פרסומים

תקציר

תחום הפעילות במרחב הסייבר התפתח במדינת ישראל בשנים האחרונות באופן מהיר ועוצמתי. ממשלת ישראל התייחסה לאתגר כבר בשנת 2002 והחליטה להקים את הרשות לאבטחת מידע. מאז העמיקה התלות של הרציפות התפקודית של מדינת ישראל )כמו במדינות אחרות בעולם( בטכנולוגיה בכלל, ובפעולה במרחב הסייבר בפרט. תלות זו מעצימה, מטבע הדברים, את האיומים על הרציפות התפקודית של ישראל. מדינות ויריבים שונים פועלים באופן שיטתי לפתח יכולות ולפעול נגד מערכות וגורמים שונים במדינה.

ממשלת ישראל השכילה להקים לפני מספר שנים את המטה הקיברנטי הלאומי, במטרה להעצים ולהסדיר את הפעילות במרחב. הקמתה של הרשות הלאומית להגנה בסייבר מהווה צעד נוסף בכיוון זה. לצד זאת, חובה לפעול לגיבושה ולניסוחה של אסטרטגיה לאומית לפעולה במרחב הסייבר, שהיא אבן הראשה בתהליך ההתעצמות הלאומית בסייבר. מסמך האסטרטגיה שייכתב צריך להוות רכיב במסמכי היסוד, כשהמוביל שבהם צריך להיות מסמך המדיניות הלאומית לפעולה בסייבר, שיגדיר את יעדי־העל של המדינה בתחום הפעולה בסייבר ואת דרכי שילובם במאמץ הביטחון, הכלכלה ושאר המאמצים הלאומיים. לבסוף, כל ארגון מדינתי הפועל במרחב זה יידרש לגבש את האסטרטגיה הארגונית שלו לפעולה במרחב.

מרחב הפעולה בסייבר כולל שלושה מרכיבי פעולה: המרכיב הראשון הוא הגנה, שמהווה יסוד עיקרי בפעולה בסייבר. ניתן לחלק את מושאי ההגנה בישראל לפי הקטגוריות הבאות: גופים העוסקים בביטחון המדינה, גופים המספקים שירותים חיוניים, גופים האחראיים לסדרי ממשל ולחיים תקינים וגופים שתקיפתם תשפיע על המורל ועל תחושות סדר, ריבונות ומשילות. אלה מאוימים על ידי מגוון גורמים וביניהם מדינות עוינות, מדינות יריבות, גורמי טרור, האקטיביסטים ואף אנשים פרטיים. לצד אלה חשופה מדינת ישראל גם לפעילות פשיעה פלילית במרחב הסייבר, לדוגמה: ריגול עסקי וגניבת קניין רוחני, פשיעה פיננסית ופעילות פלילית אחרת העושה שימוש במרחב הקיברנטי (סחר בסמים, פדופיליה, מכירת כלי נשק וכדומה). בנוסף למרכיב ההגנה, קיים מרכיב התקיפה ברמה המדינתית. מטבע הדברים, העיסוק ברכיבים אלה בעבודה זו מוגבל למדי. מטרת מסמך זה היא להציע קווים מנחים לגיבוש אסטרטגיית סייבר לאומית בתחום ההגנה וההתקפה. קווים מנחים אלה אינם מקיפים את כלל ההיבטים, ואינם מתייחסים להיבטים המשפטיים ולהיבטים הנוגעים לפיתוח תעשיית הסייבר הישראלית.

היעד המרכזי של אסטרטגיית הגנה לאומית בסייבר הוא שימור הרציפות התפקודית של המדינה. יעד חשוב נוסף הוא לאפשר לגורמים הרלוונטיים במדינת ישראל להחליט ולממש פעולות במרחב הקיברנטי והקינטי נגד יריבים ואויבים, מתוך ביטחון ביכולת להתמודד עם תקיפה במרחב הסייבר. מוצע להבדיל באסטרטגיית ההגנה בין שלושה סוגי מתקפות: מתקפת עומק (APT) — מתקפה מתוכננת לעומק מערך המחשבים של ארגון. מתקפה מהירה ושטחית — מתקפה שתוצאותיה ניכרות מיד, ובדרך כלל יעדיה הם גרימת שינוי באתר או מניעת גישה אליו ולשירותים שהוא מציע במרחב הקיברנטי (Defacing ,DDoS) ולבסוף מתקפת תשתית, באמצעות תקיפה על רכיבי חומרה.

