"כל מה שטוב בטכנולוגיה הוא סיוט של סייבר", את הלקח הזה למד יגאל אונא, ראש מערך הסייבר של ישראל ב־30 שנותיו בתחום. בראיון מיוחד מספר אונא, המדורג במקום ה־33 ברשימת המשפיעים של כלכליסט, על ניסיונות התקיפה נגד תשתיות המים של ישראל, על איומי הכופרה על חברות, ואיך הקורונה הקפיצה את הסיכונים עם המעבר לעבודה מהבית
סופי שולמן
"אני 32 שנה בביזנס. זה אומר לא לישון טוב, תמיד עם הנעליים, לא לאכול טוב, להיות דרוך ולהיות כל הזמן כמה צעדים לפני ה־Bad Guys. אני חייב לרוץ מהר אפילו רק כדי להישאר במקום". הדברים האלה לא נאמרים על ידי מפקד סיירת בצה"ל או קצין משטרה, אלא על ידי איש אזרחי לגמרי. קוראים לו יגאל אונא, שמוביל ארגון אזרחי של 350 עובדים שיושבים בבניין ללא שלטים אי שם בתל אביב. אונא, שמדווח ישירות לראש הממשלה, הוא ראש מערך הסייבר של ישראל ותפקידו לחסום התקפות סייבר על מתקנים אזרחיים, החל מפריצות לפייסבוק וניסיונות פישינג ועד דרישות כופר שעלולות למוטט חברות עסקיות והתקפות על מתקנים רגישים, כפי שקרה למתקני המים של ישראל בסוף אפריל האחרון.
מאז התפרצות הקורונה, האתגר של אונא והצוות שלו התגבר, כשהמעבר לעבודה מרחוק הפך לחגיגה עבור ההאקרים. כולם עובדים מרחוק, יושבים בבית וכך אפילו הגנבים צריכים לעבור טרנספורמציה דיגיטלית או לפחות לעבור לעבודה היברידית כמו כולם – כלומר להפוך מסתם גנבים להאקרים. אין מישהו שלא הרגיש זאת על בשרו עם נחיתתם של מיילים תמוהים בתיבת הדואר הנכנס, המוכרים כניסיונות פישינג, לרוב לשם הוצאת פרטי אשראי ולעתים גם כאלה שמשמשים גורמים רציניים יותר, שחותרים לנצל את הכאוס העולמי להגברת מתקפות סייבר.
אונא לא רק מרגיש את זה בחודשים האחרונים, אלא חושב שאנחנו בהתחלה של משהו גדול הרבה יותר. "החורף מגיע", הוא אומר, "זה אמנם כבר אנלוגיה שחוקה, אבל היא המדויקת ביותר למה שאנחנו רואים ואני יכול לומר שאני כבר זקן השבט בתחום הסייבר, למרות שאני עוד לא בן חמישים. ה־White Walkers מתקרבים, אבל בניגוד ל'משחקי הכס' שהמציאו אותם, במציאות הם לא באים ממקום אחד אלא מכל מקום והם נמצאים בכל מקום".
למה זה קורה?
"בגלל המהפכה הטכנולוגית. האנושות לא צפתה את עוצמתה, אבל בעיקר לא את מהירותה. והקורונה רק מאיצה את זה. יש היום הרבה משועממים, חלק הולכים לגיימינג וחלק הולכים לדברים אחרים, מנסים ומגלים שקל לעשות תקיפות. הגרפים של כל חברות האבטחה קופצים וגם אצלנו. זה הנזק ההיקפי של הקורונה.
"במקביל אנחנו עוברים מעולם הדאטה לעולם מחובר ולעליית כוח המחשוב. אנחנו עוד לא בשיא מבחינת היכולות האלה, אבל גם עוד לא הגענו לשיא בצד האפל. לצערי, עוד לא חווינו את כל התרחישים והאנושות כולה עוד תחווה שימוש זדוני בטכנולוגיה".
אבל הטכנולוגיות דווקא הולכות ומשתכללות.
"כל מה שטוב בטכנולוגיה הוא סיוט של סייבר. יש הרבה יותר מערכות, הרבה יותר מידע, יותר מעבר לענן ויותר אפליקציות. האנושות רצה מהר מאוד בפיתוח ובאימוץ של טכנולוגיות, אבל לא מספיק מהר בתחום ההגנה. באופן טבעי כל מה שהאדם מייצר יש בו טעויות".
וגם ישראל חלק מהעניין, למרות היותנו מעצמת סייבר?
