"חשוב שהתוקף לא ידע שאנחנו בעקבותיו, אז מנסים לעבוד בשקט"

מה עושה מגיב לתקריות סייבר?
תקריות סייבר הן פריצות של האקרים לחברות וארגונים: לאתרים, למחשבים של העובדים, לשרתים, למאגרי מידע, לטלפונים של אנשים בארגון. בעולם הפיזי כשיש פריצה והאזעקות מתחילות – הגנב בורח. בעולם הסייבר זה לא עובד ככה. וירוסים (נוזקות) בימינו יודעים להסתיר את עצמם היטב. העבודה של מגיבים לתקריות סייבר (Incident Response) היא להבין היכן בתוך הרשת התוקפים מסתתרים, לצוד אותם ולמנוע מהם להיכנס שוב.

מי התוקפים האלה?
תוקפים יכולים להיות מתחרים שגונבים לקוחות או מידע מסחרי רגיש. יש מקרי סחיטה, שבהם האקרים גונבים מידע רגיש שהפרסום שלו יפגע בעסק וירצו תמורתו כופר.

איך נראית העבודה?
בשגרה אפשר לקום ב־11, להכין כוס קפה, להתיישב לעבור על כל מיני מסמכים במחשב ולעבוד על הכשירות. למשל ללמוד דרכי עבודה של קבוצות האקרים שקיימות בעולם. בזמני חירום אנחנו מראיינים אנשים בארגון, אוספים כמה שיותר מידע מתוך הרשת הארגונית, מנתחים ומאתרים קצה חוט להתחיל ממנו את החקירה – למשל מחשב שמתנהג באופן חשוד. אחרי כל זיהוי ודאי של התוקף אנחנו יכולים למקד את החיפוש ולהדק את הטבעת סביבו. חשוב שהתוקף לא ידע שאנחנו בעקבותיו, אז אנחנו מנסים לעבוד בשקט. אחרי שחקרנו ומצאנו את כל הנוזקות ואת נקודות האחיזה, אנחנו עושים kill switch: מוחקים את כל הנוזקות ואת כל הכלים שלו וחוסמים את הכניסה שלו לרשת.

כתבות נוספות באתר מקור ראשון:
– המדור יצא למשלחת חילוץ במטרה להציל את המרסייה הזעירה
– תנו לנשום: ביו"ש דורשים את החלת חוק אוויר נקי
– לוחמה כלכלית־דיפלומטית: הצעדים הבאים במאבק בהאג

איך התחלת לעבוד בתחום?
בצבא התעסקתי באבטחת מידע וכשהשתחררתי עבדתי כמתכנת. כשהייתי מובטל, חברה מהצבא שעבדה בתגובה לתקריות סייבר הציעה לי להצטרף אליה. בתחום הזה יש ימים שלמים של עבודה מול המקלדת – אבל ברגע שמגיע טלפון מלקוח במצוקה כל הצוות עולה על חליפות, עולה על טיסה לניו־יורק, לוס־אנג'לס, מקסיקו או לונדון, יושב כמה שבועות במשרדים של חברת ענק וחוקר. זה נשמע לי ממש מגניב אז הצטרפתי. לפני למעלה משנה הקמתי חברה שעוסקת בתחום.

מה אתה אוהב במקצוע?
יש לי בעיות קשב וריכוז והיה לי קשה להתמיד בעבודה, הייתי צריך את האקשן של עבודה לא מונוטונית. לפעמים הכול על מי מנוחות, אבל כשיש חקירה עובדים מסביב לשעון, נוסעים לצד השני של העולם וחוקרים מהבוקר עד הלילה.

מה אתה לא אוהב במקצוע?
לפעמים בא לי פשוט להישאר בבית עם בת הזוג שלי, אבל אני לא יכול כי אנחנו באמצע חקירת פריצה אינטנסיבית. יש גם שאלות על איך זה יסתדר עם הקמת משפחה, כשאני לא יכול להיעלם להם לחודשיים חקירה בחו"ל.

איזו טעות של מתחילים עשית?
הייתה לנו חקירה שעם מידע נכון אפשר היה לסגור בשבוע, אבל נמשכה למעלה מחודש. שרפנו זמן על חיפוש בעיה במקום שבו היא לא נמצאת, כשבסוף הבעיה הייתה במקום שלא ידענו על קיומו. גיליתי שלפעמים הלקוח נבוך לחשוף טעויות, או שיש לו בעיה לתת בנו אמון ולספר הכול. למדתי מזה לתקף כל מידע שאני מקבל ולא להסתמך רק על העדות של הלקוח.

כמה עובדות על תגובות לתקריות סייבר

מתקפות סייבר
יש שני סוגי מתקפות: מתקפה כללית – לא משנה מי נופל, העיקר שנופלים וכמה שיותר. אלו מתקפות שאנטי– וירוס מצוין באיתור ובעצירה שלהן;
מתקפה ממוקדת: מתקפה שנועדה להפיל אדם או ארגון ספציפי ודורשת מחקר ואיסוף מודיעין מוקדמים ושימוש בכלים ייחודיים למתקפה.

מסלול הכשרה
הרבה מהעוסקים קיבלו הכשרה בצבא ביחידות: 81, 8200, מצו"ב, יחידת אבטחת המידע בחיל האוויר ומגן בסייבר. או תואר במדעי המחשב עם התמקצעות באבטחת מידע. להיות מומחה בנישה ספציפית בעולם הטכנולוגי ולהתמקצע באבטחה בתחום הזה.

איפה הכסף
השכר התחלתי הוא 15,000–20,000 ₪, טאלנטים מנוסים יכולים לקבל גם 40,000 ₪ ומעלה.

שכירים או עצמאים
גם וגם.

מקצועות קרובים
אנליסטים בחדרי בקרה; מתכנתים; חוקרי נוזקות ומנהלי אבטחת מידע.