זה קרה בחודש אפריל האחרון. אירן, כך על פי דיווחים זרים, ביצעה מתקפת סייבר נרחבת על מתקנים של תאגידי מים וביוב בישראל. האירנים אמנם לא הצליחו להסב נזק ממשי, אבל חצו גבול מסוכן כשפגעו בתשתית אזרחית קריטית. התגובה המיוחסת לישראל לא איחרה לבוא: מתקפת סייבר על נמל שהיד רג'אי שיבשה את אחד משערי הכניסה והיציאה החשובים של אירן. מחשבי הנמל קרסו, תנועת האוניות שובשה במשך ימים ארוכים ופקקים באורך קילומטרים נרשמו בדרכים המובילות לנמל שבמיצר הורמוז.
מלחמת הסייבר בין ישראל לאירן, שמתנהלת בדרך כלל במחשכים, יצאה לאור. בצה"ל מטבע הדברים סירבו להתייחס לדיווחים, אך הגביהו את חומות ההגנה מחשש לתגובת נגד. מי שאחראית לעשות זאת בשגרה ובמלחמה זו חטיבת ההגנה בסייבר, שפועלת באגף התקשוב בצה"ל ומופקדת על הגנת רשתות הצבא מפני מתקפות סייבר זדוניות של גורמים עלומים.
"צה"ל הוא יעד אטרקטיבי מאוד לתקיפה", מפרט אל"ם י', מפקד מרכז בחטיבת ההגנה בסייבר, בריאיון ל-N12. "אתה יכול לדמיין לעצמך שכל גוף רציני בעולם ירצה לתקוף את צה"ל, בין אם במישרין כדי לייצר פגיעה ובין אם בעקיפין כדי להתפאר בהישג. אנחנו לא יכולים להרשות לעצמנו להפסיד, אין לנו תעודת ביטוח. מצד שני, אם לא שמעת עלינו כנראה שאנחנו עושים עבודה לא רעה".
"חדירה לרשת? כישלון ענק"
ואכן, אנשי הצללים של מערך הסייבר פחות מורגלים בחשיפה תקשורתית ושומרים על ערפל מסוים ביחס לקווי המתאר המדויקים של חלוקת האחריות הפנימית בתחום. בפברואר 2015 הוקם מערך הסייבר הלאומי ובשב"כ פועלת יחידת סייבר שתכליתה להגן על תשתיות לאומיות מפני התקפות מבחוץ.
צה"ל מטפל ברשתות ובתשתיות הצבא - יריעה רחבה בפני עצמה - ובתחילת העשור שעבר שורטטו גבולות הגזרה עם הקמת שני גופים שהופקדו על המרחב הקיברנטי: האחד, בהובלת אגף התקשוב, שאחראי להגנה על המרחב, והשני - התקפי, בהובלת יחידה 8200.
על התקפה כמעט ולא מדברים, אפילו שהעיתונות הבין-לאומית מלאה בדיווחים בדבר חלקה של ישראל בהתקפות סייבר, בעיקר נגד אירן. חריגה בהקשר זה הייתה הצהרתו של הרמטכ"ל אביב כוכבי בחודש שעבר, שהתייחס למבצעי הסייבר ההתקפיים שצה"ל מבצע. "מרחב הלחימה המשמעותי שהשתנה הוא ממד הסייבר, שבו ביצענו מבצעיים התקפיים רבים", אמר כוכבי.
ב-2015, כחלק מהתוכנית הרב-שנתית "גדעון", החליט הרמטכ"ל דאז, רא"ל גדי איזנקוט, על הקמת זרוע סייבר. בשלב הראשון הוקמה חטיבת ההגנה בסייבר ובראשה הועמד קצין בדרגת תא"ל. החטיבה מפעילה אמצעים טכנולוגיים רבים ומגוונים על מנת לנטרל תקיפות ואיומי סייבר של אויבים ויריבים, ובכך מאפשרת לצה"ל לשמר חופש פעולה במרחב הדיגיטלי.