"ישראל רצה בתחום ההגנה קצת יותר מהר מהעולם, לא מעט בגלל המצב הגיאופוליטי הרגיש שלנו באופן מסורתי. אבל היום דווקא בהקשר של סייבר, הצרות שלנו הן כבר לא צרות ייחודיות לנו, אלא צרות ברמה העולמית ולכן יש נהירה מכל העולם לטכנולוגיה שלנו".
ההתקפה על מתקני המים היא האירוע החמור ביותר שהיה עד היום? סוג של התקפה ביולוגית אפילו?
"זה יעד שמסמן חציית גבול, זה נוגע בתשתיות אזרחיות פר־סה, אין בזה שום דבר צבאי. אבל עוצמת הפגיעה היא כלום ושום דבר ולא היתה סכנה. זה נכון שמי שתקף כיוון לשחק בכלור, אבל אנחנו מאוד ערוכים ולכן הנזק מאוד מצומצם. ישראל יודעת לנהל סיכונים יותר טוב מרוב המדינות. אם מישהו מנסה לדקור אותי עם סכין חדה בגב ומגלה שאני לובש אפוד קרמי מגן עד הצוואר, זה לא מפחית מחומרת העניין שהוא ניסה לדקור אותי בגב. החידוש פה היה בחוצפה ובתעוזה של ניסיון לכוון לפגיעה אזרחית".
האנושות רצה מהר מאוד בפיתוח ובאימוץ של טכנולוגיות, אבל לא מספיק מהר בתחום ההגנה. באופן טבעי כל מה שהאדם מייצר יש בו טעויות"
למה זה קרה?
"זה בדיוק חלק מ'החורף המתקרב'. ורואים זאת לא רק בישראל, אלא בכל המרחב הבינלאומי. אבל מכיוון שישראל היא בטופ מבחינת השימוש בטכנולוגיות מידע, היא גם יעד יותר מבוקש. לפי הנתונים הפנימיים שלנו, ישראל נמצאת בצמרת מבחינת ניסיונות התקיפה ברבעון, אבל הן לא מצליחות. אנחנו הודפים הכל.
"חרף היותנו מעצמת סייבר אנחנו יעד יותר חזק מעצם העובדה שמדובר בישראל. יש לכך כמה סיבות: קודם כל גורמים בדרום מזרח אסיה או אפריקה שיש להם עניין עם היהודים, פתאום מגלים שאפשר לנסות לתקוף אותנו בלחיצת כפתור; סיבה נוספת היא דווקא בגלל שרוצים לבדוק את היכולות שלנו כמעצמת סייבר. התפקיד שלנו הוא לא למנוע את התקיפות, אלא לגרום לכך שלא יצליחו. אנחנו נמדדים בסוף על הנזק שנגרם. אם צריך להקביל לשפעת או לקורונה, אז ברור שיהיו נדבקים, אבל המשימה שלי היא שכמות הנפטרים תהיה אפס".
מה תרחיש הבלהות שלך? איזו התקפת סייבר אנחנו עוד לא מדמיינים אפילו?
"לא חושב שיש דבר כזה. אנחנו מתרגלים מחשבתית, ולא רק, תרחישי קיצון ולשמחתי הם לא התממשו בישראל. אבל בעולם דווקא כן, כמו הפסקות חשמל נרחבות למשל. באופן עקרוני אני אף פעם לא אוהב לפרט את החששות שלי כי זה רק נותן רעיונות ליריב. היריב מחפש לא רק להפיל את רשת החשמל או להזיק לתשתיות המים, אלא גם להשפיע על התודעה וזה חלק גדול מהאתגר שלי – 'על מה אני מגן? על הכל' – וזה הקושי. אפשר לקחת אפילו אירוע תמים לכאורה כמו האירוויזיון שהיה בישראל בשנה שעברה. היה שם אירוע בגמר שהיינו צריכים להדוף התקפות בלייב וגם בחצי הגמר הכניסו סרטון קטן של נפילת טילים. אלה אירועים קלים לכאורה, אבל האיום של הכנסת פייקים, של שיבוש התודעה הציבורית ושל ליבוי שסעים הוא מסוג הדברים שיכולים לפגוע באמון הציבור".
זה לא מייאש להגן על הכל בכל מקום? הרי לתוקף יש תמיד את יתרון הראשוניות, הוא צריך להצליח רק פעם אחת.
"הילדים שלי שואלים אותי לא מעט אם לא נמאס לי לעשות את אותו הדבר כבר 30 שנה, אבל זה משתנה כל יום גם במישור הטכנולוגיה וגם בסוג התוקפים. נכון שבמשחק הזה אחד־אפס מספיק בשביל לנצח, וזה חלק מהתסכול שבלהיות שוער, אבל בינתיים הרשת שלי נקייה".
