״חוק הסייבר נועד להגן על הפרטיות, לא להפר אותה״
מיטל אריק, ראש אגף בכיר הכוונה ואסדרה במערך הסייבר הלאומי, משוחחת עם ״ישראל דיפנס״ על העלייה האדירה במתקפות הסייבר בשנה החולפת, ועל הדרכים בהן פועל המערך למניעתן
מנדי קוגוסובסקי
| 25/03/2021
מיטל אריק, ראש אגף בכיר הכוונה ואסדרה במערך הסייבר הלאומי. צילום: באדיבות מערך הסייבר הלאומי
״שנת 2020 הייתה שנה כאוטית ומטורפת בהמון אספקטים, וזה לא פסח על עולם הסייבר. ראינו קפיצה חדה של מתקפות סייבר בשנה הזו – וגם בזה אפשר להאשים את הקורונה״, כך אומרת ל״ישראל דיפנס״ מיטל אריק, ראש אגף בכיר הכוונה ואסדרה במערך הסייבר הלאומי.
מדו״ח רשמי של מערך הסייבר עולה כי במהלך השנה שעברה, התקבלו במרכז המבצעי המערך כ-14,300 דיווחים, פניות והתראות על חשדות לאירועי סייבר מאזרחים ומועסקים במשק. לאחר בדיקה, אומתו כ-9,100 מהאירועים – עליה של 50% בהשוואה לשנת 2019. המקרה המדווח ביותר היה השתלטות על חשבון ה-WhatsApp באמצעות מסירת קוד אימות לתוקפים שהתחזו לעסק לגיטימי, ותלונות נוספות עסקו בפריצה לרשתות החברתיות, ניסיונות דיוג, גניבת מידע, חולשות מערכות מחשוב, תכנות זדוניות, פגיעה ברציפות התפקודית ומעקף מנגנוני ההזדהות.
״במרץ-אפריל נקלענו למציאות חדשה, שכללה עבודה מרחוק באופן מיידי ופתאומי, מה שדרש התאמות ושינויים מהירים״, מסבירה אריק את הגורמים לעלייה במתקפות. ״התוקפים הבינו שמערכות של ארגונים וחברות, שפעם היו מאחורי פיירוול והיו מוגנות על ידי מערכות ואבטחה מקומיות, למעשה נותרות חשופות על הלפטופ האישי הלא מוגן, וניתן להגיע אליהן בקלות דרך הנתב הביתי. בבית אין לעובד את צוות ה-IT שרגיל לעבודה on prem, שמאומן בזיהוי ונטרול איומים, ולתוך הרווח הזה נכנסו התוקפים.
ועם האוכל – בא התיאבון. ״התחלנו לראות גם תעוזה רבה יותר מצד התוקפים. אם בעבר היו בעיקר שואבים מידע, עכשיו הם ממש ניצלו את הסיטואציה לפגיעות רחבות היקף שהתפתחו מהר מאוד השנה״. אומרת אריק. ״באפריל ראינו פגיעה במערך בקרי המים, אח״כ הייתה פגיעה בשרשרת האספקה של ישראל, ראינו גם מתקפות על אוניברסיטאות ואפילו על בתי חולים ומוסדות רפואיים, ועוד. ראינו שמפנים את מירב מאמצי התקיפה לארגונים קטנים, שלהם פחות משאבי הגנה, ומשם לחדור לארגונים הגדולים יותר.
״המתקפות הללו מתסכלות, זה כמו לצפות בתאונה ידועה מראש״
בין ה-5 ל-7 באפריל ייערך כנס סייברטק גלובל בדובאי, בו יושם דגש על התפתחות איומי הסייבר על הכלכלה, ועל היבטים שונים של התגברות המשק והארגונים השונים – כאשר בראש ובראשונה ממוקמת ההגנה הנכונה. על נושא ההגנה מדברת אריק מדם ליבה. ״מבחינתנו, הרבה מהמתקפות הללו שראינו בשנה החולפת מתסכלות, זה כמו לצפות בתאונה ידועה מראש״, היא אומרת.