בהקשר לשלושת סוגי התקיפות ניתנות ההמלצות הבאות:

1 . בעניין הגנה מפני מתקפות עומק — מוצע להתבסס על שילוב בין כלים ויכולות שאינם מחייבים מידע והיכרות מוקדמים של רכיבים ושיטות תקיפה, לבין מערך היכולות המשוכלל המבוסס על היכרות מוקדמת.

2 . התבססות על שקיפות בדיווחים על תקיפות בין ארגונים.

3 . בניית הערכת מצב קיברנטית לאומית שוטפת ורחבה באמצעות גופים דוגמת CERT לאומי.

4 . בניית גופי תגובה מהירה תוך שימוש בנתוני מחקר ולימוד על כלי תקיפה ועל קבוצות תקיפה.

5 . שיתוף עם ארגוני הגנה ומודיעין מסחריים, לצד שיתוף פעולה בינלאומי.

6 . פיתוח איסוף מודיעיני מתמיד על אויבים ויריבים לצורך התרעה.

7 . גיבוש תוכנית לתגובה קיברנטית כחלק מממד הרתעה אפשרי.

8 . פיתוח יכולת התאוששות מתקיפה במקרים שהדבר אפשרי, מתוך ההבנה שקו ההגנה לעולם ייפרץ, ולכן יש להתארגן לשיקום מהיר כתוצאה ממתקפות מוצלחות של האויב.

9 . באשר לתקיפות שטחיות — מוצע להתבסס על בניית יכולות שחזור מהירות והקצאה של רוחב פס המתגבר על החסימות, תוך שילוביות עם ספקי האינטרנט במגזר האזרחי.

10  שימוש ביכולות העברה מהירה של אתרים מותקפים לאתרי אירוח חליפיים.

11  בשל הקושי הטכנולוגי הרב לזהות תקיפות של חומרה, מוצע להקים בישראל יכולת לאומית לבחינה תקיפות חומרה. זאת, לצד שימוש בחומרה מתוצרת מקומית במקרים שבהם נדרשת רמת ביטחון יוצאת דופן.

במסגרת פרק ההגנה נותחו סוגיות נוספות. כך זוהה הצורך בבניית יכולת התאוששות לאומית מתקיפה בסייבר כיכולת חיונית, מתוך הבנה שבסופו של דבר "קו ההגנה לעולם ייפרץ", ואויב נחוש יצליח לחדור הגנה משוכללת ככל שתהיה. לכן נדרש לבנות מנגנוני התאוששות וחזרה לשגרה מתאימים מבעוד מועד. בנוסף נותחה הסוגיה הארגונית, מתוך הבנת הצורך לוודא שמדינת ישראל יכולה לספק מענה הן למרחב הביטחוני והן לזה הפלילי/אזרחי. הגנת הסייבר במגזר הביטחוני נדרשת להמשיך להיות מנוהלת על ידי גורמי מערכת הביטחון, ואילו פעילות הסייבר במרחב הפלילי/ אזרחי תטופל על ידי גורמי האכיפה במדינת ישראל, ובראשם משטרת ישראל. הרשות הלאומית להגנה בסייבר תידרש לסנכרן בין כלל הגופים ולוודא את קיומה ואכיפתה של רגולציה )אסדרה( במגזר האזרחי, שהוא המגזר הרגיש ביותר בישראל לפגיעה במרחב הסייבר. בהקשר זה מומלץ לאמץ תפיסת רגולציה במגזר האזרחי שתחייב את הכנסת תחום הגנת הסייבר כמרכיב מובנה בתהליכים סטטוטוריים קיימים, וזאת הן בשלבי ההקמה של מיזמים )אישור בוועדות התכנון השונות( והן בתהליך התפעול שלהם )חוק רישוי עסקים(. מוצע כי במסגרת זו יידרשו עסקים להתייחס גם לנושא הגנת הסייבר הרלוונטית מבחינתם. זאת, באמצעות תסקיר/דוח עמידוּת סייבר. מסמך זה יהיה הכלי הסטטוטורי העיקרי לצורך איתור ובחינת חשיפתו של המיזם לאפשרות של התקפות סייבר, ולגיבוש תהליכי הגנה מפני חשיפות אלו.

