מערך הסייבר: יורדים מהצעת חוק הסייבר הקודמת - מגבשים הצעת חוק חדשה בשיתוף נרחב
גבי פורטנוי, ראש מערך הסייבר, מסיים שנה ונראה כי עבודה בשיתוף פעולה היא נר לרגליו: ״הגנה לאומית בסייבר אפשר לעשות רק יחד, בשיתוף פעולה.״
תמונה באדיבות מערך הסייבר
בפגישה שנערכה היום (ד) בין עיתונאים טכנולוגים והנהלת מערך הסייבר הלאומי, התגלתה ״רוח מפקד״ שונה מזו שנכחה במערך בעבר. הפגישה נערכה לציון שנה לכניסתו לתפקיד של גבי פורטנוי, במטרה לשקף את פעילות המערך בשנה האחרונה. בפגישה נכחו רועי פרידמן - ראש אגף אסטרטגיה, טום אלכסנדרוביץ - ראש אגף הגנה טכנולוגית, גבי פורטנוי - ראש המערך, ארז תדהר - ראש ה-CERT ושהם אלכסנדר - דאהן ראש אגף מדיניות.
ובכן, אמנם הנבואה ניתנה לשוטים, אך לפחות על פי ״רוח המפקד״ של פורטנוי, המהלכים שמערך הסייבר עושה, נעשים בשיתוף פעולה מלא ככל הניתן עם כלל הצדדים ונראה כי המשק משתף פעולה. לפי פורטנוי, כ-97 אחוזים מהחברות שהמערך פנה אליהן, הסכימו לשתף פעולה, ללא צורך בחקיקה.
המערך מנהל גם פורומים שונים כדי להעמיק את שיתופי הפעולה בתחום הסייבר במשק הישראלי. פורום ״האורגן״ - שולחן עגול של השירותים הביטחוניים (שב״כ, מוסד, מלמ״ב, צה״ל והמערך). פורום מתפ״ס - שולחן עגול לטיפול בפשיעת רשת (משטרה, שב״כ, רשות הפרטיות, רשות הלבנת הון, מערך). יש מעורבות של המערך בפרויקט נימבוס, במטרה לדחוף משרדי ממשלה לענן.
יש פריחה בהסכמי שיתוף פעולה, ברמות שונות, עם 90 מדינות בעולם. תמיכה של מערך הסייבר הישראלי במדינות שנפגעו קשה ממתקפות סייבר, ביניהן אלבניה וקוסטה ריקה. קשרים של המערך עם חברות טכנולוגיה בינלאומיות כמו בואינג, מיקרוסופט, אמזון וגוגל. ביוזמה הגלובלית למלחמה בכופר, מובילה אותה ארה״ב, ישראל והאמירויות בונות פלטפורמה לשיתוף מידע בין המדינות החברות.
לכל אורך הדיון, פורטנוי חזר והדגיש את החשיבות של שיתופי פעולה ומידע עם כמה שיותר גורמים בארץ ובחו״ל. ניכר כי צורת עבודה שיתופית היא נר לרגליו.
רגולציה וחקיקה
״רגולציה״. עלתה המילה בשיח, ואנשי המערך התכווצו. אחר כך עברו לחיוכים ובסוף אפילו הצליחו לצחוק על הנושא. ״המילה שאסור להגיד ליד השולחן״. למה האי נעימות? ובכן, לא סתם. המערך, בגלגולו הקודם, רצה להעביר נוסח חקיקה דרקוני, בסיפור שאפילו הגיע לחדשות. השיח הציבורי בנושא ייחס למערך תכונות של שירות ביון סובייטי שרוצה לחדור לחיי הפרט של האזרח ולחצרות העסקים.
תחת הנהלה חדשה, מסבירים במערך שאותה הצעת החוק (שלא פורסמה בגרסתה האחרונה לציבור), ירדה מהפרק. ״תשכח מההצעה ההיא״, הסבירו לי בכירי המערך בדיון. ״אנחנו בפאזה אחרת״. אז מה כן? ובכן, במערך מסבירים, ובצדק, שצריך חקיקה מסדרת לצורך הגנה בסייבר. ״בוא לא ניתמם. בלי חקיקה שתאפשר ניטור, פיקוח, אכיפה וענישה, יהיה קשה עד בלתי אפשרי לקדם את ההגנה הלאומית בסייבר״, מסבירים במערך. והם צודקים.
