"כשהעולם רואה צונאמי סייבר, אצלנו יש גלים קטנים"

הפעם בטור של עמיר רפפורט: שיחה עם רפאל פרנקו, שמסיים תפקיד  כסגן ראש מערך הסייבר בעיצומו של גל תקיפות חסר תקדים, והארות על העוול התקשורתי שנגרם ל-8200, הקטל של הרמטכ"לים בפוליטיקה והסוד שעמוס גלבוע לא לקח עמו אל הקבר. וגם: הסיפור הביטחוני הגדול של 2021

"כשהעולם רואה צונאמי סייבר, אצלנו יש גלים קטנים"

1. גלים וצונאמי. רפאל פרנקו בילה את מרבית שנותיו המקצועיות ביחידות מבצעיות של שירות הביטחון הכללי. אלה היו הימים בהם החל השירות לעשות שימוש גובר והולך בכלי סייבר כדי לסכל טרור. ואז, חצה פרנקו את הקווים לצד של ההגנה – תחילה ברשות האבטחה הממלכתית (רא"ם), שהוקמה בשירות כדי להגן על תשתיות לאומיות, ובהמשך במערך הסייבר הלאומי, שקיבל מהשב"כ את האחריות על הגנת הסייבר של התשתיות הלאומיות וכלל המשק.

ממש ביום האחרון של 2020 מסיים פרנקו את תפקיד כסגנו של ראש מערך הסייבר הלאומי, יגאל אונא, וכאחראי על ה"עמידות" של המשק.

השבוע, רגע לפני שסיים את תפקידו (אחרי 28 שנות שירות בסך הכול, בשב"כ ובמערך הסייבר), אמר לי פרנקו שאולי עוד ישוב יום אחד למערך (הוא עשוי להיות מועמד לתפקיד ראש המערך הבא, בבוא העת). בינתיים, יש לו תכניות להשתלב בפעם הראשונה במגזר הפרטי, ולא מעט הצעות שהוא בוחן.

יצא הגורל והפרישה של פרנקו מתרחשת בסיומה של שנה שבה קצב תקיפות הסייבר התגבר כמו הקורונה, "בצורה מעריכית", מה שהמחיש את דבריו של אונא כי "חורף הסייבר הגיע". באפריל האחרון התרחשה התקיפה על מתקני המים של ישראל, שיוחסה בתקשורת לאיראן, ואילו בשבועות האחרונים מתרחש גל חסר תקדים של תקיפות סייבר בישראל (ההתקפה על שרשרת האספקה של חברות הקשורות ל"עמיטל" ומתקפת "שירביט"  הן רק דוגמאות. היו עוד תקיפות שלא זכו לחשיפה תקשורתית) ובעולם (כולל שתי תקיפות מכוננות על החברות האמריקאיות  "פייראיי" ו"סולר ווינדס").

"נכנסו לתקופה שבה קצב הבלימה לא מבייש אפילו זירה צבאית", אמר לי פרנקו. גל התקיפות במשק הביא לראשונה מאמרי ביקורת על מערך הסייבר בכמה כלי תקשורת, וכאן המקום להסבר תיאורטי קצר (עמכם הסליחה אם זה טיפה "כבד"):

על פי אסטרטגיית הסייבר של ישראל, ה"עמידות" היא שכבת ההגנה הראשונה, זאת שמורכבת ממודעות של אזרחים וחברות מפני איומי הסייבר, תקינה ושורה של צעדים אקטיביים, שנועדו למנוע התקפות או לפחות להקשות עליהן. רק אם כבר מותקפים – עוברים לשכבות הבאות, שכוללות צעדי התגוננות מפני התקפות ספציפיות ושיקום, לצד הגנת סייבר מפני אויבים מדינתיים.

