באחד מימי תחילת נובמבר אשתקד נכנס איש גבוה מאוד, אולי הגבוה ביותר מבכירי קהילת המודיעין והביטחון הישראלית, בהליכה מהירה ללשכתו של ראש הממשלה נפתלי בנט. האיש, יגאל אונא, ראש מערך הסייבר הלאומי, הביא עימו תיעוד של שיחה שהתנהלה כמה ימים קודם לכן, כדי להציג אותה בפני ראש הממשלה, הבוס הישיר שלו. "כל מי שנחשף לתוכן השיחה ההיא", אומר גורם בסביבתו הקרובה של בנט, "בוודאי ראש הממשלה, נדהם והתמלא כעס. לקרוא ולמרוט את השערות".
זה קרה בעיצומו של אחד ממשברי הסייבר החמורים בישראל. אחרי המתקפה על חברת הביטוח שירביט והמתקפה ששיתקה את בית החולים הלל יפה שבחדרה, הפעם על הכוונת של התוקפים עמדו המנויים של 'אטרף', אתר קהילת הלהט"ב הישראלי הגדול בארץ. כתוצאה מהפריצה הדרמטית הזו, הגיע מידע אינטימי ורגיש של מאות אלפי ישראלים לידיים זרות. חברת צ'ק פוינט תזהה לימים כי הפריצה בוצעה בידי קבוצת האקרים איראנים (אונא עצמו מסרב לנקוב בזהות המדויקת של התוקף). קל לדמיין איזה שימוש יכול לעשות המודיעין האיראני במידע אינטימי כל כך על ישראלים, שייתכן כי חלקם מכהנים בתפקידי מפתח רגישים.
ואת כל זה, כך הסביר אונא לבנט, אפשר היה למנוע, ואפילו די בקלות.
השבוע אנחנו חושפים כי יומיים לפני הפריצה לאטרף, בליל חמישי 28 באוקטובר, איתר מערך הסייבר הלאומי פעילות חשודה ליד הכניסות והשרתים שבהם השתמשה 'סייברסרב', חברת בניית אתרי אינטרנט ומאגרי מידע, שטיפלה גם באתר אטרף. אנשי המערך זיהו כי סימני הפעילות הזו דומים לאלו שהתקבלו לפני מקרים קודמים של פריצות - והתריעו בפני סייברסרב.
זו לא הייתה הפעם היחידה. לפי נתוני מערך הסייבר, חברת סייברסרב קיבלה בשנתיים שקדמו לאותו לילה לא פחות משש התראות, לפיהן היא אינה ערוכה כיאות למתקפות ולניסיונות לחדור לתוך המערכות שלה. למרות האזהרות, אומר אונא, "תמיד הייתה אצלם קצת גרירת רגליים. לא עבד חלק. גם אם סתמת את 'החור' ועדיין יש לך חלון פתוח, אז אתה צריך אחרי שטיפלת בבעיה הבוערת, לטפל במערכת כולה. ואת זה הם לא עשו".
גם לא בפעם השישית. המעטים שנחשפו לתיעוד של ההתראה הזו, בין מערך הסייבר לבין חברת סייברסרב, מספרים כי מדובר בשיחה מדהימה למדי. מהצד האחד של הקו, מדבר איש סייבר מהמוקד של המערך בבאר־שבע בשם יוגב; מהצד השני, נציג טכני מסייברסרב. יוגב הוא מה שמכונה במערך הסייבר "מנהל אירועים", כלומר מי שתפקידו הוא להזהיר גופים בישראל כי הם עומדים להיות מותקפים, ולנהל את המגננה. בשיחה נשמע יוגב מפרט את התנועות החשודות, אילו שרתים מאוימים ועוד. האיש מסייברסרב תוהה האם לא מדובר בסך הכל בפעילות לגיטימית של הרבה משתמשים בבת אחת. יוגב מבטל את האופציה הזו: הוא אומר שהמערך מזהה כי הפעילות הזו דומה למקרים קודמים שהסתיימו בפריצות, ואף מציע לאיש מסייברסרב לקיים שיחת ועידה ולהקים מיד צוות, שימנע את הפריצה.
האיש בצידו האחר של הקו לא ממש מתרשם. הוא ישמח לסייע, אבל לא כרגע, כי הוא בדיוק בדרך החוצה וגם יש לו תכף פרזנטציה. הוא מבקש שיעבירו אליו כמה נתונים ושיתעדו הכל, כדי שכולם יוכלו להיוועד שוב ביום ראשון ולטפל בבעיה. יוגב ממערך הסייבר מנסה להסביר לו שיום ראשון עלול להיות ממש מאוחר מדי, שחייבים לטפל מיד, ותוך שעתיים לוודא שהכל טופל, אבל בן השיח לא משתכנע. זה לא נושא שהם יכולים לטפל בו מהרגע להרגע, הסביר העובד. אחר כך כן נקטו עובדים בחברה כמה צעדים, אבל “אם בשיחה הראשונה הוא היה מתעשת ונוקט בפעולות מיידיות, זה היה נראה אחרת והנזק היה יכול להימנע”, אומר אונא, “ממד הזמן הוא קריטי בסייבר”.