מה עשה פורטנוי? ובכן, בחכמה, בחר דוגמאות להעתקה ממדינות דמוקרטיות מובהקות. כאלו, שאף אזרח ישראלי לא יוכל לטעון שהמדינה בעייתית בהקשרי זכויות פרט. ביניהן, בריטניה, אוסטרליה, גרמניה. המערך בחן את החקיקה והרגולציה במדינות אלו, מרביתן, מקצועית, מתבססות על מסגרת תקינה אמריקאית בשם NIST 2.0, עם התאמות מקומיות למדינה המסוימת. כך רוצה המערך לעשות גם בישראל.
הליך החקיקה נמצא בשלבים מוקדמים מאד, אין אפילו טיוטאת חקיקה להראות לציבור. כך לפי המערך. עם זאת, כן אומרים במערך, בשקיפות ראויה לציון, כי המטרה היא להכניס כ-500 חברות במשק תחת החקיקה. ל-330 חברות תשתיות קריטיות המפוקחות כיום על ידי המערך, צפויות להצטרף עוד כ-170 חברות.
במערך מסבירים כי המטרה היא להעלות את רמת החוסן של שרשרת האספקה בשירותים קריטיים לאזרח. ״הרעיון הוא שהפיקוח על ה-500 חברות ידחוף את כל המשק למעלה בהיבט חוסן בסייבר״, אומרים במערך.
בשלב זה אין צפי לו״ז להליך החקיקה, גם בשל המורכבות המשפטית הטמונה בהליך כזה וגם בשל העובדה שהכנסת והממשלה, עסוקות כרגע ברפורמה משפטית. לכן, כל חקיקה אחרת, תחכה למועד מאוחר יותר.
כיפת סייבר לאומית
עוד שינוי לטובה במערך הוא ההודאה בכך שהמערך לא מתכוון להחליף חברות אבטחת מידע מסחריות, בשירותים מסובסדים על ידי הממשלה. כיפת הסייבר הלאומית עתידה להיות פורטל לעסק או לאזרח הפרטי שיאפשר הבנת הסיכונים האישיים. המטרה: העלאת מודעות להגנה בסייבר.
הפורטל יכלול כעשרה שירותים שונים, ברמות עומק שונות, לשימוש עצמי של בעל העסק או האזרח. ״הפורטל יאפשר לצרכן להבין אם הוא בבעיה וברמה ראשונית, מה הבעיה. משם הוא יצטרך להחליט אם הוא נעזר בחברת אבטחת מידע מסחרית לתיקון הליקויים״, מסבירים במערך. ״אנחנו לא מחליפים חברות מסחריות ואין לנו כל כוונה כזו. המטרה היא לאפשר לכל עסק או אזרח להיות מודע לסיכוני הסייבר אליהם הוא אישית חשוף. אנחנו נציע כלים בפורטל. המשתמש יחליט אם הוא רוצה להנות מהם.״
המטרה בכיפת ברזל לאומית היא ליישם חמש שכבות של הגנה למשק. הפורטל יהיה שכבה אחת מתוכן. למערך יש כיום 42 מקורות מידע (פידים) שהוא רוכש, המספקים מודיעין למערך ולמשק הישראלי. ״חסרים לנו נתונים על המשק הישראלי״, אומר פורטנוי. למשל, המערך לא יודע מה ממוצע עלות תקיפת סייבר בשקלים נגד מטרה ישראלית. יש רק נתונים בינלאומיים. כך לגבי מאפיינים נוספים של מרחב הסייבר הישראלי. המערך כן יודע להעריך, מתוקף תפקידו, כמה סוגי נוזקות נמצאים כל שנה במרחב הסייבר הישראלי.
