בוקי כרמלי (מימין), ראש הממשלה, בנימין נתניהו, אביתר נחמיה וח"כ ענת ברקו במרכז CERT של הרשות הלאומית להגנת הסייברקובי גדעון / לע"מ

במקום הגנת סייבר: "מריונטה של השב"כ" ב-200 מיליון שקל

לפני שנתיים הוקמה רשות סייבר לאומית כדי להגן על המגזר העסקי מפני המתקפות הגוברות ■ כעת מתברר כי המערך "לא מתעניין באיומים שאינם איראן", וסובל מגל נטישות ומבזבוז כספים ■ ראש הרשות לשעבר: "גייסתי אנשים מהשב"כ, אבל אמרתי להם לשכוח מביטחון"

גל עזיבות, מינויים לא ראויים, שירות לקוי לחברות ו"ייבוש" של הפעילות — אלה הטענות שמושמעות על ידי גורמי מפתח ויודעי דבר המעורבים בפעילותו של מערך הסייבר הלאומי. לטענת אותם גורמים, מצבו של המערך בכי רע.

הכוונות היו טובות. בפברואר 2015 אישרה הממשלה את החלטה מספר 2444 להקמת הרשות הלאומית להגנת הסייבר. ההיגיון היה פשוט: לתת מענה למגזר העסקי בישראל מול איום הסייבר הגובר במגזר האזרחי. גופי הביטחון יודעים להגן על עצמם היטב בסייבר, כך גם החברות הגדולות במשק — אבל יתר המרחב האזרחי מוזנח. לאור החשיבות ההולכת וגדלה של המרחב הקיברנטי לתפקוד הלאומי, המדינה חשבה שנכון יהיה לתת מענה למגזר העסקי־אזרחי באמצעות רשות סייבר לאומית.

מי שקידם את הנושא בנחישות היה ראש הממשלה בנימין נתניהו. ב–2016 החלה הרשות לפעול, ובינואר 2018 אוחדה עם מטה הסייבר — למה שמכונה כעת "מערך הסייבר הלאומי".

ואולם לטענת רבים, מאחורי ההידרדרות בתפקודו של המערך מסתתרת יד מכוונת של השב"כ, שרוצה להחזיר לעצמו סמכויות שאבדו לו עם הקמת רשות הסייבר הלאומית, ולמעשה להפוך את מערך הסייבר לזרוע הארוכה שלו לעניינים אזרחיים.

"לקחו משהו יפה ופשוט הרסו אותו", מספר בכיר לשעבר במערך הסייבר הלאומי. "מדינת ישראל היתה הראשונה בעולם שזיהתה את האיום שטמון בסייבר על התשתיות הקריטיות. ב–2002, בתוך השב"כ, החליטו להגן על התשתיות הקריטיות בישראל ועשו מיפוי שלהן, ועכשיו יש כ–60 גופים שמוגדרים תשתיות קריטיות ומקבלים טיפול VIP בסייבר — למשל חברת החשמל, מקורות, קצא"א. מאוחר יותר נוספו הבנקים, חברות הסלולר והתקשורת הגדולות, בז"ן, נובל אנרג'י, תרכובות הברום וכן הלאה. אלה הגופים שבקצה הפירמידה מבחינת החשיבות הלאומית.

"מי שהנחה את החברות האלה כיצד להתמודד עם איומי הסייבר הוא גוף בשב"כ שנקרא רא"ם — הרשות הממלכתית לאבטחת מידע. אבל כל מה שמתחת לזה, עד לרמת האזרח הפרטי, לא טופל ולא קיבל שום התייחסות מהמדינה. 80% מהמרחב לא מטופל על ידי אף אחד, ובהיבט הזה ישראל נקלעה לפיגור של 20 שנה מול שאר העולם. ב–2010 הוקם המיזם הקיברנטי הלאומי, שזיהה את הפער הזה. היה דיון מי יטפל בכל המרחב העסקי־אזרחי ומי שהיה אז ראש השב"כ, יורם כהן, לא רצה שזה יהיה תחת אחריותו. 'אני לא יודע לדבר עם אזרחים' הוא אמר, והוחלט להקים רשות סייבר לאומית, גוף אזרחי לגמרי — החלטה שאני מסכים איתה", סיפר הבכיר.

לדבריו, "לב הפעילות בתחום הוא CERT (חמ"ל סייבר, Cyber Emergency Response Team). זו גם היתה הגישה של ראש המטה אביתר מתניה — 'CERT תחילה' הוא קרא לזה. היה חסר גוף אופרטיבי שמבין סייבר ושיביא יכולות לשוק, כי חברות לא עשירות לא יכולות לגייס אנליסיטים ולהרים מערכות מתוכחמות.