מערך הסייבר אינו מגן בפועל על הגופים השונים (האחריות היא של כל גוף בעצמו), למעט הנחיה ישירה על גופי תשתית מדינה קריטיים באמצעות יחידות מגזריות ובאמצעות ה-CERT הלאומי. תפקידו הוא לסייע בשיתוף מידע, בצעדי עמידות שהם כמו מתן חיסונים, ובסיוע מדינתי בעת צרה גדולה – כמו בתי החולים, שאליהם פונים כאשר יש מקרים חמורים (את ההקבלה לעולם הרפואי לקחתי ממייסד מערך הסייבר הלאומי,  פרופ' אביתר מתניה. בעוד מספר חודשים ייצא לאור ספר שכתבנו ביחד על הסייבר בארץ ובעולם, בהוצאת "כנרת זמורה ביתן").

על רקע גל התקיפות חסר התקדים אומר פרנקו כי "אני לא יכול להגיד לך שלא התלכלכנו פה ושם בכתפיים, אבל כאשר כל העולם חווה צונאמי סייבר, אנחנו רואים גלים קטנים יחסית, שנשברים על המזח. בסך הכול אני בהחלט יכול להגיד שאסטרטגיית הסייבר שלנו עובדת".

ש: האם ההתקפה על המים היא אירוע הסייבר הכי דרמטי בישראל בשנים האחרונות?

"בעיניי, יש רצף אירועים דרמטיים שקשורים לקורונה", אומר פרנקו. "כבר כאשר פרצה המגיפה, אני הערכתי שצריך להתארגן אחרת, מתוך הנחה שהפשיעה העולמית תעבור להתרכז במהירות בעולם הדיגיטאלי. הקורונה סגרה גבולות, וארגוני פשיעה שרגילים לעשות ביזנס מסמים, הלבנת הון וסחיטה השלימו את הקפיצה לסייבר. מדינות זיהו את הטרנד הזה, והתחילו לתת מעטפת לארגוני פשיעה, כדי לעודד כאוס בארצות יריבות.

"בסך הכול, מה שקרה בחודשים האחרונים, זה שימוש בכלי תקיפה שהם לא מתוחכמים ברובם. לכולם יש פשוט הרבה זמן לתכנן את המהלכים, וכך הם מתגברים על מערכות הגנה, ונוצר צונאמי עולמי. אנחנו, כבר בתחילת המגיפה, החלטנו על  מבצע מניעה, כולל הקמת חמ"ל שיתמקד בהגנה על נכסים קריטיים של המדינה, כמו אפליקציות רפואיות ומערכות תובלה של סחורות חשובות דרך נמלי הים.

 "בזכות צעדי המניעה, כאשר התרחשה ההתקפה על המים, ב-23 באפריל, היינו ממש במוד מלחמתי. וכך, מיד כאשר קיבלנו את ההודעה על הפגיעה במתקני המים, נכנסו לפעולה, והנזק הסתכם בפגיעה מועטה בחמישה ברזים, פחות או יותר, ללא נזק בפועל. זה אירוע שהיה עלול להיגמר בצורה חמורה הרבה יותר, כמו שאונא אמר (ראש המערך ציין במהדורה דיגיטלית של סייברטק סינגפור כי התוקפים ניסו לשנות את מינון הכלור במי השתייה של תושבי ישראל, ולא הצליחו- ע.ר).

"בין אפריל לדצמבר פיתחנו תפיסות חדשות של הגנה בתנועה", ממשיך פרנקו. "חלק מהתפיסה זה תחבולה והונאה, הרבה מעבר ל'מלכודות דבש', שמטמינים כאשר היריב כבר נמצא בתוך השטח שלך. כחלק מקונספט שלם פיזרנו הרבה חיישנים כדי שיתריעו בפנינו על תקיפות באזורים שונים במשק. הסנסורים האלה הוכיחו את עצמם אפילו בתקיפה על 'עמיטל', לאחרונה, שלגביה קיבלנו דיווח מחברה במשק. בזכותם, הבנו מהר מאוד כי מדובר בפגיעה בשרשרת אספקה שקשורה לחברה, ועשינו לא פחות מ-800 שיחות לגופים שהיו עלולים להיפגע, ובכך נמנע נזק גדול הרבה יותר.