״אין היום ארגון עסקי או ממשלתי שיכול להתנהל ללא נתונים. זה הבסיס לאפקטיביות של הארגון״, אומרים במערך. ״אחר כך השאלה תהיה איך מנתחים את כל הנתונים שיאספו אודות המשק הישראלי, עם פחות מ-200 עובדים במערך הסייבר. יש לנו תשובה לזה - אוטומציה של תהליכים.״
במערך מסבירים שכבר היום מתחילים להכניס פיילוטים עם כלים לניתוח נתונים. אחת הדוגמאות היא איתור אנומליות אוטומטי ברשת מחשוב. שם הפתרון לא נמסר. ״באמצעות כלי אוטומציה, נוכל עם מעט מאד אנליסטים, לנתח כמות אדירה של נתונים ולהוציא התראות יותר מדויקות למשק הישראלי. השאיפה היא לבצע ניתוח ראשוני אוטומטי ואת הממצאים ינתחו אנליסטים אנושיים. כך ארגון קטן יוכל לנתח הרבה מידע.״
״לא משמישים חולשות יום-אפס״
נושא נוסף שעלה בדיון הוא תכנית המערך לחשיפה אחראית של חולשות. כאשר חוקר קוד מוצא חולשה ביישום או אתר מסוים, הוא נמצא בבעיה. אם יפנה וידווח לבעל היישום או האתר, הוא עלול להיות חשוף לתביעה משפטית (כבר קרה בעולם) או לאיומים מצד בעל היישום או האתר. מצד שני, החוקר מבין שאם לא יפרסם, והחולשה לא תתוקן, ישנם גולשים תמימים חשופים שיכולים להנזק ממנה.
זו הסיבה שמדינות, ביניהן ישראל, פתחו תכנית לדיווח אחראי על חולשות תוכנה. בישראל התכנית החלה לעבוד לפני כשנה וחצי. בשנת 2022, הוגשו לתכנית כ-770 דיווחים. תכנית זו טובה לשני הצדדים. החוקר מוגן משפטית ויודע שהבעיה תטופל. בעל היישום או האתר יודע שהוא מקבל מידע חיוני מהמערך לשיפור אבטחת המוצר שלו ודיסקרטיות עד לתיקון הבעיה (לעיתים תיקון קוד אורך זמן. בפרק זמן זה תוקף ששומע עליה, יכול לנצל את החולשה).
ישראל היא אחת המדינות הבודדות שיכולה לחתום חולשות בעצמה. קרי, אם מתגלה חולשת יום-אפס על ידי חוקר בישראל, והוא מדווח עליה למערך, לאחר וידוא, המערך חותם אותה עבור כל העולם (CVE). מאותו רגע, כל מוצר אבטחת מידע ״מכיר״ את החולשה ואפשר להגן מפניה.
אחת השאלות היא האם המערך, כאשר מקבל לידיו חולשת יום אפס, משמיש אותה, יחד עם המוסד, צה״ל או שב״כ, עבור אינטרסים ישראלים. ״מה פתאום״, אומרים בתוקף במערך. ״כל תהליך הדיווח על חולשות שקוף ומדווח לארגון בחו״ל שמרכז את המידע על חולשות בעולם. בקרוב התהליך יעבור אוטומציה כך שיהיו כמה שפחות ידיים בין הדיווח הראשוני לבין החתימה והדיווח לחו״ל. גופים ביטחוניים שצריכים חולשות, יש להם חוקרים משלהם. הם לא מקבלים חולשות ממערך הסייבר הלאומי. נקודה.״
אסטרטגיה לאומית בסייבר
אחד היעדים שהציב פורטנוי למערך הסייבר הוא לפרסם אסטרטגיית סייבר לישראל בשנה זו. האסטרטגיה תתפוס עד שנת 2025. ״בסייבר, שנתיים זה המון זמן״, מסביר פורטנוי. ״תראה מה קרה עם ChatGPT. אנחנו מדברים על בינה מלאכותית כבר מעל עשור. פתאום, יצא יישום לשוק, וטרף את הקלפים. כל המציאות של מרחב הסייבר השתנתה עם כניסתם של כלים כמו ChatGPT. מישהו דמיין את זה לפני שנה?״
לאחרונה פורסם כי ChatGPT מסוגל לכתוב נוזקות ובכך להוריד את סף הכניסה לעולם פשעי הסייבר, גם לכאלו עם ידע אפסי בקידוד. מאמרים אחרים טוענים כי ChatGPT יכתוב הודעות פישינג ויקשה מאד לזהות כי מדובר במתקפה. ישנו חשש גם מיישומים בהעתקת קול למתקפות וישינג ודיפ-פייק שיהנדסו שידורי טלוויזיה לטובת קמפיין מידע כוזב.