ההמשך ידוע. ב־30 באוקטובר הודיעה קבוצת האקרים בשם Black Shadow בערוץ הטלגרם שלה כי פרצה את האתרים השמורים על השרתים שבהם משתמשת חברת סייברסרב, וכי היא תתחיל בקרוב לפרסם ברבים את תוכנם, כולל אתר אטרף. זה פיגוע סייבר בינלאומי: אטרף שימש גם כאתר אטרקטיבי עבור תיירים להט"בים, שהגיעו לחוות את הסצנה הישראלית. קשה להעריך כמה מהם וכמה מהישראלים המנויים באתר גילו לחרדתם כי הם עלולים לעמוד בפני הוצאה כפויה מהארון. האגודה למען הלהט"ב הוציאה מיד הודעה דחופה, לפיה הם "קוראים וקוראות למטה הסייבר הלאומי לפעול בדחיפות למניעת דליפות המידע. דליפת פרטיהם האישיים של המשתמשים היא סכנה לפגיעה נפשית".
מערך הסייבר הפיץ התרעה מיידית, ואפילו חברת סייברסרב הוכיחה שהיא יכולה לעבוד גם בסופי שבוע. תחת הכותרת "אירוע סייבר: עדכון חשוב", הודיעה החברה למשתמשי אטרף כי, "במסגרת מתקפת טרור סייבר איראנית על אתרים ישראליים, ביניהם אתר אטרף, ברצוננו לעדכן כי מבדיקה ראשונית עולה כי ייתכן וכתובת הדואר ופרטים שעימם נרשמת לאתר נחשפו".
זה היה מעט מדי ומאוחר מדי. "גם עבור מי שנמצא מחוץ לארון, זה אסון נורא", אומר בני כבודי, עורך התנועה הראשי של גלגלצ ודמות בולטת בקהילת הלהט"ב מזה שנים רבות. "אטרף שימש כתווך התקשורת המרכזי של רבים מאיתנו, והוא כולל לא רק את השם והמייל שלנו, אלא המון־המון מידע אישי ואינטימי מאוד, כמו ההעדפות המיניות שלנו, מי נשא חיובי של HIV, מי משתמש באמצעי מניעה ומי לא, לצד זה שהאתר מאפשר להחזיק עליו באופן חסוי תמונות עירום וסרטי וידיאו רלוונטיים שלנו ולשלוח למנויים אחרים".
המשטרה ומשרד המשפטים עשו מאמצים נואשים, ראויים לציון, אבל עם אפקטיביות נמוכה ביותר, לפנות לחברת טלגרם ולבקש כי תסגור את הערוץ. Black shadow מיד הקימו מחדש ערוץ מקביל, עד שנחסם גם הוא, וכך הלאה. בין לבין, הצליחו Black Shadow להעלות לשם גם פרטים שגנבו כמה חודשים קודם מחברת הביטוח שירביט, המבטחת את עובדי מערכת הביטחון. משרד המשפטים גם פנה לבית המשפט שהורה לבזק, שדרך התשתיות שלה גולשים ישראלים באינטרנט, לחסום את הגישה לאתרים שמחזיקים את המידע הגנוב.
אבל זו כבר הייתה רק טיפה בים. המידע כבר היו בחוץ, והאקרים שהגיעו כגל שני אחרי האיראנים, השתמשו בסיסמאות – שבמקרים רבים הן זהות – כדי לפרוץ גם לחשבונות ברשתות חברתיות אחרות. מנויים רבים קיבלו מאז דרישות לכופר עבור אי־פרסום מידע, או שהחשבונות שלהם, עם כל המידע הרגיש, פשוט ננעלו על ידי גורם זר, שיכול לעשות בהם ככל העולה על רוחו.
יגאל אונא, ראש מערך הסייבר הלאומי, אז למה לדעתך בעצם הבחור ההוא ביום חמישי, 82 באוקטובר לא הזדרז לענות לפנייה שלכם? בגלל כסף?
"לא חושב. אין פה שאלה של כסף, כי הפתרונות שהצענו לו היו חינמיים לגמרי. הצענו לו את כל העזרה שהוא היה צריך, אבל הוא בעצם אמר, 'לא בא לי עכשיו', כי זה יום חמישי וכבר מאוחר ויש לו תוכניות להמשך סוף השבוע. אין מה לעשות, אנחנו אמנם עוסקים בסייבר, אבל מאחורי המחשבים יש בני אנוש עם תכונות של בני אנוש, הטובות והפחות טובות".
אמנם התרעתם, אבל פיגוע הסייבר החמור הזה, כמו גם אחרים, בכל זאת קרה. כל זה אירע במשמרת שלך.