״היו אינספור מתקפות, טיפלנו במאות רבות של ארגונים וראינו את המהירות שבה התוקפים מצליחים להשמיש חולשות של ארגון, שלא היה מודע מספיק לסכנות הסייבר וחטף בצורה חזקה. זו פרצה שקוראת לגנב. אם הארגונים היו מיישמים פרקטיקות אבטחה בסיסיות, וגם לא מתמהמהים בתגובה שלהם, הרבה תקיפות היו יכולות להימנע״.
ש: איפה נכנס לעניין מערך הסייבר, והאגף שבראשו את עומדת?
״האגף שלנו אחראי למעשה על הכוונת המשק האזרחי בנושאי הנחייה ופיתוח של יכולות הגנה, על מנת למנוע מתקפות ולצמצם נזקים כשהן בלתי נמנעות״, מסבירה אריק. ״החל מ-2017 התחלנו להקים מערכי סייבר בכל משרדי הממשלה, כך שכל משרד יוכל לתת מענה אופטימלי לסקטור שלו בתחום הזה. אנחנו עובדים ביחד, כאשר אגף הכוונה והסדרה הוא מעין הפנים של כל מערך הסייבר מולם. אנחנו מנחים ומלווים את החברות לא רק בפן הטכנולוגי, אלא פועלים הרבה בנושא הגברת המודעות, וזה עובד, המנהלים השונים מבינים יותר ויותר את הסכנה. אבל כמובן, יש עוד דרך ארוכה.
״תפקיד האגף שלנו הוא ללמד להשתמש בחכות, לא לתת דגים. אנחנו רואים את החברות עצמן כאחראיות לאבטחתן – אבל בגלל השנה האינטנסיבית הזו והוואקום שנוצר בין היעדר הידע והמודעות למתקפות עצמן, כן עברנו למוד מבצעי, פנינו לחברות באופן אקטיבי, ויזמנו כל מיני תכניות.
״לדוגמא, הקמנו מעין שוק, marketplace, מיזם שכרגע משתתפות בו כ-150 חברות ישראליות שמספקות פתרונות סייבר. אנחנו חברה ייחודית, כל רגע יש כאן בארץ מישהו שמזהה בעיה ומיד מפתח לה פתרון. אז נתנו את הבמה לחברות האלה, אבל אנחנו לא מתערבים. הדבר היחיד הוא שביקשנו התחייבות משפטית, שכל חברה אכן מספקת את מה שהיא מצהירה עליו. אנחנו עובדים עכשיו על עוד פלטפורמות שיגבירו את המודעות ואת העבודה בפועל.
״אנחנו מקבלים הרבה פניות ממנהלי חברות, בסגנון ׳אנחנו רואים מה קורה במשק ואנחנו לא ישנים בלילה. תגידו לנו מה לעשות, למי לפנות?׳, וזה התפקיד שלנו לסייע ולהנחות. אבל כפי שאמרתי, האחריות בפועל נמצאת על כתפי החברות עצמן. ההנהלות והדירקטוריונים צריכים לנהל את סיכוני הסייבר, להקצות את המשאבים המתאימים. גם פקודת הנזיקין וחוק הגנת הפרטיות מחייבים בהקשר הזה״.
״עשינו מאמץ להוראת שעה שתענה על הנושא שהכי כואב לנו כרגע – הארגונים הסרבניים״
פעילות מערך הסייבר טרם עוגנה בחקיקה בישראל, על אף שטיוטת החוק כבר נחקקה לפני כשלוש שנים. בחודש שעבר פורסם כי נוסחה הוראת שעה מעודכנת, ״טיוטת חוק הגנת הסייבר ומערך הסייבר הלאומי (סמכויות לצורך חיזוק הגנת הסייבר)״, שהייתה אמורה גם לעלות לוועדת השרים לענייני חקיקה – מה שטרם קרה. הוראת השעה הציתה ביקורת והתנגדות ציבורית נרחבת, מחשש לפגיעה מהותית בפרטיות בשל הסמכויות הרחבות שמבקשת חקיקה זו להעניק לעובדי מדינה מול גורמים אזרחיים.
ש: את כמובן מודעת לביקורת הנרחבת נגד חוק הגנה הסייבר ונגד הוראת השעה. המתנגדים טוענים שזוהי מותה של הפרטיות.
