיוחד
צילום: באדיבות מערך הסייבר הלאומי
זה קרה בחול המועד פסח 2018, כאשר מקומות עבודה רבים היו סגורים. מתקפת סייבר 'מתונה', הופלו אתרים של הסתדרות המורים, של עיריות הרצליה ואילת ושל בתי חולים. מומחי הסייבר הגדירו את המתקפות "לא מתוחכמות, קל היה לשחזר את המידע. ההאקרים הללו התמקדו באתרים קטנים יחסית, כאלו שלא הושקעו משאבים רבים באבטחת המידע שלהם".
דוגמה לניסיון אמת רציני יותר שאירע באחרונה: קמפיין PHISHING ממוקד נגד המדינה, ניסיון פריצה לעשרת אלפים תיבות דואר. האירוע טופל על ידי מערך הסייבר הלאומי ולא נגרם נזק. המשמעות: מדינת ישראל מאוימת על בסיס יומי על ידי קבוצות או יחידים. מאז אותר והוגדר האיום, המדינה משקיעה משאבים גדולים במלחמה נגד איומי סייבר. זרוע הביצוע הממלכתית-ממשלתית היא מערך הסייבר הלאומי. אמצעי הלחימה המרכזי הוא חמ"ל הסייבר בבאר שבע, ה-CERT הלאומי.
מרגע שזוהו איומי סייבר נגד מדינת ישראל פעלה הממשלה, ובנחישות רבה ראש הממשלה בנימין נתניהו, להקמה ולארגון המוסדות הייעודיים למלחמה במתקפות סייבר. אנשי מערך הסייבר הלאומי מעידים שראש הממשלה זיהה מוקדם את משמעות האיום, ומכאן שהוא נחשב לפטרון המערך.
כבר באוגוסט 2011 אישרה הממשלה את הקמת מטה הסייבר הלאומי, מאוחר יותר הוקמה רשות הסייבר, ובסוף 2017 החליטה הממשלה לאחד כל הגופים – את מטה הסייבר ואת הרשות – ליחידה אחת, היא מערך הסייבר הלאומי. בהגדרה הרשמית אחראי המטה לכל היבטי הגנת הסייבר במרחב האזרחי, לגיבוש מדיניות, לבניין הכוח הטכנולוגי ולהגנה מבצעית בסייבר.
יגאל אונא, ראש מערך הסייבר הלאומי, הגדיר את מהות האיום בכנס סייברטק 2018 שהתקיים בתל אביב בינואר האחרון: "איומי הסייבר קודרים יותר ויותר. חורף הסייבר כבר כאן, וישראל איננה יוצאת מן הכלל". קודמו בתפקיד, ד"ר אביתר מתניה, אמר כי: "איום הסייבר הוא גלובלי, ולכן ההתמודדות והפתרונות חייבים להיות גלובליים".
המגמה התוקפנית של פצחנים, בודדים או מטעם מדינות, לתקוף מטרות היא חובקת עולם: נרשמים יותר ויותר ניסיונות לפגוע בתשתיות קריטיות, בתעופה האזרחית (יש עדויות שגדל מספר איומי התעופה מאז נכנס לשירות מטוס הנוסעים החדש של בואינג ה'דרימליינר'), יש יותר מקרי התערבות סייבר בבחירות לאומיות, ואפילו ניסיונות לפגוע במוראל לאומי. ההאקרים מנסים לפגוע בתוכנה ובחומרה.
רפי פרנקו, ראש מכלול עמידות במערך הסייבר מספר בראיון לישראל דיפנס כי "על מדינת ישראל יש ניסיונות תקיפה על בסיס יומי. רמת האיום גבוהה. אולם ישראל ערוכה היטב לאיומים ולתרחישים בתשתיות קריטיות, בממשל, באנרגיה. המדינה ערוכה היטב.