"תשמע, אני פותח את המצגות שלי בפני פורומים שונים במספר אפס. למה אפס? כמו שבשב"כ היו מכוונים לאפס פיגועים ומתקשים מאוד להצליח, אצלי זה משהו שלא ניתן להתפשר עליו. אפס פגיעות סייבר בתשתיות קריטיות. אפס מקרים של קטיעת הרציפות התפקודית של השלטון או מערכת חיונית אחרת".
אולי בדיוק בגלל זה, דווקא בזכות ההגנה שלכם על התשתיות הקריטיות, התוקפים זיהו נקודות חולשה אזרחיות, והלכו עליהן, כמו חברה לשירותי אחסון אתרים או בית חולים. זו לא תשתית חיונית?
"המקרים שאתה מצביע עליהם בהחלט חושפים בעיה משמעותית, אבל לצערי הגדול הפתרון שלה לא נמצא במגרש שלנו. אנחנו התרענו במשך שנים שיש מגזרים שלמים, שחלקם חולשים על שירותים או מידע חיוני ורגיש, שאינם נמצאים תחת שום סוג של פיקוח או רגולציה. ולכן, הבחור החביב מסייברסרב יכול היה להגיד לנו שלא בא לו עכשיו, ושידברו איתו ביום ראשון".
אז מה הפתרון?
"מערך הסייבר כרגע יכול להכתיב את אמצעי ושיטות ההגנה לכ־40 סוגי ארגונים המוגדרים 'קריטיים', כמו בנק ישראל, בנק הדם, תשתיות החשמל, מקורות ועוד. בנוסף, רגולטורים של תחומים שונים, בתיאום איתנו, קובעים את מדיניות הגנת הסייבר למגזר שלהם. כך, למשל, הממונה על הביטוח קנס את שירביט בסכום עצום. אבל לכל השאר, אנחנו רק המלצה. כל המגזר של חברות המעניקות שירותי אחסון לחברות ולאתרים, שהוא בוודאי אחד מהרגישים ביותר בישראל, גדל פרא, בלי רגולציה ובלי רגולטור.
"וזה לא המגזר היחיד. גם לרשויות המקומיות אין רגולטור ואין הגדרות מחייבות לביטחון סייבר, וקל להבין על איזה וכמה מידע הן חולשות. מגזר נוסף הוא עמותות וארגונים לא ממשלתיים, שאצל חלקם אגור מידע פנטסטי, מביך ורגיש, ופה אני כבר לא אתן דוגמאות. תן דרור לדמיונך מה אפשר לעשות עם מידע כזה".
אמר לי איש בכיר מאוד בקהילת המודיעין שיש צד גם חיובי בפרשת אטרף, כי היא מכינה את העורף הישראלי למה שצפוי לו כשמלחמת הסייבר תהיה קשה באמת.
"אותי לא תצטט אומר, 'איזה יופי שהייתה תקיפה מוצלחת'. אבל לצערי, עד שאנחנו לא נחטוף, אנשים לא יפנימו. וזה מה שקרה הפעם".
× × ×
זה ראיון הפרישה של יגאל אונא (50), בתום ארבע שנים כראש מערך הסייבר הלאומי של ישראל. 33 שנה הוא במערכת הביטחון, את רובן הוא עשה בעולמות הסייבר, הרבה לפני שמישהו בכלל השתמש במילה הזאת. מערך הסייבר הוא גוף הגנתי, אבל חוץ משנותיו שם, רוב הזמן אונא היה בצד השני, ההתקפי, הפורץ. "צמחתי שם", הוא אומר. "בהתקפה הרבה יותר פאן, אז רוב הקריירה שלי הייתה הרבה יותר שמחה. הגנה היא תפקיד כפוי טובה. כמה אנשים מכירים את השם של השוער של ברצלונה, לעומת כמה אנשים מכירים את החלוצים? למעלה מ־300 עובדי מערך הסייבר הם השוער הזה, נושאים בתפקיד כפוי הטובה הזה".
הפריצה לשרתים של אטרף היא השלב האחרון, בינתיים, בשרשרת אירועים, שלא כולם זכו להדהוד תקשורתי. הראשון בסדרה הזאת אירע באפריל 2020 במתקן בטון גדול, צבוע כחול־ים, בקצה רחוב, לא רחוק מהמקום שבו מתקיים הראיון הזה. זהו מתקן משאבות של תאגיד מים עירוני. באותו בוקר, המשאבות האלו היו יעד למתקפה של יחידת הסייבר של משמרות המהפכה האיראניים. רשות המים הודיעה כי התקיפה נכשלה, אך ממסמכים פנימיים עולה כי האיראנים הצליחו להשתלט על כמה משאבות ולהפריע לפעילותן. בזכות מערכות רזרביות לא נגרמה הפסקת מים, אבל את אונא זה לא מרגיע. "אם המתקפה הייתה מצליחה, אם הרעים היו מצליחים, זה היה יכול לגרום לאסון קשה".
כמו?
"החל מבעיות אספקת מים לחלק מהאוכלוסייה, ועד מניפולציה על המשאבות, שיכלה לגרום לערבוב של חומרים וכימיקלים במים, ולהוביל להרעלה קשה, או לפיצוצים בצינורות שהיו גורמים להצפות".
