ראיוןיגאל אונא: "ככל שהבנייה משתכללת סיכויי פריצת הסייבר גוברים"
ראיון
יגאל אונא: "ככל שהבנייה משתכללת סיכויי פריצת הסייבר גוברים"
"פורץ יכול להפחית מרחוק את כמות הבטון במבנה רגיש ולך תעלה על זה", ו"בכל מקום בעולם שבו הכניסו ציוד תקשורת סיני מצטערים על כך". יגאל אונא ראש מערך הסייבר הלאומי בעבר מתריע שכבר לא לצריך חומר נפץ כדי לפגוע במבנים
יגאל אונא, ראש מערך הסייבר הלאומי לשעבר, עד כמה חשופים מבנים בישראל לתקיפות סייבר?
"תקיפות מבנים הן תחום די חדש ולכן רמת ההגנה ורמת המודעות לחשיפה שלהם היא נמוכה. חברות בנייה, אדריכלות וכל שרשרת הייצור של בניין לא ממוגנות כמעט, ונקודות הפריצה שיש בעולם הנדל"ן הן גדולות. יש מידע שאפשר לשבש כבר בשלב התכנון, למשל, אם יש גישה לתוכניות אפשר להפחית את כמות הבטון ממבנה רגיש ויהיה קשה מאוד לעלות על זה. בצורה כזו, לאויב אין צורך לבזבז פצצה, כי אפשר לגרום לכך שיקרוס מ'טעות בתכנון'. יש עוד הרבה תרחישים בהקשר זה, אבל עדיף שלא נספק לאויבינו רעיונות. אפשר גם להשפיע על הפרויקט בשלב הביצוע בשינוי של כמויות ומספרים. למרות שזו רק דוגמה למה שניתן לעשות, אין עדיין מקרים כאלה שהתרחשו במציאות (גם אם לפי אונא יש חשדות לכך במערב אירופה, ד"ל), אנחנו כן רואים מדיניות של הקשחה בתחום הפרויקטים הלאומיים של מדינות המערב".
בתחילת החודש הירצת בכנס השנתי של איגוד המהנדסים לבנייה ולתשתיות, בסימן חדשנות וטכנולוגיות בענף הבנייה והתשתיות. דיברת על השלב שהמבנה כבר קיים והסכנות שבהשתלטות עליו. מהן?
"ב־2019 ישראל אירחה את האירוויזיון ואחד התרחישים שעלו היה השתלטות מבחוץ. גילינו שבאולם שאירח את האירוע יש וילון ענק במשקל 700 ק"ג שאחד הפטנטים שלו הוא שניתן לשחרר אותו בשליטה מרחוק. זה יכל לגרום לאסון ונדרשנו לטפל בזה, כמו גם במיזוג האוויר במבנה ובעוד נושאים, ובעולם כבר חושדים במקרים שבהם האקרים גרמו לצניחת מעליות במבנים".
למה הכוונה בצניחת מעליות?
"מערכות המעליות של היום מחוברות לשליטה ובקרה מבחוץ, ולכן הן חשופות לחדירה. יש מספר דיווחים מהשנים האחרונות על תאונות מעליות, לא בארץ אלא בעולם, שההסבר המעשי שלהן הוא חבלה מרחוק. ההאקרים חודרים למערכת הבטיחות ששומרת על המעלית מקריסה ואז המעלית יכולה להשתחרר ואפשר לגרום לתרחישים כאלה. לדעתי משיקולי כיסוי ביטוח יש דיווח חסר על תאונות מעליות שנגרמו כתוצאה מסייבר, כך שבפועל המספר כנראה גבוה יותר".
מבנים בתחום המשרדים שנמצאים כיום בקדמת הטכנולוגיה הם מבנים שמנוהלים ומבוקרים באופן מלא. המערכות החדשניות מציעות בקרת חדרים ששולטת בצורה חכמה, גם באמצעות אפליקציות טלפוניות, במערכות החשמל והתאורה, מיזוג אוויר, תריסים, מערכות מים וגז. אלא שכל היתרונות שאמורים לפעול לטובתנו בזכות הטכנולוגיה הם בדיוק אותם אלה שיכולים לפנות נגדנו ואף לסכן את חיינו במקרה של השתלטות עוינת.
כשבוע לאחר פרוץ המלחמה התקבלו דיווחים על תקיפות של בתים חכמים, תריסים שעלו וירדו, אורות שנדלקו וכבו. אין מערכות הגנה שאמורות להגן על המוצרים האלה?