״זה פשוט לא נכון, וחבל שכל המבקרים האלה לא מכירים את העבודה שאנחנו עושים ולא קוראים את הצעת החוק״, אומרת אריק בלהט. ״חשוב מאוד להדגיש: המטרה היא להגן על פרטיות הציבור, פרטיות הלקוחות, ממש לא להפר אותה או לפגוע בה. אנחנו עובדים לפי חוק הגנת הפרטיות, בשיטות שאין בהן שום פגיעה בערך הפרטיות. הגישה שתהיה היא רק למטה-דאטה ולא לפרטים. הפעולות שלנו מתבצעות בשיתוף פעולה מלא עם הרשות להגנת הפרטיות של משרד המשפטים. יש לנו שורה של מנגנוני בקרה שמטרתם למנוע פגיעה מסוג זה, כולל גם בקרות שמטרתן למנוע טעות אנוש.
״חוק הסייבר מתמקד בנקודה צרה ממנה כבר נכווינו, הוא ממוקד במניעת תקיפות סייבר חמורות ופגיעה בביטחון הלאומי. אבל בנקודת הזמן הנוכחית זיהינו בעייתיות בהיעדר הגורם המאסדר, ומכורח השעה עשינו מאמץ להוראת שעה שתענה על הנושא שהכי כואב לנו כרגע – הארגונים הסרבניים. אנחנו רואים חברות שספגו מכה קשה בגלל הגנות לא מתאימות ואנחנו רוצים למנוע את הפגיעה הזו. אם הייתה לנו את הסמכות המתאימה, היינו יכולים לחסוך הרבה מאוד עוגמת נפש ונזקים כלכליים״.
אריק מכירה בכך, שעסקים קטנים רבים לא שמים את אבטחת הסייבר במרכז המוקד העסקי שלהם, ״ולכן אנחנו מעודדים אותם אפילו לקחת את השירותים המתאימים בתשלום מחברה אחרת שמספקת אותם. כלומר: או שתעשו לבד – או שיעשו בשבילכם. צריך להבין שבניגוד לחברות גדולות שיש להן את המשאבים לתקן לאורך זמן נזק שנגרם מפגיעת סייבר, עסקים קטנים לא תמיד מסוגלים להתאושש, הם נמחצים תחת המתקפה״.
ש: מתקפות הסייבר רק ילכו ויחריפו. איך את רואה את המשך הפעילות שלכם?
״אם אני מסכמת את השנה הזו ואת כל מה שלמדנו, זה שידע טכנולוגי מתקדם יותר ויישום עמוק של ההנחיות מהווים חליפת הגנה לעסק ולמש׳, לא רק לאירוע שמתקיים עכשיו, אלא גם לאיומים עתידיים, למתקפות מתקדמות יותר. המטרה היא גם להרוויח שקט קדימה ולא רק לכבות שריפות.
״בנוסף, יש פה גם כדאיות כלכלית של שרשרת האספקה. למשל, חברה גדולה שמקבלת שירותים מחברה קטנה יותר, שאולי לא כל כך משקיעה בהגנת הסייבר, יכולה לומר לאותה חברה שעליה לדאוג להגנה משופרת כדי שהקשרים ביניהן ימשיכו להתקיים – ואז בעצם נוצר אינטרס נוסף להשקיע בהגנה.
״במערך הסייבר הקמנו את מערכת יוב״ל, שמטרתה לאפשר לכל ארגון לבדוק את רמת הגנת הסייבר שלו. יש במערכת שלוש רמות, כשהגבוהה ביותר כוללת גם בקרה של מערך הסייבר ומכון התקנים. ארגון שבוחר באפשרות הזו ועובר את ביקורת הסייבר שלנו יכול להצהיר שהוא עומד בתו התקן של המערך, זו רמה גבוהה מאוד של אבטחה, של אמינות. הלקוח פה שותף מלא, ויש לו את מלוא היכולת להשפיע על המרחב שלו״.