למרות שלא נגרם נזק ישיר לצרכנים, עצם העובדה שאיראן תקפה תשתית אזרחית וההדלפה של הסיפור לתקשורת הבינלאומית, הביאו את שר הביטחון דאז, נפתלי בנט, להוביל בממשלה קו ניצי מאוד, שלפיו ישראל חייבת לסמן לאיראנים גבול. לפי פרסומים זרים, צה"ל תקף בתגובה את מערך השינוע וההעמסה בנמל איראני. זו הייתה תקיפה מוגבלת בעוצמתה, שגרמה בעיקר פקקי תנועה של משאיות בכניסה לנמל. אבל כדי להבהיר לאיראנים שלא מדובר בתקלה, הדליפה ישראל את הסיפור לעיתון האמריקאי 'הוושינגטון פוסט'.
זה היה האות לחילופי מהלומות סייבר, שבמודיעין הישראלי מכלילים בתוכן גם את התקיפה של שירביט וגם את הדליפה מאטרף. אונא משתדל לחמוק משאלת ייחוס התקיפה למדינה או ארגון כאלו או אחרים, כי "חלק מהמידע לא חד־משמעי וחלק שייך לסוכנויות ביון אחרות, לא לנו", אבל בעיקר, כי "זה לא משנה לי מי התוקף אלא איך להתגונן מפניו". הוא כן מוכן לומר שבעקבות חילופי המהלומות הללו, "הכל התחיל לרוץ על ספידים, ולגרום סוף־סוף לאנשים לראות את האיום המוחשי והאמיתי".
שהוא?
"שהסייבר שינה את פניו ולא משמש יותר רק לאיסוף מידע, כמו שהוא התחיל, אלא כדי לגרום נזק ומבוכה".
כך או כך, האיראנים לא ממש הורתעו, ואנשי הסייבר של טהרן - מערך המורכב גם מגורמי איראניים רשמיים וגם מהאקרים פרטיים - ממשיכים לתקוף את ישראל. היעד שלהם הוא בעיקר מטרות שלא מוגדרות כ"קריטיות", כמו חברת ביטוח ושרתי אתר לקהילת הלהט"ב. לעיתים, המטרה של ההאקרים הללו היא כפולה: הן לגרום נזק והן לגרוף רווחים, שניהם בברכת האייתוללות. "מה שקורה בתקיפות האחרונות נגד ישראל הוא אכן סוג של שילוב", מאשר אונא. "ולכן רואים התקפות סייבר שמשלבות גם כוׄפְרה (כלומר, נעילת מערכות המחשב ודרישת כופר כסף כדי לשחררן - ר"ב), אבל גם גרימת נזק. גם רצון להרוויח כסף אבל גם לזרוע מבוכה. פרשת שירביט היא דוגמה מצוינת לכך".
את חלק מהמתקפות האיראניות הצליחו אנשיו של אונא לזהות ולבלום בזמן. השבוע אנחנו חושפים כי מתקפה גדולה כזו נעצרה באוגוסט 2020. זה קרה כשהטלפון במוקד 119 - מוקד החירום של מערך הסייבר - צילצל. מהעבר השני של הקו היה נציג של חברת הנדסה ישראלית, שדיווח על תופעה מוזרה: מישהו שולח מתוך השרתים שלהם מיילים בשם החברה לחברות אחרות. אונא: "בדיקה מהירה העלתה כי מדובר על Muddy Water (מים עכורים), יחידת הסייבר ההתקפי של מיניסטריון המודיעין האיראני".
ואיך זה עבד?
"דרך הפריצה לשרתים של אותה חברה, Muddy Water שיגרו מייל חמוש בקוד תקיפה ליותר ממאתיים חברות ישראליות נוספות, ושם, מי שלחץ על הקובץ המצורף, איפשר חדירה למחשב שלו והתפשטות הלאה. להערכתנו, מטרת המשימה הייתה חבלה רחבה מאוד במאות חברות ישראליות בעת ובעונה אחת. מדובר באירוע גדול, חריג מאוד בהיקף שלו. כדי לעצור את הדימום הזה, הינו צריכים לשלוח פיזית צוותים לכל החברות שנפרצו, שיוודאו כי המחשבים שלהם נקיים לגמרי. אלו היו ימים מטורפים, טרופי שינה ומלאי מתח".