אחד השינויים שעשה פורטנוי על מנת להתמודד עם בעיות האמון ברשת האינטרנט, הוא לשים דגש על הזדהות אמינה. בין היתר על שימוש בביומטריה לצורך אימות זהות איפה שניתן חוקית. בנוסף, פורטנוי מאמין בתשתית ענן (על פני OnPrem), לצורך הגנה בסייבר.
״הממשלה צריכה לעבור לנימבוס (ענן ממשלתי), וכמה שיותר מהר״, מסביר פורטנוי. ״צעד נוסף שעשינו בשנה האחרונה הוא לאחד את מרכיבי ההגנה במערך תחת חטיבת הגנה אחת. ככה הסקטורים והתשתיות הקריטיות תחת אותה חטיבה. הסינרגיה מוסיפה. התחלנו לעבוד גם מול מאגדים מקצועיים כמו עורכי דין ורואי חשבון. המטרה היא להעלות את החוסן של עסקים אלו בכמה רמות. הם משרתים הרבה לקוחות במשק.״
עוד מהלך שעשו במערך הוא להפוך 14 משרות בכירות - לדרג ג׳וניור. ״זה מוסיף דם חדש לארגון״, מסביר פורטנוי. ״וזה גם מאותת למשק - תעסיקו ג׳וניורים. תנו להם צ׳אנס. זה רק יעשה לכם טוב.״
לסיכום, ניכר שישנה רוח חדשה במערך הסייבר. שיתופי פעולה, שינויים ארגוניים, כיפת ברזל לאומית ורצון להיות יותר שקופים עם הציבור ועם העיתונות.
״יש מתח מובנה בין הפרטיות לאבטחת מידע. יש מתח מובנה בין רגולציה לבין עלויות כספיות. יש מתח מובנה בין זכות הציבור לדעת לבין הדיסקרטיות הנדרשת לאמון שלנו מול עסקים בישראל. המציאות בסייבר מורכבת וצריך להחליט איך מנהלים את המתחים. איפה קובעים את נקודת האיזון.
״הכי טוב זה לקבוע את האיזון יחד. משרדי הממשלה, הממסד הביטחוני והמגזר הפרטי. הגנה לאומית בסייבר אפשר לעשות רק יחד, בשיתוף פעולה.״
גבי פורטנוי, ראש מערך הסייבר, מסיים שנה ונראה כי עבודה בשיתוף פעולה היא נר לרגליו: ״הגנה לאומית בסייבר אפשר לעשות רק יחד, בשיתוף פעולה.״
תמונה באדיבות מערך הסייבר
בפגישה שנערכה היום (ד) בין עיתונאים טכנולוגים והנהלת מערך הסייבר הלאומי, התגלתה ״רוח מפקד״ שונה מזו שנכחה במערך בעבר. הפגישה נערכה לציון שנה לכניסתו לתפקיד של גבי פורטנוי, במטרה לשקף את פעילות המערך בשנה האחרונה. בפגישה נכחו רועי פרידמן - ראש אגף אסטרטגיה, טום אלכסנדרוביץ - ראש אגף הגנה טכנולוגית, גבי פורטנוי - ראש המערך, ארז תדהר - ראש ה-CERT ושהם אלכסנדר - דאהן ראש אגף מדיניות.
ובכן, אמנם הנבואה ניתנה לשוטים, אך לפחות על פי ״רוח המפקד״ של פורטנוי, המהלכים שמערך הסייבר עושה, נעשים בשיתוף פעולה מלא ככל הניתן עם כלל הצדדים ונראה כי המשק משתף פעולה. לפי פורטנוי, כ-97 אחוזים מהחברות שהמערך פנה אליהן, הסכימו לשתף פעולה, ללא צורך בחקיקה.
המערך מנהל גם פורומים שונים כדי להעמיק את שיתופי הפעולה בתחום הסייבר במשק הישראלי. פורום ״האורגן״ - שולחן עגול של השירותים הביטחוניים (שב״כ, מוסד, מלמ״ב, צה״ל והמערך). פורום מתפ״ס - שולחן עגול לטיפול בפשיעת רשת (משטרה, שב״כ, רשות הפרטיות, רשות הלבנת הון, מערך). יש מעורבות של המערך בפרויקט נימבוס, במטרה לדחוף משרדי ממשלה לענן.