מה היה הכישלון הגדול שלכם? מה לא הצלחתם למנוע?
"עוד לא היה כזה עד היום. אנחנו לא יודעים מה זה כישלון כי אין שום אפשרות ושום מרווח לכישלונות".
גם אם אונא נשמע מעט שחצן, שפת הגוף שלו משדרת משהו אחר. הוא איש גבוה עם מבט רציני וכשהוא אומר את המשפט האחרון הוא אפילו דופק קלות על השולחן. אבל רוב הזמן הוא נינוח וחייכן. אפילו כשהוא אומר דברים שעל הדף היבש יכולים להתפרש כיהירות, במציאות הוא משדר ענווה. מה שבטוח הוא שאונא משדר הרבה פחות התנשאות מזו שמאפיינת את ה"סייבריסטים" הישראלים שפועלים בשוק הפרטי.
אונא (49) התחיל את דרכו באחד הבסיסים של 8200 כערביסט ולאחר שהשתחרר מצה"ל בדרגת סרן עבר לשב"כ. "החלום שלי היה להפעיל סוכנים, אבל מכיוון שבאתי מעולמות של סיגינט (Signal Intelligence, מודיעין המבוסס על מה שעובר ברשתות תקשורת, ס"ש), כל הזמן משכו אותי לשם". גם לאחר סיום התואר הראשון ומינויו לראש ענף בשב"כ, הוא לא הצליח להשתחרר מהסיגינט שבינתיים, לקראת אמצע שנות התשעים, החלו לקרוא לו בשמו החדש והסקסי יותר – "לוחמת סייבר".
"כשהתחלתי עם סיגינט בשב"כ זה היה כמו לקנות מניית אפל כשהחברה עוד היתה בגראז'", משחזר אונא את תחילת הפיכתו לאחד מומחי הסייבר הוותיקים בישראל. "הסלולר רק נכנס לשימוש, האינטרנט התחיל וגם סיכול הטרור החל לעבור לכיוונים של סלולר. כשהתחלתי היו פחות מעשרה אנשים שעסקו בזה בשב"כ וכשסיימתי היו מעל אלף. למעשה כל בן אדם חמישי בארגון היה איש סיגינט או סייבר".
יכולת לדמיין כקצין ב־8200 או כראש ענף בשב"כ בשנות ה־90 שעולם הסייבר יתפתח לממדיו הנוכחיים?
"אם אגיד שכן איחשב כשוויצר. אבל כן, גם אם לא לגמרי. מה שמפתיע אותי הוא לא מה שקרה, אלא המהירות שבה הכל קרה".
מה יהיה הדבר הבא?
"התקפות כופרה. לפני שש שנים אף אחד לא התייחס לזה ואף אחד לא ציפה לזה. אנחנו לא אוהבים לדבר כדי לא לתת רעיונות, אבל זה קיים ובכל מקרה יש לנו את החיסון במקרר".
זה נשמע קצת כמו סרטי ג'יימס בונד, אבל במהלך השיחה אונא משתמש לא מעט במונח Antidote, אותו נסיוב מנטרל שמגיע ארוז במזרק ברגע האחרון, כשהקורבן כבר בפרפורי מוות.
כך למשל היה לדבריו בהתקפת כופר גדולה על בתי חולים ברומניה בשנה שעברה. לפתע החלו להגיע למוקד דיווחי הסייבר במדינה עדכונים מבתי חולים שונים על כך שהמערכות שלהם שובשו והתקבלו דרישות תשלום כופר. "אנחנו נתנו להם את האנטידוט, שבמקרה הזה היה הפתרון לשבירת ההצפנה של המחשבים שנגרמה על ידי התוקף", מסביר אונא. "בלא מעט מקרים יש לנו את הפתרון ואנחנו נותנים אותו בחינם, גם בישראל וגם למדינות שפונות אלינו ויש לנו הסכמים עמן".
המוקד שאליו פנו בתי החולים ברומניה, גם הוא למעשה העתק של רעיון שמערך הסייבר הישראלי היה הראשון להקים, לפי אונא. כל אזרח יכול לפנות למוקד 119 ("שזה 911 במהופך", מסביר אונא) ולדווח על התקפת סייבר שהוא חווה. במחצית השנה הראשונה של 2020 התקבלו במוקד 7,614 פניות כאלה ואונא חושב שהמוקד לא מוכר מספיק ובפועל יש הרבה יותר אירועים.
זה לא פתח נוח לכל הפרנואידים להוציא את החרדות? כמה מהפניות מתבררות כאמיתיות?
