לא רק נטרול מחבלים: יחידות הסייבר של השב"כ נחשפות
לפני 15 שנה, רק ארבעה אחוזים מאנשי השב"כ השתייכו למערכי הסייבר והסיגינט. כיום הם מהווים לא פחות מרבע מכלל הארגון. ביקור נדיר ומיוחד אצל ה"האקרים ברישיון" של מדינת ישראל
בעיצומו של גל טרור הסכינים ששטף את ישראל במחצית הראשונה של שנת 2016, התגייסו אנשי שב"כ רבים למערכה. הפעם לא היה מדובר רק בסוכני שטח מחוספסים עם אקדחים, אלא בצעירים רבים שפעלו מתוך חדרים בסגנון הייטקיסטי במרכז הארץ.
זירות הפעולה שלהם במקרה הזה היו הרשתות החברתיות. אנשי הסייבר של השב"כ חיפשו מסביב לשעון התארגנויות שעמדו להוציא אל הפועל פיגועים.
למעשה, הם "חיו" בתוך הרשתות. בחלק מהמקרים, המידע שאספו הוביל למעצרי מנע שבוצעו על ידי לוחמי צה"ל והשב"כ, אלה שנמצאים שטח. במקרים שבהם הסכנה לפיגוע נחשבה פחות מיידית, בוצעו שיחות אזהרה טלפוניות: אנשי שב"כ התקשרו להוריהם של נערים פלסטינים מיהודה ושומרון, והבהירו להם כי אם הילד יבצע פיגוע, המשפחה כולה תשלם מחיר כבד.
"היו פעמים ששמענו את ההורים 'מפליקים' לילדים שלהם מהצד השני של הטלפון, עוד לפני שהשיחה הסתיימה. ההורים מיד הבטיחו שיהיו אחראים למעשי הילדים שלהם", אומרים באגף הסיגינט-סייבר בשירות הביטחון הכללי: "אנחנו מעריכים שכך נמנעו פיגועים רבים".
לקראת כנס סייברטק 2017, שייפתח ב-30 בינואר בגני התערוכה בתל אביב, ערכנו ביקור עיתונאי נדיר ביחידות הסייבר של השב"כ.
הביקור היה רצוף בהפתעות, שכן בשב"כ דיברו איתנו בפתיחות רבה על מלחמות הסייבר וגם משום שהסביבה הפיזית, שבה פועלים אנשי הסייבר של השב"כ, אינה מזכירה את הדימוי המקובל לשירות ביטחון חשאי: אין מדובר במרתפים אפלים או בחדרים משעממים שמסתעפים מתוך מסדרונות אפורים.
להפך, חלק מאנשי הסייבר יושבים בחללים פתוחים שממוקמים במרכזי ההיי-טק התוססים ביותר, אך מן הסתם לא תמצאו על הדלתות שום שלט שיעיד על שיוכם הארגוני האמיתי. אחרים ממוקמים במטה השב"כ המרכזי, אבל גם כאן חללי העבודה מלאי אור, והקירות מצופים בטאפטים צבעוניים. בחדרי המנוחה יש מכונות ברד ואספרסו וגם קונסולות של משחקי פלייסטיישן ואקסבוקס, כאילו מדובר במשרדי אפל או גוגל.
שוחחנו על כלל מערך הסייבר של השב"כ, רובו בקדמת הטכנולוגיה של הגנת הסייבר כולל שיטות הגנה פרואקטיביות, שחשף התקפה רחבה על ישראל שסוכלה במרחב הקיברנטי לפני כשלוש שנים מבלי שנודע עליה עד כה, ועוד נגיע לזה בהמשך.
ככלל, מערך הסייבר של השב"כ עומד בשנת 2017 בפני מהפכה גדולה, שאותה מוביל ה"ראש" נדב ארגמן, אך כדי להבין את השינוי הארגוני המשמעותי שעומד בפתח צריך להתחיל במהפכה הראשונה - שהתרחשה לפני יותר מ-20 שנה - בתקופת שיא פיגועי ההתאבדות שהתרחשו בערי ישראל לאחר הסכמי אוסלו, בשנות ה-90 של המאה שעברה.
