עמדות ההגנה בסייבר נותרו ללא חיילים

התחקיר שפרסמנו אתמול (ב') כאן, באנשים ומחשבים, על המחסור החמור במומחי אבטחת סייבר מראה תמונה מדאיגה ביותר לגבי יכולתם של ארגונים וגופים במשק להגן על עצמם מפני מתקפות זדוניות, שלא לדבר על רשויות המדינה השונות האמונות על הגנת המדינה מפני סייבר. המשמעות היא שעמדות הגנה ומערכות בקרה, שנודעו לנטר ולהגן על הארגון מפני סייבר, ייוותרו ללא חיילים שיאיישו את עמדות השמירה. כלים ומערכות למיגון הסייבר יישארו ללא אנשים שיפעילו אותן וההשקעות בהן, שנאמדות במאות מיליוני דולרים, עלולות לרדת לטמיון. מצב זה מחזיר את מדינת ישראל כמה שנים אחורה, כאשר רק החלו לדבר על איומי הסייבר

זהו אחד המחדלים החמורים ביותר של הרשויות במדינה שאחראיות על הכשרת כוח אדם טכנולוגי. כבר ב-2016 כתב מבקר המדינה שעל אף שהמדינה זיהתה מזמן את נושא הסייבר כאיום אסטרטגי, היא התמהמהה במתן מענה לאיום זה. רשות הסייבר הוקמה באיחור ולמרבה האירוניה, דווקא כשנכנסה לפעולה, היא גייסה מאות אנשי סייבר מקצוענים ובכך החמירה עוד יותר את המחסור בשוק. גם הקמת ה-CERT הלאומי גרעה ממצבת כוח האדם הפוטנציאלי של שוק האבטחה והסייבר, שכאמור מדולל גם ככה.

זאת עוד, המבקר כתב בדו"ח שפורסם לפני שנתיים שמשטרת ישראל צמצמה את כוח האדם שלה בחקירות פשעי סייבר וחוקרי הסייבר מועסקים בחקירות אחרות – לא פחות חשובות, אבל ללא מי שמחליף אותם בנושא שלשמו הם גויסו.

מי שקרא את התחקיר וחי בענף הזה יותר מכמה ימים לא צריך להיות מופתע. המחסור אינו מקרי והוא לא נובע מהעובדה שמקצוע הסייבר אינו מתוגמל. ההיפך הוא הנכון. השורשים לכאוס שבו אנחנו נמצאים כיום מתחילים הרבה שנים אחורה, כאשר החלו לעצב את מקצועות ההיי-טק. מסיבות היסטוריות, וגם בגלל דרישות טכנולוגיות שהיו אז, מקצוע האבטחה נדחק לפינה ועמד בצילו של תפקיד המנמ"ר בארגון. מנהלי האבטחה לא קיבלו עצמאות במרבית הארגונים ובחלק מהם הם היו כפופים לקציני אבטחה וביטחון, שטיפלו יותר בהיבטים הפיזיים של האבטחה בארגון ופחות בצדדים הטכנולוגיים-דיגיטליים שלה.

רק כאשר איומי האבטחה התרחבו והסייבר הפך להיות מילה כמעט נרדפת לאבטחת מידע, החל ביקוש לאנשים שמכירים את נושא הסייבר, בעיקר כאלה שהגיעו מצה"ל או מהתעשיות הביטחוניות. מאחר שרשויות המדינה לא הגיבו בזמן, השוק הפרטי נטל יוזמה והחל להכשיר אנשי סייבר במסגרת מכללות וקורסים שונים.

אבל כמו בשוק פרטי, שאינו מפוקח, גם כאן נוצרו הבדלים בין קורסי הסייבר השונים ובוגריהם. מספר בודד של מכללות שמר על רמה גבוהה והכשיר מומחים, שנחטפו על ידי חברות עוד לפני שהם סיימו את לימודיהם. אחרים לא מצאו את מקומם וחזרו לעבוד כאנשי אבטחה במקרה הטוב. וכך החל להיווצר מחסור במומחי אבטחה שהחמיר מיום ליום. גם אז, ועד היום, רשויות המדינה הממונות להכשיר כוח אדם טכנולוגי המשיכו וממשיכות לישון בשמירה.

המוח הישראלי משגשג בעולם – אבל מה עם ישראל?

בנוסף לתחרות על כוח האדם בארץ, נוצרה תחרות על כוח האדם הישראלי בסייבר גם ברחבי העולם. גם שם יש מחסור חמור במגיני סייבר והחברות החלו להתעניין באנשים שעובדים בתחום כאן. ישראל, ששמה הולך לפניה ברחבי העולם כמובילה בנושאי אבטחה, החלה "לייצא" מומחי סייבר, שנתנו את שירותיהם למדינות ולחברות בינלאומיות, בעוד שבארץ הביקוש הלך וגדל.

אפשר להסכים עם הטענה שהעובדה שגופים כמו רשויות הסייבר גייסו כוח אדם רב משפרת את רמת המוכנות של ישראל מפני מתקפות. אלא שהמגזר העסקי-אזרחי חשוף לאיומי סייבר לא פחות. כיום לא מדברים על הסתברות לקיומם של אירועי סייבר, אלא מתי הם יקרו, או מתי קרו ומה המסקנות מכך.

מרבית האירועים אינם נחשפים מסיבות שונות, חלקן מוצדקות וחלקן לא. כך או כך, עובדה זו מאפשרת להנהלות לא להשקיע בהכשרת כוח אדם לסייבר, לא לשלוח אנשים לקורסים והשתלמויות. אלא שכך הם לוקחים סיכונים שלא בטוח שהם מנוהלים או מחושבים באמת, כי אם נובעים מראייה קצרת טווח – עד לחלון ולא יותר.

אחת התוצאות של זה מצויות במתקפות הכופר: מבצעי המתקפות האלה, שגם הן מתרחשות חדשות לבקרים, מקבלים כמעט את כל מה שהם דורשים, רק כדי שהפריצה לא תיחשף. גם כאן, אחת הסיבות המרכזיות למצב היא מחסור באנשי סייבר מקצוענים, שיודעים להתמודד עם הבעיה ויכולים למנוע מהתוקפים לבצע את תוכניותיהם.

בצד החיובי

החצי המלא של הכוס, אם יש כזה, הוא שהממשלה כבר עושה פעולות שונות: הכשרת חרדים, תגבור מחלקות שמלמדות סייבר באוניברסיטאות, שם הביקוש ללימודים אלה הולך וגובר, והחדרת המקצוע לבתי הספר התיכוניים בכלל והטכנולוגיים בפרט. אבל איך שלא יהיה, תהליכי ההכשרה האלה לא נעשים ביום אחד, ועד שאיש סייבר הופך להיות מומחה עוברות כמה שנים טובות. מה גם שהוא צריך להתנסות בכמה אירועי אבטחה על מנת לצבור ניסיון.

בינתיים, חלק גדול מהעורף האזרחי-עסקי נותר מופקר, חשוף, ללא אנשי הגנה מיומנים, ומנהלי אבטחה וארגונים צריכים להתפלל בכל יום שמתקפת הסייבר הבאה תימנע, כי כשהיא תקרה – לא בטוח שיהיו להם חיילים שיצאו להילחם בה.