"ישראל במלחמת סייבר ישירה עם איראן כל הזמן"

"ה-7 באוקטובר הפתיע אותנו בפן האישי ובפן הציבורי כאחד. אם עד אותו תאריך היינו רגילים למלחמה קינטית, שנערכת בים, באוויר וביבשה, זו הפכה למלחמה הראשונה שבה אנחנו נתקלים במקביל גם באירועי סייבר – ואלה לא האירועים השוטפים, שאנחנו נתקלים בהם ביום יום. מדובר באירועים בעצימות גבוהה מאוד. בנוסף, בעוד שהמלחמה בשטח היא מול החמאס והחיזבאללה, ואין לנו לחימה ישירה מול איראן – להוציא מתקפת הטילים והכטב"מים שלהם – אנחנו, במערך הסייבר הלאומי, חריגים בנוף הזה, כי אנחנו במלחמה ישירה מול איראן כל הזמן. אנחנו מותקפים על ידי קבוצות האקרים מלב טהרן", סיפרה סיגלית סולטן, ראשת מחלקת הנחייה ותשתיות תקשוב ודיגיטל לאומיות במערך הסייבר הלאומי, בדבריה בכנס Infosec 2024.

האירוע, שנערך באחרונה באולמי לאגו בראשון לציון, הוא כנס אבטחת המידע הגדול בישראל, וזו השנה ה-24 שבה הוא מפגיש את מומחי ומקצועני הענף, תחת כנפי ההפקה של אנשים ומחשבים.

לדברי סולטן, "אחת התובנות העיקריות שלנו מהאירועים היא שחל חיזוק משמעותי בשיתוף הפעולה בין איראן לחיזבאללה בסייבר. הן שותפות ידועות, אבל אנחנו מרגישים חיזוק בשלוש מגמות מאוד רציניות בהיבט של לוחמת הסייבר, והראשונה היא איכות התקיפה. אם עד היום האויבים שלנו היו במצב של למידה, כשהם בוחנים המון שיטות להשגת דלף מידע, בלחימה הזו כבר היו ממש תקיפות לשיבוש והשבתה. הן גם הפכו לנקודתיות מאוד, כדי לכוון לארגונים חיוניים. מגזר הבריאות הפך ליעד שנחשב בעיני קבוצות תקיפה מדינתיות כיעד לגיטימי, וראינו את זה היטב בתקיפה האגרסיבית על בית החולים זיו, שנבלמה לפני שהצליחה לגרום לשיבוש הפעילות".

הנקודה השלישית היא ניסיון פגיעה של ממש במאמץ המלחמתי של ישראל. "האיראנים מנסים לשבש כל מיני תהליכים שחיוניים למאמץ המלחמתי שלנו ומנסים לפגוע בשרשראות האספקה, כשהמטרה שלהם היא לתמוך בפלסטינים", הוסיפה.

זינוק של 43% בדיווחים המאומתים למערך הסייבר

סולטן ציינה כי בשנה החולפת, לא פחות מ-13,040 דיווחים התקבלו במרכז המבצעי של מערך הסייבר הלאומי ואומתו כתקיפות סייבר. מדובר בזינוק של 43% לעומת 2022. יותר משני שלישים – 68% – מההתקפות המדווחות הללו התקבלו במערך מ-7 באוקטובר ועד סוף דצמבר, וזה אומר מעל 500 פניות בכל יום. הקצב לא נרגע, ואם מנתחים את המתקפות הללו, רובן מבוצעות נגד חשבונות של משתמשים ברשתות החברתיות, כשבמקום השני נמצאים ניסיונות פישינג.

"חלק ניכר מהפעילות של התוקפים ב-2023 הייתה בעולם התודעה וההשפעה", אמרה סולטן. "ראינו מתקפות מתוחכמות, שהמטרה שלהן הייתה להשיג הד ציבורי, להשפיע על דעת הקהל, לפגוע בתחושת הביטחון האישית, במטרה לערער את הביטחון של האזרחים. כמו כן, ראינו מתקפות פישינג מתוזמנות היטב, שנעשו באמצעות הנדסה חברתית, תוך שימוש במידע אישי של הנמען, על מנת להגביר את האמינות ולהניע את האזרחים לפעולה. אבל, בסופו של דבר, לא זיהינו משהו שלא היינו יכולים להתגבר עליו, וזה אומר שהמדינה הייתה מוכנה למתקפות הללו".

היא סיפרה בנוסף שהעובדה שרוב התקיפות כוונו נגד אזרחים הובילה את מערך הסייבר הלאומי להשתמש בכלים החברתיים ובפרסומות כדי להעביר מסרים. "מאחר שניסו להפחיד ולהטריד את האזרחים עם כל מיני פניות, החלטנו להתמודד עם זה באמצעות פרסומות וסרטונים, כדי למנוע 'שתפת', ובכך למנוע או לצמצם את ההפחדה. מעבר לזה, בחנו במערך כל אירוע שהיינו מודעים אליו האם הוא אמיתי או לא, והוצאנו דיווחים בהתאם, כדי שאנשים לא יפחדו סתם, שהם ידעו בדיוק מה קורה", ציינה סולטן.

לחזק את ההגנה

מערך הסייבר הלאומי ביצע במהלך המלחמה כמה פעולות מרכזיות לחיזוק ההגנה על המשק, כאשר אחת מהן היא פעילות אקטיבית להגנה על מצלמות האבטחה הפרטיות והארגוניות – במיוחד כאלה שמכוונות ליעדים אסטרטגיים, אזורי כינוס, מתחמים ביטחוניים ועוד. "זיהינו את המצלמות הפתוחות ועשינו עבודה אחד לאחד, עם שינוי של סיסמאות וכל מה שאפשר כדי לסגור פרצות", תיארה סולטן את הפעילות.

"מעבר לכך", ציינה, "ביצענו ואנחנו מבצעים הרבה שיתופי פעולה מול גופי הביטחון, היחידה להגנת הסייבר בממשלה, חברות פרטיות וגופים שונים, ויש גם הרבה חקיקות של הוראת שעה להנגשת מידע בכלל ולהנגשת מידע ביומטרי בפרט. היה צורך, לצערנו, לבצע זיהוי של כל החיילים והאזרחים שנהרגו, ובמהירות, כי ככל שחולף הזמן יכולות הזיהוי נשחקות".

לסיכום, סולטן סיפקה עוד כמה מספרים: המערך זיהה ועצר אשתקד כ-780 מתקפות על חברות שרשרת אספקה וגופים שונים במשק, זיהה והוריד כ-2,500 מתקפות פישינג, ופרס כ-80 חיישנים ברחבי המדינה, בשלל ארגונים ומגזרים, שהמידע מהם מגיע למערך ומתוחקר בו. כמו כן, המרכז המבצעי של המערך, 119, פרסם כ-370 התראות למשק הישראלי ולאזרחי המדינה, ובוצעו לא מעט פעולות חוסן בסייבר בכ-150 רשויות מקומיות.