האמנם ישראל בוגרת יותר מהעולם בתחום הסייבר?

"ישראל חלוצה בתחום הסייבר: להבדיל מהעולם, הנמצא בשלבי הילדות בתחום הסייבר הרי שישראל עברה את גיל ההתבגרות", כך אמר בראיון לאנשים ומחשבים רוברט סטראוד, נשיא ISACA העולמית, האיגוד לביקורת ולאבטחת מערכות מידע. הוא נימק זאת בכך ש-"אנשיה עוסקים בכך הלכה למעשה, עם תעשייה מפותחת לתחום הסייבר".

האמנם? עולם הסייבר הישראלי, כאחיו במדינות אחרות, הינו עולם חשאי. לכן, קשה לזרים לדעת מה מתרחש כאן. כמי שמצוי בעולם הקרוב, יש לי את היסוד להניח שבכל מבחן שהוא, לישראל יש בעיה. יש בנושא זה כמה מבחנים מרכזיים. אפרט כאן מהם המבחנים והיכן ישראל עומדת בהם.

המבחנים:
•    מרכז בקרה והתראה לאומי CERT:
עקב הקשיים התקציביים, צרכי הבטחון והמבנה המיוחד של הקואליציה, אין כסף, ולכן אין CERT, למרות שישראל הינה מדינת עימות מאוימת.
בכ- 120 מדינות אחרות יש CERET או כמה מרכזי CERT. (המונח הנכון הוא CSIRT).

•    מטה קיברנטי:
ישראל לא הייתה בין 50 המדינות הראשונות שהקימה מטה סייבר. למעשה, מטה הסייבר, אף שגייס מומחים ברוכי כישרונות רבים, הינו בן 3, סובל מקשיי תקציב עצומים, וסבל עד כה מתחרות פוליטית קשה עם ארגונים אחרים. לאחרונה, ראש הממשלה הכריע בנושא והכריז על הקמת רשות הסייבר באמצעות המטה הקיברנטי.

•    חקיקה:
רק ב- 2015 יצא לאור "חוק הסייבר" אשר יסדיר תהליכים, איסורים, חבות והרשאות במשק הישראלי, בהיבטי מקצועות, התנהגות ארגונית, ממשלתית ועוד. אגב, זהו הישג לא קטן למטה הסייבר הצעיר כל-כך, והעני במשאבים.

•    ידע מקצועי וחינוך:
אף שמוסכם בעולם כי הרעה החולה הינה האנשים והידע, ופחות מכך – הטכנולוגיות, ישראל פועלת בנושא רק מיום הקמת מטה הסייבר. אנו רואים את הקמת הניצנים – תואר שני בהנדסת תוכנה ובמדעי המחשב במרחב המקוון באוניברסיטת בן-גוריון, ואף ניצנים סמליים באוניברסיטת תל אביב בחסות פרופ' יצחק בן ישראל, אך המעט הזה הוא בחזקת היוצא מן הכלל המעיד על הכלל.

במקביל, מרבית נושאי התפקידים בתחום הסייבר במשק הישראלי, הינם חסרי השכלה מקצועית סדורה, ומרביתם – חסרי תואר אקדמי כלשהו. חמור מכך – 80% מאנשי הענף, אף אינם מסוגלים למנות את שמות מקצועות הליבה בענף, או את שמות ההתמחויות המקצועיות.

•    תשתיות אנושיות מִקדמיות להגנת הסייבר:
בניגוד לדעה העממית הרווחת, קיומה של יחידת 8200, איננה מקדמת את נושא ההגנה על המרחב המקוון הישראלי. היחידה עוסקת דווקא במודיעין, ומכשירה את אנשיה בהתאם.

גם הילדים בני 12 שעליהם גאוותנו, אינם מתעניינים בהגנה אלא בתקיפה, ואינם לומדים הגנה.

•    המנטליות הישראלית הטבעית:
יכולת תקיפה ומודיעין מבוססת בנוסף לידע טכני, בעיקר על כישורי חשיבה, יוזמה ואלתור. אולם יכולות הגנה, מבוססות בעיקר על שיטתיות, מתודולוגיה, נוהל, דיסציפלינה, כמעטפת הכרחית לידע טכנולוגי.