בינתיים, גם באיראן החלו להתרחש אירועי סייבר מסתוריים. עוד בדצמבר 2019 תקפה קבוצה לא מוכרת את מערכות המחשבים של בנקים ברפובליקה האיסלאמית, גנבה את פרטי כרטיסי החיוב של רוב אזרחי איראן ופירסמה אותם בטלגרם. ביולי 2021 גרמה התקפה לשיבוש קשה בלוח הזמנים של הרכבות במדינה. באוגוסט 2021 חדרו אלמונים למערכת המצלמות במעגל סגור בכלא אווין הנודע לשמצה בטהרן, ושידרו לעולם תיעוד מזוויע של עינויים נוראיים. בטהרן הובכו מאוד. באוקטובר שיתקו אלמונים את שרתי מערך הדלק באיראן, בהתקפה "מורכבת מאוד, הנראית שמאפיינת יכולות של מודיעין מדינה", כהגדרתו של לוטם פינקלשטיין, ראש צוות המודיעין בצ'ק פוינט. כמעט כל תחנות הדלק במדינה שותקו. חיי היום־יום של מיליוני אזרחים איראנים שובשו מאוד, וחיצי זעמם הופנו אל השלטון.
אונא, ולמעשה כל גורם ישראלי רשמי אחר, לא מוכנים למסור כל תגובה בנושא. עם זאת, גורם ביטחוני אמריקאי אמר ל'ניו יורק טיימס' כי לפי מידע שנמצא בידי קהילת המודיעין של ארה"ב, הייתה זו ישראל שעמדה מאחורי ההתקפה על תחנות הדלק.
מאוד נוח לכם לא לדבר על מי תוקף את המערכות באיראן, אבל יש כאן תהליך הידרדרות שגורם סבל ליותר ויותר אזרחים, משני הצדדים. האם זה לא מתפקידך להגיד למי שיוזמים את התקיפות מהצד שלנו, שהם צריכים להביא בחשבון גם את התגובות של הצד השני?
"אתה כל הזמן חוזר לדיון על עניינים מקומיים, שאינם חשובים מאוד בהקשר הזה. בשורה התחתונה, וזה מה שחשוב - אנחנו וכל העולם, במלחמה. לא רואים את זה. מזג האוויר בחוץ יפה ונעים, ואין תנועה של טנקים ברחובות. אבל אנחנו במלחמה. המלחמה היא נגד שחקנים מוכרים ונגד כאלה לא מוכרים. אין שום ספק שכל מי שיכול תוקף אותנו, ומכל מיני סיבות. זה נכון לגבי איראן, ונכון גם לגבי חמאס, וזאת הסיבה שבמבצע שומר החומות נערפו כמה וכמה ממובילי הסייבר של חמאס.
"מאידך, זה גם נכון לגבי קבוצת התקיפה הפלילית, שתקפה את הלל יפה. מדובר בקבוצה של פושעי סייבר, ללא כוונות פוליטיות, שעובדת 24/7 במטרה לבצע פיגועי כופרה. מה שכן אפשר לומר, זה שמאפריל 2020 השעון של זליגת הסייבר בכל העולם למרחב האזרחי הכפיל את המהירות שלו, ואז שוב, ואז שוב. זה פשוט מטורף. בסוף, זו מלחמה אמיתית, ובמלחמה הזו, בכל זירה שלה, הסייבר מעורב. ומאז אפריל 2020, אנחנו ישנים עם נעליים".
× × ×
קצת קשה להאמין, אבל זה התחיל ממכשיר פקס. כן, המכשיר ההוא, שאיפשר שליחה וקבלה של מסמכים דרך הטלפון, הרבה לפני הווטסאפ ווב והמייל.
בגיל 17 וקצת, לפני 33 שנה, אונא התגייס ל־8200. בחלק מהשירות הוא חָלק חדר בבסיס של היחידה בדרום עם אהוד שניאורסון, לימים קצין בכיר והמפקד הקודם של 8200. הליבה של העיסוק שלהם הייתה אז איסוף מודיעין מאמצעי קשר שונים, כלומר סיגינט (הכינוי המקצועי ל"מודיעין אותות"). "הטריד אותנו קצת מה נעשה אחרי השחרור עם הידע הזה, עם הסיגינט הזה וכל הדברים הנפלאים שאנחנו עושים, באזרחות", נזכר אונא. "היה לנו ברור שאין לזה שום שוק ושום ביקוש, ואם נפרוש, אנחנו נידונים לחיים משעממים מאוד. אז נשארנו בשירות ובסופו של דבר העניינים הסתדרו לטובה".
מאמצע שנות ה־80 ואילך התמודדה 8200 עם מהפכה ענקית בעולם התקשורת. "הלוחמה באמצעות מערכות מידע וטכנולוגיות מידע הפכה למרכז העיסוק שלנו, עוד לפני כניסת הסלולר. בסוף שנות ה־80, תקשורת הנתונים מתחילה להיוולד, הפקס הפך למכשיר זמין לכל אזרח, ואנחנו היינו צריכים להתאים את עצמנו". אחד מהיעדים הקבועים של 8200 היה מנהיג אש"ף, שגם חיבב מאוד את השימוש בפקס. "עד היום אני יודע לזייף את החתימה של ערפאת", מוסיף אונא בחיוך.