יש פריחה בהסכמי שיתוף פעולה, ברמות שונות, עם 90 מדינות בעולם. תמיכה של מערך הסייבר הישראלי במדינות שנפגעו קשה ממתקפות סייבר, ביניהן אלבניה וקוסטה ריקה. קשרים של המערך עם חברות טכנולוגיה בינלאומיות כמו בואינג, מיקרוסופט, אמזון וגוגל. ביוזמה הגלובלית למלחמה בכופר, מובילה אותה ארה״ב, ישראל והאמירויות בונות פלטפורמה לשיתוף מידע בין המדינות החברות.
לכל אורך הדיון, פורטנוי חזר והדגיש את החשיבות של שיתופי פעולה ומידע עם כמה שיותר גורמים בארץ ובחו״ל. ניכר כי צורת עבודה שיתופית היא נר לרגליו.
רגולציה וחקיקה
״רגולציה״. עלתה המילה בשיח, ואנשי המערך התכווצו. אחר כך עברו לחיוכים ובסוף אפילו הצליחו לצחוק על הנושא. ״המילה שאסור להגיד ליד השולחן״. למה האי נעימות? ובכן, לא סתם. המערך, בגלגולו הקודם, רצה להעביר נוסח חקיקה דרקוני, בסיפור שאפילו הגיע לחדשות. השיח הציבורי בנושא ייחס למערך תכונות של שירות ביון סובייטי שרוצה לחדור לחיי הפרט של האזרח ולחצרות העסקים.
תחת הנהלה חדשה, מסבירים במערך שאותה הצעת החוק (שלא פורסמה בגרסתה האחרונה לציבור), ירדה מהפרק. ״תשכח מההצעה ההיא״, הסבירו לי בכירי המערך בדיון. ״אנחנו בפאזה אחרת״. אז מה כן? ובכן, במערך מסבירים, ובצדק, שצריך חקיקה מסדרת לצורך הגנה בסייבר. ״בוא לא ניתמם. בלי חקיקה שתאפשר ניטור, פיקוח, אכיפה וענישה, יהיה קשה עד בלתי אפשרי לקדם את ההגנה הלאומית בסייבר״, מסבירים במערך. והם צודקים.
מה עשה פורטנוי? ובכן, בחכמה, בחר דוגמאות להעתקה ממדינות דמוקרטיות מובהקות. כאלו, שאף אזרח ישראלי לא יוכל לטעון שהמדינה בעייתית בהקשרי זכויות פרט. ביניהן, בריטניה, אוסטרליה, גרמניה. המערך בחן את החקיקה והרגולציה במדינות אלו, מרביתן, מקצועית, מתבססות על מסגרת תקינה אמריקאית בשם NIST 2.0, עם התאמות מקומיות למדינה המסוימת. כך רוצה המערך לעשות גם בישראל.
הליך החקיקה נמצא בשלבים מוקדמים מאד, אין אפילו טיוטאת חקיקה להראות לציבור. כך לפי המערך. עם זאת, כן אומרים במערך, בשקיפות ראויה לציון, כי המטרה היא להכניס כ-500 חברות במשק תחת החקיקה. ל-330 חברות תשתיות קריטיות המפוקחות כיום על ידי המערך, צפויות להצטרף עוד כ-170 חברות.
במערך מסבירים כי המטרה היא להעלות את רמת החוסן של שרשרת האספקה בשירותים קריטיים לאזרח. ״הרעיון הוא שהפיקוח על ה-500 חברות ידחוף את כל המשק למעלה בהיבט חוסן בסייבר״, אומרים במערך.
בשלב זה אין צפי לו״ז להליך החקיקה, גם בשל המורכבות המשפטית הטמונה בהליך כזה וגם בשל העובדה שהכנסת והממשלה, עסוקות כרגע ברפורמה משפטית. לכן, כל חקיקה אחרת, תחכה למועד מאוחר יותר.
כיפת סייבר לאומית
עוד שינוי לטובה במערך הוא ההודאה בכך שהמערך לא מתכוון להחליף חברות אבטחת מידע מסחריות, בשירותים מסובסדים על ידי הממשלה. כיפת הסייבר הלאומית עתידה להיות פורטל לעסק או לאזרח הפרטי שיאפשר הבנת הסיכונים האישיים. המטרה: העלאת מודעות להגנה בסייבר.
