"יש לייצר מסה קריטית של הגנה – אנחנו בדרך אבל עוד לא שם"

"בעולם הגנת הסייבר יש להשקיע יותר בעשייה של 'כאן ועכשיו' גם אם לא על חשבון השקעות העתיד. העולם הדיגיטלי נמצא בשינויים גדולים ומהירים וחשוב להדביק את הפער כדי שההגנה, שכל הזמן 'רודפת' אחרי השינויים, תהיה אפקטיבית. צריך לייצר מסה קריטית של הגנה – אנחנו בדרך הנכונה, אבל עדיין לא שם", אמר בוקי כרמלי, ראש רשות הסייבר היוצא במשרד ראש הממשלה.

לדברי כרמלי, "חסרים בישראל אלפי מקצועני הגנת סייבר. גופי ההכשרה בהחלט מסייעים, אך עדיין חסרה מסה קריטית. מערך ההכשרה צריך להתחיל בתיכון, להמשיך בצבא ומשם לאזרחות. על הממשלה להגדיר מקצועות סייבר רלוונטיים. העלאת הרמה של העוסקים במלאכה היא תנאי הכרחי".

בפברואר 2015 החליטה הממשלה על הקמת הרשות, שייעודה היה להגן על מרחב הסייבר האזרחי של ישראל. הרשות החלה לפעול ב-2016 עם מינוי כרמלי כראשה על ידי בנימין נתניהו, ראש הממשלה ובאישור הממשלה. במקביל לה פעל מטה הסייבר, שעסק בקידום התחום בתעשייה, במחקר האקדמי ובהון האנושי.

כרמלי התייחס לביקורת על כך שהרשות "שאבה" מקצועני אבטחה רבים לתוכה ואמר כי "כשיצאנו לדרך היו ברשות עשרה אנשים וכשעזבתי, היא מנתה 220 עובדים. הרוב הגיעו מתוך תחושת שליחות, שלא פסה מהעולם למרות שהם יכולים להרוויח יותר במקומות אחרים. חשוב להבין: כשהמדינה מחליטה לרכז מאמץ ואין מספיק – נוצר מחסור, והייתה לרגע תחושת איום. אבל המחסור היה זמני, ולבסוף נוצר איזון".

כרמלי, בן 56, פעיל בעולם אבטחת המידע והגנת הסייבר בישראל מזה שלושה עשורים. הוא שירת 17 שנים בצבא ביחידת 8200, הקים חברות סטארט-אפ בתחום והקים את היחידה הטכנולוגיה של המלמ"ב, במסגרתה הוביל את הגנת הסייבר במערכת הביטחון. לאחר מכן שימש כמנכ"ל חברת השקעות באלגוטריידינג – ספרה סיסטמטיקס מקבוצת ספרה.

גיבוש תפיסת הגנה אזרחית בסייבר

"גולת הכותרת בעשיית הרשות הייתה בגיבוש תפיסת הגנה אזרחית בסייבר ויישום שלה. זה נעשה בשלבים: הראשון, מיפוי המשק ו'ספירת מלאי' מה יש ברמת מדינה הדורש מעורבות לאומית להגנת סייבר. יש חברות תשתית קריטית, משרדי ממשלה, יחידות סמך ממשלתיות, חברות גדולות. זה מרחב ענק", אמר כרמלי.

"הקמנו כוח הגנה בסייבר עם מרחב אחריות עצום. התשתיות הקריטיות, דוגמת חברת חשמל, מקורות, המאגר הביומטרי, בז"ן, רשות שדות התעופה, רכבת ישראל ומאגרי הגז פועלות תחת החוק להסדרת ביטחון גופים ציבוריים. את הממשלה ויחידותיה הרשות מנחה מתוקף החלטת ממשלה 2443. לגבי שאר הגופים, אין תוקף חוקי להנחייה ולכן כשלב ביניים קבעתי שיפוקחו בהסכמה, על בסיס שיתוף פעולה ומהבנת חשיבות הנושא", הוא הוסיף.

תורה לניהול אירוע סייבר

כרמלי אמר עוד כי "בנינו תורה מבצעית, מעשית, עם יותר מ-30 שלבים לניהול אירוע סייבר מזיהויו ועד סילוקו וחיסון המערכות. התורה גובשה על בסיס ניסיון העבר וכוללת ארבעה נדבכים: הגנה שקטה, הגנה רועשת, שגרה מפוקחת וחזרה לשגרה".

