חשיפה: כך רפאל מגנה על עצמה מפני מתקפות סייבר

איך רפאל, אחד הארגונים החשובים בתעשייה הביטחונית הישראלית ומשום כך בין הגופים החשופים ביותר בישראל למתקפות סייבר, מגן על עצמו? מהם הקווים המנחים אותו בתחום?

אלה בין השאלות בהן עסק קובי כ., מנמ"ר רפאל, בדבריו במפגש פורום C3 של אנשים ומחשבים, שהתקיים ב-yes Planet בראשון לציון, בהנחיית פלי הנמר, יזם ומנהיג אנשים ומחשבים.

לדברי קובי כ., "רפאל, כתעשייה ביטחונית ישראלית, שבה יש פעילויות מסווגות – מהווה יעד ראשי וקבוע לגורמים שונים בעולם העורכים מתקפות סייבר שנועדו להזליג מידע מהרשתות שלנו להאקרים. לכן, איומי הסייבר מטרידים אותנו".

הוא ציין כי ההגנה מפני הסייבר "נדרשת בכל הרמות, בוודאי בארגון שיש בו 25 אלף תחנות קצה, מחשבים וטלפונים חכמים, שנדרש לדעת מה קורה בכולם".

קובי ציין כי בניגוד לארגונים אחרים, שם הגוף האמון על אבטחת מידע מצוי תחת יחידת הביטחון, ברפאל נמצא הנושא באחריות יחידת ה-IT. "הדבר מקנה שיתוף פעולה מובנה בין גוף הביטחון בארגון ובין גוף ה-IT, ומאפשר לנצל את היות הביטחון הרגולטור לתחום בארגון, ובעל סמכויות מתוקף היותו מונחה-מלמ"ב (ר"ת הממונה על הביטחון במערכת הביטחון)", הסביר.

לדברי קובי, "רפאל מפתחת ומוכרת שירותי הגנת סייבר מתקדמים בתחומים שונים, ביניהם הגנה על מערכות SCADA. משפחת מוצרים אלה מכונה CyberDome, בפרפראזה על כיפת ברזל".

"לשנות את הגישה הקיימת בהגנה"

לפני ארבע שנים, אמר קובי, "הבנתי שאי אפשר להמשיך ולהתגונן מפני מתקפות סייבר בגישה הקיימת. הבנתי כי נדרש שדרוג בתפיסת ההתגוננות מפני מתקפות סייבר. הנהלת רפאל הגדילה משמעותית את הקצאת התקציב ואת היקף התקנים לתחום. נכנסנו לתוכנית תלת-שנתית שאנחנו מצויים בסיומה, במסגרתה עיבינו את מערכי ההגנה – על בסיסי נתונים ורכיבים ניידים – ואפילו התקנו מערכת לכיבוי מחשבים בשעות הלילה, למזעור פעילות לא רצויה. העיקר בתוכנית היה הקמת ועיבוי שכבת הגילוי ושכבת התגובה".

לדברי קובי, "לרוב הארגונים כיום אין יכולת לזהות פגיעת סייבר בזמן אמת. לטובת שכבת הגילוי הטמענו מערכת מתקדמת להקלטה ולניתוח של תקשורת – על מנת לזהות אנומליה בתקשורת. פרסנו בנוסף מערכות לזיהוי אנומליות בתחנות קצה. כלל הפתרונות פקחו את עינינו, שכן בעבר היינו עיוורים לגבי מה שקורה ברשתות ובתחנות הקצה ברפאל".

חמ"ל הסייבר של רפאל

עבור שכבת התגובה, ציין קובי, "הקמנו חמ"ל סייבר הפועל סביב השעון ומרכז את כל המידע שהחיישנים (סנסורים) אוספים". לדבריו, "החיישן החשוב ביותר שלנו הוא העובד, שכן בסופו של דבר, אנחנו יודעים מהעובדים על לא מעט מהמתקפות הממוקדות והמתקדמות (APT), בשל המודעות הרבה שלהם לתחום".

"פיתחנו יכולות פורנזיקה פנימיות חזקות ביותר", ציין מנמ"ר רפאל, "יכולות הקיימות בכל הפלטפורמות שלנו, לרבות ניתוח קוד עוין. הדבר מאפשר לנו במהלך אירועי אבטחה לערוך ניתוח מהיר מאוד של הנוזקה, להבין האם נפגענו וכיצד עלינו לפעול בארגון וברשתות התקשורת והמחשבים שלו. ריכזנו מקורות מידע מודיעיניים מהם אנו ניזונים, לרבות רכישה של שירותים אלה".

אבל, סייג קובי, "בסופו של דבר אין תחליף ממוכן לאנליסט הסייבר". לדבריו, "המשאב האנושי הוא החשוב ביותר, מעבר לכל הכלים והטכנולוגיות. אנו מכשירים את העובדים הקיימים ומגייסים עובדים חדשים, ברובם בוגרי סייבר מהמערך הצבאי. המשאב האנושי הוא המספק לנו יכולת בידול".

קובי סיכם באמרו כי "לא המצאנו דבר שאינו ידוע ומוכר בעולם. לדעתי גופים גדולים חייבים לאמץ מתקפות מתקדמות להגנה מפני סייבר, שאם לא כן, הסיכוי לעמוד במתקפות אלה, המתרחשות בכל עת – יהיה אפסי".