דעה | ההגנה הלאומית של ישראל חסרה יכולת תרגול מתקפות סייבר
״בזמן תרגיל רב-מערכתי, אין לאף אחד עניין לחבל במערכות האמיתיות עליהן מתבצע התרגול, כך שאיום הסייבר מתבטא בהפלת המערכת. זהו לאו דווקא תרחיש תקיפה מורכב״, טוען תא״ל (מיל׳) ניצן נוריאל
ניצן נוריאל
| 24/03/2021
ניצן נוריאל. צילום: עמית נוריאל
מערכת האמונה על מתן פתרונות נדרשת לבנות כשירות מתאימה ולשמור עליה. לכאורה, הנאמר במשפט הזה מובן מאליו. ואולם בתחום אחד, להערכתי, יש מקום לשיפור משמעותי: איום הסייבר.
זהו בוודאי האיום החדש ביותר שהופיע בזירה (מלבד הקורונה), שחובק כמעט את כל תחומי החיים. לצד התפתחות טכנולוגית מרשימה התפתחה תעשיית פשע נרחבת והנזק שיכול להגרם כתוצאה מפריצות סייבר גדל משנה לשנה.
תהליך בניית כשירות מתחיל בזיהוי האיום. האתגר הגדול הוא לזהות אותו עוד בהתהוותו, או לכול המאוחר לאחר הופעתו הראשונה, ולהצליח לייצר מענה הן במימד הטכנולוגי והן במימד הנהלים ותהליכי העבודה. לא מיותר לציין שזיהוי מוקדם של איומים מחייב השקעת משאבים בתחומים שונים, וחיוני להפקיד משימה זו באופן מוגדר עם בקרה ופיקוח כך שלא יהיו "חורים בהגנה".
לאחר שזוהה האיום, נדרשת המערכת לפתח יכולות להתמודד איתו ולהטמעתן בכלל המערך. יכולות זיהוי וניטור של התקפות סייבר הן על מתקנים אסטרטגיים והן על מערכות מידע אחרות נשענות לא מעט על רגולציה על פי חוק.
בתחום הזה, ישראל הינה מדינה יחסית מתקדמת שבה פועל מטה הסייבר הלאומי מכוח סמכויות שהוענקו לו. חלק מתחום הגנת הסייבר - יכולות ניתוח פרצות באופן שיטתי ומתן מענה אליהן - נמצא באחריות חברות תוכנה פרטיות שבודקות עצמן ומשפרות את המוצר באופן שוטף כנגד איומי חדירה.
אחרי שכבר זוהה האיום ונבנתה הכשירות להתמודד עמו, עולה הצורך לשמר את הכשירות הזו. כאן המערכת הישראלית חסרה רכיב מרכזי. שמירת הכשירות נעשית בכמה רמות: החל מאימון הדרג הבכיר - עד הקבינט, דרך תרגול דרגי ביניים על מנת שיבינו ויהיו מסוגלים להמשיך לתפקד בסביבת סייבר עוינת. לבסוף, גם הדרג הטקטי - מפעילי המערכות, צריך להיות מתורגל, על מנת שיכיר את אופן הופעת האיום על המסכים במערכות השונות שמולו. אבל, וזהו לב העניין, איך מתרגלים סייבר?
בזמן תרגיל רב-מערכתי, אין לאף אחד עניין לחבל במערכות האמיתיות עליהן מתבצע התרגול, כך שאיום הסייבר מתבטא בהפלת המערכת. הפלת מערכת בצורה בוטה היא אולי אחד מהאתגרים שמציב הסייבר להגנה הלאומית, אך זהו לאו דווקא המורכב שבהם.
כאשר מערכת נופלת יש בדרך כלל הליך סדור להתמודדות עם הבעיה. מה יקרה כאשר המערכת תמשיך לתפקד, אבל לא בצורה רצויה? איך מאמנים אדם לזהות שיש התקפת סייבר על מערכת? כיצד מזהה המשתמש את הפגיעה במסך שלפניו, בכלי הפיקוד שמעביר לו נתונים ועליהם הוא מסתמך?
על מנת להשלים את הפער הזה יש צורך חיוני בסימולטור סייבר שיוכל להוות פלטפורמת לימוד ותרגול למגוון האיומים בתחום. סימולטור כזה יסייע לדרג הטקטי לזהות סימנים המעידים על מתקפת סייבר, יסייע לדרג הפיקודי להבין את הבעיה ומשמעותה ולתרגל מגוון טכניקות להתגבר על האיום. בתקופה זו, איום הסייבר והיכולות להגן מפניו הופכים למורכבים יותר ויותר. הם דורשים בהתאם יכולות מתקדמות.
הכותב הוא תא״ל במיל. המשרת כראש המנהלת לתרגילים בין לאומיים ומפקד על תרגילי ג'וניפר קוברה וג'וניפר פאלקון.
