אם נדרשה תזכורת למלחמה הממוחשבת המתנהלת בימים אלה, הרי שהודעתו האחרונה של ראש ההגנה האזרחית באירן, גהולמרזה ג'ללי, כי זוהה וירוס חדש המכונה "סטארס" במערכות המחשוב במדינה חושפת שוב את הנעשה במחשכים.
התפתחותן של מערכות המחשוב והתקשורת בעשורים האחרונים, ותפוצתן הגלובלית, גרמו למדינות העולם ובכלל זה למדינת ישראל להיות חשופות לפגיעה במרחב הווירטואלי על ידי מגוון גורמים וגם על ידי מדינות דוגמת אירן הרואות עצמן מותקפות על ידי ישראל וארצות הברית. היבט זה מחייב את מדינת ישראל לשפר ולשכלל את יכולות ההגנה שלה מפני מתקפות סייבר.
רק מספר גופים בישראל מחויבים בהקמת מערכות הגנה לאור הנחיות הרשות לאבטחת מידע, שהיא הגורם האחראי על הנושא במדינת ישראל. עם זאת, התפתחות הכלכלה הישראלית חושפת למעשה היקף חברות וארגונים רב לתקיפה ברשת, העלולה לגרום לנזקים לא מבוטלים ופגיעה במרקם החיים. הרשות לאבטחת מידע מעדכנת מעת לעת את רשימת הגופים המונחים על ידיה, אולם אין תהליך שיטתי ומחייב שיאפשר איתור וחיוב של גורמים וחברות להתמגן מפני התקיפות.
אחת הדרכים לשיפור יכולות הזיהוי וההגנה של גורמים אלה, היא באמצעות שימוש בשני כלים קיימים: היתר הבנייה ורישיון העסק. מוצע כי במסגרת תהליכי התכנון במדינה יידרש כל מיזם המוגש לאישור בוועדות התכנון, להציג "תסקיר עמידו?ת קיברנטית". תסקיר זה יהווה את הכלי העיקרי לצורך איתור ובחינת חשיפתו של המיזם החדש לאפשרות של התקפות ממוחשבות עליו ולגיבוש תהליכי הגנה נגד חשיפות אלו. ניתן יהיה לעשות שימוש גם בתהליך רישוי העסקים המחייב חידוש, כדי לוודא שפעולת הארגון לאורך שנים עומדת בקריטריונים מתחייבים גם בתחום אבטחת המידע.
עוד בוואלה!
"לא רק לגופים ביטחוניים"
כדי ליישם את התהליכים שתוארו, תידרש הרשות לאבטחת מידע לקבוע נהלים ושיטות לביצוע התסקירים האמורים, כמו גם לבדיקתם ולבקרת מימוש ההגנות הנגזרות בפועל. אימוץ התהליכים האלה יחייב גם הקצאת משאבים מתאימה שתוכל להיות מועמסת בחלקה גם על הגופים הנדרשים להגנה.
מבחינה מעשית, תידרש הרשות לאבטחת מידע לקבוע אמות מידה שיגדירו את המיזמים והפרויקטים שלגביהם תתקיים חובת הגשת התסקיר. אמות מידה אלו יוכלו להתייחס למספר מרכיבים, כמו: גודלו של המיזם, הסקטור אליו הוא משתייך, הממשקים של מיזם זה עם גורמים הנמצאים כבר תחת הנחיית הרשות לאבטחת מידע והיבטים שונים הנוגעים לתחולת הנזק של תקיפה ממוחשבת על הגוף.
מדינות נוטות להגן בעיקר על גופים שיש להם זיקה ישירה לביטחון הלאומי. עם גופים אלה ניתן היה למנות עד לא מכבר בעיקר את גופי הביטחון, משרדי ממשלה, חברות ביטחוניות, תשתיות קריטיות דוגמת: חשמל, מים, תחבורה וכדומה. ההיגיון שהגדיר מי זכאי להיכנס לרשימה זו נגזר מהתפיסה האסטרטגית הקלאסית רשימת התשתיות הלאומיות המו?עדות לפורענות במקרה של מלחמה, שפגיעה בהן עלולה לגרום לפגיעה ישירה בכושר הלחימה והעמידה של המדינה. כיום ברור שפגיעה בחברות אזרחיות דוגמת: חברות ליצור מזון, תרופות, תקשורת, ואף אתרי זיכרון ומורשת, עלולה לגרום לנזקים לא מבוטלים ולפגוע באזרחי המדינה.
עם התגברות ההבנה שהמרחב הממוחשב הופך לנגד עינינו למרחב לחימה של ממש, חובה לשפר את עמידו?ת ישראל וכלכלתה מול תקיפות מסוג זה. הכנסה של תחום ההגנה מפני ממתקפת סייבר לתוך התהליכים החוקיים שבהקמת עסק תוכל לאפשר בקרה קבועה ושיטתית על חסינותה של מערכת ההגנה של ישראל ושיפור מתמשך של אמצעי ההתגוננות.
ד"ר אל"מ (מיל.) גבי סיבוני הוא ראש תכנית המחקר צבא ואסטרטגיה והתכנית לחקר לוחמה קיברנטית במכון למחקרי בטחון לאומי