"אחר כך באו המחשבים האישיים, האינטרנט והסלולר. בעיניי, זו הייתה המהפכה הדרמטית ביותר שעברה על המין האנושי בעשורים האחרונים, והיא עדיין לא הסתיימה. יש הרבה דברים טובים שהיא הביאה, אבל יש גם בעיה: הטכנולוגיה רצה בקצב הרבה יותר מהיר מאשר המשתמשים שלה מבינים. בתוך חלק מהפער הזה נכנסת ההתעשרות הלא־פרופורציונלית של ענקיות הדאטה. בחלק אחר נכנס הדבר האפל הזה, שנקרא סייבר. ההגדרה הכי קולעת שאני שמעתי לסייבר היא כל הצד האפל, הלא־נעים של טכנולוגיות המידע, גורמים שליליים שמבינים את העולם הזה טיפה יותר מהר מאחרים".
ב־2010 ביקר ראש הממשלה דאז, בנימין נתניהו, ב־8200, ונחשף בעוצמה ליכולות הסייבר של ישראל. זה היה באמצע "משחקים אולימפיים": הכינוי למבצע סייבר עצום שיוחס לקהילת המודיעין הישראלית והאמריקאית, שבמהלכו הוחדר וירוס למערכות העשרת האורניום באיראן, וחולל נזק רב, כולל פיזי. נתניהו יצא משם נפעם מצד אחד, אך מודאג מצד שני: ומה יקרה אם נשקי סייבר יופנו כנגד ישראל? "הביקור הזה הפך לרגע מכריע בהיסטוריית הסייבר של ישראל", פוסק אונא. "זה הרבה יותר מסתם 'נפקחו עיניו'. והנה, אני יודע שאני הולך להסתבך עם הרבה חברים שלי, כי אני אומר דברים טובים על נתניהו. הוא יצא משם בתחושות מעורבות: גם התפעלות מהפוטנציאל האדיר, אבל גם מהסכנות הגלומות בפגיעות של מדינה כה מתקדמת מבחינה טכנולוגית לתקיפות מהסוג הזה".
מכאן והלאה, הרעיון שישראל חייבת גוף הגנתי שיעסוק באיומי הסייבר הלך וצבר תאוצה. נתניהו הטיל על פרופ' אלוף במיל’ יצחק בן ישראל להוביל את המיזם הקיברנטי, שהמלצותיו היו להקים גוף לאומי שיישא באחריות לכלל נושאי הגנת המדינה מסייבר. אונא שימש באותה עת בשורת תפקידי מודיעין ולוחמה טכנולוגית בשב"כ, ובראשם ראש אגף הסייבר של השירות. כשסיים את תפקידו ב־2017, התבקש להקים את היחידה הטכנולוגית במטה הסייבר הלאומי דאז. התוכנית שלו הייתה להקים את היחידה ולפרוש משירות המדינה. אבל שנה מאוחר יותר, כשקיבל הצעה לעמוד בראשות הגוף החדש כולו, הוא לא סירב. אונא היה לראש הראשון של מערך הסייבר הלאומי, הסוכנות האזרחית שאיחדה תחתיה את כל הגופים הרלוונטיים לנושא מחוץ למערכת הביטחון.
אונא: "כשנכנסתי לתפקיד ב־2018, הנתח של ישראל מתוך כלל ההשקעה העולמית בסייבר היה 860 מיליון, שזה היה בערך 20 אחוז מכלל ההשקעה. בתום כהונתי, בסוף 2021, ההשקעה הכוללת היא 20 מיליארד, ומתוכה ישראל מהווה כ־40 אחוז, 8.5 מיליארד. זה גידול של פי עשרה. תראה לי עוד משהו שצומח ככה".
האם ההתקפה ששיתקה את הפעילות של בית החולים הלל יפה לא מוכיחה כי הסיווג שלכם למהי תשתית קריטית ומה לא אינו נכון, וכי צריך לכלול יותר מוסדות ברשימה? בתי חולים, למשל?
"בדיוק ההפך. בהתקפה על הלל יפה לא היה אינטרס להביך, אלא פשיעה עניינית ומקצועית. לצערי בית החולים לא פעל בהתאם להתראה שהעברנו דרך משרד הבריאות מבעוד מועד".
אז גם הלל יפה הוזהר?
"הזהרנו כבר באוגוסט שקיימות פגיעות ספציפיות במערכותיהם שעליהם לסגור, אותן פגיעות שבסופו של דבר נוצלו על ידי התוקף. האזהרה נשלחה דרך יחידת הגנת הסייבר של משרד הבריאות. כיום אנחנו רואים שמתייחסים ברצינות רבה יותר להתראות שלנו. מנכ"ל משרד הבריאות בעצמו מתקשר למנכ"לי בתי החולים שלא סוגרים בזמן חולשות, ומורה להם לסגור אותן".
לקח שנלמד במחיר יקר.
"בסופו של דבר, למרות הצלחת התקיפה, בית החולים בסיוע של משרד הבריאות ומערך הסייבר הלאומי, הצליחו בהשקעה גדולה לשחזר חלק גדול מהחומר. זה נעשה בצורה הרבה יותר עקומה וקשה מכפי שהיה אפשר, אם הם היו עושים גיבוי יותר טוב, אבל זה הסתדר, ויחסית מהר.
