תא"ל (מיל') ארנון זו ארץ, אמן: "ארגונים שלא יטמיעו תפיסת סייבר מערכתית – יקרסו"

"המעבר מאבטחת מידע לסייבר הוא מעבר מ-Firewall לתפיסה רב שכבתית, עם יכולת לייצר מודיעין התראתי ותובנות בזמן אמת. ארגונים שלא יטמיעו תפיסת סייבר מערכתית – יקרסו, כי הם יפלו כבר במתקפת הסייבר הרצינית הראשונה שהם יחטפו", כך אמר בראיון לאנשים ומחשבים תא"ל (מיל') ארנון זו ארץ מקבוצת אמן.

לדבריו, "הסייבר מחייב מעבר מתפיסת ההגנה של ה-Firewall, שכבודו במקומו מונח, לתפיסה הדומה לעבודת המודיעין הצבאי: איסוף, עיבוד ותחקור ובעקבותיהם יצירת פעולה פרו-אקטיבית".

"ההבדל הפרקטי בין סייבר לאבטחת מידע ברור", אמר זו ארץ. "סייבר משקף מלחמה קיברנטית כוללת ומהווה, למעשה, מימד נוסף בשדה הקרב העתידי. להבדיל מאבטחת מידע, סייבר מציין התרחשויות של נזק ברמה הלאומית. מנגד, כאשר גוף עסקי רגיל שומר על עצמו – זו אבטחת מידע. האבטחה מתייחסת לשלוש שכבות עיקריות: אנשים, מערכות מידע ומידע".

זו ארץ ציין ש-"חלה עליית מדרגה חדשה במתקפות סייבר. אם עד היום ראינו בעיקר פעילות של האקרים בודדים, הרי שכיום מדובר בפעילות מאורגנת ברמה של מדינות, ארגוני טרור וגופי מודיעין. סייבר הוא עוד שדה קרב מודרני ברמה הלאומית. לא רק קסאמים וקטיושות הן נשק אסטרטגי, אלא גם מידע. התקפת סייבר מסבה את מירב הנזק בבטן הרכה במגזר העסקי-הפרטי. כלי תקיפת הסייבר נמצאים בכל בית. בו בזמן, המערכות הצבאות יושבות כיום על תשתיות אזרחיות, בעיקר כדי לחסוך עלויות".

"דווקא מכיוון שמידע הוא קריטי להשגת עליונות, הוא מהווה מטרה וחשוף למתקפה", הוסיף. "כמו בכל סוג של לחימה, גם בלוחמת מידע יש מגננה ויש מתקפה".

הסוגים המרכזיים של מתקפות הסייבר
הוא מנה את סוגי התקיפה המרכזיים כיום: "גישה בלתי מורשית למידע; פגיעה בשלמות המידע, או החדרת מידע כוזב ומטעה; שלילת המידע על ידי חסימת מערכות או פגישה משמעותית בזמינותן; והצפה במידע, ועל ידי כך גרימה לקריסת מוקדי הניתוח והאבחון".

"הנזק של מתקפות סייבר על גופים אזרחיים בעלי חשיבות לאומית הוא עצום", הסביר זו ארץ. "התוקף שוקל איפה ניתן למצוא את הבטן הרכה של המדינה ומכוון לשם. לכן, יש לשים דגש רב על היכולת לזהות מה קיים מחוץ לגדר של הארגון, כדי להבין כיצד גורמים מחוץ לארגונים ולמדינה יכולים בנקל לממש התקפת סייבר שתפגע בנו ברמה הלאומית".

לדבריו, "המשכיות אורח החיים השוטף במדינה ישראל מותנית בהגנה על מגוון רחב של מערכות IT אזרחיות: פיננסיות, ממשלתיות, תשתית, עירוניות, תקשורת ומדיה, ותעבורה, לצד מערכות צבאיות וביטחוניות. כאשר גופים חשובים כמו הבורסה, אל על, צים או בנק ישראל, מותקפים, הבעיה היא לאומית ולא של המותקפים. במובן זה אין הבדל בין התקפת סייבר על בנק לאומי להתקפת סייבר על חברת החשמל. מטרת התוקף היא לייצר נזק לאומי".

"הצורך: לשלב כוחות"
"יש ליצור שילוב כוחות בכל המימדים: באסטרטגיה ברמת מוסדות השלטון, באסטרטגיה ברמת הגנת התשתיות הקריטיות ובהגנת גופים קריטיים בשוק הפרטי", קבע זו ארץ. "רק שילוב כוחות יאפשר להיערך כנדרש להגנה ולמתקפה". הוא ציין ש-"המפתח להצלחה נעוץ בשלושה גורמים: מודיעין, מודיעין, מודיעין" ואמר ש-"לצורך התגוננות נדרש ללמוד ולהבין את התוקף ולמפות מערכות ותהליכים. גם בתשתיות אזרחיות קריטיות יש להפעיל את מודל ההגנה המערכתית הרב-שכבתית, גם בהן יש לתכנן מערך שרידות, המשכיות ורציפות עסקית ומבצעית; יש לגבש תהליכי עבודה במצב פגיעה – נהלי זמן אמת; יש לזהות ולתחם את הנזקים וכן לגבות את גיבוי הנתונים".

"האתגר", לדברי זו ארץ, "הוא לחבר את ההתראות השונות באמצעים כגון היתוך מידע, בשאיפה ליצור התראה אחת. עם זאת, לא תמיד הדבר ניתן. יש לייצר תובנה מודיעינית על בסיס של מדיניות המנוסחת בחוקים ושל שקלול סך האירועים. מודיעין סייבר כולל ארכיטקטורה שמבטאת את תפיסת ההגנה הרב שכבתית במודל הארגוני הספציפי ומרכיבים של שליטה ובקרה (שו"ב). השו"ב הוא נקודה כאובה בעולם הסייבר. יש שו"ב ל-IT ושו"ב לגופי תשתית ותקשורת, אך זה לא מספיק. יש צורך קריטי בשו"ב סייבר חדש, שיכלול ענני מידע שלמים ויבטא את כלל המרכיבים המודיעיניים שמחוץ לגדר".

הוא ציין ש-"אמן עוסקת בהגנת סייבר פרו-אקטיבית מחוץ לגדר. בקבוצה הוקמה מחלקת סייבר, שפועלת על מנת לתת מענה מקצועי ויעיל לאיומים אלה. תפישת הסייבר של אמן גורסת שיש ליצור פתרונות שימנעו חדירות והתקפות על מנת להבטיח ללקוח המשכיות עסקית. יצרנו תפיסה אינטגרטיבית, שמספקת תובנות מכלל מקורות המידע החיצוניים-טכנולוגיים, כגון סימנטק (Symantec), מק'אפי (McAfee), יבמ (IBM) וצ'ק פוינט (Check Point), בשילוב מקורות גלויים, דוגמת טרוג'נס, ש-'מבקרת' בפורומים של האקרים. פתרון השו"ב שלנו לעולם הסייבר משלב את שני סוגי המקורות, מתיך את המידע, מספק תובנות ערכיות ומניע לפעולה".