"כמובן שכל הזמן מגיעות פניות כמו 'המזגן תוקף אותי', אבל קורה שמאחורי פניות שנשמעות כאלה יש פעילות סייבר אמיתית. למשל, היו פניות שאמרו העכבר של המחשב שלי זז בלי שנגעתי בו ואחרי בדיקה ראינו שהיתה השתלטות מרחוק על המחשב. הפניות האלה הן גם סוג של חיישן מבחינתנו כי אלה הסימנים הראשונים והחלשים של התפרצות סייבר. אם מזהים משהו חריג ברמת סקטור או אזור גיאוגרפי, אנחנו מבינים שיש אירוע סייבר".
בסייבר תוצאה של ‘אחד־אפס’ מספיקה בשביל לנצח, וזה חלק מהתסכול שבלהיות שוער, אבל בינתיים השער שלי נקי"
לדברי אונא בתקופה האחרונה מגיעות למוקד יותר פניות על תקיפות כופרה, כשרק השבוע חשפה חברת טאואר שהותקפה בדרישה לתשלום כופר ונאלצה להשבית מערכות ייצור כתוצאה מכך. עם זאת, לפי הנתונים שמערך הסייבר מספק רק 2% מהפניות היו בנושא. מקרה נוסף שפורסם באחרונה היה כופר של רבע מיליון דולר ששילמה חברת התוכנה הישראלית סאפיינס, אחרי שהותקפה עם המעבר של 2,500 עובדי החברה, 900 מתוכם בישראל, לעבודה מהבית. סאפיינס לא דיווחה על כך לרשויות ואונא מסרב להתייחס לסוגיה אם יכלה להימנע מתשלום הכופר אילו היתה מערבת את מערך הסייבר בטיפול. בניגוד לסאפיינס, ורינט הישראלית שהותקפה בשנה שעברה דווקא כן הודיעה לרשויות וסיכלה את ההתקפה בשלבים ראשוניים.
סאפיינס פנו אליכם?
"נדיר מאוד שיש אירוע במשק הישראלי שאנחנו לא מעורבים בו או מציעים את עזרתנו. לפעמים אנחנו מפנים גם לחברות פרטיות, זה תלוי ברמת החומרה ובזהות התוקף. אנחנו זרוע הביצוע הביטחוני של הגנת הסייבר".
ומה הסמכויות שלכם? החברות חייבות לעשות מה שאתם אומרים להן?
"רק לקבוצה מסוימת של גופים בעלי תשתיות קריטיות יש חובה כזאת. לאנשים שלי יש תעודה כמו של עובד בכיר בתחום באותן חברות והוא יכול להסתובב חופשי ולהיכנס למערכות המחשוב שלהן".
לפי אונא, פעילות המערך סייעה לחסום בישראל את מתקפת הסייבר החמורה של קבוצת WANNACRY שגרמה נזק אדיר בעולם לפני שלוש שנים כאשר 230 אלף מחשבים ב־150 מדינות בעולם הותקפו. "יש לנו יחידה שסורקת כל הזמן את הדארקנט ודומיו. באותו זמן הצטבר אצלנו מידע על אפשרות לפריצה משמעותית וכך הצלחנו למנוע בישראל כמעט לגמרי את נזקי ההתקפה. אנחנו כמו משמר השכונה שדופק בדלת ואומר 'יש לך חלון פתוח, תסגור אותו. אם רואים שזה לא טופל, אנחנו באים שוב'".
מערך הסייבר הוא גוף חדש למדי שהחל לפעול ב־2017 לאחר שהוחלט על איחוד מטה הסייבר ורשות הסייבר. המערך הוא יחידת סמך נפרדת שמקבילה למוסד ולשב"כ, אך אמונה רק על איומי סייבר אזרחיים. גם אם חייל צה"ל או איש שב"כ יבחין בפעילות סייבר חריגה בהקשר אזרחי, הוא נדרש להעביר את הטיפול למערך הסייבר.
המערך, שחלקו יושב בקריית הסייבר בבאר שבע מורכב מזרוע מבצעים, מזרוע טכנולוגית שאחראית על פיתוח מערכות וגם מזרוע קשרי חוץ ואסטרטגיה. תחת זרוע זו הצטרף אונא בסוף אוגוסט למשלחת היסטורית ראשונה שיצאה לאיחוד האמירויות ונפגש עם מקביליו שם. במסגרת זו גם מושאלים אנשי המערך לארגונים כמו הבנק העולמי והבנק לפיתוח אמריקה הלטינית.