הפורטל יכלול כעשרה שירותים שונים, ברמות עומק שונות, לשימוש עצמי של בעל העסק או האזרח. ״הפורטל יאפשר לצרכן להבין אם הוא בבעיה וברמה ראשונית, מה הבעיה. משם הוא יצטרך להחליט אם הוא נעזר בחברת אבטחת מידע מסחרית לתיקון הליקויים״, מסבירים במערך. ״אנחנו לא מחליפים חברות מסחריות ואין לנו כל כוונה כזו. המטרה היא לאפשר לכל עסק או אזרח להיות מודע לסיכוני הסייבר אליהם הוא אישית חשוף. אנחנו נציע כלים בפורטל. המשתמש יחליט אם הוא רוצה להנות מהם.״
המטרה בכיפת ברזל לאומית היא ליישם חמש שכבות של הגנה למשק. הפורטל יהיה שכבה אחת מתוכן. למערך יש כיום 42 מקורות מידע (פידים) שהוא רוכש, המספקים מודיעין למערך ולמשק הישראלי. ״חסרים לנו נתונים על המשק הישראלי״, אומר פורטנוי. למשל, המערך לא יודע מה ממוצע עלות תקיפת סייבר בשקלים נגד מטרה ישראלית. יש רק נתונים בינלאומיים. כך לגבי מאפיינים נוספים של מרחב הסייבר הישראלי. המערך כן יודע להעריך, מתוקף תפקידו, כמה סוגי נוזקות נמצאים כל שנה במרחב הסייבר הישראלי.
״אין היום ארגון עסקי או ממשלתי שיכול להתנהל ללא נתונים. זה הבסיס לאפקטיביות של הארגון״, אומרים במערך. ״אחר כך השאלה תהיה איך מנתחים את כל הנתונים שיאספו אודות המשק הישראלי, עם פחות מ-200 עובדים במערך הסייבר. יש לנו תשובה לזה - אוטומציה של תהליכים.״
במערך מסבירים שכבר היום מתחילים להכניס פיילוטים עם כלים לניתוח נתונים. אחת הדוגמאות היא איתור אנומליות אוטומטי ברשת מחשוב. שם הפתרון לא נמסר. ״באמצעות כלי אוטומציה, נוכל עם מעט מאד אנליסטים, לנתח כמות אדירה של נתונים ולהוציא התראות יותר מדויקות למשק הישראלי. השאיפה היא לבצע ניתוח ראשוני אוטומטי ואת הממצאים ינתחו אנליסטים אנושיים. כך ארגון קטן יוכל לנתח הרבה מידע.״
״לא משמישים חולשות יום-אפס״
נושא נוסף שעלה בדיון הוא תכנית המערך לחשיפה אחראית של חולשות. כאשר חוקר קוד מוצא חולשה ביישום או אתר מסוים, הוא נמצא בבעיה. אם יפנה וידווח לבעל היישום או האתר, הוא עלול להיות חשוף לתביעה משפטית (כבר קרה בעולם) או לאיומים מצד בעל היישום או האתר. מצד שני, החוקר מבין שאם לא יפרסם, והחולשה לא תתוקן, ישנם גולשים תמימים חשופים שיכולים להנזק ממנה.
זו הסיבה שמדינות, ביניהן ישראל, פתחו תכנית לדיווח אחראי על חולשות תוכנה. בישראל התכנית החלה לעבוד לפני כשנה וחצי. בשנת 2022, הוגשו לתכנית כ-770 דיווחים. תכנית זו טובה לשני הצדדים. החוקר מוגן משפטית ויודע שהבעיה תטופל. בעל היישום או האתר יודע שהוא מקבל מידע חיוני מהמערך לשיפור אבטחת המוצר שלו ודיסקרטיות עד לתיקון הבעיה (לעיתים תיקון קוד אורך זמן. בפרק זמן זה תוקף ששומע עליה, יכול לנצל את החולשה).
ישראל היא אחת המדינות הבודדות שיכולה לחתום חולשות בעצמה. קרי, אם מתגלה חולשת יום-אפס על ידי חוקר בישראל, והוא מדווח עליה למערך, לאחר וידוא, המערך חותם אותה עבור כל העולם (CVE). מאותו רגע, כל מוצר אבטחת מידע ״מכיר״ את החולשה ואפשר להגן מפניה.