מסמך זה מתייחס באופן תמציתי גם להתקפה בסייבר, ומנותחים בו מספר תרחישי תקיפה הכוללים: תקיפה במצב גלוי ועמום, תקיפה כאמצעי להעברת מסר ותקיפה כחלק ממערכה חשאית. עיקרי ההמלצות בהקשר זה הם:

1 . ארגוני הביטחון של ישראל יידרשו לשלב כלים למתקפת סייבר בדומה לשילובם של כלים קינטיים אחרים בתוכניות האופרטיביות ובהפעלת הכוח בפועל במלחמה, בחירום ובשגרה.

2 . יכולת התקפית קיברנטית אינה עומדת בפני עצמה. היא צריכה להיות חלק מתוכנית כוללת כדי להשפיע בעימות גלוי כולל.

3 . תקיפה אפקטיבית לא חייבת להיות תקיפת עומק מתוחכמת. רצוי למצות את היכולת לממש תקיפה קיברנטית אפקטיבית למטרה ממוקדת גם באמצעות תקיפה שטחית, מהירה ורחבה של יעדים, גם אם אינם מה שקרוי "יעדי זהב" (מטרות צבאיות, תשתיות מדינה).

4 . ניתן לממש תקיפות קיברנטיות אפקטיביות באמצעות שליחים ) Proxy ( מבלי לקבל אחריות.

5 . למתקפה קיברנטית משמעותית נדרשים בניין כוח, הכרת היעד ותכנון מוקדם.

6 . תקיפה קיברנטית יכולה להוות נדבך ב"שיח" בין מדינות, כשמטרת התקיפה היא להעביר מסר.

7 . מוצע לשלב תוקפים במערך המרכזי המגן על ישראל, לצורך תכנון ותפעול שוטף של מערך ההגנה.

לבסוף, המסמך ממליץ למצות את יתרון ההתנהלות הבלתי־רשמית בישראל. ההיכרות במסגרת רשתות חברתיות רחבות, ההתנהלות החברתית, הרצון לסייע, הרצון להשתתף בפעילות בעלת גוון לאומי, הרצון להיות ב"מרכז העניינים" ולהוכיח רלוונטיות אישית ומקצועית — כל אלה מובילים בישראל להתגייסותם של אנשים רבים כל אימת שנדרש, בין אם כעזרה לחברים ובין אם לצורך לאומי, ובוודאי במצב המשלב בין שתי הסיבות. הפעילות על הבסיס הלא־רשמי הזה מתרחשת כמעט תמיד, וניתן לסמוך על כך שתתרחש באחוז גבוה מאוד מהמקרים שבהם היא נדרשת. בהיותה וולונטרית, מבוססת רצון טוב ומעוגנת בתרבות בישראל, היא חזקה יותר ולעתים איכותית יותר מפעילות שיתוף פעולה שבאה כתוצאה ממחויבות מבנית, חוקית או נוהלית. רצוי יהיה לתת מקום גם למרחב התנהלות זה, שיש לו תרומה משמעותית ביותר לביטחון מרחב הסייבר במדינה.

לסיכום, מוצע שחלק נכבד מהאסטרטגיה שתגובש יהיה גלוי לציבור, ויתאפשר לו לגזור ממנה את מה שרלוונטי עבורו. מובן גם שלמסמך כזה צריכים להיות חלקים מסווגים שיעסקו בנושאים שהשתיקה יפה להם, ושיסייעו לתאם ולסנכרן ככל האפשר בין כלל ארגוני הביטחון הפועלים בישראל. זהו אתגר משמעותי ובר־השגה, שיוכל לקבע את מעמדה של ישראל כמובילה בתחום פעילות הסייבר בעולם.