מחכים להזדמנות אחת כדי לתקוף (צילום: Bigstock)

"המטרה שלנו היא לעצור את התוקף, עוד לפני שהצליח לחדור למערכות החברה"

עשרות מומחי סייבר, 24 שעות ביממה, עוסקים במניעת מתקפה העלולה להשפיע על אספקת החשמל בישראל. הצצה ליחידה הכי מסתורית של חברת החשמל

דמיינו לכם תרחיש בו אתם יוצאים מהבית ומגלים שהרחובות חשוכים, מערכת הרמזורים קרסה, מערכות התקשורת מושבתות והכספומטים לא פועלים. התרחיש הזה עלול להתרחש כתוצאה ממתקפת סייבר על מערכות החשמל, ומסתבר שהוא לא לחלוטין דמיוני אלא סכנה מוחשית לגמרי שעלולה להתרחש מדי יום, בכל מדינה, כמו גם בישראל.

על מסכי ענק, בסיוע מערכות ייחודיות, עוקבים עובדי הסייבר של חברת החשמל אחרי מפת המתקפות בזמן אמת. ביום ממוצע נרשמות כאן לא פחות מ-10,000 מתקפות בממוצע מדי שעה. בימי שיא מזנק המספר הזה ליותר מ-100,000 מתקפות בשעה. כמובן שלא מדובר ב-10,000 אנשים, אלא ברובוטים שעושים עבודה ממוחשבת בלי הפסקה בכדי לנסות ולפגוע במערכות החברה.

מטרות התוקפים מגוונות: יש המבקשים לפגוע באתר האינטרנט של החברה, אחרים מעוניינים לגנוב את פרטי המשתמש של האזרחים, ויש המעוניינים לשתול וירוסים קטלניים, שישבשו את מערכת החשמל ועוד. גם היעדים שמהן מתבצעות המתקפות פרושים על גבי הגלובוס.

רונן דקל, סגן וממלא מקום מנהל אגף מערכות מידע ותקשוב בחברת החשמל, והאחראי על מרכז בקרת הסייבר, הוא האיש שאמור להתמודד עם האיום הבלתי פוסק הזה.

מה הדבר הכי נורא שיכול לקרות אם אחת המתקפות האלה תצליח?
"אפשר לדמיין לבד מה יקרה, אני לא צריך לתת רעיונות לאויבים שלנו. אני יכול להבטיח שאנחנו דואגים שמתקפה כזאת לא תצליח, ובכל מקרה ההשפעה שלה תהיה לא משמעותית ככל הניתן. יש לנו תרחישים ואנחנו נערכים אליהם, גם לגרועים ביותר. יודעים בדיוק מה נעשה במצבי חירום ואיך מתאוששים מאסון".

רונן דקל
״יודעים בדיוק מה נעשה במצב חירום״. רונן דקל (צילום: יוסי וייס)

המטרה: לעצור את הפגיעה לפני שהיא מתרחשת

כדי לחלץ מידע מדקל צריך לעבוד קשה מאד. וגם אז, סביר להניח שלא תצליחו לצאת עם התשובה לה ציפיתם. בכל זאת, זה איש שתפקידו להיות דיסקרטי. הוא מנהל עשרות מומחים שעסוקים 24/7 בעצירת המתקפות. "הם המומחים הגדולים ביותר בעולמות השונים של סייבר, מערכות מידע, מודיעין, הנדסת אנוש, בקרה וחשמל ועוד. הם מבינים את התהליכים, יודעים לזהות כל תרחיש וגם להתמודד איתו", מסביר דקל. "המטרה שלנו היא לא להתמודד עם פגיעה אפשרית, אלא לאסוף את המידע ולנתח את הנתונים כך שנוכל לעצור את ההאקרים עוד לפני שהם תוקפים ואת הפגיעה לפני שהיא גורמת נזק".

מדיניות ביטחון, כמו גם בסייבר, פועלת במודל של מעגלים. במעטפת החיצונית ביותר נמצאת המדינה, אבל כל גוף גדול – ממשרדי ממשלה ועד עיריות , חברות ואזרחים – חייב לדעת להגן על עצמו, בעזרת המערכות שבשימושו. לכן בחרו בחברת החשמל להקים מערך הגנת סייבר ייעודי, בהשקעה של מיליוני שקלים בשנה, שיגן על החברה.