"זה נכון שפה ושם יש התקפה, אבל אי אפשר לנהל מדינה עם רשת דייגים שתופסת כל סרדין. מדינות דמוקרטיות אינן יכולות להתנהל ככה. המזל לא תמיד משחק תפקיד, ויש פגיעות, אבל בזכות הגישה הפרואקטיבית מנענו בארוע 'עמיטל' 95 אחוז מהנזק".

ומה לגבי ההתקפה על "שירביט"?

"במקום שבו רמת האבטחה אינה מספקת, לא מפתיע שיהיו אירועים כאלה. העולם של הסייבר בנוי כך שהתוקפים שולחים מעין 'פינג' ופורצים איפה שפתוח, אבל גם כאן חשוב לשים את האירוע בפרופורציות. בסופו של דבר, נחשפו פרטים אישיים של לקוחות. זה לא נעים אבל לא סוף העולם, כי לא גנבו כסף ולא החליפו ביטוחים בין לקוחות. בסוף, זה אירוע של פגיעה בפרטיות, לא פגיעה בחיי אדם, באמינות השלטון או באושיות הדמוקרטיה. מדובר בפגיעה בחברת ביטוח קטנה, שמהווה קריאת השכמה להרבה מאוד מנכ"לים להשקיע באבטחת סייבר. ובאמת, מאז יש התעוררות גדולה בכל המשק. מנכ"לים שלא הבינו את חשיבות אבטחת הסייבר עד עכשיו, מבינים אותה היטב כעת".

אתם כבר מתורגלים באבטחת סייבר של מערכות בחירות?

"ניהול מבצע סייבר בבחירות הוא מאתגר מאוד, כי בסוף אתה בונה את התפיסה המבצעית שלך לפי שיטת הבחירות בכל מקום ומקום. בישראל יש אמנם פתקי הצבעה פיזיים, אבל הבחירות כולן מנוהלות על ידי מערכות מחשב, ויש הרבה דרכים לשבש אותן. אנחנו קיבלנו החלטות באיזה מערכות להתמקד, ותדרכנו את כל המפלגות ואת שאר הגורמים. העלינו בפני ועדת הבחירות גם את הסכנה של שיבוש הבחירות על ידי פריצה לחשבונות מחשב באינטרנט, והפצה של מסרים מזויפים. אנחנו נמשיך בגישה שלנו, שהוכיחה את עצמה, גם בבחירות הרביעיות, עם התאמות  שנמשכות כל הזמן".

לפני סיום, שאלתי את פרנקו אם במבט של חמש שנים לאחור, ההחלטה להעביר את אחריות הגנת הסייבר המדינתית מהשב"כ למערך הסייבר הוכיחה את עצמה. פרנקו שירת עדיין בשב"כ כאשר הארגון היה אחראי על אבטחת התשתיות הלאומיות (עדיין לא הייתה הגנה על שאר המשק), וכאשר ה'ראש' בזמנו, יורם כהן, נעמד על רגליים אחוריות מול הכוונה להקים את מערך הסייבר כגוף עם סמכויות מרחיקות לכת (על חשבון סמכויות השב"כ).

"עוד כאשר הייתי בשב"כ, ולפני שחלמתי לעבור למערך סייבר שלא היה קיים, הייתי בדעת מיעוט שצריך להקים ארגון אזרחי להגנת סייבר", משיב לי פרנקו, ומסביר את עמדתו: "השב"כ הוא ארגון מסכל מטבעו, ומסיבות מובנות הוא אינו יודע לעבוד בשקיפות ובשיתוף פעולה עם גופים אזרחיים, וגם להיעזר בתקשורת. כעת, במערך הסייבר, אנחנו חברים בקהיליית המודיעין אבל לא אוספים מודיעין. בזה השב"כ מצטיין. את כל שאר התחומים הקשורים להגנת הסייבר של המשק, גוף אזרחי יודע לעשות הרבה יותר טוב. לכן, בראייה לאחור, אין לי ספק כי ההחלטה של ראש הממשלה (להעביר סמכויות מהשב"כ למערך הסייבר) הייתה מאוד נכונה".