"מכלול העמידות כולל הגנה על כל התשתיות הקריטיות, מה שאנו קוראים תמ"ק – תשתיות מדינה קריטיות. חשמל, מים, גז טבעי, רכבות, רשות שדות התעופה, בתי הזיקוק, שרשרת ייצור החשמל וההולכה, משרדי ממשל המדינה, בתי חולים. בסך הכול 26 תשתיות קריטיות, שאותן אנו מנחים באופן ישיר. ההנחיה כוללת הכוונה והדרכה. הפצת חומר הדרכה על דרכי התגוננות, הגברת המודעות לסכנות הסייבר. אנו במטה הסייבר הלאומי מייצרים מעין כיפת ברזל סייבר, מערכת הגנה כדי למנוע התקפות למניעת שירות (DOS). אנו עוסקים בימים אלו ממש בכתיבת תורת ההגנה הלאומית למשק בנושאי סייבר".
מערך הסייבר כבר פרסם מסמך עב-כרס שכותרתו "תורת ההגנה בסייבר לארגון", וכך נאמר במבוא: "מרחב הסייבר הוא חלק בלתי נפרד מחיינו. אנו מחפשים מידע באינטרנט, מנווטים את דרכנו בכביש באמצעות תוכנת ניווט, משוחחים בטלפון הסלולרי, ולחלקנו יש קוצב לב או משאבת אינסולין המחוברים לאינטרנט – כולם חלק ממרחב הסייבר. ברמה העסקית אנו משתמשים בכרטיס אשראי, מנהלים בסיס נתונים של לקוחות, מנהלים ארגון גלובלי על ידי רשתות מחשוב, משווקים, קונים ומוכרים – והכל תוך התבססות על מרחב הסייבר".
ב'בור' של הסייבר
חדר המלחמה, או ה'בור' הארצי של הסייבר, או חמ"ל הסייבר הוא ה-CERT הלאומי שמושבו בבאר שבע. השם הרשמי הוא CERT-IL, כאשר CERT הוא CYBER EVENT READINESS TEAM , 'צוות כוננות לאירועי סייבר', ובעברית - מתא"מ, 'מרכז תיאום אירועי אבטחת מידע', או מרכז לטיפול באירועי סייבר במגזר האזרחי. הגדרות המשימה: מחקר ותגובה לאירועי אבטחה, תיאום טיפול באירועים בעת התרחשותם, ניטור מקורות מידע לזיהוי איומים, שת"פ עם גורמי CERT בעולם לבלימת התקפות מחו"ל, הסברה ופרסום. לראשונה מוצג ה-CERT הלאומי לפרטי פעילויותיו לישראל דיפנס.
ה-CERT הלאומי פועל בכל שעות היממה וימי השנה בקריית הסייבר בבאר שבע, קרוב לאוניברסיטת בן גוריון ולתעשיות. הוקם על ידי רפאל בשיתוף חברות מטריקס, EMC ו-IBM. הוא מאויש על ידי ציוותי תגובה שיודעים לתת מענה לאירועי סייבר. ה-CERT מקיים קשר עם כ-60 מתקנים דומים בעולם ועם 80 ארגונים פיננסיים חשובים בעולם והוא מוקד לביקורי אח"מים ואורחי הממשלה: עד כה ביקרו בו אורחים מעשרות מדינות, כולל ראשי ארגוני סייבר, יועץ נשיא ארה"ב לביטחון המולדת ולוחמה נגד טרור, שר הסייבר של אוסטרליה, השר לביטחון פנים של קנדה, נשיא בולגריה ושרים מיפן.
הפנייה ל-CERT הלאומי בכל תחומי מדינת ישראל היא בחיוג 9344*. המתקן מורכב משני חלקים: בשכבה (TIER) הראשונה כעין חדר מיון, שם מתקבלות הפניות על ידי צוותים מול מחשבים. הם ממיינים את הפניות, נותנים מענה ראשוני לפונה ומעבירים אותו לאולם הסמוך, המהווה את מרכז המבצעים והחקירות. משימות חמ"ל הסייבר הלאומי: ייצור תמונת מודיעין בנושאי סייבר, בניית המצב וכלים להכנת תמונת מצב לאומית (אזרחית ולא צבאית) , מתן הנחיות לציבור, פיתוח והכוונה בנושאי רגולציה הקשורים לביטחון סייבר, הכשרת כוח אדם, תחזוקה ותפעול של מתקני סייבר בחברות ובמפעלים ומשרדים.
