כיפת הסייבר הישראלית: “יש מקרים שלא פורסמו – ברגע האחרון ניצלו”

מאז 7 באוקטובר, ישראל לא נלחמת רק בשטח – אלא גם במרחב הסייבר. בעידן שבו מלחמות ניטשות גם במקלדת ובקוד, ישראל היא אחת מהמעצמות הבולטות בתחום. במהלך המלחמה בעזה נפרסה זירת קרב דיגיטלית, חשאית ומדויקת שבה פועלים מומחי סייבר ישראלים לצד הלוחמים בשטח. במקביל, וביתר שאת מאז תחילת מבצע “עם כלביא”, האיום האיראני על ישראל מתבטא גם בחזית הסייבר.

מערך הסייבר הלאומי של ישראל עוסק בעבודת סיכול, הגנה והתקפה במרחב הווירטואלי. זהו גוף טכנולוגי־מבצעי שאמון על הגנת מרחב הסייבר הלאומי ועל ביסוס עוצמתה של ישראל בתחום. המערך פועל ברמת המדינה לחיזוק תמידי של רמת ההגנה של הארגונים והאזרחים, לטיפול בתקיפות סייבר ולסילוקן ולהיערכות למקרי חירום. כחלק מתפקידיו מקדם המערך פתרונות חדשניים וטכנולוגיות צופות פני עתיד, מתווה אסטרטגיה ומדיניות בזירות הלאומית והבינלאומית, ומפתח את ההון האנושי בתחום.

כיפת סייבר

“אחרי 31 שנות שירות בצה”ל ושבע שנים במערך הסייבר התרגלתי ללילות ללא שינה”, מודה ראש חטיבת ההגנה במערך הסייבר הלאומי והמשנה לראש המערך, אל”ם (במיל’) ניצן עמר. “למעשה, מאז 7 באוקטובר אנחנו תחת מתקפה איראנית בכל ממד, ויש יותר ניסיונות תקיפה שלהם. מתחילת המערכה בשבוע האחרון, זמן שנראה כבר נצח, יש המון ניסיונות מתקפה איראניים שאנחנו מזהים ובולמים בזמן, וכך מונעים אסון כבד”.

מהו סוד ההצלחה בבלימת הניסיונות האלה?
עמר: “הקמנו כיפת סייבר. כמו שיש הגנה אווירית מצוינת, אצלנו יש הגנת סייבר. אגב, גם אצלנו וגם בהגנה אווירית, כמו שאנחנו מבינים, אין 100% הצלחה בהגנה, אבל יש הצלחות. בעזרת כיפת הסייבר הזו, ברמת המדינה, ובעזרת ההתנהלות של הארגונים ויחידות הסייבר במשרדי הממשלה ובגזרות השונות, מצליחים לבלום בזמן ולמנוע פגיעה בחיי היומיום של האזרחים”.

עמר מציין שבכל רגע נתון מנסים אויבי המדינה באמצעי סייבר שונים לפגוע בתחומי חיינו השונים: “לשמחתנו, לא היו להם הצלחות, לא בפגיעה בתשתיות הקריטיות של מדינת ישראל ולא בפגיעה בחיי היומיום של האזרחים”, הוא מבהיר. “ברגע שהם מבינים שהם לא מצליחים לפגוע בנו בתחום הסייבר הרגיל, כלומר, בשיבוש מערכות שונות, הם מנסים להשתמש בסייבר כדי לשלוח הודעות הפחדה ולייצר אירועי תודעה כאלה ואחרים כדי להגביר את החשש של האזרחים”.

איך היית מגדיר את האתגר המרכזי שלכם עכשיו במערכת הסייבר מול איראן?
עמר: “האתגר הוא למנוע פגיעה בחיי היומיום של האזרחים, למנוע פגיעה בתשתיות, בארגונים חיוניים, בבתי חולים, בבנקים, באנרגיה ובחשמל. ולוודא שאין שילוב של תקיפה קינטית, פיזית, עם תקיפת סייבר, דבר שעלול להביא לכאוס גדול מדי. לדוגמה, אם במקביל לתקיפה הפיזית לא יהיה חשמל כתוצאה מתקיפת סייבר, זה יגרור אירוע רע מאוד למדינת ישראל. בתקופה כזו, כשהאזרחים גם ככה בלחץ, אם בתי חולים ובנקים יקרסו בגלל מחסור בחשמל, אז זה אירוע לא טוב. המשימה המרכזית שלנו היא לראות שאנחנו בשליטה בממד הזה”.

עוד אומר עמר: “מאתרים איום, מזהים ובולמים אותו בזמן. אנחנו עושים הרבה מאוד פעולות חוסן כדי למנוע את התקיפה הבאה, כשאנחנו מבינים שהאיום הגדול הבא יכול להגיע – ואנחנו ערוכים אליו. אנחנו נמצאים ברמת כוננות מרבית, גם אנחנו וגם היחידות המגזריות במשרדי הממשלה, כדי לנטרל את האיומים ולהבטיח רציפות תפקודית, תוך סיוע במרחב לצה”ל. בסופו של דבר, שרשרת האספקה של צה”ל היא בעיקר באחריותנו, מול גופים במשק שנותנים שירותים לצה”ל. אם הם ייפגעו, צה”ל ייפגע, וכך גם המשק הישראלי האזרחי”.