"ככל שתחום הבנייה הולך ונהיה יותר משוכלל ככה סיכויי הפריצה אליו גדלים. הכל נשלט על ידי מערכות מידע, חלקן נשלטות על ידי בינה מלאכותית וככל שזה הופך להיות נוח לצרכן — כך זה חשוף יותר למתקפות סייבר. ככלל, כל החפצים שמחוברים לאינטרנט בצורה כלשהי, כלומר מכילים רכיבים של תקשורת — קיים סיכון גדול שינסו להשתלט עליהם מרחוק. כיום ההגנה שמיועדת למכשירים ביתיים אינה מספקת. כשיש תקיפות על בתים חכמים אנחנו שומעים עליהן כשהנזק כבר נגרם, וזה מלמד אותנו שכבר יש פעילות של האקרים בתחום. מהניסיון שלי, ברגע שהם מזהים תחום כזה שאינו מוגן — הפריצות הופכות למגיפה. יכול להיות שיש השתלטות על מבנים שכבר התרחשה, ורק מחכים למועד המתאים כדי לשבש את המערכות".
מה משותף לנסיונות השיבוש האלה?
"המכנה המשותף לכל התקיפות האלה הוא שיש להן קשר עם הבית — וזו גם נקודת התורפה שלהן. יש כלים שמאפשרים לאתר חדירות כאלה וככל שהכלי נמצא במערכת יותר זמן, כך הסיכון לתוקף הוא גבוה יותר. אם התוקף הוא מעצמה יהיה יותר קשה לאתר את החדירה, ובכל מקרה נדיר להחזיק מבצע סייבר ולהמתין איתו שנים. אמצעי הסייבר משתנים כל הזמן ומשתכללים, ואני לא מכיר מקרים שחדירת סיבר למערכות המתינה שנים ארוכות".
מה הסכנה כשמדובר בהשתלטות על מבנים של חברות מסחריות?
"בהרבה חברות אנחנו רואים שלא קיימת הפרדה בין המחשבים ששולטים באדמיניסטרציה של החברה לבין המערכות התפעוליות שמנהלות את הבניין, למרות שאלה אמורות להיות מערכות נפרדות לחלוטין. למשל: אם חדרת לרשת סופרמרקטים אתה עשוי לגלות שאתה יכול לשלוט במבנים עצמם. אנחנו יודעים שבבתי חולים היו מקרים של פגיעה במערכות תפעוליות, בפינלנד חוו תקיפת סייבר שהורידה את הטמפרטורה במבנים — ושם בחורף זה עלול להוביל לאסון. אפשר למשל לגרום להתלקחות במבנה ומצד שני להשבתה את מערכות הכיבוי שלו, אפשר לשגע את המבנה וככל שהוא משמעותי יותר, כמו האב תחבורתי, זה עלול להשבית אותו. יש אינסוף תרחישים אפשריים, כבר לא צריך להשתמש בחומר נפץ כדי לפגוע במבנים של חברות מסחריות".
מי ההאקרים שרוצים לפגוע בנו?
"אנחנו יודעים שחמאס אסף מידע ממצלמות לפני 7 באוקטובר, אבל זו פריצה לציוד לא מתוחכם, וכשמדברים על סייבר זה בדרך כלל לא חמאס וחזבאללה. אנחנו מזהים למשל דפוס פעולה איראני שפונה לכנופיות פשע ומציע להן לתקוף גופים על מנת לשבש אותם — ובתמורה מאפשר להם לגנוב כסף מאותם הגופים. אלה פשיעות שנראות כפגיעות סייבר כלכלי אבל יש מאחוריהן מרכיב לאומי, למרות שאין כמעט נטילות אחריות של מדינות במקרים כאלה".
קשה לדבר על תקיפות סייבר מבלי להזכיר את הסינים, עד כמה החשש מפני ריגול שלהם הוא מוחשי?
"בכל מקום בעולם שבו הכניסו ציוד תקשורת סיני מצטערים על כך. מדינות כמו צרפת, גרמניה והודו הכניסו בעבר ציוד סיני לתשתיות התקשורת שלהן — וזו צרה צרורה, הן מצטערות על כך והן לעולם לא יוכלו להיות רגועות בנוגע לניקיון של המערכות הללו.