לדבריו, "תהליך של סילוק מתקפת סייבר לא נמשך יום-יומיים אלא שבועות רבים. במהלכו בודקים גם מתי אירעה החדירה בפועל. בעיה נוספת היא שעד שאין אירוע סייבר אין גם ביטוי להחזר השקעה וקשה להוכיח את האפקטיביות שבהשקעות. לכן נדרשים מדדים כמותיים, דוגמת הזמן הממוצע בין חדירה לגילוי, או הזמן הנדרש לסילוק מאז הגילוי. המאמצים שהמדינה השקיעה בעשור האחרון הובילו לכך שב-2016-2018 חל שיפור במדדים אלה".

"חוק הסייבר נחוץ – אבל"

ביוני 2018 פורסם תזכיר חוק הגנת הסייבר. על החוק, בצורתו הנוכחית, אף שרוכך לעומת נוסח קודם שלו, נמתחה ביקורת שהוא עדיין מעניק למדינה יכולת חיפוש וגישה למחשבים ולנתונים – באופן נרחב מדי.

"חוק סייבר טוב צריך לתת לעומד בראש מערך הסייבר הלאומי כלים שיאפשרו לו לומר למנכ"ל חברה, גם פרטית: 'אם אינך מסכים לאפשר לי גישה למערכות הסייבר שלך, למרות שיש אירוע סייבר בעל השלכות לאומיות, או קיים חשד סביר לקיומו – נפנה לבית משפט כדי לקבל צו המתיר זאת'. בעולם הסייבר, אם לא תתקין 'חיישנים' – שם קוד לסוכני תוכנה המקליטים מידע – אתה עלול לאתר את החדירה זמן רב אחרי שהיא אירעה", אמר כרמלי.

לדבריו, "בהקשר האחרון חוק טוב ייצור איזונים ובלמים, המבטיחים את היכולת להתקין חיישנים, גם בהעדר אירוע סייבר אבל המידע שייאסף על ידם, והשימוש בו – יפוקח בזמן אמת על ידי גורם מוסמך שלו הכלים לבחון את הבקשה. חשוב להבין: איזונים ובלמים הם לא בהכרח משקולת המכבידה ומקשה על הגנה, ניתן לייצר הגנת סייבר רחבה למשק, שבה איזונים ובלמים – ועדיין, להבטיח הגנה אפקטיבית. חוק הסייבר נחוץ, כי חובה להסדיר את פעילות מערך הסייבר במרחב האזרחי, אבל הוא מחייב כיול וכיוונון".

מתקפת סייבר כמשחק שח

"בישראל יש מאות מתקפות סייבר מדי חודש ומאות אלפי ניסיונות חדירה. בחרנו בהגדרת אירוע סייבר כאירוע בו החדירה צלחה. בניגוד למקובל לחשוב, גם חדירה לעסק קטן עשויה להיות מעניינת למדינה כי היא עלולה לשמש גשר לחדירה למקומות גדולים יותר", ציין כרמלי.
"מתקפת סייבר היא כמו משחק שח, כשהתוקף מזיז את הכלים בכל מיני דרכים בטרם הונחת המט. כגודל המכ"ם כך גודל הגילוי. במהלך תפקידי נתוני החדירות גדלו ואיני בטוח שכבר הגענו ל-100% מההיקף האמיתי – האם אנו יודעים על כלל החדירות. כדי להגן בצורה מספקת, יש להכיר את מגוון האיומים והשיטות. לצערי, זה מרדף אינסופי שבו לא כל המהלכים מוכרים. יש לנו עוד דרך ארוכה לעבור על מנת שנוכל לומר שאנחנו מוגנים לחלוטין", אמר.

בהתייחסו לחיבור רשות הסייבר ומטה הסייבר לגוף אחד, מערך הסייבר, אמר כרמלי כי "כשלוקחים גוף (הרשות) שתפקידו לדאוג לכאן ועכשיו, גוף מגיב, מבצעי ומחברים אותו לגוף (המטה) שמבטו לטווח זמן ארוך מאד וכשקיים חוסר אינהרנטי במשאבים, צצה דילמה לעומד בראש הגוף האחוד לגבי סדר הקדימויות. סברתי שנכון לטפל קודם בבעיות הבוערות. חשבתי שנכון לשמר את המטה והרשות כגופים בלתי תלויים, או לאחדם תחת גוף הגנה מבצעי אחוד שעיקר עיסוקו הוא 'כאן ועכשיו'. כל אחד מהגופים נמדד על מטרות שונות, בטווחי זמן שונים".

בינואר השנה הממשלה אישרה את מינויו של יגאל אונא, יוצא 8200 והשב"כ, לתפקיד ראש מערך הסייבר הלאומי. "עצתי לידידי יגאל", סיכם כרמלי, "היא לתת משקל סגולי רב להגנה מבצעית של כאן וכעת, לתגובה מהירה לאירועים, ללימוד האירועים ולהמשך חיסון המשק. הקמת הרשות הייתה מהלך מהפכני ונכון ואסור לתת לו להתמסמס".