המנטליות הלאומית שלנו המבוססת על תזת ה"יהיה בסדר", איננה מתיישבת עם החיוניות של משמעת ונוהל. זו הסיבה העיקרית שאנו מבחינים כיצד מדינות המערב שפיגרו לפני מחצית העשור ביכולותיהן ההגנתיות, מפתחות בקצב מרשים את הגנותיהן, בעוד ישראל מדשדשת מאחור.

•    המנכ"ל הישראלי והאין-חוק:
בניגוד לגישה בעולם, המנכ"ל הישראלי פועל אך ורק לטובת תדמיתו לטווח קצר, בחזקת "אַחְַרי המבול", ומקווה שהתקפת סייבר שתפגע בארגון, תתקיים "בקדנציה של זה שאחריי". בעלי המניות, למרבה ההפתעה, אף הם – אינם מקיימים מערכת ניהול סיכוני סייבר. הכלכלה הישראלית עתירת דוגמאות של קריסה עקב אי ניהול סיכונים, וכל שכן – סיכוני סייבר.

באטמוספרה כה שלילית, השיקום האפשרי היחיד הוא בדמותו של חוקים מחייבים, גם אם יסתרו במידה כזו או אחרת את "רוח הדמוקרטיה" או את צווי "הליברליות הכלכלית".

•    "כיפת ברזל" דיגיטלית:
כן, יש דבר כזה. האיראנים בונים מערכת שכזו, ועל-פי הידע הדולף למערב, גם צפון קוריאה, ובמידה מסוימת גם סין ורוסיה נמצאות בשלביה הראשונים.
לאחרונה עוסק מטה הסייבר גם בתכנון של מערך לאומי ליירוט התקפות סייבר דמוי כיפת ברזל שכזה, אך מנין יבוא התקציב הנדרש?

•    מערכת הבטחון הישראלית:
ארשה לעצמי לומר אך זאת, גם במחיר של זעם רב שיופנה כלפיי מצד גורמים נפגעים: מלבד הרשות הממלכתית לאבטחת מידע (רא"ם), אשר פעילותה האיכותית מוגבלת רק לתעשייה של תשתיות קריטיות (מספר עשרות ארגונים), קיים פיגור מפחיד בישראל בכל הגופים הבטחוניים והסמי-בטחוניים.

•    משרדי הממשלה שאינם ראה"מ ובטחון:
המצב מחפיר, כמעט ברמה של חנות מכולת. בעלי תפקיד חדשים אשר "יובאו" מהמגזר האזרחי, אינם מסוגלים לקדם את הנושא עקב הבירוקרטיה, עקב התנגדויות תקציביות קשות, ועקב התנגדות אלימה של ממש מצד חסרי יכולת וחזון "ותיקים" הנושאים במשרות משפיעות אשר חוששים לפגיעה במעמדם. גם גופים כמו GOV.IL אשר הוקם לתפארת, גם אם בחריגות בירוקרטיות אלה או אחרות, גווע לאיטו עקב העדר יכולת של המדינה לגייס אנשי מקצוע איכותיים.

נקודות האור:
•    לימודי תואר שני של הנדסת תוכנה באוניברסיטת בן-גוריון.
•    לימודי 5 יחידות בסייבר לבגרות, בסיוע 8200, קרן רש"י, והמטה הקיברנטי, ושר החינוך הקודם והנוכחי., וכן: הקמת מיזם "פסגות" ללימודי סייבר לבני 17 עד 18 מצטיינים, ומיזם "גבהים" לבני 14 עד 16 מצטיינים בפריפריות, אף זאת – בחסות ובסיוע 8200, קרן רש"י והמטה הקיברנטי.
•    "חוק הסייבר" היוצא לאור, הוא כנראה מהמתקדמים בעולם מסוגו. שיצא כבר.
•    יוצאי 8200 ואחרים, בסיוע מטה הסייבר, מקימים בישראל תשתית מפוארת של סטרטאפים בתחום הסייבר, להתפאר. אלו – גם אם אינם תורמים ליכולות ההגנה של ישראל במישרין, ראויים לכל מחמאה למשק הסייבר.

ובכן, דעתי איננה דעת יחיד, ואינני נביא הזעם העומד בשער ומוכיח. דעתי זהה כליל לדעתם של עשרות אנשי מקצוע בכירים.

הכותב הינו מנכ"ל מכללת See Security לאבטחת מידע, ויו"ר לשעבר של הפורום הישראלי לאבטחת מידע.