"דמיין לעצמך שחיל האוויר לא יכול להזניק מטוסים בגלל תקיפת סייבר, זה נורא ואיום"
אל"ם י', מפקד מרכז בחטיבת ההגנה בסייבר
"כשחברה אזרחית מותקפת זה גרוע ולא צריך לקרות, אבל יש ביטוח כספי וניתן לרדת מתפקוד לכמה ימים", מדגים אל"ם י'. "צה"ל לא יכול לחיות ככה. אני, בשנייה שפוגעים לי ברשת מבצעית או אפילו עושים 'דיפייסמנט' (השחתה) לאתר צה"לי, נכשלתי בענק. החל מפגיעה תדמיתית במקור הכוח של מדינת ישראל ועד פגיעה ממשית בתפקוד המבצעי. דמיין לעצמך שחיל האוויר לא יכול להזניק מטוסים ברחבי הארץ בגלל תקיפת סייבר, זה נורא ואיום".
להפיל את חומות ההגנה
בצבא מזהים עלייה מתמדת בניסיונות לתקוף בסייבר יעדים ישראלים על ידי גורמים עוינים. מהאקרים עצמאיים, דרך אויבים מדיניים ועד מעצמות כגון סין ורוסיה - כל אדם וכל גוף יכול להיות שחקן במערכת הסייבר. לא מדובר בניסיונות תקיפה של אתרי אינטרנט, אלא בניסיונות יומיומיים להפיל חומות הגנה ולחדור לתוך מערכות צה"ל.
"הצבא מתמודד עם עשרות ואף מאות ניסיונות תקיפה בשנה", חושף אל"ם י'. "כל מה שאתה צריך כדי לתקוף זה מחשב וחיבור לאינטרנט. אנחנו רואים כל מיני סוגים של ניסיונות תקיפה - החל מהאקרים שסורקים את המרחב האינטרנטי, זורקים אבנים לכל כיוון ולפעמים פוגעים בך, דרך זריקות אבנים מכוונות ועד מה שנגדיר ירי חי מאקדח".
בשדה הקרב הזה אין גבולות מוגדרים, וכלי הנשק העיקרי הוא הבינה והתחכום האנושי. "עלות של תקיפת סייבר מוצלחת היא אין-סופית", מדגיש אל"ם י'. "אני נדרש להתכונן לא רק לאיומים שאנחנו מכירים מהחדשות, אלא לאיומים שיצוצו ב-2025 וקיימים כיום רק בעולם הביון. זה האתגר המרכזי וזו הסיבה שהרבה יכולות ייחודיות מומצאות כאן ויגלשו לשוק האזרחי רק בעוד עשור".
מזהים תנועות בשטח
איך חושבים כמה צעדים לפני אויב בלתי נראה ולעיתים גם בלתי מוגדר? ראשיתו של קרב המוחות העיקש במודיעין שאוספים צה"ל וגופי הביטחון על תוקפים פוטנציאליים שזוממים לפרוץ לרשתות המבצעיות. אלא שמודיעין לא תמיד קיים ולעיתים נתפס בחוסר, ולכן שכבת ההגנה הבאה תכלול שימוש ביכולות טכנולוגיות משמעותיות לאיתור אויבים אנונימיים במרחבי הרשת - הרחק מקו המגע.
"אנחנו משתמשים ברכיבי הגנה חזקים, כמעט כולם נועדו להתמודד עם איומים של גופים שאין להם מגבלה כספית או מגבלת כוח אדם", רומז אל"ם י'. "הרבה פעמים יכולים לשאול אותי למה אני עובד קשה כל כך על שכבות הגנה. התשובה היא שענקיות הטכנולוגיה מספקות הגנה של 99% בלבד. אם מישהו תקף מוצר ציבורי חמש פעמים, הן ימנעו את התקיפה השישית. אני לא יכול להרשות לעצמי מציאות כזאת ומוכרח להגן על עצמי מפני מישהו שמשקיע שנים בתקיפתי".
ומה קורה אם קו המגע נפרץ?
"אם להשוות לעולם הפיזי - אנחנו מפעילים פטרולים, מצלמות ולוחמים בשטח. לא היה לך מודיעין, פרצו לך את הגדר ועכשיו אתה צריך לזהות תנועות בשטח. לשם כך יש לנו כלים מתקדמים וגם אנשים מיומנים. הרשת בדרך כלל מורעשת וקשה לזהות אויב שנע בה, אין סניטציה. התוקפים לא אהבלים, הם רואים איך הרשת מתנהגת ומנסים להידמות לה. עבודת מערך ההגנה בסייבר היא לייצר סביבה שקל יותר לאתר בה תוקף, למגן נקודות שולטות ולהסיר את האיום".