מאמר זה הוא חלק מסדרת ״פוסט 2020: העידן הדיגיטלי החדש שאחרי הקורונה״. כנס סייברטק גלובל ייערך בדובאי ב-5 עד ה-7 באפריל 2021. הצטרפו אלינו, פנים אל פנים או מרחוק. htps://cybertechconference.com
מיטל אריק, ראש אגף בכיר הכוונה ואסדרה במערך הסייבר הלאומי, משוחחת עם ״ישראל דיפנס״ על העלייה האדירה במתקפות הסייבר בשנה החולפת, ועל הדרכים בהן פועל המערך למניעתן
מיטל אריק, ראש אגף בכיר הכוונה ואסדרה במערך הסייבר הלאומי. צילום: באדיבות מערך הסייבר הלאומי
״שנת 2020 הייתה שנה כאוטית ומטורפת בהמון אספקטים, וזה לא פסח על עולם הסייבר. ראינו קפיצה חדה של מתקפות סייבר בשנה הזו – וגם בזה אפשר להאשים את הקורונה״, כך אומרת ל״ישראל דיפנס״ מיטל אריק, ראש אגף בכיר הכוונה ואסדרה במערך הסייבר הלאומי.
מדו״ח רשמי של מערך הסייבר עולה כי במהלך השנה שעברה, התקבלו במרכז המבצעי המערך כ-14,300 דיווחים, פניות והתראות על חשדות לאירועי סייבר מאזרחים ומועסקים במשק. לאחר בדיקה, אומתו כ-9,100 מהאירועים – עליה של 50% בהשוואה לשנת 2019. המקרה המדווח ביותר היה השתלטות על חשבון ה-WhatsApp באמצעות מסירת קוד אימות לתוקפים שהתחזו לעסק לגיטימי, ותלונות נוספות עסקו בפריצה לרשתות החברתיות, ניסיונות דיוג, גניבת מידע, חולשות מערכות מחשוב, תכנות זדוניות, פגיעה ברציפות התפקודית ומעקף מנגנוני ההזדהות.
״במרץ-אפריל נקלענו למציאות חדשה, שכללה עבודה מרחוק באופן מיידי ופתאומי, מה שדרש התאמות ושינויים מהירים״, מסבירה אריק את הגורמים לעלייה במתקפות. ״התוקפים הבינו שמערכות של ארגונים וחברות, שפעם היו מאחורי פיירוול והיו מוגנות על ידי מערכות ואבטחה מקומיות, למעשה נותרות חשופות על הלפטופ האישי הלא מוגן, וניתן להגיע אליהן בקלות דרך הנתב הביתי. בבית אין לעובד את צוות ה-IT שרגיל לעבודה on prem, שמאומן בזיהוי ונטרול איומים, ולתוך הרווח הזה נכנסו התוקפים.
ועם האוכל – בא התיאבון. ״התחלנו לראות גם תעוזה רבה יותר מצד התוקפים. אם בעבר היו בעיקר שואבים מידע, עכשיו הם ממש ניצלו את הסיטואציה לפגיעות רחבות היקף שהתפתחו מהר מאוד השנה״. אומרת אריק. ״באפריל ראינו פגיעה במערך בקרי המים, אח״כ הייתה פגיעה בשרשרת האספקה של ישראל, ראינו גם מתקפות על אוניברסיטאות ואפילו על בתי חולים ומוסדות רפואיים, ועוד. ראינו שמפנים את מירב מאמצי התקיפה לארגונים קטנים, שלהם פחות משאבי הגנה, ומשם לחדור לארגונים הגדולים יותר.
״המתקפות הללו מתסכלות, זה כמו לצפות בתאונה ידועה מראש״
בין ה-5 ל-7 באפריל ייערך כנס סייברטק גלובל בדובאי, בו יושם דגש על התפתחות איומי הסייבר על הכלכלה, ועל היבטים שונים של התגברות המשק והארגונים השונים – כאשר בראש ובראשונה ממוקמת ההגנה הנכונה. על נושא ההגנה מדברת אריק מדם ליבה. ״מבחינתנו, הרבה מהמתקפות הללו שראינו בשנה החולפת מתסכלות, זה כמו לצפות בתאונה ידועה מראש״, היא אומרת.