2. עוול 8200. לא רק רפאל פרנקו – ביום האחרון של 2020 מסיימת את תפקידה גם ראש אגף האסטרטגיה במערך הסייבר, אל"מ (מיל') רות שוהם, שמתמנה למנכ"לית האוניברסיטה הפתוחה (אחרי שהגיעה למערך מראש לתקופה בת שלוש שנים).

כילידת באר שבע וכקצינה באגף המודיעין בעבר, פעלה שוהם רבות כדי לחזק את באר שבע כ"עיר סייבר" לקראת מעבר יחידות אמ"ן דרומה, כולל העתקת בית הספר לסייבר של אמ"ן  לבאר שבע כבר לפני כמה שנים והקמת חממה של 8200 בפארק הייטק בבאר שבע (כנראה בקרוב).

מעשיה הצטרפו לשורה של צעדים נדירים שעשו שורה של אנשים טובים כדי לחבר את אמ"ן לפריפריה, ובהם תא"ל מיל אבי עינת ותא"ל איציק תורג'מן, שיזמו בהיותם ביחידה הטכנולוגית של אמ"ן את פרויקט "עתידים" לשילוב נוער מהפריפריה בעתודה אקדמית טכנולוגית,  כבר בשנת 1999 (תחת שאול מופז, שהיה אז רמטכ"ל).

על פרויקט "עתידים" סיפרו לי בזמנו תורג'מן ועינת, כאשר הייתי הכתב הצבאי של ידיעות אחרונות (בכתבה ראשונה על הפרויקט קראתי לו "נערי שאול" על משקל "נערי רפול") ומאז עקבתי בהתרוממות לב אחר בוגרים רבים של הפרויקט שעשו חיל בצבא וגם באזרחות (רק לפני כמה חודשים פורסם  סיפורו של רובי ארונשווילי מעכו, שהיה קצין ביחידת מצו״ב ולימין הקים את חברת הסייבר CYE, שהגיעה כבר לשווי של מאות מיליוני דולרים). בשנים האחרונות התמקדה 8200 בפרויקטים לגיוס בני נוער מהפריפריה ליחידות הסייבר שלה, במסגרת התכנית לתיכוניסטים "מגשימים", בהובלת סא"ל מיל שגיא בר, הבלתי נלאה.

נזכרתי בכל זה לאור שורה של פרסומים בתקשורת, שטענו כי 8200 היא מועדון אליטיסטי מצומצם של אשכנזים ממרכז הארץ. שוב נוכחתי שהסתה ושיסוי הן חומר בעירה מעולה לתקשורת ולפוליטיקאים, הרבה יותר מאשר סיפורים חיוביים (כמו המהלכים המדהימים לשילוב בני פריפריה ביחידות הטכנולוגיות של צה"ל).

זה לא שאין מקום לביקורת: בתפקידיו כראש אמ"ן, כסגן רמטכ"ל וכעת כרמטכ"ל, עשה אביב כוכבי רבות כדי לעכב את מעבר אמ"ן לנגב, אבל בין זה ובין הביקורת הלא מוצדקת על 8200 כמועדון סגור, אין ולא כלום. בעיניי, גל הפרסומים כנגד 8200 הוא לא פחות מאשר עוול.

3. בריחת הרמטכ"לים. לא הופתעתי מההחלטה של גבי אשכנזי לקחת פסק זמן מהפוליטיקה. זה היה ברור, כבר כאשר ביקש לחדש את רישיון השיט שלו לפני ימים אחדים. גם ההחלטה של גדי אייזנקוט שלא להצטרף לקלחת מובנת. היחיד שהפתיע עד כה היה בני גנץ, אותו הכרתי היטב מתחנות רבות בקריירה הצבאית. הוא האחרון שציפיתי שיצטרף לפוליטיקה, ועוד יותר מפתיעה ההיאחזות שלו כעת בכחול לבן הקורסת. סיפור עצוב, שימשיך להבריח אנשים טובים מהמדמנה הפוליטית הנהוגה בארץ.