״בזמן תרגיל רב-מערכתי, אין לאף אחד עניין לחבל במערכות האמיתיות עליהן מתבצע התרגול, כך שאיום הסייבר מתבטא בהפלת המערכת. זהו לאו דווקא תרחיש תקיפה מורכב״, טוען תא״ל (מיל׳) ניצן נוריאל
ניצן נוריאל. צילום: עמית נוריאל
מערכת האמונה על מתן פתרונות נדרשת לבנות כשירות מתאימה ולשמור עליה. לכאורה, הנאמר במשפט הזה מובן מאליו. ואולם בתחום אחד, להערכתי, יש מקום לשיפור משמעותי: איום הסייבר.
זהו בוודאי האיום החדש ביותר שהופיע בזירה (מלבד הקורונה), שחובק כמעט את כל תחומי החיים. לצד התפתחות טכנולוגית מרשימה התפתחה תעשיית פשע נרחבת והנזק שיכול להגרם כתוצאה מפריצות סייבר גדל משנה לשנה.
תהליך בניית כשירות מתחיל בזיהוי האיום. האתגר הגדול הוא לזהות אותו עוד בהתהוותו, או לכול המאוחר לאחר הופעתו הראשונה, ולהצליח לייצר מענה הן במימד הטכנולוגי והן במימד הנהלים ותהליכי העבודה. לא מיותר לציין שזיהוי מוקדם של איומים מחייב השקעת משאבים בתחומים שונים, וחיוני להפקיד משימה זו באופן מוגדר עם בקרה ופיקוח כך שלא יהיו "חורים בהגנה".
לאחר שזוהה האיום, נדרשת המערכת לפתח יכולות להתמודד איתו ולהטמעתן בכלל המערך. יכולות זיהוי וניטור של התקפות סייבר הן על מתקנים אסטרטגיים והן על מערכות מידע אחרות נשענות לא מעט על רגולציה על פי חוק.
בתחום הזה, ישראל הינה מדינה יחסית מתקדמת שבה פועל מטה הסייבר הלאומי מכוח סמכויות שהוענקו לו. חלק מתחום הגנת הסייבר - יכולות ניתוח פרצות באופן שיטתי ומתן מענה אליהן - נמצא באחריות חברות תוכנה פרטיות שבודקות עצמן ומשפרות את המוצר באופן שוטף כנגד איומי חדירה.
אחרי שכבר זוהה האיום ונבנתה הכשירות להתמודד עמו, עולה הצורך לשמר את הכשירות הזו. כאן המערכת הישראלית חסרה רכיב מרכזי. שמירת הכשירות נעשית בכמה רמות: החל מאימון הדרג הבכיר - עד הקבינט, דרך תרגול דרגי ביניים על מנת שיבינו ויהיו מסוגלים להמשיך לתפקד בסביבת סייבר עוינת. לבסוף, גם הדרג הטקטי - מפעילי המערכות, צריך להיות מתורגל, על מנת שיכיר את אופן הופעת האיום על המסכים במערכות השונות שמולו. אבל, וזהו לב העניין, איך מתרגלים סייבר?
בזמן תרגיל רב-מערכתי, אין לאף אחד עניין לחבל במערכות האמיתיות עליהן מתבצע התרגול, כך שאיום הסייבר מתבטא בהפלת המערכת. הפלת מערכת בצורה בוטה היא אולי אחד מהאתגרים שמציב הסייבר להגנה הלאומית, אך זהו לאו דווקא המורכב שבהם.
כאשר מערכת נופלת יש בדרך כלל הליך סדור להתמודדות עם הבעיה. מה יקרה כאשר המערכת תמשיך לתפקד, אבל לא בצורה רצויה? איך מאמנים אדם לזהות שיש התקפת סייבר על מערכת? כיצד מזהה המשתמש את הפגיעה במסך שלפניו, בכלי הפיקוד שמעביר לו נתונים ועליהם הוא מסתמך?
על מנת להשלים את הפער הזה יש צורך חיוני בסימולטור סייבר שיוכל להוות פלטפורמת לימוד ותרגול למגוון האיומים בתחום. סימולטור כזה יסייע לדרג הטקטי לזהות סימנים המעידים על מתקפת סייבר, יסייע לדרג הפיקודי להבין את הבעיה ומשמעותה ולתרגל מגוון טכניקות להתגבר על האיום. בתקופה זו, איום הסייבר והיכולות להגן מפניו הופכים למורכבים יותר ויותר. הם דורשים בהתאם יכולות מתקדמות.
הכותב הוא תא״ל במיל. המשרת כראש המנהלת לתרגילים בין לאומיים ומפקד על תרגילי ג'וניפר קוברה וג'וניפר פאלקון.