״היו אינספור מתקפות, טיפלנו במאות רבות של ארגונים וראינו את המהירות שבה התוקפים מצליחים להשמיש חולשות של ארגון, שלא היה מודע מספיק לסכנות הסייבר וחטף בצורה חזקה. זו פרצה שקוראת לגנב. אם הארגונים היו מיישמים פרקטיקות אבטחה בסיסיות, וגם לא מתמהמהים בתגובה שלהם, הרבה תקיפות היו יכולות להימנע״.
ש: איפה נכנס לעניין מערך הסייבר, והאגף שבראשו את עומדת?
״האגף שלנו אחראי למעשה על הכוונת המשק האזרחי בנושאי הנחייה ופיתוח של יכולות הגנה, על מנת למנוע מתקפות ולצמצם נזקים כשהן בלתי נמנעות״, מסבירה אריק. ״החל מ-2017 התחלנו להקים מערכי סייבר בכל משרדי הממשלה, כך שכל משרד יוכל לתת מענה אופטימלי לסקטור שלו בתחום הזה. אנחנו עובדים ביחד, כאשר אגף הכוונה והסדרה הוא מעין הפנים של כל מערך הסייבר מולם. אנחנו מנחים ומלווים את החברות לא רק בפן הטכנולוגי, אלא פועלים הרבה בנושא הגברת המודעות, וזה עובד, המנהלים השונים מבינים יותר ויותר את הסכנה. אבל כמובן, יש עוד דרך ארוכה.
״תפקיד האגף שלנו הוא ללמד להשתמש בחכות, לא לתת דגים. אנחנו רואים את החברות עצמן כאחראיות לאבטחתן – אבל בגלל השנה האינטנסיבית הזו והוואקום שנוצר בין היעדר הידע והמודעות למתקפות עצמן, כן עברנו למוד מבצעי, פנינו לחברות באופן אקטיבי, ויזמנו כל מיני תכניות.
״לדוגמא, הקמנו מעין שוק, marketplace, מיזם שכרגע משתתפות בו כ-150 חברות ישראליות שמספקות פתרונות סייבר. אנחנו חברה ייחודית, כל רגע יש כאן בארץ מישהו שמזהה בעיה ומיד מפתח לה פתרון. אז נתנו את הבמה לחברות האלה, אבל אנחנו לא מתערבים. הדבר היחיד הוא שביקשנו התחייבות משפטית, שכל חברה אכן מספקת את מה שהיא מצהירה עליו. אנחנו עובדים עכשיו על עוד פלטפורמות שיגבירו את המודעות ואת העבודה בפועל.
״אנחנו מקבלים הרבה פניות ממנהלי חברות, בסגנון ׳אנחנו רואים מה קורה במשק ואנחנו לא ישנים בלילה. תגידו לנו מה לעשות, למי לפנות?׳, וזה התפקיד שלנו לסייע ולהנחות. אבל כפי שאמרתי, האחריות בפועל נמצאת על כתפי החברות עצמן. ההנהלות והדירקטוריונים צריכים לנהל את סיכוני הסייבר, להקצות את המשאבים המתאימים. גם פקודת הנזיקין וחוק הגנת הפרטיות מחייבים בהקשר הזה״.
״עשינו מאמץ להוראת שעה שתענה על הנושא שהכי כואב לנו כרגע – הארגונים הסרבניים״
פעילות מערך הסייבר טרם עוגנה בחקיקה בישראל, על אף שטיוטת החוק כבר נחקקה לפני כשלוש שנים. בחודש שעבר פורסם כי נוסחה הוראת שעה מעודכנת, ״טיוטת חוק הגנת הסייבר ומערך הסייבר הלאומי (סמכויות לצורך חיזוק הגנת הסייבר)״, שהייתה אמורה גם לעלות לוועדת השרים לענייני חקיקה – מה שטרם קרה. הוראת השעה הציתה ביקורת והתנגדות ציבורית נרחבת, מחשש לפגיעה מהותית בפרטיות בשל הסמכויות הרחבות שמבקשת חקיקה זו להעניק לעובדי מדינה מול גורמים אזרחיים.
ש: את כמובן מודעת לביקורת הנרחבת נגד חוק הגנה הסייבר ונגד הוראת השעה. המתנגדים טוענים שזוהי מותה של הפרטיות.