"הצבא מתמודד עם עשרות ואף מאות ניסיונות תקיפה בסייבר מדי שנה, התוקפים לא אהבלים"
אל"ם י', מפקד מרכז בחטיבת ההגנה בסייבר
בשלב הבא יופעלו צוותי התערבות מיוחדים שתפקידם להדוף מתקפה בזמן אמת. "יש לנו יחידת התערבות מטכ"לית שתכליתה זיהוי מקור התקיפה וייעודה. ברגע שיש ריח של אויב, קופצת קבוצת מגני סייבר עם כלים מתקדמים מאוד כדי להבין מי התוקף, איפה הוא נמצא ומי חבר אליו. עליהם לאושש שהוא שם או להוכיח ההיפך".
אחד האתגרים המרכזיים של חטיבת ההגנה הוא לא רק לאתר את התוקף, אלא גם להבין מאיזו מדינה או מטעם מי הוא פועל. לשם כך מפעילים המגנים בסייבר כלים מתקדמים יחד עם אמ"ן, שב"כ, המוסד והמלמ"ב – הכל במטרה להתחקות אחר מקור התקיפה.
"במרחב הסייבר קל מאוד לייצר אנונימיות באמצעים פשוטים", מודה אל"ם י'. "אם שוגר טיל אתה תדע מאיפה הוא יצא ואם הונח מטען במרחב הגדר אז סביר להניח שיהיו מצלמות. החתימה של האויב בתקיפות סייבר היא הרבה יותר חלשה, וזה עוד לפני שהזכרתי את תופעת false flag, 'דגל כוזב' - מבצעי סייבר שמתוכננים כך שייראו כאילו הם מבוצעים בידי גורמים אחרים. גם אם התוקף לא הצליח לחדור לרשת המבצעית, ננסה להבין מי עומד מאחוריו בכל מיני אמצעים, חלקם מוכרים בשוק האזרחי וחלקם מתקדמים הרבה יותר".
"כל תקיפה בסייבר - קרב מול אויב"
בעוד ארה"ב, רוסיה, סין ואירופה מתמודדות בממד הסייבר כמעצמות, ישראל מתמודדת עם אויבים שנחותים ממנה טכנולוגית. אך דווקא מסיבה זו עשויים אירן, חמאס וחיזבאללה לנצל את הפגיעות של ישראל, הנובעת מהיותה כלכלת מידע מתקדמת, בכדי לייצר פגיעה ברציפות התפקוד שלה ובשגשוגה, ולהצר את מרחב הפעולה המבצעי של צה"ל.
בחטיבת ההגנה בסייבר מסרבים להתייחס לזהות התוקפים ששמו את הצבא על הכוונת, אך מציינים כי צה"ל עשוי להיות יעד תקיפה אטרקטיבי - הן עבור בודדים והן עבור מדינות וארגונים. "כל ניסיון תקיפה הוא למעשה קרב מול אויב", אומר אל"ם י'. "חיכוך יוצר קפיצת מדרגה אצל שני הצדדים ומי שמשתנה מהר יותר הוא זה שמנצח. במובן הזה התוקפים משתפרים כל הזמן ואפילו כלי התקיפה משתפרים. אתה לא חייב להיות מיומן יותר כדי שהתקיפה תהיה אפקטיבית יותר".
גם שיפור הקישוריות הדיגיטלית בין האגפים והיחידות השונות, שנועדה לאפשר תקשורת בין הטייס למג"ד למשל, מגדילה את מידת הפגיעות של צה"ל. "זה הופך את העבודה שלנו למורכבת יותר. הרמטכ"ל שם דגש על זרימת המידע בין כל גופי הלחימה ותפקידנו לאפשר את החזון הזה. אני לא מכיר עוד גופים במרחב הסייבר שצריכים להגן על שטח פנים שגדל בצורה אקספוננציאלית כל כך. אנחנו ממציאים משהו שעוד לא קיים בעולם ההגנה בסייבר".