"והכי חשוב, לא נגרמה פגיעה תפקודית קריטית בשום דבר. היו הרבה אמירות של 'איך יכול להיות שבית חולים הוא לא תשתית קריטית?' הנה, קיבלתם הוכחה. בתבחינים שלנו, 'קריטיות' היא פגיעה בחיי אדם. כאן לא נגרם נזק לחיי אדם, כי יש הפרדה בין הרשת המנהלתית של בית החולים, שחייבת להיות פתוחה לעולם החיצוני, לבין המחשבים שמפעילים, למשל, את חדרי הניתוח ובלוני החמצן. מה שכן, זה המקום הכי קרוב שבו הגענו לדילמה האם לשלם או לא לשלם את הכופר".
ולפני שהגיבוי הוצל, מה ייעצת להם?
"אני תמיד אומר, אם כבר הגעת לדילמה הזו, אל תשאלו את מערך הסייבר. אנחנו מעדיפים להיות מד"א ולא זק"א. זו שאלה לזק"א איך לקבור, בקומתיים או לא. יש לנו מה להגיד על זה, אבל ההחלטה צריכה להתקבל על ידי המנכ"ל ולא על ידינו. במקרה של הלל יפה, המנכ"ל זה מנכ"ל משרד הבריאות, ויש לזה השלכות על כל המערכת. הוא קיבל החלטות מצוינות לדעתי, ואחרי דילמות לא פשוטות בכלל. לפעמים אתה אומר, בואו נשלם חמישה מיליון ולא נוציא מהכיס 50 מיליון כדי לשחזר. במקרה הזה, בסופו של דבר, לא היה צורך בכך".
× × ×
אונא מבין היטב שהגנת סייבר היא גם עניין של מוּדעות. שצריך לחנך ציבור שלם לא ללחוץ על כל לינק מפתה, ושלא פעם, אתר שנראה הכי לגיטימי בעולם, הוא תרמית מתוחכמת. לפני כמה שבועות הוא החליט לבצע ניסוי: "שלחנו לכ־90 אלף אנשים בישראל, רובם בצה"ל, אבל לא רק, גם במשטרה, רכבת ישראל וגופים נוספים, הודעת פישינג רק מטעמנו, כתרגיל. כאילו מסר מטעם חברת האשראי, שאתה צריך לאשר משהו בלחיצה על לינק. תנחש כמה לחצו? ואלה עוד אנשים שאמורים להיות עם יותר מודעות והבנה".
מניח שלא מעט.
"התשובה שהדהימה גם אותנו הייתה 40 אחוזים. מי שלחץ, קיבל עמוד שבו נאמר לו 'נו, נו, נו'. זה ניצחון הסברתי יפה, כי פתאום אנשים פגשו והבינו באופן המוחשי ביותר את הסיכון שהם לוקחים. הרמטכ"ל, אגב, לקח את התוצאות האלה מאוד ברצינות וביקש לקבל פירוט של אלה שלחצו. כמובן שאיננו מעבירים נתון כזה".
חוץ מהמהירות שבה אנשים לוחצים על לינקים חשודים - ועלולים למצוא את עצמם בתוך פרשת אטרף או הלל יפה חדשה - יש עוד משהו שמדאיג את אונא, והוא דווקא אנושי מאוד. מדובר במאבק של גופים כמו שהוא עמד בראשם, מול סקטור הסייבר הפרטי. "במיוחד הדברים הקשים בשנה וחצי האחרונות", אומר אונא. "הקרבות על כל מוח של מומחה סייבר בין קהילת המודיעין לחברות הפרטיות בחוץ, הפכו לזוועה ממש".
החשש הוא כל כך גבוה, עד שלדברי אונא, יש פורשים טריים שעברו למגזר הפרטי, שבביקוריהם ביחידות השונות זוכים למאבטח צמוד. זה לא כדי לשמור על ביטחונם, אלא כדי למנוע מהם לזרוק הצעות מפתות לקצינים.
אבל כשהקצינים האלו יפרשו, הם בכלל יכולים לקחת את כל הידע שלהם לחברת סייבר התקפי בחו"ל. ואולי הידע שהם יצרו, ישמש נגד ישראל.
"אז יש לנו פה בעיה, והיא איך אנחנו מוודאים שמומחה סייבר ששירת בקהילת המודיעין, למד כאן את כל מה שהוא יודע, זיהה חולשה (המינוח המקצועי לנקודה המאפשרת פריצה בתוכנה) ומביא אותה כנדוניה לחברה שאליה הצטרף, שעבורה היא שווה מיליונים".
הפתרון של אונא הוא רדיקלי: להלאים את תעשיית הסייבר ההתקפי הפרטית בכל העולם. "סייבר התקפי הוא עניין של מדינות, קהילות מודיעין או חברות ממשלתיות, שאסור לבזר החוצה לסקטור הפרטי, ולא משנה כמה אתה מכניס אותו תחת פיקוח", מסביר אונא.
