מערך הסייבר הלאומי מקים מרכז בקרה מדינתי בענן של גוגל

מערך הסייבר הלאומי מקים בימים אלה מרכז בקרה מדינתי, על בסיס טכנולוגיית הענן של גוגל (Google Cloud), כך נודע לאנשים ומחשבים. הפרויקט החל בסוף 2022 וצפוי לעלות לאוויר בחודשים הקרובים. היקפו הכספי של הפרויקט לא נמסר לפרסום, אולם לאנשים ומחשבים נודע כי הוא עומד על מיליוני שקלים.

את הפרויקט מובילים אנשי אגף ה-CTO בחטיבה הטכנולוגית במערך, בראשות אורן בושמיץ, והוא נערך בלא אינטגרטור חיצוני, בהובלת טלי שמר, ראשת מרכז תוכניות לאומית במערך, ובשיתוף אנשי חברת גוגל קלאוד ישראל.

המניע לפרויקט ההקמה של מרכז בקרת איומי הסייבר הלאומי הוא בשל השינויים הבלתי פוסקים בנוף האיומים והגידול בהיקפם, לצד המעבר של ארגונים בכלל וארגוני ממשלה וציבור בפרט – לענן הציבורי. זאת כי המעבר לענן יוצר עומסים גדולים של לוגים. מניע נוסף לפרויקט הוא כניסת הבינה המלאכותית ובתוכה, בינה מלאכותית יוצרת – לעולם הגנת הסייבר. בשל יכולות מיכון, RPA ו-AI, לתוקפים קל יותר לייצר מערכי מתקפות ממוכנים, במהירות גדולה, בתדירות גבוהה ובהשקעה נמוכה. כך, כאשר כמות אירועי הסייבר גדלה בעקביות, ומנגד – היקף כוח האדם העוסק בהגנת הסייבר לא גדל בהתאמה, או לא גדל כלל – מערך הסייבר הלאומי נדרש לפתרון שיענה לכלל האתגרים.

מערך הסייבר הלאומי

תמונה לאומית מתוכללת – ה"מבינה" מה קורה בארגון

מרכז הניטור והבקרה הלאומי, בראשות טל אביטן, ראש מרכז ניטור מגזרי במערך, ישרת את מרכזי הניטור המגזריים, כמו גם את ה-SoC הלאומי, תוך תכלול כל תוצרי המידע אודות האיומים. לאחר עלייתו לאוויר, יצורפו אליו באופן מדורג מרכזי ניטור נוספים. תכנון המערכת נעשה כך שתניב ערך הגנתי ברמה הלאומית, ברמת המרכזים המגזריים וגם עבור ה"לקוחות הסופיים" – הגופים המונחים על ידי מרכזי הניטור המרכזיים. כך, בחיבור למרכז התפעול הלאומי, תיבנה תמונה לאומית מתוכללת, ה"מבינה" מה קורה בארגון, או בכמה ארגונים ממגזר מסוים, עם יכולת לבניית הקשר, קונטקסט, לאירוע הקורה במגזר אחר.

בהיבט הטכנולוגי, המערכת תכלול יכולות SIEM-SOAR (תגובה, ניטור ותזמור), עם לוחות מחוונים, כלי BI ויכולות AI, ויכולת אינטגרציה נרחבת, בשל חיבוריות לרכיבי ולמערכות אבטחה, עם 420 מחברים (קונקטורים) למערכות השונות.

בראיון לאנשים ומחשבים אמרה שמר, מנהלת באגף ה-CTO במערך, כי הצוות בראשותה מטפל בנושאים טכנולוגיים רוחביים, דוגמת מחשוב ענן, דור 5, בינה מלאכותית ועוד.

"בחודשים האחרונים", אמרה שמר, "נכנסנו לתכנון ולמימוש של תכנית תפעול אבטחה. מדובר בתפישה רחבה יותר מאשר הקמת SIEM או SoC, הכוללת את כל המנעד של התחום, לרבות תחומי AI ומרכז ניטור".

"בטרם הפרויקט", סיפרה שמר, "עשינו שימוש במערכת און-פרם, לא עננית, על מנת לתת מענה להיקף גדול של לוגים. אלא שנוצר מצב בו היקף הלוגים שניתן היה לקלוט במערכות היה גדול מזה שבו הן היו יכולות לטפל, ונדרשנו להגדיל את הקיבולת התשתיתית. הבנו שעלינו לאמץ גישה חדשה לעולמות תפעול האבטחה: עלינו לנצל את יכולות הענן כדי לשלב יכולות מיכון ותיקנוּן של התהליכים, להוסיף יכולות AI – ולטפל באיתור ובריכוז האירועים באופן אחוּד".

גבי פורטנוי, ראש מערך הסייבר הלאומי. צילום: ניב קנטור

"התוקפים לא נחים לרגע – וגם אנחנו לא"

"התוקפים לא נחים לרגע – וגם אנחנו לא", סיכמה שמר. "הרעיון המניע לפרויקט הוא הרצון לשפר את יכולות הזיהוי של גורמי איום ומתקפות, תוך שיתוף פריטי מידע שונים. תפישת העבודה שלנו מושתתת על החלטת הממשלה, לפיה מערך הסייבר הוא הרגולטור לתחום, ובהתאמה, פועל מול הרגולטורים המגזריים. אנו בעיצומה של בניית פלטפורמה שתאפשר יותר שיתופיות ויותר סטנדרטיזציה לתחום. כך, ניצור תפעול אבטחה כתפישה תהליכית כוללת ומוכללת ובה מגוון רכיבים, שבבסיסה מערכות תפעול ותזמור אבטחה, עם יכולות אוטומציה וזיהוי דפוסי פעילות של מתקפות. נביא למערך 'בנק' מבוסס שיתופיות וידע, עם תובנות רוחביות שעשויות לשרת מגזרי פעילות שונים, עם מנגנון התרעות והדרכות לפעולה – מה שיגדיל את יכולת החוסן הלאומי בסייבר. כך, נוכל להגיב לאירועים מהר יותר ובצורה יעילה יותר, על בסיס יכולות מיכון, זיהוי, ניתוח הררי נתונים – והכללות".

בעבר אמר גבי פורטנוי, ראש מערך הסייבר הלאומי, כי "כדי לקדם ולהתקדם חייבים לשנות את הגישה. המענה לשינוי הדרוש נמצא בענן. אבל כדי שזה יקרה, לצד השינויים הטכנולוגיים יש לשנות בראש ובראשונה את התרבות הארגונית, ולבנות בסיס לשיתופיות. תפישת העולם המשותפת, מבוססת ענן, היא הזדמנות, גם בהקשרי הגנת סייבר, לבוא ולקפוץ קדימה. נביא תהליכי בקרה, גילוי ומניעה, עם רציפות תפקודית מלאה, מבוססת אוטומציה – מה שיגדיל את יכולת הזיהוי של הסיכונים והמניעה שלהם, ובאופן מהיר יותר. כמאמר הקלישאה – עדיף להיות תלוי האחד בשני מאשר להיות תלוי אחד ליד השני".