הצי האמריקאי: איום הסייבר אינו ממשי וחשיבותו אינה רבה

חילות הים עברו שינויים במאות השנים האחרונות. מספינות עץ למתכת, מאוניות מפרש לאוניות המונעות באמצעות קיטור, ובהמשך דלק והנעה גרעינית. מאיל-ניגוח, למערכות תותחים ומשם לטילים ארוכי טווח. בעשורים האחרונים חילות הים בעולם מפעילים פלטפורמות מתוחכמות, המבוססות על מערכות לחימה, הנעה, ניווט, סנסורים ועוד, העתירות בטכנולוגיות מתקדמות.

המערכות מאפשרות לחילות הים לפעול בטווחים ארוכים מהחוף, תוך בניית תמונה ימית אחודה, תקשורת והעברת מידע טקטי ומודיעיני בין הכוחות הפועלים מעל הים, מתחת למים, באוויר וביבשה, ובין הכוחות למפקדות בחוף. המידע העובר במערכות אלו, בתוך כלי השיט והטיס, בין הכלים ובין הים לחוף הינו רב, מסווג ועתיר חשיבות.  ללא המידע תפגע משמעותית עד כדי השבתת יכולתם של הכלים לפעול ככלי בודד או כקבוצת קרב.

עם עליית הסחר הימי בשנים האחרונות, תופעה אותה מביאה הגלובליזציה ומשאבי האנרגיה שבים, הופך הממד הימי למטרה לתקיפות סייבר, שמטרתן גניבה, שיבוש מידע, ושיבוש ופגיעה במערכות הימיות השונות – בפן האזרחי ובפן הצבאי.

בהנחיית מזכיר הימייה האמריקאי, המודע לחשיבות הממד הימי לאסטרטגיה ולכלכלה האמריקאית מחד, ולאיומי הסייבר מאידך, הורה על כתיבת דו"ח, החוקר את מוכנות הצי האמריקאי, על נכסיו, אמצעיו ותשתיותיו, למתקפות סייבר ומשברי סייבר. הדו"ח, בן עשרות רבות מאד של עמודים, הוכן על ידי צוות בודקים גדול מאד, וכלל ייעוץ של חברות ביטחוניות, חברות סייבר ויועצים עצמאיים, פורסם לפני חודשים ספורים.

הדו"ח בדק את מוכנות הצי לאיומי סייבר ולתקיפות במספר ממדים:

הממד התרבותי: הדו"ח בדק את קיומה של תרבות, אסטרטגיה ומנהיגות, הפועלת בנדבכים השונים, להגדלת המודעות לתקיפות הסייבר, והמחוללת אסטרטגיה ברת יישום ומתוקצבת להתמודדות מול איומי הסייבר ומשברי סייבר.

הממד האנושי: הדו"ח בדק גיוס אנשי מקצוע להתמודדות עם איומי הסייבר, הכשרתם ואימונם.

הממד הארגוני: הדו"ח בדק האם אנשי אבטחת המידע בעלי יכולת השפעה על נהלים בצי, על ביצוע ביקורות ובקרה, שמטרתם העלאת המודעות וחיזוק ההגנה בסייבר.

הממד התהליכי: נבדקו תהליכי אבטחת המידע וההגנה בסייבר.

משאבים: הדו"ח בדק אלו משאבים מקצה הצי לאבטחת מידע והגנת הסייבר.

ממצאי הדו"ח האמריקאי 

בממד התרבותי:

פיקוד הצי אינו מבין את איומי הסייבר ואינו מאמין שאיומי סייבר מסכנים את הצי.

אין אסטרטגיה ברורה כיצד נדרש הצי להיערך ולהתמודד מול איומי הסייבר.

הנהלים אינם מגדירים את הציפיות וההתנהגות הנדרשת מאנשי הצי על מנת למנוע ולהתמודד עם איומי סייבר.

אין מודעות מספקת של אנשי הצי לאיומי הסייבר.

בממד האנושי:

אין תוכניות שירות וקידום לאנשי הצי העוסקים בהגנת סייבר.

תוכניות ההכשרה והאימון לאנשי הגנת הסייבר אינן מספקות ואינן נותנות מענה לאיומים עתידיים.

העסקה מצומצמת של מומחי סייבר חיצוניים, אינה נותנת מענה לאיומים עתידיים והכנה טובה של הצי לאיומי המחר.

בממד הארגוני:

שילוב אנשי אבטחת המידע והגנת הסייבר במבנה הארגוני של  הצי אינו מאפשר, הלכה למעשה, מתן הנחיות ובקרה על ההתנהלות הנדרשת למתן יכולת הגנת מערכות המידע והלחימה מתקיפות סייבר.

