"על כל ארגון בישראל לפעול בסייבר בחופשיות תוך הגנה מירבית"

"אנחנו כאן כדי שכל אדם וכל ארגון במדינת ישראל יוכלו לפעול במרחב הסייבר האזרחי מתוך חופש ותוך הגנה מירבית על פרטיותם ועסקיהם", כך אמר אמיר שי, ראש מרכז הנחיית המשק ברשות הלאומית להגנת הסייבר, משרד ראש הממשלה.

שי היה דובר המפתח בכנס InfoSec 2017. הכנס, בהפקת אנשים ומחשבים, נערך זו השנה ה-18, והוא התקיים היום (ג') במרכז הכנסים אווניו, קריית שדה התעופה, בהשתתפות מאות מקצועני אבטחת מידע והגנת הסייבר. את הכנס הנחה יהודה קונפורטס, העורך הראשי של הקבוצה.

"הסייבר חי ובועט", אמר שי. "האתגר הוא לעבור מהשאלה 'למה סייבר' – אל ה'איך (מתגוננים) בסייבר'. איך הולכים לטפל בארגונים בצורה המיטבית והיעילה"?

צריכים לפעול במשותף

שי ציטט את החלטת הממשלה 2444 מפברואר 2015, בדבר ייעוד הרשות: "להכווין, להסדיר, לרכז, לתפעל ולנהל את מאמצי ההתחסנות וההגנה כנגד מתקפות סייבר במרחב האזרחי של מדינת ישראל. זאת, תוך שמירה וקיום החוקים, הכללים והתקנות, המבטיחים את זכויות הפרט והכלל. להבטיח למקבלי ההחלטות בדרג הלאומי כי נכסים לאומיים הנמצאים באחריות הרשות – מחוסנים ומוגנים מפני מתקפות סייבר ומאפשרים את מרחב התמרון הדרוש לקבלת החלטות".

"ישראל היא מהמובילות בעולם בתחום", אמר שי, "אין לנו הרבה ממי ללמוד. התחלנו להבין את המרחב שאנו פועלים בו – כל המגזר האזרחי. הגדרנו את תפיסת ההגנה על המדינה, אנו מטפלים ברגולציות ועוסקים בשיתופי פעולה עם מדינות אחרות: אם הרעים משתפים ביניהם פעולה – אז גם אנו צריכים לפעול במשותף".

כל ארגון, אמר שי, "נמצא באחד משני מצבים: או שהוא במצב של מוכנות לקראת אירוע סייבר, או שהוא בעיצומה של מתקפה. מול שני מצבים אלה אנו נדרשים לפעול. מצב של מוכנות דורש טיפול בעמידות ובחוסן, לעשות את כל הנדרש על מנת להימנע מהאירוע ואם הוא קרה – אז לשרוד אותו בצורה המיטבית".

"מצב של תחת מתקפה דורש יישום של מודל ניהול מערכה, CMM, ושל מודל ניהול טיפול באירוע, IMM. במצב של תחת מתקפה הארגון מבין שהותקף, והוא עושה את המירב על מנת להבין את המתקפה. זה נחלק לשני שלבים. האחד, הגנה שקטה, בלי שהיריב יודע שזיהינו אותה. לאחר מכן עוברים להגנה רועשת, עד להסרת מתקפה".

את שכבת המוכנות, אמר שי, "אנו מובילים בהכוונה, מתוך רצון לבנות חוסן לכלל המשק בסייבר. נדרש לזהות שני דברים: האחד, מי היריב, כי הם אינם עשויים ממיקשה אחת: יש כמה יריבים עם מניעים שונים ומבט שונה ותחומי עניין שונים. כך, גם המותקפים הפוטנציאליים, גם המשק אינו עשוי מיקשה אחת: אין דין מכולת או משרד עורכי דין, כדין בית חולים במרכז הארץ".

שי הציג את מודל העלאת החוסן במשק, כמענה דיפרנציאלי, לפיו בראש העדיפות נמצאים גופי תשתיות קריטיות לאומיות, ולאחריו המשק נחלק לשלושה חלקים, על פי מידת הנזק הפוטנציאלי בעת הפגיעה בו. "המטרה שלנו היא לעשות הכוונה אופרטיבית, רלוונטית, מרוסנת ומשפיעה", אמר.

חמשת המאמצים של רשות הסייבר

פעילות הרשות, אמר שי, נחלקת לחמישה מאמצים. האחד, פירט, "המאמץ המשפטי: נקדם את פרק הרגולציה בחוק הסייבר, כך שהוא יחייב את הגופים לפעול תחת הנחיות הרשות. הקו המנחה שלנו הוא שהסיכון בסייבר, יחד עם הנזק לאינטרס הציבורי – צריך להיות גדול יותר מאשר עלות המענה".

המאמץ השני, הסביר שי, הוא ארגוני: "נקים בגופים השונים יחידות סייבר ואז כל משרד יקבל כוח אדם, הכוונה ובניית תהליכי עבודה להגנה בסייבר. אנו ברשות מבינים את עולם הסייבר, המשרד הממשלתי מבין את פעילותו. כך תהיה הכוונה טובה יותר. משרדים שאין להם רגולטור – ננחה אותם בצורה ישירה".

המאמץ השלישי, ציין שי, "הוא מיפוי כלל הארגונים במשק, מי שייך ולאיזה מגזר, מיפוי הסמכויות הקיימות, טיפול בכפילויות, והגדרת 'רגולטור שיורי'. לדוגמה, הרמזור שבצומת למי שייך – למשרד התחבורה או לעירייה"?

המאמץ הרביעי, ציין שי, "הוא הגנה מגזרית. עברנו לשם ממצב שכל ארגון הגן על עצמו. אנחנו מבינים שעלינו להביט על המגזר – ולא על הארגון. עלינו לבחון מה המשקל הסגולי של כל ארגון בתוך המגזר. אין דין בית חולים סורוקה בבאר שבע, כדין בתי חולים במרכז הארץ. עלינו להביט על כלל הארגונים ולבנות בהתאם תורת הגנה מגזרית, עם הנחיות לאותו מגזר. למשל, איך ארגון א' יכול לגבות את ארגון ב', האם יש תשתיות משותפות לכולם שאם הן נפגעות – אז זה פוגע בכולם".

המאמץ האחרון, הסביר שי, "הוא ההגנה הארגונית. השקנו גרסה לתורת ההגנה. מתוך כלל התקנים המובילים לתחום, אנו בודקים מה נכון למדינת ישראל".

בדרך זו, סיים, "נגיע לשלב בו ארגונים במדינה יוכלו לפעול במרחב הסייבר האזרחי בחופשיות ובאופן מוגן – על מנת שהם יוכלו למצות את מרחב הסייבר לתועלת המשק".