אל"מ (מיל') ד"ר גבי סיבוני: "הגנה על המגזר העסקי-תעשייתי מפני מתקפות קיברנטיות – צו השעה"

"לצד המגזר הביטחוני והארגונים שהוגדרו כתשתיות הלאומיות חיוניות, שלהן קיים 'אבא' לתחום ההגנה מפני מתקפות קיברנטיות, הרי שקיים מגזר חשוב נוסף וגדול: המגזר העסקי-תעשייתי. ההגנה על מגזר זה מפני מתקפות קיברנטיות היא צו השעה", כך אמר אל"מ (מיל') ד"ר גבי סיבוני.

ד"ר סיבוני, ראש התוכנית ללוחמה קיברנטית במכון למחקרי ביטחון לאומי (INSS), התראיין לאנשים ומחשבים לקראת כנס בנושא סייבר וביטחון לאומי שייערך ב-4 בספטמבר במכון בתל אביב.

"הקמת המטה הלאומי לסייבר מסמלת שינוי חשוב ובעל משמעות", אמר ד"ר סיבוני, "אולם לרשויות המדינה יש עוד דרך ארוכה לעבור. יש להעמיק את ההגנה מול המדובר האיום הקיברנטי במנעד רחב של תחומים".

לדבריו, לצד ארגוני SMB והמגזר הפרטי, ניתן לחלק את הארגונים במשק הישראלי לשלוש קבוצות. המגזר הביטחוני והארגונים שמוגדרים כתשתיות לאומיות חיוניות הן קבוצות ש-"מטופלות בתחום ההגנה הקיברנטית", אמר. "ארגוני מערכת הביטחון, קרי – צה"ל וקהיליית המודיעין, מחויבים להגן ומגנים על נכסי מערכות המיחשוב והרשתות המבצעיות שלהם, והם משקיעים משאבים לא מבוטלים כדי למנוע אפשרות של חדירה לא מורשית למערכות ה-IT ולמערכות המבצעיות שלהם. ארגונים המוגדרים כתשתיות לאומיות קריטיות, דוגמת חברות חשמל, מים ואנרגיה, פועלים תחת הנחיה ובקרה של הרשות לאבטחת מידע (רא"ם) בשב"כ. ההשקעה המוסדרת והמכוונת של שתי הקבוצות האלה מצמצמת, אף אם לא מבטלת, את היכולת של גורמים עוינים לגרום נזק של ממש למערכות ה-IT שלהם".

אלא שלצד אלה, ציין ד"ר סיבוני, "קיימת קבוצה גדולה של ארגונים, שאף שאינם מוגדרים כתשתיות לאומיות קריטיות, הפגיעה בהם עלולה לגרום לנזק לא מבוטל גם ברמה הלאומית. ארגונים אלה אינם מונחים לתחום הגנת סייבר, אינם מודרכים ואינם מוגנים. למשל, מפעלים וחברות בתעשיית המזון, התרופות ועוד. פגיעה קיברנטית במערכות ה-IT ובמערכות התפעול התהליכי של החברות הללו עלולה להסב נזק משמעותי לחברות ועלולה אף להסב נזק ברמה הלאומית. ארגונים אלה הם הפגיעים ביותר, שכן שיעור ההגנה שלהם מפני תקיפה קיברנטית נקבע בעיקר על ידי שיקולים עסקיים-כלכליים, הנגזרים, בדרך כלל, משיקולי רווח והפסד".

לגבי חשיפת פרטי כרטיסי האשראי ותקיפות אתרי אינטרנט של חברות ישראליות אמר ד"ר סיבוני: "במתקפה של מי שכונה ההאקר הסעודי היו אלה בעיקר נזקים תדמיתיים, אולם אין ערובה לכך שהתקיפות הבאות לא יכוונו למערכות תפעוליות של חברות – מערכות שההגנה עליהן אינה מספקת ושהפגיעה בהן תהיה משמעותית יותר". בתוכם, ציין, "נדרש להגן על מערכות בקרה של מתקני תעשייה. מדובר בנושא שבאופן מסורתי לא קיבל מענה זמן רב, ודרוש לטפל בו בדחיפות. הגנה על המערכות הללו היא צו השעה".

הגנה, חקירה ותגובה
"התמודדות של מדינת ישראל עם אתגרים אלה מחייבת פעולה בשלושה מימדים: הגנה, חקירה ותגובה", אמר ד"ר סיבוני. "דומה שהדרך היעילה לשפר את כושר ההגנה של חברות וארגונים שאינם מוגדרים כתשתית לאומית קריטית הינה באמצעות השימוש בחוק רישוי עסקים, תוך קביעת כמה מדרגות לעסקים המחויבים לעמוד בדרישות הגנה מינימליות". בצורה כזו, אמר, "לכל תחום עיסוק תיקבע רגולציה מחייבת להגנה, בהתאם למדרג שנקבע".

"לא ברור מי האחראי במדינת ישראל לקבוע את מדיניות התגובה ההתקפית ולהגיב, אם בכלל, לתקיפות כדוגמת זו של ההאקר הסעודי ואחרות", ציין ד"ר סיבוני. "היעדרה של מסגרת הפעלת כוח, אשר היא אינה ביטחונית – בתחום הסייבר, מייצר חלל שאליו נכנסים אזרחים הפועלים בצורה עצמאית ולא חוקית. החוסר במסגרת לאומית שתוכל לקבוע את מדיניות ההגנה, לחקור אירועים ואף להגיב להם במקרה הצורך, הינו בולט לעין".

ד"ר סיבוני סיכם באמרו, כי "המענה לצורך הזה יכול להינתן בכמה דרכים: הרחבת הסמכויות והמשאבים של הרשות לאבטחת מידע, או אלה של משטרת ישראל. המטה הלאומי לסייבר יכול אף הוא לרכז את הנושא ולהגיש המלצות. בכל מקרה, השארת המצב הקיים כפי שהוא עלולה לגרום אובדן שליטה במרחב הסייבר".

בכנס הסייבר והביטחון הלאומי ירצו, בין השאר, גנרל בדימוס מייקל היידן, לשעבר ראש ה-CIA וראש ה-NSA; ראלף לנגנר, מומחה אבטחה וממפצחי הנוזקה סטוקסנט (Stuxnet); אלוף (מיל') עמוס ידלין, לשעבר ראש אגף מודיעין וכיום ראש המכון למחקרי ביטחון לאומי; וכן ד"ר סיבוני.