"בארץ השכילו לעצור את המערכות הסיניות: על מצלמות סיניות ומותגים סיניים שנחשבים לנפוצים בארץ נאסר להתמודד במכרזים של משרד הביטחון; וגם האמריקאים מונעים כל כניסה כזו. בעבר התייעצו איתי בנוגע להצטיידות של משרד הביטחון ברכבים חשמליים סינים ואמרתי שזו תהיה התאבדות מוחלטת. בישראל כן נתנו להם נמל אחד — נמל המפרץ בחיפה (שמופעל על ידי החברה הממשלתית הסינית SIPG, ד"ל) — זה לא היה אירוע חכם, כי זה מאפשר לגורם זר להיכנס לשליטה על נמל ימי. אך ישראל צמצמה את השליטה שלהם בלחץ אמריקאי כבד. יש גם חשש מהתקנות פיזיות בתוך מבנים. בעבר גילו מכשירי האזנה שהותקנו בתוך מבני שגרירות, וקשה מאוד לאתר את זה".
איך מתמודדים אל מול גל האיומים הזה?
"הבשורות הטובות הן שישראל היא מעצמת סייבר ולכן יש כאן מודעות לנושא, גם אם לא תמיד היא מספיקה. אחת הסיבות שאין המון תקיפות בישראל היא בגלל שאנחנו מעט יותר מוגנים מהאחרים, יש לנו את הטכנולוגיה. כשמדובר על חברות בנייה כדאי שיהיה עובד במשרה מלאה שזה יהיה תפקידו, שיהיה אחראי לכך. אם נערכים טוב זה בהחלט יכול לעזור כי השעות הראשונות בזמן תקיפת סייבר הן הקריטיות. ויש עוד נקודה חשובה, כמו בפריצה פיזית לבתים, התוקפים מחפשים את המקום שבו הכי נוח לתקוף, הרוב המכריע הוא של תקיפות מזדמנות ולכן אם אתה מוגן ביחס לאחרים יש סיכוי טוב שהאקרים יעברו הלאה".
האם בישראל נדרשת גם חקיקה בתחום הסייבר?
"בהחלט, חייבים סטנדרט וחובה להתקין מיגון בסיסי. בעבר החל הליך חקיקה בנושא, אך הוא נתקע ב־2018. צריך לומר כי התשתיות הקריטיות מכוסות, אבל לגבי היתר, למרות שאנחנו מתקדמים בטכנולוגיות סייבר, ישראל מפגרת מאוד בחקיקה שנועדה למלחמה בסייבר, ולראייה — אין עדיין חוק סייבר. במהלך המלחמה השב"כ ומלמ"ב הכניסו כמה תקנות חירום תחת מערך הסייבר הלאומי, אבל עדיין אנחנו בין המדינות האחרונות בעולם בנושא. התקנות הקיימות נותנות פתרון חלקי למצב מתקפה אבל הן נועדו לשלבים מאוד מתקדמים של המתקפה, ולא בהיערכות שלפני".
איך זה נראה בעולם?
"במדינות מתקדמות יש חקיקה רב שלבית שמתייחסת להיערכות ולסטנדרט ההתגוננות הנדרש ותלוי בתחום, וכן קיימת התייחסות לצעדים שיש לנקוט בהם כאשר יש חשד למתקפת סייבר. למשל, מה חובת הדיווח שלך ללקוחות כאשר יש מתקפה. בישראל היו שלוש תקיפות משמעותיות בשנים האחרונות: על בית החולים הלל יפה, על חברת הביטוח שירביט ועל אתר אטרף. המכנה המשותף של שלושתן היה שהמדינה העבירה לכל אחד מהמותקפים התראות ספציפיות לפני התקיפה עם הסבר למה שהן צריכות לעשות כדי להתגונן — והן לא עשו את זה מכל מיני סיבות".
חוק הסייבר
ב־2018 הוצג לציבור חוק הסייבר שעסק בשלושה נושאים מרכזיים: הסדרת מערך הסייבר הלאומי כגוף ביטחוני־מבצע, הגדרת הסמכות מאפשרות איתור תקיפות סייבר והתמודדות עמן, ופרק רגולטורי שיגביר את החוסן של מגזרי המשק. החוק עורר ביקורת על הסמכויות שהוא מעניק לעובדי מדינה מול ארגונים וחברות פרטיות, ונזנח. מאז הוצגו גרסאות מתונות שלו שמבקשות לעסוק בעיקר בהתמודדות עם מתקפות סייבר.
יגאל אונא (53)
גר בגבעתיים, נשוי + 3
יו"ר של חברות הסייבר Symania ,Cytwist
ו־Cygun, דירקטור וחבר מועצה מייעצת בעוד עשר חברות. שותף בקרן הון סיכון Windare ventures
• שימש בעבר כראש מערך הסייבר הלאומי
• היה ראש אגף הסייבר בשב"כ ושירת 33 שנה במערכת הבטחון
• תואר ראשון בניהול ומזה"ת, תואר שני במינהל עסקים
• סקיפר חובב ים