בממד התהליכי:

הדו"ח מצביע על כך שניטור מערכות הצי אינו מספק (עד כדי לא קיים) ואינו אפקטיבי דיו למניעת תקיפות סייבר.

הטמעה של מערכות זיהוי אישי ובקרת גישה למערכות המידע, כמעט ואינה קיימת.

לא קיים מיפוי מערכות קריטיות, טכנולוגיות ומערכות קריטיות וחולשות, ומכאן גם כי לא קיימות תוכניות הגנה מקיפות עליהן.

יתר על כן, התגלו חולשות רבות מדי במערכות.

ניהול הידע והעברת הידע בין הגופים אודות תקיפות סייבר, חולשות, אמצעי התגוננות ועוד אינו מספק.

משאבים:

הדו"ח מציין כי הצי אינו מקצה משאבים מספיקים ומאוזנים לטיפול באיומי הסייבר ובחולשות המערכות שהתגלו.  

הסייבר אינו איום ממשי

תפיסתו של פיקוד הצי האמריקאי לאיומי הסייבר בממד הימי, הינה שהרלוונטיות שלהם נמוכה, זאת על אף פעולתו של הצי האמריקאי העשירי, צי הסייבר. יש הרואים את עיוורונו של הצי האמריקאי לאיומי הסייבר לעיוורונו ולחוסר הבנתו את איום הגילוי על ידי מכ"מי הצי היפאני בקרבות מלחמת העולם השנייה ב- 1942 באוקיינוס הפאסיפי, שם ספג הצי האמריקאי אבדות רבות וקשות.

להבנתו של הצי האמריקאי איום הסייבר על כלי השיט, כלי הטיס, מערכותיו ותשתיותיו אינו איום ממשי ורב חשיבות, זאת על אף תקיפות סייבר המופנות לממד הימי בעשור האחרון, ומבוצעות כנגד נמלי ים, חברות ספנות וכלי שיט, ואשר תוצאותיהן ניכרות במגזר העסקי והצבאי.

כאשר בוחנים את התפתחות האיום בממדי הסייבר, בדגש בתווך הימי, של יריבותיה של ארצות הברית – סין, רוסיה ואולי אף איראן וצפון קוריאה, הרי שהן מפתחות יכולות תקיפת סייבר בכל הממדים, כחלק מתפיסה כוללת של לוחמה היברידית, לוחמה בה כחלק ובמהלך השימוש באמצעים קינטיים (טילים, רקטות וחימוש אחר), מתבצע שימוש באמצעים "רכים", כגון לוחמת מידע, הונאה, לוחמה כלכלית וסייבר.

אי-מוכנותו של הצי האמריקאי לאיום הסייבר, אי-מוכנות המובלת על ידי פיקוד הצי, בתפיסות מסורתיות ומיושנות, שאיום הסייבר אינו ממשי, מציגה הבנה מוגבלת של יכולות תקיפת הסייבר של הסינים, הרוסים והיריבות הנוספות של ארצות הברית.

ומה לנו ולכך? הדו"ח האמריקאי בדק מוכנות הצי ברבדיו העמוקים לאיומי הסייבר. לא רק את מערכות אבטחת המידע וטכנולוגיות ההגנה, אלא ברמה התרבותית, ארגונית, נוהלית ואנושית את המוכנות. איני יודע לכמת, להעריך ולשפוט מה נעשה בצה"ל בכלל או בחיל הים בפרט בתחום זה, אך הדו"ח האמריקאי המפורט והחודרני (ואף מעורר הדאגה) מוטב יהיה שיילמד וייבחן, וישמש כאבן בוחן נוספת לאיומי סייבר פוטנציאליים ואופן ההתמודדות מולם בכל רובדי הארגון – טכנולוגית, ארגונית ואנושית.

אולי יעניין אותך גם

נשיא סין ונשיא ארה"ב. היחסים בין השניים ישפיעו על יחסי ישראל-סין? צילום (ארכיון): AP

עסקים כרגיל: יחסי ישראל-סין בסייבר נמשכים

חרף המשבר הכלכלי ומלחמת הסחר בין סין וארה"ב, נראה שעסקי הסייבר בין הסינים לישראל ממשיכים להתקיים. בכירים ישראלים, למשל, צפויים להשתתף בכנסים בסין. האם עדיין קיים חשש ממשבר ישראלי-אמריקאי בעקבות כך?