4. האיש שידע. הפרידה מתא"ל מיל' עמוס גלבוע, שהלך לעולמו השבוע, עוררה געגועים מידיים לקצין דעתן ומשכיל, ידען וכותב נפלא, ובכלל איש מלא קסם. אני ממליץ לקרוא את הדברים שכתב עליו כאן חברו הטוב תא"ל מיל' אפרים לפיד, שכתב עמו ספרים.

כמו רבים, החוויה המעצבת של גלבוע הייתה מלחמת יום הכיפורים. הוא היה בזירה הסורית בחטיבת המחקר באמ"ן כאשר ניסה להתריע מפני סימני מלחמה, והושתק.

עמוס גלבוע. תמונה: מקור, שימוש הוגן, מתוך ויקיפדיה

גלבוע, האיש שהיה שם, החזיק בעיניי את התשובה לאחת השאלות המרתקות של המלחמה: האם אשרף מרוואן, הבכיר המצרי, היה המקור מספר אחד של אמ"ן (כפי שטוען ראש המוסד בזמנו, צבי זמיר), או סוכן כפול ומשטה (גרסת ראש אמ"ן הכושל במלחמה, אלי זעירא).

כזכור, זמיר הביא התראה חמה למלחמה מפי מרוואן, יומיים לפני שהיא פרצה. זעירא טען מנגד, בדיעבד, כי מרואן היה סוכן כפול, רק בגלל שאמר שהמתקפה תחל בשעה שש בערב של מוצאי יום כיפור, והיא פרצה בשתיים בצהריים. לימים, אחרי שהתקשורת הישראלית חשפה את הסוכן ועשתה מטעמים מהפרשה הזאת, מצא מרוואן את מותו בנפילה מסתורית ממרפסת ביתו בלונדון.

ובכן, שאלתי כמה פעמים לאורך השנים את גלבוע, האם מרוואן היה, לדעתו, גדול המקורות או סוכן כפול, ולהלן תשובתו: מרוואן היה מקור נפלא, שמצא את מותו המצער בגלל הפה הגדול של ישראלים רבים, שלא החזיקו סוד גדול כל כך. אני נוטה לקבל את קביעתו של הקצין שכה יחסר.

5. האירוע של 2021. השנה החדשה מתחילה, ללא ספק, בסימן מתיחות חסרת תקדים עם איראן. על רקע הציפיות לממשל החדש שיוקם בוושינגטון, האיראנים עדיין לא נקמו את נקמתם על חיסול ראש תכנית הגרעין שלהם, ד"ר מוחס פחריזאדה, ולא על אינספור תקיפות המיוחסות לישראל בנוגע יעדים שלהם בסוריה

על רקע הציפיה לנקמה, ישראל וארה"ב מנסות לשדר מסרי הרתעה באמצעות דיווחים עלומים, נכונים או מפוברקים, על צוללות ישראליות בים הערבי ונושאות מטוסים אמריקאיות באותו אזור. המילה האחרונה לא נאמרה.

וגם אם לא תהיה  נקמה איראנית, המתיחות מול טהרן תגיע בכל מקרה לשיא בקרוב, על רקע ההחלטה הצפויה של הממשל החדש - האם לחדש את הסנקציות הכלכליות, לבצע תקיפה או לחתור להסכם גרעין חדש, במקום זה שבוטל על ידי דונלד טראמפ? ענייני איראן יגיעו לנקודת רתיחה, אולי כבר בחלק הראשון של השנה החדשה.

מוזמנים לעקוב אחרי בטוויטר: AmirRapaport1@

 

אולי יעניין אותך גם