במסגרת אותה מהפכה הורה ראש השב"כ בזמנו, עמי איילון, להעביר את הארגון לעידן חדש של טכנולוגיות מידע, והתוצאה הייתה שיטות פעולה חדשניות שידעו "לדוג" טרוריסטים מתוך ים של אינפורמציה דיגיטלית. בתחילת שנות ה-2000 אף הוקמה באגף האבטחה של השב"כ "הרשות הממלכתית לאבטחת מידע" (רא"ם), שקיבלה אחריות על הגנת התשתיות הקריטיות לישראל מפני התקפות סייבר.
המהפכה השנייה התרחשה בתחילת העשור הזה, אז הוקמו בשב"כ חטיבות חדשות לסיגינט וסייבר, שפעלו לצד שני אגפי מטה מרכזיים - אגף הסיגינט-סייבר ואגף טכנולוגיות המידע (IT). הסיגינט (איסוף מידע דיגיטלי) והסייבר הפכו לחלק בלתי-נפרד מכל מבצע, ובהיבט ההגנתי עבר השב"כ מהתמקדות בשיטות הגנה פסיביות להגנה התקפית. במסגרת המהפכה השלישית, שעומדת בפתח, יוקם אגף אחד לסיגנט סייבר ולטכנולוגיות מבצעיות, שירכז תחתיו גם את חטיבות הסיגינט-סייבר והטכנולוגיה של האגפים השונים.
"בשנת 2010 הוקמו ארבע חטיבות בן לילה, כעת אנחנו לוקחים אותן ומחברים לכדי אגף סייבר וטכנולוגיות, ויוצרים כך גוף אחד שיהיה מעין אגרוף עוצמתי", אומרים בשב"כ.
למעשה, אפשר להגיד שאתם מקימים זרוע סייבר ראשונה מסוגה, שתחבר בין ההגנה וההתקפה, בזמן שבצה"ל דיברו על הקמת זרוע כזאת אבל לא הקימו אותה בפועל (בדצמבר 2016 הוחלט במטה הכללי לשמר לעת עתה את ההפרדה בין ההגנה להתקפה, ע"ר)?
"אנחנו לא עושים הקבלה למהלכים של צה"ל או של צבאות אחרים. אצלנו מדובר באגרוף שמתאים לעידן הנוכחי שבו הכול מתערבב, המציאות הפיזית בשטח והעולם הקיברנטי. במציאות כזאת, גם רכז בשטחים צריך זיקה טכנולוגית. זה לא מספיק להיות לוחם טוב או מפעיל סוכנים מתוחכם. האינטרנט שובר את כל החומות.
"לפני 15 שנה רק ארבעה אחוזים מאנשי השב"כ היו ממערכי הסייבר והסיגינט, כיום הם מהווים לא פחות מ-25 אחוז מכוח האדם", ממחישים בשב"כ את המהפכה באמצעות נתון מדהים, והשיעור הזה עוד ימשיך לגדול.
"מאגרי המידע של ישראל הם הכי גדולים במזרח התיכון ומהגדולים והמורכבים בעולם, בגלל הקדמה הטכנולוגית, והם מצריכים הגנה רציפה", אומרים בשב"כ.
"להבדיל מתקופות קודמות, מי שהכי משפיע על המצב אלה לא מדינות, אלא ענקיות האינטרנט והטלקום מעמק הסיליקון בקליפורניה. כל שינוי קטן שקורה בפאלו-אלטו מרעיד את העולם הקיברנטי כולו".
עד כמה משמעותית מבחינתכם הגישה של הגנה התקפית בסייבר?
"היא משמעותית מאוד. אבטחת מידע הייתה הסוגיה הראשונה שעמה התמודדנו כבר לפני שנים, ומשם הובלנו לאבטחה של מערכות מידע, וב-2012 הבנו שגם זה לא מספיק טוב, ואם לא נתמודד עם כלל מרחב הסייבר אז נפספס.
"מבחינתנו, כמו שבעולם הפיזי לא מתמודדים עם פיגועי טרור של החמאס רק באמצעות מאבטחים בכניסה לקניונים, אלא רודפים אחרי אנשי הטרור בכל מקום, במחילות ובסמטאות, ותוקפים אותם גם במקומות שבהם הם מתכננים את הפיגועים - כך צריך להיות גם בסייבר. הגישה היום היא בהחלט התקפית, ומערבים בה גם תרגילי הונאה".