עד כמה האיראנים מתוחכמים בגזרת הסייבר?
“האיראנים חזקים מאוד בנושא הזה, והם גם מקבלים סיוע מגורמים מעצמתיים שונים, שזה דבר שאי אפשר לבטל. יש לאיראנים יכולות, והם הוכיחו אותן. האתגר לא פשוט. זה אתגר מול גוף שביצע בעבר תקיפות מוצלחות במדינות אחרות. אנחנו חייבים להיות חזקים, ואנחנו חזקים מול האיום הזה”.

הציבור מבין טוב יותר

עמר מרחיב בעניין ניסיונות הפגיעה שנעשים במרחב הסייבר. “כשהם מבינים שבאזורים של התשתיות הקריטיות והגופים החיוניים אנחנו מאוד חזקים, הם מנסים ללכת למקומות של תודעה מבוססת סייבר”, הוא מסביר. “הפעילות הזו כוללת שיחות טלפון מתחזות, ניסיונות בהודעות פישינג ועוד דברים די פשוטים. הם עושים את זה כדי להשפיע על התודעה במדינת ישראל, כדי ליצור הפחדה”.

כך למשל קיבלו בשבוע שעבר ישראלים הודעות מאיימות, בין היתר הודעת SMS שבה נכתב בעברית: “החל מהשעה 12:00 הערב, אספקת הדלק תופסק בכל התחנות למשך 24 שעות” והודעה שקראה להם לא להיכנס למקלטים. היוזר שממנו נשלחו שני סוגי ההודעות הוא “OREFalert” – יוזר שמתחזה לפיקוד העורף.

“בסופו של דבר, הודות להעלאת המודעות שאנחנו עושים בכל פלטפורמה אפשרית, אנשים כבר די מבינים מתי מדובר בפייק, ואנחנו רואים זאת גם בירידה בכמות הפניות אלינו”, עמר אומר ומוסיף, “חשוב להדגיש שאנחנו מפרסמים את כל ההודעות המתחזות האלה בכל אתרי המדיה מיד ברגע שמישהו מקבל אותן. הציבור צריך להפעיל שיקול דעת, לחשוב שנייה ולבדוק מול הערוץ הרשמי שממנו נשלחה כביכול ההודעה – למשל, באתר פיקוד העורף. אני חושב שהציבור כבר מבין טוב יותר את האירוע, ואני משוכנע שזה גם בזכות הסברה טובה. המוקד שלנו, 119, לדיווח על אירועי סייבר במרחב האזרחי של ישראל, זמין 7/24 כדי לענות על כל שאלה בנושא”.

כשעמר מתבקש לתת דוגמה למתקפת סייבר איראנית על ישראל, הוא חוזר בזמן לסוף 2023, לחודשים הראשונים של מלחמת “חרבות ברזל”: “מתקפה של איראן בשיתוף פעולה עם חיזבאללה ניסתה להשבית את בית חולים זיו בצפת”, הוא מפרט. “בסוף, היכולת שלנו לזהות זאת בזמן, בעזרת הסנסורים שלנו, בעזרת אותה תפיסה טכנולוגית־מבצעית שלנו, אפשרה לנו לדווח לבית החולים על ניסיון הפריצה, לגרום לו להתנתק מהרשת שדרכה האיראנים תכננו להשתלט על מערכת בית החולים, ולמנוע את האירוע”.

עוד הוא מוסיף ואומר: “יש עוד כמה מקרים שלא פורסמו, למשל, ניסיונות לפרוץ למערכות שונות, שברגע האחרון ניצלו כי הצלחנו להזהיר אותן. והיו חברות שקיבלו מאיתנו טלפון עם הנחיות להתנהלות. מאז 7 באוקטובר חווינו עלייה בקבוצות התקיפה שמנסות לתקוף את ישראל, ועלייה בכמויות התקיפות בסקטורים השונים, כמו התקשורת, הבריאות, האנרגיה והתחבורה. כמעט מדי יום יש ניסיונות כאלה, ואנחנו עובדים מסביב לשעון כדי לבלום אותם”.

לסיום, אומר: “הפעילות שעשינו, בשיתוף הארגונים ומשרדי הממשלה השונים, הביאה אותנו למצב שבו לא ראינו פגיעת סייבר משמעותית בתשתיות הקריטיות ובארגונים החיוניים במדינת ישראל, תוך שמירה על רציפות תפקודית של המשק בתקופת הלחימה. אני חושב שגם האזרחים פחות חוו את זה. בסופו של דבר, היתרון שלנו הוא שאנחנו תמיד צעד אחד לפני התוקף. זה נכון בהעלאת חומות ההגנה וגם בזיהוי ההתרעה על מתקפה מתוכננת. ההתנהגות הנכונה במרחב הדיגיטלי, גם של האזרחים בהכוונתנו, מצילה חיים. התנהגות לא נכונה משרתת את האויב”.