״זה פשוט לא נכון, וחבל שכל המבקרים האלה לא מכירים את העבודה שאנחנו עושים ולא קוראים את הצעת החוק״, אומרת אריק בלהט. ״חשוב מאוד להדגיש: המטרה היא להגן על פרטיות הציבור, פרטיות הלקוחות, ממש לא להפר אותה או לפגוע בה. אנחנו עובדים לפי חוק הגנת הפרטיות, בשיטות שאין בהן שום פגיעה בערך הפרטיות. הגישה שתהיה היא רק למטה-דאטה ולא לפרטים. הפעולות שלנו מתבצעות בשיתוף פעולה מלא עם הרשות להגנת הפרטיות של משרד המשפטים. יש לנו שורה של מנגנוני בקרה שמטרתם למנוע פגיעה מסוג זה, כולל גם בקרות שמטרתן למנוע טעות אנוש.
״חוק הסייבר מתמקד בנקודה צרה ממנה כבר נכווינו, הוא ממוקד במניעת תקיפות סייבר חמורות ופגיעה בביטחון הלאומי. אבל בנקודת הזמן הנוכחית זיהינו בעייתיות בהיעדר הגורם המאסדר, ומכורח השעה עשינו מאמץ להוראת שעה שתענה על הנושא שהכי כואב לנו כרגע – הארגונים הסרבניים. אנחנו רואים חברות שספגו מכה קשה בגלל הגנות לא מתאימות ואנחנו רוצים למנוע את הפגיעה הזו. אם הייתה לנו את הסמכות המתאימה, היינו יכולים לחסוך הרבה מאוד עוגמת נפש ונזקים כלכליים״.
אריק מכירה בכך, שעסקים קטנים רבים לא שמים את אבטחת הסייבר במרכז המוקד העסקי שלהם, ״ולכן אנחנו מעודדים אותם אפילו לקחת את השירותים המתאימים בתשלום מחברה אחרת שמספקת אותם. כלומר: או שתעשו לבד – או שיעשו בשבילכם. צריך להבין שבניגוד לחברות גדולות שיש להן את המשאבים לתקן לאורך זמן נזק שנגרם מפגיעת סייבר, עסקים קטנים לא תמיד מסוגלים להתאושש, הם נמחצים תחת המתקפה״.
ש: מתקפות הסייבר רק ילכו ויחריפו. איך את רואה את המשך הפעילות שלכם?
״אם אני מסכמת את השנה הזו ואת כל מה שלמדנו, זה שידע טכנולוגי מתקדם יותר ויישום עמוק של ההנחיות מהווים חליפת הגנה לעסק ולמש׳, לא רק לאירוע שמתקיים עכשיו, אלא גם לאיומים עתידיים, למתקפות מתקדמות יותר. המטרה היא גם להרוויח שקט קדימה ולא רק לכבות שריפות.
״בנוסף, יש פה גם כדאיות כלכלית של שרשרת האספקה. למשל, חברה גדולה שמקבלת שירותים מחברה קטנה יותר, שאולי לא כל כך משקיעה בהגנת הסייבר, יכולה לומר לאותה חברה שעליה לדאוג להגנה משופרת כדי שהקשרים ביניהן ימשיכו להתקיים – ואז בעצם נוצר אינטרס נוסף להשקיע בהגנה.
״במערך הסייבר הקמנו את מערכת יוב״ל, שמטרתה לאפשר לכל ארגון לבדוק את רמת הגנת הסייבר שלו. יש במערכת שלוש רמות, כשהגבוהה ביותר כוללת גם בקרה של מערך הסייבר ומכון התקנים. ארגון שבוחר באפשרות הזו ועובר את ביקורת הסייבר שלנו יכול להצהיר שהוא עומד בתו התקן של המערך, זו רמה גבוהה מאוד של אבטחה, של אמינות. הלקוח פה שותף מלא, ויש לו את מלוא היכולת להשפיע על המרחב שלו״.
מאמר זה הוא חלק מסדרת ״פוסט 2020: העידן הדיגיטלי החדש שאחרי הקורונה״. כנס סייברטק גלובל ייערך בדובאי ב-5 עד ה-7 באפריל 2021. הצטרפו אלינו, פנים אל פנים או מרחוק. htps://cybertechconference.com