ומה כל המהנדסים האלו יעשו?
"ימצאו את עצמם או עובדים עבור ממשלות או מוצאים עבודה בחברות סייבר הגנתי".
אונא לא תמים. הוא יודע היטב שדווקא מדינות אחראיות למתקפות הסייבר הגדולות והקשות ביותר. אבל הוא היה מעדיף מלחמת צבא מול צבא, על פני מלחמת אזרחים גלובלית. גם אם זה אומר להתמודד מול מפלצות סייבר, כמו אלו שמפעילות סין או רוסיה. האחרונה הייתה אחראית למתקפת הסייבר הגדולה והמתוחכמת ביותר בהיסטוריה, עד כה. באמצעות חדירה לתוכנת ניטור רשת פופולרית בשם סולאר ווינד, השיגו הרוסים פרצה לאינספור חברות ענק בארה"ב, ולזרועות ממשל רבות. למעשה, חלק גדול מהממשל ומהתעשיות החשובות של אמריקה, הפכו לשקופים עבור מוסקבה.
ובישראל? פרשת סולאר ווינד פגעה בנו?
"לא פגעה. התוכנה המדוברת מאוד לא נפוצה בישראל. יש נתון חד־ספרתי נמוך של לקוחות שמשתמשים בתוכנה בישראל. אבל הרוסים לא היו מעוניינים בהם, לא ניצלו את ההזדמנות ולא שאבו מהם כל מידע".
למה לדעתך הם לא שאבו גם מידע מישראל?
"לדעתי הם לא חשבו שמשתלם להם להתאמץ מולנו. אבל האירוע הזה גרם לכולנו להרבה מאוד זיעה קרה. כל פעם מחדש אתה מגלה עד כמה תפיסות הגנה ומערכות הגנה, המקובלות בעולם, כושלות לעיתים מול תוקף יעיל, שמוצא פטנט חדש לגמרי".
יכולה להיות מערכת בלתי חדירה? חסינה מאה אחוז?
"אני לא משלה את עצמי, בעולם הזה אין פתרון טוטאלי והרמטי. כל מי שמוכר לך הרמטיות - תזרוק אותו מהחלון".
תגובות:
מחברת סייברסרב, נמסר בתגובה: “החברה שיתפה פעולה באופן מלא עם מערך הסייבר, ופעלה על פי הנחיותיו - גם באירועים קודמים, גם טרום אירוע זה וגם במהלכו. מרגע פניית מערך הסייבר בנוגע להתראה שהתקבלה, ובניגוד לנטען, פעלנו באופן מיידי בשיתוף פעולה מלא עם המערך. למרות שפעלנו על פי הנחיות המערך - הוא כשל במניעת אירוע טרור איראני כלפי אזרחים ישראלים. כמו חברת סייברסרב, יש עוד חצי מיליון עסקים במדינת ישראל שעלולים לעמוד בפני אירוע טרור דומה. מצער כי מערך הסייבר בחר לנהל את קרב הסמכויות והחקיקה על גבה של החברה”.
מבית החולים הלל יפה בחדרה נמסר בתגובה: “בית החולים לא קיבל התראה מכל גורם לגבי מתקפת הסייבר בחודש אוגוסט האחרון. יתרה מכך, בית החולים עמד במבדקי ISO של אבטחת מידע שנערכו בשנים האחרונות ע”י מכון התקנים, כולל בחודש יולי 2021.
המידע הרפואי של המטופלים שוחזר, כולל התיק הרפואי, למעט פערים מסוימים בתחום ההדמיה, בתקווה לסיימם בקרוב. יש לציין כי לא דלף כל מידע”.
ממשרד הבריאות נמסר בתגובה: “משרד הבריאות רואה חשיבות רבה בכל הקשור בהגנת הסייבר על ארגוני הבריאות. יחידת הסייבר של המשרד פועלת לאורך כל השנה מול הארגונים לאיתור ותיקון חולשות במערך ההגנה.
בכל מקרה של איתור חולשה - היחידה דורשת מהארגונים לעדכן גרסאות / להטמיע בקרות מופצות בהתאם, וכך היה גם במקרים המתוארים ע”י ראש המערך.
המשרד מציין כי חקירת אירוע הסייבר בוצעה ע”י יחידת הסייבר של משרד הבריאות ומומחי הסייבר הטובים בישראל.
במהלך החקירה לא נמצאה עדות לניצול חולשה, כאמצעי לביצוע התקיפה, כפי שמתואר ע”י מערך הסייבר ואין קשר בין הדברים.
אכן הושקעו משאבים רבים לשחזור הנתונים ע”י מספר גורמים בישראל שבסוף הביאו לשחזור מרבית הנתונים של המרכז הרפואי הלל יפה.
משרד הבריאות מעביר את ההתראות לכלל הגופים כולל הלל יפה שדיווחו נכון לאותו זמן על הטמעת בקרה מפצה לחולשה”.