כדי להמחיש את הגישה השונה חושפים בשב"כ את הדוגמה הבאה, שמתפרסמת כאן לראשונה: לפני כשלוש שנים זיהו אנשי הסייבר של השב"כ מהלך מתוכנן היטב, שבוצע על ידי אחד האויבים המתוחכמים של ישראל באזור. במסגרת המהלך "התמקם" האויב בכמה צמתים רגישים של מערך התקשורת הישראלית, כשהכוונה הייתה להישאר שם בצורה 'רדומה', ולבצע התקפה מתוזמנת היטב ביום פקודה. ייתכן שהכוונה הייתה להשתלט כך במקביל על היקף רחב של שידורי טלוויזיה ורדיו.
על פי שיטות ההגנה המסורתיות, יכול היה השב"כ לגרש את ה"תוקפים" מן הצמתים הרגישים או להגביר את ההגנה עליהם, אולם הוא בחר לנהוג אחרת. אנשי הסייבר בצד הישראלי עקבו אחר התפתחות מתקפת האויב, ולמדו את דפוסי הפעולה ואף את שעות העבודה של ה"האקרים" התוקפים, ואז ניצלו חופשה ממושכת של הצד השני כדי לחסל את המתקפה ולבצע מעין מתקפת נגד.
אחת הדרכים לתקוף את ההאקרים של האויב היא לחשוף פרטים שלהם בקרב קהילות של האקרים אחרים ברשת. "בעולמות של האקרים, אין דבר משפיל מזה", אומרים בשב"כ מבלי להתייחס במפורש לפרטי מתקפת הנגד המסוימת שהוביל השב"כ, כי לא על כל היבטי מלחמות הסייבר הוא יכול לדבר באופן גלוי לגמרי.
ההתקפה שסוכלה הייתה אחת המתוחכמות שעמן התמודד השב"כ בשנים האחרונות, להבדיל ממקרה שאירע בתחילת דצמבר 2016, אז הוחלפו שידורי לוויין של אחד הערוצים בישראל בהודעה כתובה מטעם החמאס. במקרה הזה, נוצלה העובדה ששידורי הלוויין נקלטים בעוצמות מאוד נמוכות, משיקולים כלכליים. כאשר זוהתה ההשתלטות העוינת על השידור, הוגברה העוצמה והודעת החמאס נעלמה בן רגע.
האם אפשר להגיד שהתקפת סייבר, שגורמת נזק פיזי, מסוכנת יותר מאשר התקפה "תודעתית" כמו השתלטות על שידורי תקשורת? האם החיבור בין העולם הפיזי והקיברנטי הוא הדבר המרכזי כיום?
"לדעתנו, לא. מאוד אוהבים לדבר על זה בכל דיון מקצועי, אבל ההערכה היא שהסיכון באמצעות התקפה 'תודעתית' הוא חמור יותר. התקפה כזו יכולה לגרום אפילו לקריסה של בנק עם השפעות עצומות או לקריסה של בורסה, כמו שאירע לפני כמה שנים בעקבות ידיעה כוזבת שהושתלה במערכת של סוכנות איי.פי.
"בחודש נובמבר 2016 בארה"ב, אפשר היה לראות מקרוב כיצד האקרים גורמים לכאוס במערכת הבחירות. נכון, פגיעה פיזית בטורבינת חשמל למשל, יכולה להיות בעלת השלכות קשות מאוד, אבל מדובר ביעד מבוצר שקשה מאוד להגיע אליו. הפגיעה בתודעה, לעומת זאת, היא היעד הכי רך. חייבים לכסות סיכונים רבים בלי הפסקה".
המהפכה הקיברנטית מובילה לא רק לשינויים ארגוניים בתוך השב"כ, אלא גם להגדרה מחודשת של גבולות האחריות בין שירות הביטחון הכללי ובין גופים כמו אגף המודיעין בצה"ל ובין רשות הסייבר שהוקמה כחלק ממערך הסייבר הלאומי בשנת 2016.
ההסדרה מול צה"ל פשוטה יחסית: כמו תמיד, השב"כ אחראי להגנה מפני פגיעה בביטחון הלאומי כולל פעולות ריגול, בעוד שהסייבר הצה"לי הוא בעיקר למטרות צבאיות.
מול רשות הסייבר נחתמה בחודש יוני אמנה, שנחשפת כאן בפעם הראשונה. ראש השב"כ, נדב ארגמן, וראש מערך הסייבר הלאומי, ד"ר אביתר מתניה, סיכמו על אמנה ששמה קץ למאבק הסמכויות שהתנהל במהלך כמה שנים קודם לכן. בראש הרשות הלאומית להגנת הסייבר עומד בוקי כרמלי, כאשר האחרון וד"ר מתניה הם בין הדוברים המרכזיים בסייברטק 2017 לצד ראש הממשלה בנימין נתניהו, וממובילי עולם הסייבר במדינות ובתעשייה מכל העולם.
