ראש התוכנית ללוחמת סייבר: "גופים חיוניים לא ערוכים"

ראש התוכנית ללוחמת סייבר במכון למחקרי ביטחון, גבי סיבוני: "מי שמחליט על מתקפה יעדיף למקד את מאמציו בבטן הרכה, אצל מי שלא מוגן. היעד יכול להיות תאגיד מים של עיר גדולה"

עשרות תאגידי המים, מאות מפעלי מזון ומוצרים בסיסיים, חברות לייצור ולשיווק תרופות ומוסדות פיננסיים חשובים יידרשו לנקוט צעדים משמעותיים להגנה על מערכות המחשב שלהם - כחלק מהמהלכים להתגוננות מפני תקיפות סייבר, כך אומר ל"גלובס" ראש תוכנית לוחמת הסייבר במכון למחקרי ביטחון לאומי (INSS), הד"ר גבי סיבוני.

דבריו של סיבוני נגזרים מעבודת מטה מקיפה שהוא מוביל בנושא, ועיקריה יוגשו כהמלצות למשרדי הממשלה הרלוונטיים ולמטה הקיברנטי הלאומי שבמשרד ראש הממשלה, ששוקד על גיבוש תפיסת ההגנה המיטבית לאיומי סייבר במרחב האזרחי. "המרחב האזרחי לא מטופל בהיבט של הגנת סייבר וזאת בשונה מהמגזר הביטחוני, לרבות התעשיות הביטחוניות, ומכמה עשרות התשתיות הלאומיות שנחשבות קריטיות - שכן אלה מקבלים הנחיות שוטפות בנושא מגופים ממלכתיים", אומר הד"ר סיבוני.

"עם זאת, חברות תקשורת ובהן ספקיות אינטרנט וגופים נוספים שפגיעה במערכותיהם עשויה לשבש באופן ניכר את השירות שניתן לקהל גדול - לא מוגדרים בידי המדינה כתשתיות קריטיות ולכן אין גורם שמכוון אותם כיצד להיערך לקראת מתקפת סייבר אפשרית. בעוד שיש כמה עשרות תשתיות לאומיות שמוגנות, מי שמחליט על מתקפה יעדיף למקד את מאמציו בבטן הרכה, אצל מי שלא מוגן. היעד יכול להיות תאגיד מים של עיר גדולה. כיום תאגידי המים וגופים חיוניים במשק לא ערוכים למצב כזה, כי אף אחד לא דרש מהם להיערך".

ד"ר סיבוני יציג את עיקרי תוכניתו במסגרת כנס שיקיים המכון למחקרי ביטחון לאומי בשבוע הבא, ויעסוק בהיערכות המערכות הפיננסיות למתקפות סייבר. לעבודת המטה שהוא מוביל בנושא שותפים נציגים מרשויות ממשלה רלוונטיות, בכירים בתעשייה ובמגזר העסקי ובעלי תפקידים מן האקדמיה. עם זאת, הוא מדגיש כי עמדותיו אינן מייצגות את אלה של כלל עמיתיו לפורום שדן בסוגיה. את הפתרון לפער שבין איומי הסייבר המתרחבים, לבין היקף המוכנות של המרחב האזרחי מפניהם - הוא מציע למצוא אצל הרגולטורים של הגופים השונים, שיקבלו הנחיות מארגון גג סדור וייעודי שיעסוק בהגנת סייבר במרחב האזרחי.

"כשעסק כלשהו ניגש אל הרשויות כדי לקבל רישיון מתאים לפעילותו, הוא נדרש לעמוד בהמון תביעות בתחום איכות הסביבה, הטיפול בחומרים מסוכנים, תברואה, רשת חשמל, אישור מכיבוי אש ועוד. אף אחד לא הכתיב לבעל העסק הרלוונטי דרישות סף בתחום הגנת הסייבר". לפי הד"ר סיבוני, החברות והגופים שפועלים במרחב האזרחי ידורגו בהתאם לחיוניותם למשק בשעת משבר - ולפי מידות אלה ייקבע מקומם באחד מתוך 4-5 מדרגים. לכל מדרג כזה יהיו תנאי סף שהגופים האמורים יידרשו לעמוד בהם בתחום הגנה על מערכות המידע ועל מערכות התפעול השונות - ולהגיש על כך תסקיר מפורט שיבחן את העמידות של מערכות הארגון לסייבר.

סיבוני: "כדי להימנע ממצב של הקמת גוף רגולציה נוסף במדינה, ניתן יהיה לקיים את הרגולציה האמורה באמצעות המערכות הקיימות: רשות המים שהיא הרגולטור של התאגידים - תפקח גם על הסייבר וכך בהתאמה בגופים נוספים. הרגולטור יקבל את סמכויותיו, את אמות המידה ואת העדכונים השוטפים על מתקפות רשת מהגוף המרכזי שיוקם - וזו תהיה רגולציה מחייבת על הגופים שנמצאים במגזר שלו", אומר.

ביחס לנזק האדיר ולשיבוש שגרת החיים שבכוחן של התקפות סייבר נקודתיות - בפורום שמוביל הד"ר סיבוני סבורים שהמהלכים לסיכולן פשוטים וזולים יחסית: "בסך הכול צריך להשקיע מחשבה בנוגע למערך הרשאות הגישה למערכות המחשב בכל ארגון, להקפיד על מערכות בקרה, פיקוד ושליטה ולבודד מערכות חיוניות לפעילות השוטפת של הגופים ממערכות אחרות, תוך הקמת מערכות הגנה נפרדות.

"זה לא דבר יקר מדי, אך בהחלט מחייב ערנות", אומר סיבוני: "אני מזהה את העולם הפיננסי כמקום שיהיה הנכון ביותר כדי להתחיל בו כדי לספק מענה טוב לאיומים המתפתחים בתחום. בנקים מכל העולם חשופים לפריצות ולמתקפות ברשת. כשהמכנה המשותף של כל הגופים הפיננסיים ברחבי העולם הוא כסף - נוצרת פלטפורמה מצוינת לפתח מענה הולם לאיום הסייבר במרחב האזרחי".