באחד הימים בנובמבר 2013 התריע המכשיר הסלולרי שלי על כניסת הודעה בדואר האלקטרוני. שורת הנושא בישרה כי השב"כ שלח קובץ סיכום אירועים לשנת 2013. מיהרתי למחשב הנייד, לפתוח את החשבון הפרטי, ובדרך הרהרתי מדוע מסכמים שנה לפני שהסתיימה. אבל זה היה מאוחר מדי. כשפתחתי את הקובץ, גיליתי כי מדובר בהעתק מסמך של השב"כ משנת 2012 עם מספרי טלפון שגויים, אך דומה להפליא לפורמט הקבוע של השב"כ. כעבור שעה הבנתי שהכתבת הצבאית של קול ישראל, כרמלה מנשה, קיבלה וירוס דומה שנשלח על ידי גורם עוין למטרת איסוף מידע מזיכרון המחשב, או במקרה הגרוע יותר למחיקת קבצים קריטיים.
הגורם העוין הבין היטב את השינוי בכללי המשחק בשלוש השנים האחרונות ואת חלקו של השב"כ בבלימת הכוונות הרעות במרחב הקיברנטי בישראל בפרט ובמזרח התיכון בכלל. נראה שהמסר היה מכוון בעיקר לאנשי השב"כ. מסר על גבם של עיתונאים מה יותר טוב מזה?
על מהפכת הסייבר חתום ראש השב"כ יורם כהן, שהחליט להקפיץ את הארגון כמה דרגות קדימה אל עבר העתיד. הרשות הלאומית לאבטחת מידע נבלעה בתוך המערך הקיברנטי שהוקם לפני שלוש שנים, ובמסגרתו פועלים מאות עובדים.
א', איש שטח בכל רמ"ח איבריו שיודע לדקלם תוך כדי שינה את נתיבי התנועה החיוניים במחנות הפליטים ביו"ש, מונה לפני כשנה וחצי לעמוד בראש המערך, ודרגתו מקבילה לזו של אלוף במטה הכללי. מדוע איש שטח ולא איש טכנולוגי או מומחה סייבר? כי נדרש שילוב בין תחומים רבים, שמה שמחבר ביניהם הוא ידע רב על מערכת האיסוף המודיעיניות והיכולות המבצעיות והסיכוליות והניסיון בטיפול באירועים מורכבים.
המערך, הכולל אגף תקשוב (IT), אגף טכנולוגיה ואגף סייבר, השתלב במהירות במאמץ של השב"כ לעסוק בהשלכת האבן, בשימוש בסכין, בהפעלת המטען ובהרכבת חגורת נפץ. הממד הנוסף הוא הסייבר, שהפך לאמצעי לחימה לכל דבר, גם בקרב ארגוני הטרור הקטנים ביותר.
במהלך מבצע "עמוד ענן" חשפו ארגוני הטרור בעזה מקבץ יכולות המעידות על כוונותיהם בתחום הסייבר. הג'יאהד האיסאלמי פתח במלחמת תודעה ושלח מסרונים בעברית משובשת למכשירים סלולריים ברחבי ישראל במטרה לזרוע פחד ואימה. השב"כ שראה בכך איום כמו שאר האיומים הפוגעים בתחושת הביטחון של האזרחים נכנס לפעולה.
"קבוצת הגיקים" הקטנה שצמחה בשב"כ הפכה בשנה האחרונה לתמנון רב-זרועי שעוסק במרבצי מידע, בנתיבי תעבורה ברשת ובאיומים מגוונים. מהי תכלית לוחמת הסייבר? ראשית, לאסוף מידע יקר ערך, או כזה שנראה חסר חשיבות אך בחיבור למקורות מידע נוספים ואחרי עיבוד וניתוח הופך למשמעותי ביותר. מטרה שנייה היא השפעה על קהלים או על יעדים. ארגוני הביון בעולם מבינים היטב כי המידע הרב שנצבר והיכולת ליצור מציאות מדומה במרחב הקיברנטי מאפשרות לייצר מציאות ולשנות דפוסי התנהגות, כולל פגיעה בשמם הטוב של מנהיגים ובתדמיתם בציבור. דוגמה בולטת היא חשיפת הודעות האימייל האישיות של בשאר ואסמה אסד ב-2012. בפן הרחב היותר, ניתן להשפיע במבצע מורכב ומתמשך על מגמות בחברה כולל שתילת רעיונות, העלאת נושאים לסדר היום ואף עידוד רכישת טכנולוגיה ומוצרים שלצד התוקף יש אינטרס בהפצתם.