אפשר בכלל לבנות חומת הגנה הרמטית בשדה הקרב הזה?
"בנינו את כל שכבות ההגנה כדי לגרום לכך שהסיכויים לפריצה יהיו אפסיים, אפילו פחות מכך, להאקר בודד. אבל בסייבר אתה אף פעם לא יכול להגיד אף פעם. בשטח אומרים - האמן לאיום. אי אפשר להיות מוגן במאה אחוז בעולם הסייבר והסיכוי שלא יהיה סדק בהגנה הוא אפסי".
מדינה תחת מתקפה
המשק הישראלי והתעשיות הביטחוניות נמצאים בחודשיים האחרונים תחת מתקפת סייבר חריגה, כנראה הרחבה ביותר אי פעם. בזו אחר זו הותקפו עשרות חברות בולטות על ידי האקרים, ביניהן שירביט, עמיטל, אינטל, אלתא וחברת אבטחת הסייבר פורטנוקס. אופי התקיפות מחזק את ההשערה שמאחורי מרביתן לפחות עומדים האקרים בשליחות אירנית או כאלה שמחוברים לגורמי סייבר בטהרן.
צה"ל אמנם אינו אמון על הגנה על חברות אזרחיות מפני התקפות מבחוץ, אך אנשי ההגנה בסייבר מביטים במתרחש בעניין רב. "ההתפתחויות מחייבות אותנו להישאר עם ראש פתוח כל הזמן כי כל דבר שאתה נערך אליו יכול להפוך לעובדה מוגמרת תוך זמן קצר", מצהיר אל"ם י'. "לכן אנחנו פועלים מתוך הנחה תמידית שחי אצלנו במערכת גורם זר. זה עוזר לנו להיות בשיא החדשנות ולחיות את השינויים שעובר עולם הסייבר".
על הדריכות שומרים המגנים בסייבר באמצעות מה שקרוי בעגה המקצועית "ציד": פעולת חיפוש יזומה של גורמים עוינים ברשתות המבצעיות, גם מבלי שקיים חשש לחדירה. "אני מכסה שטח, הולך לצוד ובודק מה אמצא. זה לא שאני מוצא אויב בתוך צה"ל כל שני וחמישי, הרי אנחנו מוגנים ברמה גבוהה מאוד. אנחנו פועלים כך כדי לא לנוח על זרי הדפנה או לגלות פתאום שקיים איזשהו ציר שלא חשבנו עליו. זו עוד מעטפת הגנה וגישה יסודית מאוד שאנחנו מטמיעים במגיני הסייבר - ההנחה שאנחנו צריכים למצוא אויב ולא להוכיח שאין כזה".
להיכנס לראש של האויב
גם המושגים דימוי אויב, תקיפה ואימונים - שמוכרים לחלקינו מהמרחב הפיזי - הפכו לחלק בלתי נפרד משגרם יומם של המגנים בסייבר. חטיבת ההגנה בסייבר מפעילה צוות אדום מטכ"לי המורכב מחיילים שמדמים את תפקיד האויב, תוקפים וחושפים את חולשותיהן של מערכות התקשורת השונות כדי להכין את המגנים בסייבר ואת הדרג המבצעי לשעת חירום.
"אלה האנשים המוכשרים ביותר במדינה בתקיפות סייבר שמדמים אויב עם כיסים עמוקים, לא האקר בודד", מתאר אל"ם י'. "השיא היה במסגרת תרגיל ראשוני מסוגו בעולם שבמהלכו הצוותים האדומים, עם כל מנגנוני הבקרה והבטיחות, השביתו בזמן אמת יכולות צה"ליות כדי לתרגל את הצוותים בשטח ואת צוותי ההגנה בסייבר במציאת האויב".
הצוות האדום מבצע בדיקות חדירה למערכות ולרשתות צה"ל בשיתוף פעולה עם הדרג המבצעי ועורך תרגלי פתע בכלל הזרועות והאגפים. המטרה היא לשפר את רמת האבטחה של צה"ל על ידי בניית התגובה המתאימה לאותה התקיפה.