המחשבה היתה שחברות כאלה יפנו לרשות הסייבר. ה–CERT הוקם כמיקרו־קוסמוס של הרשות, עם קשרי חוץ משלו (מול חמ"לים מקבילים בחו"ל), חקירות משל עצמו, אנליסיטים וכן הלאה. זה עבד טוב בהתחלה, הגענו ל–250 אירועים בשנה וניסינו לפתח יכולות לצוד את האירועים — כי הרבה חברות אפילו לא יודעות שיש להן אירוע. עזרנו ללא מעט חברות שחוו מתקפת סייבר, אם זה בלהוריד מהאינטרנט דאטה בייס שנגנב לחברה, לדבר עם ספק האינטרנט של הגוף שהותקף או לדבר עם חברת ההוסטינג. קפצנו לא מעט לסייע לחברות. אני זוכר אירוע דליפת מידע של 10,000 תעודות זהות מפאנג'ויה; היה אירוע באסף הרופא; אבל יצא לי לעזור גם לחברות קטנות וקיקיונית".

מה השתבש?

"היו כמה נקודות לאורך הדרך. הגיעו למערך אנשים שאוהבים לטייל סביב האזור הביטחוני. בראש הרשימה היה ראש המערך יגאל אונא (שהחליף את בוקי כרמלי, א"ז), שהגיע מהשב"כ. הוא סיים שם תפקיד של ראש אגף סייבר וטכנולוגיות, לא ידעו מה לעשות איתו, אז השאילו אותו למערך. תמיד היה מאבק בין השב"כ למערך הסייבר. הרשות הוקמה כזרוע אזרחית, ואז לקחו מהשב"כ את האחריות לכל התשתיות הקריטיות, ויחידת רא"ם פורקה. הביאו מישהו שהוא בוגר שב"כ, ומשמש בעצם זרוע של השב"כ. אם תנסה לדווח לגוף כמו השב"כ על אירוע בגוף אזרחי קטן, זה לא מעניין אותו.

"השב"כ לא מתעניין בפשיעת סייבר, באיומים שהם לא איראן או מדינת אויב אחרת. אבל יש כאלו אירועים כל הזמן. היה גל של מתקפות כופר על ארגונים קטנים, ולפעמים החברות לא יודעות להרים את עצמן ממתקפה כזו וצריך מישהו שיעזור להן. עם הכניסה של כל האנשים האלה, כל האג'נדה הזו של 'אנחנו פה בשבילכם' נמחקה. כבר לא קופצים לאירועים כמו פעם, אם בכלל. תנסה לדווח היום על אירוע ל–CERT, ותראה אם מטפלים בך.

"יש עוד עניין. השב"כ הוא גוף מודיעיני. כשהוא רואה מתקפת סייבר הוא רוצה ל'גנן' אותה — הוא מסתכל על המתקפה, לומד אותה, מנסה לזהות, אבל הוא לא מסכל. לוקח לו הרבה זמן עד שהוא מסכל מתקפה. המערך האזרחי צריך לאזן אותו, ולהבהיר לו שחייבים לסכל מהר. הבעיה היא לא רק בראש המערך. אתה יושב בישיבה ולידך יושבים אחד מהשב"כ, אחד מהמוסד, אחד מהמלמ"ב, אחד מהצבא — אין שם בכלל אזרחים. גם לפני אונא, בוקי (כרמלי, ראש הרשות הראשון) הגיע מהמלמ"ב, הוא לא ראה בחיים שלו CISO או CIO (תפקידים של אחראי ביטחון מידע בגופים אזרחיים, א"ז). צריך לדעת לדבר עם חברות".

עובדים עוזבים, כספים ומשאבים מתבזבזים

בחודשים האחרונים חווה המערך, ובעיקר ה–CERT, גל של עזיבות. אחרי כרמלי, בפברואר עזב אלברטו (דטו) חסון, ראש ה–CERT, והחמ"ל מנוהל עד היום על ידי ממלא מקום. לפני ימים אחדים עזב גם סמנכ"ל הטכנולוגיות של ה–CERT, אלי עמר. מנהלת האירועים של ה–CERT תמר שיף עזבה את תפקידה, אך עדיין עובדת במערך בתפקיד אחר. עובד נוסף שעזב הוא צחי אלון, ראש מחלקת המבצעים ב-CERT. גם אביתר מתניה, שהיה יוזם המערך וראש המטה, עזב.

"בוא לבאר שבע, מקום מושבו של ה–CERT, ריק שם. יש חדר עם טלוויזיות וכמה סטודנטים שמועסקים שם דרך המכרז שזכו בו רפאל ו-EMC, אבל זה בעיקר שואו, מרכז מבקרים. אין בעלי מקצוע", אומר הבכיר. "תיכנס לאתר של ה–CERT של לוקסמבורג, אסטוניה או רומניה — אנחנו לא עושים רבע ממה שהם עושים. באתרים שלהם אפשר לדווח על אירוע, לשלוח קובץ לבדיקה. באתר שלנו יש טלפון, ואולי חוזרים אליך. היום מעניין אותם איראן, אם זה לא איראן לא מטפלים ולא קופצים".

עובד אחר לשעבר תיאר מצב דומה: "הוציאו את כל האנליסטים מה–CERT. אתה שמעת דבר כזה — CERT בלי אנליסטים? את כל האירועים מנהל השב"כ. יגאל (אונא) הפך את המערך למריונטה של השב"כ, כי השב"כ מתקשה לדבר עם עסקים פרטיים".