אנחנו כמו משמר השכונה שדופק בדלת ואומר ‘יש לך חלון פתוח, תסגור אותו. אם רואים שזה לא טופל, אנחנו באים שוב'"
פעילות המערך, ששותף גם במימון מחקר סייבר בישראל שקיים בצורה מוסדרת בשבעה מוסדות השכלה גבוהה, מולידה גם פיתוחים שמשמשים גורמים ממשלתיים אחרים. "ישראל במקום השני בעולם במחקר סייבר לנפש אחרי ארה”ב", אומר אונא. "היום יש 350 חוקרי סייבר בישראל וזה מתחיל למשוך סטודנטים מתחומים אחרים. למשל, יש חוקר באוניברסיטת תל אביב במנהל עסקים שזיהה שיש יותר התקפות סייבר על חברות ציבוריות וזה קורה זמן קצר לפני פרסום דוחות רבעוניים. רואים שבחברות פרטיות זה לא קיים, כך שהוא הגיע למסקנה שמדובר בניסיון להרוויח ממידע פנים. המחקר הזה היה יכול להיכנס למגירה באוניבריסיטה, אבל הצגנו אותו לרשות ניירות ערך והם קפצו מהכיסא. עכשיו שמירה קפדנית על מערכות מידע שנוגעות בדוחות כספיים היא דרישה בסיסית בהגנת סייבר של חברות ציבוריות".
על אף שהמערך מתוקצב כ"קופסה שחורה" בדומה ליתר גופי הביטחון, אחד האתגרים המשמעותיים שלו הוא גיוס אנשים שצריכים להחליט לעבוד עבור המדינה במקום לרדוף אחרי הכסף הגדול שמציע השוק האזרחי, להקים סטארט־אפ או לעבוד באחד כזה.
"רוב האנשים שלנו מגיעים לפה כפרק ב' או אפילו ג'", מגדיר אותם אונא, "הם עשו קריירה ביטחונית או בתעשיית הסייבר, עשו לביתם והבינו שזה לא מספיק. הם צריכים אתגר ברמת האקשן ולא בהכרח בכסף. למשל, ראש היחידה הטכנולוגית היה סמנכ"ל בכל התעשייה הישראלית כמו אמדוקס ועכשיו בא ליהנות. אבל זה לא אומר שכולם מבוגרים, הגיל הממוצע פה הוא 35 ויש גם חיילים ואנשי שירות לאומי שמושאלים למערך".
יש גם גיוסים ממקורות מפתיעים, כמו למשל האקרים שמכונים "כובעים לבנים" או ההאקרים האתיים, אזרחים "משועממים" שמנסים לפרוץ למערכות שונות כדי להזהיר מפני סכנות ו"דלתות או חלונות פתוחים". "ראינו שיש כאלה שפונים למוקד שלנו לא מעט, אפילו על בסיס יומי ושאלנו אותם מה ה־Day Job שלהם וגילינו שחלק לא קטן מהם אנשי תמיכה או QA שמשעמם להם וכך גייסנו אותם למערך".
אין יותר מדי סטארט־אפים בסייבר? הרי זה מייצר תחרות מעט מלאכותית בינם לבין עצמם ומקשה עליכם בגיוסים.
"נכון שיש מחסור אדיר בכוח אדם בסייבר, שרק הוחמר בקורונה. הצורך לעבוד מרחוק דוחף את התעשייה להתפתחות. השכר לעובדים לא פרופורציונלי אפילו יחסית להייטק. יש היום 550 סטארט־אפים ישראלים בסייבר, אבל זה לא מספיק. צריך עוד. בכל מקרה, הכלכלה עובדת ורק אחד מתוך 12 סטארט־אפים בסייבר שורד את 18 החודשים הראשונים. גם אלה שלא מחזיקים מעמד מדשנים את הקרקע לצ'ק פוינט, לסייבריזון או לסייברארק. אנחנו בסוג של תחרות עם כל השוק, אבל מכוונים לוותיקים יותר".
בסופו של דבר, מה האיום הגדול יותר בסייבר היום במישור הביטחוני או הכלכלי?
"פשיעת סייבר כלכלית כבר עברה מזמן את הנקודה שבה היא האיום המשמעותי. היא פוגעת בהמון שחקנים ורמת האיום שלה הולכת וגוברת. אבל גם הדיכוטומיה כבר לא באמת קיימת; יש פושעי סייבר שהם שליחים של גורמים ביטחוניים וגורמים עוינים. השילוב הזה קיים בכל העולם. אבל מה שחשוב הוא שבסוף תוקף זה תוקף".
נכון שיש מחסור אדיר בכוח אדם בסייבר, שרק הוחמר בקורונה. הצורך לעבוד מרחוק דוחף את התעשייה להתפתחות. השכר לעובדים לא פרופורציונלי אפילו יחסית להייטק"