אחת השאלות היא האם המערך, כאשר מקבל לידיו חולשת יום אפס, משמיש אותה, יחד עם המוסד, צה״ל או שב״כ, עבור אינטרסים ישראלים. ״מה פתאום״, אומרים בתוקף במערך. ״כל תהליך הדיווח על חולשות שקוף ומדווח לארגון בחו״ל שמרכז את המידע על חולשות בעולם. בקרוב התהליך יעבור אוטומציה כך שיהיו כמה שפחות ידיים בין הדיווח הראשוני לבין החתימה והדיווח לחו״ל. גופים ביטחוניים שצריכים חולשות, יש להם חוקרים משלהם. הם לא מקבלים חולשות ממערך הסייבר הלאומי. נקודה.״
אסטרטגיה לאומית בסייבר
אחד היעדים שהציב פורטנוי למערך הסייבר הוא לפרסם אסטרטגיית סייבר לישראל בשנה זו. האסטרטגיה תתפוס עד שנת 2025. ״בסייבר, שנתיים זה המון זמן״, מסביר פורטנוי. ״תראה מה קרה עם ChatGPT. אנחנו מדברים על בינה מלאכותית כבר מעל עשור. פתאום, יצא יישום לשוק, וטרף את הקלפים. כל המציאות של מרחב הסייבר השתנתה עם כניסתם של כלים כמו ChatGPT. מישהו דמיין את זה לפני שנה?״
לאחרונה פורסם כי ChatGPT מסוגל לכתוב נוזקות ובכך להוריד את סף הכניסה לעולם פשעי הסייבר, גם לכאלו עם ידע אפסי בקידוד. מאמרים אחרים טוענים כי ChatGPT יכתוב הודעות פישינג ויקשה מאד לזהות כי מדובר במתקפה. ישנו חשש גם מיישומים בהעתקת קול למתקפות וישינג ודיפ-פייק שיהנדסו שידורי טלוויזיה לטובת קמפיין מידע כוזב.
אחד השינויים שעשה פורטנוי על מנת להתמודד עם בעיות האמון ברשת האינטרנט, הוא לשים דגש על הזדהות אמינה. בין היתר על שימוש בביומטריה לצורך אימות זהות איפה שניתן חוקית. בנוסף, פורטנוי מאמין בתשתית ענן (על פני OnPrem), לצורך הגנה בסייבר.
״הממשלה צריכה לעבור לנימבוס (ענן ממשלתי), וכמה שיותר מהר״, מסביר פורטנוי. ״צעד נוסף שעשינו בשנה האחרונה הוא לאחד את מרכיבי ההגנה במערך תחת חטיבת הגנה אחת. ככה הסקטורים והתשתיות הקריטיות תחת אותה חטיבה. הסינרגיה מוסיפה. התחלנו לעבוד גם מול מאגדים מקצועיים כמו עורכי דין ורואי חשבון. המטרה היא להעלות את החוסן של עסקים אלו בכמה רמות. הם משרתים הרבה לקוחות במשק.״
עוד מהלך שעשו במערך הוא להפוך 14 משרות בכירות - לדרג ג׳וניור. ״זה מוסיף דם חדש לארגון״, מסביר פורטנוי. ״וזה גם מאותת למשק - תעסיקו ג׳וניורים. תנו להם צ׳אנס. זה רק יעשה לכם טוב.״
לסיכום, ניכר שישנה רוח חדשה במערך הסייבר. שיתופי פעולה, שינויים ארגוניים, כיפת ברזל לאומית ורצון להיות יותר שקופים עם הציבור ועם העיתונות.
״יש מתח מובנה בין הפרטיות לאבטחת מידע. יש מתח מובנה בין רגולציה לבין עלויות כספיות. יש מתח מובנה בין זכות הציבור לדעת לבין הדיסקרטיות הנדרשת לאמון שלנו מול עסקים בישראל. המציאות בסייבר מורכבת וצריך להחליט איך מנהלים את המתחים. איפה קובעים את נקודת האיזון.
״הכי טוב זה לקבוע את האיזון יחד. משרדי הממשלה, הממסד הביטחוני והמגזר הפרטי. הגנה לאומית בסייבר אפשר לעשות רק יחד, בשיתוף פעולה.״