"הרשות הלאומית להגנת הסייבר מספקת הנחיות ומידע, מתווה מדיניות ודואגת ברמת המדינה, אבל כשזה מגיע ל"פתח הבית", האחריות היא של כל חברה וארגון ואין לזה תחליף״, מסביר דקל. ״זה כמו לשאול למה צריך שומר בכניסה לקניון, כי הרי יש משטרה וצבא למדינה".

״התוקף עובד כל השנה כדי לפרוץ אלינו הביתה״

בשנת 2018 לבדה נרשמו כ-200 מיליון אירועי סייבר שכוונו לישראל. כמה מהם הדירו לא מעט שעות שינה מעיני הבכירים במדינה. בימים בהם אדם עם מחשב ומטרה מסוכן יותר מטיל, טנק או מטוס – המשימה לעמוד בפרץ לא פשוטה בכלל ולא חסרים דוגמאות לאירועים שהתרחשו בעולם.

על הצג הענק בחמ״ל חברת החשמל מוצגים האיומים בסיווג לצבעים שונים: ירוק עבור מצב שגרה; צהוב עבור איום הדורש בדיקה ואדום לאיום ברמה גבוהה עם פוטנציאל נזק משמעותי. במקרים של איום אדום מושמעת אזעקה בחדר המצב.

כחלק ממערך ההגנה על מחשבי החברה, עובדי חברת החשמל לא רשאים להכניס התקני USB, דיסקים או לפתוח במחשבים קבצים שלא עברו סינון קפדני. על כל חריגה מהנהלים יש חסימה והתראה, שמגיעה היישר למרכז הבקרה.

"עולם לוחמת הסייבר הוא עניין יומיומי, אין לו גבולות ולא שעות", מסביר דקל. "התוקף לא מחכה לאירוע, אלא פועל באופן מתמשך כדי להשיג אחיזה אצל הנתקף. המטרה שלו היא לשתול את היכולת אצל הנתקף כדי שתהיה שם ותחכה ליום פקודה. ואז כשאתה במשבר או עימות, הוא תוקף אותך.

רונן דקל
״כשזה מגיע לפתח הבית, האחריות היא של החברה״. רונן דקל (צילום: יוסי וייס)

ומה הסיכון בפריצה לרשת שלכם?
"הסכנה המרכזית של מתקפת סייבר על כל ארגון וחברה היא פגיעה בהמשכיות עסקית ותפקודית של הארגון. כלומר, היכולת להמשיך ולספק את השירות ללקוחות. ככל שהשירות קריטי, כמו אצלנו, כך גם הסיכון בהפסקתו או שיבושו. אם גורם עוין משתלט על המערכות ומנהל אותן במקומנו הוא יכול גם לגרום לכאוס, לכבות שירותים ולייצר מניפולציות על מערכות ובכך לשבש את שגרת החיים של מיליוני אזרחים״.

אז איך מונעים את זה?
"מתכננים את המערכות מראש עם הגנה מקסימלית, חושבים צעד לפני התוקף, דואגים למערכות מניעה, בקרה וניטור, תוך סיווג והפרדת מערכות על פי קריטיות השירות שאותו הן מספקות. נמצאים בתנועה מתמדת ולא נכנסים לשאננות אפילו לרגע״.

אתה יכול לתאר פרופיל של תוקף ממוצע?
"האפשרויות רבות. החל מהאקר בודד, שהוא אדם שיש לו מחשב וקו אינטרנט עם יכולות אישיות גבוהות בתחום והוא רוצה להוכיח שהוא מסוגל, ועד לקבוצות אקטיביסטים למיניהם, ארגוני טרור, צבאות, מעצמות או סתם מתחרים. התוקף לא פועל באופן גלוי. גם אם מהמערכות מתקבל מידע שהוא באמריקה, יכול להיות שהוא בכלל בצד השני של העולם או מופעל על ידי אחרים".

ובכל זאת, מה התרחיש שהכי מפחיד אותך?
"אלה שאלות טובות, ואני חושב שגם יש לי תשובות טובות, אבל נשאיר אותן למי שאמור להתמודד עם התרחישים האלה. אני מניח שאת הכתבה הזאת יקראו גם אנשים שמאוד ישמחו לדעת את התשובות האלה״.

רוצים עוד? זרמו איתנו לכתבה הבאה