אלפי מתקפות מדי יום
בראש ובראשונה אמונים מערכי לוחמת הסייבר על ההגנה. בשנת 2003 הוקמה הרשות לאבטחת מידע בשב"כ. רשות זו אחראית על כל המרחב הקיברנטי של מדינת ישראל ובייחוד על תשתיות קריטיות ואזרחיות, ואילו אגף התקשוב אחראי על צה"ל. החלטת ממשלה הגדירה מהם המערכים הקריטיים, ובהם: חברת החשמל, מקורות, רכבת ישראל, בתי חולים, בנק ישראל, בתי חולים, משרדי ממשלה ועוד. עם זאת, התחום עדיין פרוץ. חברות גדולות כמו "תנובה" או "טבע" ומוסדות בעלי השפעה במשק אינם כפופים לשב"כ כמנחה מקצועי אף שפגיעה בהם עלולה להכות בתל"ג הישראלי או לפגוע בפרטיות של רבים מתושבי ישראל. סביר להניח שברגע זה שממש מתנהלת תקיפה על מחשבים בישראל. מדי יום יש אלפי תקיפות, אך מדי חודש נספרות רק שלוש או ארבע מתקפות משמעותיות שעלולות להסב נזק למערך קריטי בישראל.
התכלית האחרונה היא התקפה. וירוס ושמו "סטוקסנט", שפגע בפרויקט הגרעין האיראני, התגלה לראשונה ביוני 2010 והפעלתו, לפי מקורות זרים, מיוחסת לאמ"ן ולמוסד. הווירוס כוון לפגוע במערכות המחשוב באיראן אך הוא פגע במחשבים ביותר מעשר מדינות ובהן הודו, ארה"ב, אינדונזיה ופקיסטן. הצד ההתקפי הולך ומתפתח בשב"כ אך הוא מוגדר סודי ביותר. ברור לכל שכפי שההגנה של מדינת ישראל משתפרת, כך גם יכולותיה לתקוף יעדים ברחבי הרשת.
על הנייר, מתמודד השב"כ בראש ובראשונה נגד מעצמות סייבר שעשויות לשתול בתוך מערכות מחשוב בישראל "כפתורים אדומים", העלולים להשבית מערכים שלמים. כל מעצמת סייבר אמורה להחזיק ברשותה את "נשק יום הדין" נגד אויביה או לפחות לפתח אותו ולהתאמץ לשתול אותו מבעוד מועד. מתקפה מהסוג הזה תתחיל בפעולה חשאית ביותר, שאת האפקט הראשוני שלה ייקח זמן לגלות. בחינה מהירה מגלה כי במועדון המצומצם של מעצמות הסייבר נמצאות ארה"ב, רוסיה, בריטניה, סין וישראל. אם ארגון רוצה להיות רלוונטי ולחדד חושים עליו להתאים את עצמו למציאות. זה מסביר את העובדה שהשב"כ פרסם מודעות דרושים לדוברי סינית המעוניינים להיות רכזי שטח. אין צורך להרחיב בנושא כדי להבין את האיום הנשקף בחוץ וברשת.
קומה מתחת נמצאות מדינות בעלות יכולת סייבר. איראן נמנית עם המדינות שמסוגלות לבצע התקפות סייבר אפקטיביות באמצעים שהיא פיתחה בעצמה או בכלים שהיא רכשה ב"דארק נט"; בצד האפל של הרשת פועלים גורמים עוינים ועברייני סייבר שמסוגלים לפתח או לגנוב כלים בעלי עוצמה אדירה. יורדים עוד קומה ומוצאים את ארגוני הטרור וארגוני הפשע שמבקשים להצטייד בזרוע סייבר כדי להגן על עצמם וכדי ליצור מאזן אימה מול מדינות שונות. חיזבאללה לדוגמה משקיע משאבים גדולים בפיתוח יכולותיו בתחום הסייבר. חיזבאללה מפתח, קונה, ומחזיק יכולות חדירה למערכות מתקדמות. המשטר בטהראן מסייע לארגון לשכלל את רמתו המקצועית, והוא גם תוכל להשתמש בו לפי בחירתו. גם ארגוני טרור קטנים ברצועת עזה ובשטחים, כולל חוליות טרור של הג'יאהד העולמי בסיני, מבינים היטב את המשמעות של הסייבר ופועלים בהתאם - לא רק כדי להגן על עצמם מפני ריגול ומעקב אלא גם כדי לפתח יכולות התקפיות נגד האויב הציוני הגדול.