מסביר רפי פרנקו: "בכל חומת הגנה יש חור, לפעמים יותר מאחד. תפקיד ה-CERT הוא להיכנס לפעולה כאשר יש אירוע סייבר, ניסיון תקיפה או אפילו חשד לתקיפה. במקרה הצורך, יוציא ה-CERT צוות תגובה IR - INCIDENT RESPONSE. צוות זה מורכב מטובי המומחים, הם יבואו למפעל הנפגע ויסייעו לאנשיו לסלק את האירוע, כדי שלא ייגרם נזק.
"משימה נוספת שלנו היא בניית הכוח הטכנולוגי. הכנת טכנולוגיות הגנת סייבר כחול-לבן למרחבי ההגנה בארץ וגם בחו"ל. לישראל מקום נכבד ביותר בתעשיית הסייבר העולמית – 20 אחוזים מההשקעות העולמיות בסייבר הן בחברות ישראליות, יצוא של קרוב לארבעה מיליארד דולר בשנה.
"ה-CERT הוא מתקן עסוק - יש לנו כ-140 פניות בחודש, 81 טיפולים באירועים בחודש. ומהו אירוע? ניסיון להתחזות לאתר אינטרנט באמצעות PHISHING, או ניסיון להכניס קוד זדוני (MALWARE) או כל פוגען אחר. אנו גם מפיצים כל חודש כ-500 התראות סייבר עם הנחיות התגוננות. זה כולל התראות תקיפות סייבר בחו"ל. אנו מפיצים את החומר באמצעות רשת CYBERNET או באי-מיילים לחברות. הפצת ההתרעות היא לפי נושאים, כמו פיננסים, אנרגיה וכו', כאשר החומר ממוקד להגנה על התחום הספציפי.
"ה-CERT פועל מול כמה מגזרים בסקטור האזרחי, שהעיקריים הם SOC (SECTOR OPERATIONAL CENTER) פיננסים, אנרגיה וממשל. מי שמטפל בפיננסים יהיה מי שמיטיב להכיר את התחום, מדבר בשפת אנשי הפיננסים והבנקאות ומסוגל לרדת לעומקן של התרעות מתקפות סייבר בתחום זה. בדרך כלל יהיה זה איש שבא מעולם הפיננסים".
מי הם התוקפים?
רפי פרנקו משיב ואומר כי "אני לא מתמודד מול תוקף אלא מול טכנולוגיה של תקיפה, זה מה שמעניין אותי".
הוא מגלה כי השנה תשיק המדינה את 'מערכת יובל', שהיא מערכת טכנולוגית שבאמצעותה יוכל כל ארגון במשק לבדוק בכוחות עצמו את רמת ההגנה נגד סייבר ואת כשירותו בנושא הגנה וביטחון סייבר, ולפי הנתונים לקבל המלצות כיצד להיערך, לשנות ולשפר.
מקצוע לחיים
השנה יפרסם מערך הסייבר הלאומי, במסגרת רגולציה, את רשימת מקצועות הסייבר, מה שקרוי אסדרת המקצוע. ניתן לבשר כי הרשימה תכלול חמישה מקצועות: מיישם סייבר, חוקר סייבר, בודק פגיעויות, טכנולוג סייבר ומתודולוג סייבר.
סייבר כמקצוע צובר תאוצה והכרה. מתנהלים חוגי סייבר בבתי ספר תיכוניים, מערך הסייבר הלאומי מקיים קורסים לחרדים ולנשים חרדיות, המקצוע הוכר כאחד המקצועות המיועדים לחיילים משוחררים, והמערך מקיים פעילות עם צה"ל כדי להכשיר אנשי סייבר בתיכון ולקלוט אותם אחרי הגיוס לצה"ל כמומחי סייבר בשורותיו.
ברוב מוסדות ההשכלה הגבוהה בישראל יש כבר לימודי סייבר, כך בטכניון ובאוניברסיטאות בן גוריון, תל אביב, ירושלים ובר אילן.