על פי האמנה, הרשות אחראית לרציפות תפקודית של המרחב האזרחי בישראל ומגינה מפני מתקפות סייבר, ובבאר-שבע נחנך מטעם הרשות מרכז לאומי למקרים ולתגובות בסייבר, CERT, שבראשו עומד דטו חסון, לשעבר בכיר בשב"כ עצמו. הרשות קיבלה אחריות על הגנת הסייבר בשני שלישים מהמערכים שנחשבים תשתיות לאומיות חיוניות, כולל אנרגיה וחשמל, ואילו שליש נשאר באחריות ישירה של השב"כ, כולל תשתיות התקשורת. האחריות על סיכול ריגול וטרור בסייבר נותרה בידי בשב"כ.
האם ההסדרה עובדת היטב?
"עצם העובדה שלא היינו צריכים לפתוח את ההסכם אפילו פעם אחת מאז שנחתם בחודש יוני, אומרת הכול", אומרים בשב"כ. "חשוב להבין שהגנת הסייבר אינה מחולקת אלא משולבת. אנחנו מובילים מפגשי שולחן אליפטי, שבו שותפים גם רשות הסייבר, המוסד, אמ"ן והממונה על הביטחון במשרד הביטחון (מלמ"ב). מדובר באנשים שמכירים היטב זה את זה, גם מתפקידים קודמים, כך שאין מדובר בזירת קרב. נהפוך הוא. כל החוכמה היא איך אתה בונה את שיתופי הפעולה, שהרי אף גורם לא יכול לעשות את הכול לבדו".
עם הגידול הדרמטי במספר אנשי הסייבר בשב"כ יורד הגיל הממוצע שלהם, והוא עומד כיום על 34. "מה שמביא הצלחה או כישלון אלה האנשים", מציינים בגאווה בשב"כ ומספרים כי אנשי הסייבר קטפו חלק לא מבוטל מן הפרסים השנתיים על הצטיינות שחולקו בשב"כ על ידי ראש הממשלה בסוף דצמבר 2016.
אתם מצליחים למלא את השורות למרות הקרב על כוח אדם איכותי מול החברות האזרחיות?
"כן, יש לנו מאה אחוז איוש, כי אנחנו מציעים סביבת עבודה מתקדמת, שכר טוב ויציבות (גם אם השכר נמוך במעט מהמקובל באזרחות) ובעיקר משהו אחר שהוא חלום של חבר'ה צעירים: להיות סייבריסט ברשות ובסמכות, ולבצע את המבצעים הכי מתוחכמים שקשה אפילו לדמיין אותם".
העבודה של אנשי הסייבר בשב"כ היא עבודת צוות או עבודה של איש אחד?
"גם וגם. יש הרבה מקום לעבודה אינדיבידואלית, תלוי במשימה. באזורי הסיגינט העבודה מאוד צוותית. ככלל, אנחנו מייצרים סביבה שבה הצעירים יפרחו ויהיו כמו סוסים דוהרים עם כמה שפחות משקולות.
"מעבר למשימות השוטפות, הסביבה מייצרת סטרטאפים טכנולוגיים ללא הפסקה. אם אתה עובד באזרחות, אתה ממוקד בסטרטאפ אחד, לא יותר, ואצלנו כל סייבריסט יכול להיות מעורב בכמה סטרטאפים במקביל. הם סטרטאפיסטים סדרתיים ממש".
יש לכם בעיה שחלק מהאנשים מפתחים חברות אזרחיות עם ידע דומה, אחרי שהם יוצאים לאזרחות?
"כמובן שאנחנו מקפידים שהידע הרגיש לא יזלוג, אבל אנחנו חיים בשלום עם זה שישתמשו בשאר הידע. זה חלק מהמציאות, שגם אנחנו מרוויחים ממנה. לפעמים אנחנו מקבלים שיחות טלפון מפאלו אלטו, עם הצעות טכנולוגיות מדהימות מאנשים שצמחו אצלנו ולא שכחו מאיפה באו".
הכתבה מתפרסמת במקביל במגזין 'ישראל דיפנס', לקראת כנס סייברטק 2017 שיתקיים בסוף החודש
היכנסו לעמוד הפייסבוק החדש של nrg
אקו"ם