מתחת לארגוני הטרור נמצאות קבוצות שונות שפועלות אך ורק ברשת. המוכרת מכולן היא אנונימוס. מדובר באקטיביסטים שבדרך כלל מודיעים מראש על מועד ההתקפה. באחרונה הודיעו חברי אנונימוס, וביניהם גורמים בישראל, שב-4 באפריל השנה תתקיים מתקפה ממספר רב מאוד של מחשבים. השיטה פשוטה. מאוחדים מאחורי רעיון או אידאולוגיה, מסוגלים חברי הארגון לפעול מ-15 אלף מחשבים ברחבי העולם.
אחת המתקפות הפומביות האחרונות מסוג זה הייתה של "צבא סוריה האלקטרוני", שהזדהה בכמה הזדמנויות כתומך בנשיא אסד. אנשי הארגון חדרו למאגר הנתונים של אוניברסיטת חיפה והעתיקו נתונים של סטודנטים. האוניברסיטאות אינן נתונות לרגולציה ואמורות להגן בעצמן על מאגרי המידע שלהן, אך הסכנה גדולה יותר מפגיעה בפרטיות הסטודנטים. ההערכה היא שהסורים התכוונו לדלות מהנתונים מידע על אנשי ביטחון שלומדים באוניברסיטה.
בקומת הבסיס מצויים האקרים שונים ומשונים, בני 12 ומעלה. הם יכולים לחדור לאתר של משטרת ישראל אך לא למערכים הרגישים של הארגון. הם יכולים לשנות ציון במערכת המידע של האוניברסיטה אך לא להפיל אותה. האקר כזה יבצע התקפה ולאחר מכן יפרסם אותה. המניע שלו הוא תהודה. לא אידאולוגיה או תאוות בצע.
הסייבר לא מחליף את החקירות
המרחב הקיברנטי משתנה ללא הרף. איומים חדשים מתפתחים כמעט מדי שבוע. מערך הסייבר הגדיל את המעורבות שלו בפעילות המבצעית של השב"כ והוא נותן ערך מוסף קריטי במבצעים מיוחדים לסיכול מזימות טרור וריגול, מבצעים שהעבודה עליהם נמשכת יותר משנה, במקרה הטוב. מה שהאיץ את התהליך הוא הפרידה מהמחשבים, הנייחים והניידים, והכניסה המאסיבית של הסמארטפונים לשווקים העולמיים. נכון, שכניה של מדינת ישראל עדיין לא בחזית הקדמה. בזמן שבעזה וברשות משתמשים במכשירים סלולריים מהדור השני, בישראל ישיקו בסוף השנה רשת מהדור הרביעי. עם זאת, גם הפלסטינים משתמשים ב-Wi-Fi, מה שמגדיל את תעבורת המידע הממוצעת לאדם. וככל שהמרחב גדל, כך גם האתגר.
הסמארטפון שהפך לחלק בלתי נפרד מהחיים המודרניים גם מציב את המשתמש בו בסכנה שהמידע האישי שלו ידלוף או שיעקבו אחריו. ואמנם שבלחיצת שני כפתורים על מקלדת ניתן לצמצם טווח פעולה גיאוגרפי של אלפי קילומטרים ולהשיג מידע מודיעיני יקר ערך שבעבר היה צריך לשלוח את מיטב לוחמי מדינת ישראל להשיגו. אף על פי כן, יכולת זו עדיין לא יכולה להחליף את עולם האיסוף, הפעלת המקורות והחקירות. יש לקחת את הסייבר בפרופורציה. הוא נוגע היום לכל אחד מתפקידי הליבה בשב"כ: הרכז, הדסקאי והחוקר אך הוא איננו מהווה להם תחליף. בשלב זה הוא רק גורם מחבר.
"זה אוקיינוס מטורף. ים של אפשרויות. כל יום הוא יום חדש בתחום", מסביר גורם ביטחוני בכיר שבקיא מאוד במרחב הקיברנטי. "זו עדיין לא מחט תת עורית שיודעת לחדור אל הגוף מבלי להותיר טיפת דם, אבל מדינת ישראל בדרך ואנחנו נגיע למקום הזה".