"אנחנו רוצים שהמגנים יהיו צעד אחד לפני האויב ולכן מדמים להם תרחישי ייחוס שדורשים ביצוע פעולות הגנתיות מורכבות", מסביר סא"ל מ', ראש ענף בחטיבת ההגנה בסייבר. "הצוות האדום גם מאפשר לנו לבדוק את ההשפעה של תקיפת סייבר על התהליך המבצעי ועל המפקדים בשטח. בהמשך אנחנו מתחקרים את צורת ההתמודדות של המגנים עם התקיפה, את הכשירות המקצועית שהם הפגינו ואת דרכי ההתמודדות שנקט גם הדרג המבצעי".
"הצוות האדום גם מאפשר לנו לאתר פרצות שרק מעטים בעולם יוכלו לנצל אותן ולקבל תובנות על הניטור", מוסיף אל"ם י'. "כשאתה מאתר אויב ברשת הצבאית אתה לא רק שואל איך הוא הצליח אליה, אלא גם איך הצליח לחיות בה מבלי שאיתרנו אותו. אתה מקבל תובנות על איך האויב חדר את חומת ההגנה, וכך מאמן את מגני הסייבר".
בצה"ל מסבירים כי שיטת פעילותו של הצוות האדום, שמבצע תרגול סייבר "רטוב" ברשתות מבצעיות צבאיות, ייחודית גם ברמה העולמית. "אנחנו רוצים לגרום למפקדים בשטח להבין איך להתמודד עם אירוע סייבר אם יקרה בגזרתם", מדגיש סא"ל מ'. "לגרום להם להבין שלאירוע כזה יש השפעה מבצעית שהם ירגישו בה. זה ייצור מוכנות טובה יותר להתמודדות עם כל תרחיש שנפגוש בעתיד".
במקביל, חטיבת ההגנה בסייבר מעורבת גם באפיון הדרישות הטכנולוגיות של אמצעי הלחימה השונים ומוודאת שאי אפשר לחדור אליהם, כדי להבטיח חופש פעולה מבצעי מלא. כך, לדוגמה, לא ירכוש הצבא מטוס או צוללת לפני שאנשי מערך הסייבר יאשרו שמעטפת הגנה שלהם מספיקה.
"להיות אלה שכותבים את המשוואה"
הביקוש לשירות בחטיבת ההגנה בסייבר נמצא בעלייה מתמדת ובשנה האחרונה הוכשרו לא פחות ממאה מגנים חדשים לתפקיד. המתגייסים למערך הנחשק עוברים תהליך מיון קפדני במטרה למצוא את המתאימים ביותר למילוי המשימה המורכבת. אחד האתגרים המשמעותיים של המערך בהקשר זה הוא שימור כוח האדם האיכותי בשירות ומניעת זליגה לשוק האזרחי המפתה.
"אנחנו צריכים את האנשים האיכותיים האלה", מבהיר סא"ל מ'. "אני חושב שהחוזק שלנו טמון ביכולת להציע למגני הסייבר שירות מבצעי-טכנולוגי איכותי שמאפשר להם לעסוק בלא מעט תחומים חדשניים וגם לראות את ההשפעה המבצעית שלהם על צה"ל".
מפגיעת תולעת "סטוקסנט" בפרויקט הגרעין האירני שיוחסה לישראל, דרך הפריצה הרוסית ששיתקה את מחשבי ממשלת אוקראינה ועד למתקפת הסייבר המתוחכמת בחודש שעבר על סוכנויות ממשל בארה"ב - כניסתה של לוחמת הסייבר לשדה הקרב המודרני הובילה ללא ספק להרחבת מושג המלחמה. אך האם בכלל ניתן לנבא כיצד יראה עתיד מלחמות הסייבר?
"אני חושב שההיסטוריה בהיבט הזה עוד לא נכתבה", מודה אל"ם י'. "כל אירוע שאנחנו נתקלים בו - בין אם בקרב מעצמות מזרחיות או כאן אצלנו - לא קרה מעולם קודם לכן. אנחנו מדמיינים כל מיני תרחישים, חלקם יתגלו כמדויקים מאוד וחלקם פחות. המטרה שלנו היא להיות אלה שכותבים את המשוואה".
כל המידע המתפרסם בכתבה אושר לפרסום על ידי הצנזורה הצבאית.