השניים טוענים גם לבזבוז כספים: "המשכורות גבוהות מאוד. סמנכ"לים מקבלים 35 אלף שקל בחודש — בתפקיד מקביל בשירות לא מקבלים ככה. ראשי תחומים, חבר'ה צעירים, מקבלים 25–27 אלף שקל. חוץ מזה, המערך מחזיק שני חמ"לים, לא אחד. יש חמ"ל אחד בבאר שבע ואחד ישן יותר בתל אביב. אבל המדינה לא יודעת לסגור, אז הם שניהם מאויישים 24/7. בסך הכל יש לחמ"לים בערך עשרה תקנים ביחד, 70 שקל לשעה לעובד, תעשה את החשבון".

על פי הצעת התקציב ל–2019, תקציב המערך מסתכם בכ–115 מיליון שקל. אבל המספר הזה הוא כנראה ישראבלוף, וזה רק בסיס התקציב. לאורך השנה מזריקים עוד כסף למערך, וסך הוצאות הארגון גבוה הרבה יותר — כמעט פי שניים. משרד האוצר השיב לפניית TheMarker בנושא ומסר כי הוצאות המזומן של המערך הסתכמו ב–215 מיליון שקל ב–2017 (לעומת 120 מיליון שקל ב–2016). מבחינת כוח אדם, המערך סיים את 2017 עם 220 עובדים. התקציב מגלה כי מספר המשרות ב–2019 צפוי לגדול ל–250 — ואיתו יגדלו גם ההוצאות.

גורמים המעורים היטב בנושא ומכירים את הדברים מבפנים מדברים על מערך סייבר יקר ובזבזני, שלא מטפל באמת באירועי סייבר ולא ממלא את המשימה שלשמה הוא הוקם. גם הטענות לפיהן המערך מתרוקן מעובדיו ומתפקידו המקורי, והופך בהדרגה לזרוע אזרחית של השב"כ, לא נאמרות בחלל ריק. הטענה היא כי השב"כ מנסה להחזיר, בדלת האחורית, את הסמכויות האזרחיות שנלקחו ממנו ב–2017 על ידי רשות הסייבר.

טענה זו מעניינת במיוחד, כי היא מהדהדת סוגיה בוערת אחרת — תזכיר חוק הסייבר, שפורסם ביוני. החוק מנסה להסדיר את הגנת הסייבר הלאומית, וכבר בראשיתו מפשיט ממערך הסייבר את החליפה האזרחית שלו. החוק קובע כי "מערך הסייבר הלאומי הוא גוף ביטחוני מבצעי, הפועל במשרד ראש הממשלה לפי הוראות חוק זה". החוק קובע סמכויות נרחבות של כניסה לארגון והחרמת חומר בעת חשש לאירוע סייבר, מה שמכונה בלשון החוק "כניסה למקום" ו"תפיסת חפץ לצורך טיפול בתקיפה".

מרבית מומחי הסייבר והמשפטנים מתנגדים בתוקף לנוסח החוק החדש, בגלל הסמכויות הנרחבות בו והאיזונים המעטים. איגוד האינטרנט הישראלי פירסם בימים האחרונים מסמך התנגדות מנומק לחוק הסייבר, ובו הוא רומז רמז עבה להפיכת מערך הסייבר לשב"כ זוטא. כך נכתב: "קריאה מקיפה של התזכיר גורמת לקורא תחושה לא נעימה, שמול עיניו קם ארגון ביון חדש, שתחום פעילותו הוא מרחב הסייבר הישראלי וסמכויותיו רחבות. ייתכן שתחושה זאת נובעת מהפירוט הרב של סמכויות המבוקשות למערך, הנובעות מהצורך החוקתי לעגן את מכלול הסמכויות בחקיקה ראשית. לא ניתן שלא להתרשם כי הסדרים מסויימים בתזכיר הם פרי מאבק בין גופי מדינה רבי עוצמה, המבקשים לשמר לעצמם סמכויות ומעמד במרחב המתפתח של הסייבר. הגופים המיוחדים המוזכרים בתזכיר מקבלים מעמד מיוחד לעתים ללא צורך מובן. מהצד השני, גופי מדינה אחרים, בפרט אלה שהם כיום בעלי סמכות אסדרה בתחום הסייבר, מבקש התזכיר להכניסם למשטר קשוח של כפיפות לפעילות המערך ולהוראותיו".

"זה מהלך טבעי, המערך לא מתפרק"

ואולם יש גם מי שדוחה את הביקורת. חסון, ראש ה–CERT לשעבר, טוען כי המערך מתפקד. "אני לא חושב שהמערך מתפרק. יש תחלופה טבעית של בעלי תפקידים, תהליך טבעי של ההחלטה לאחד את הגופים (מטה הסייבר ורשות הסייבר) וזה מהלך טבעי ובריא. אני עזבתי אחרי שנתיים וחצי כי אני גר במרכז והיה לי קשה פיזית לנסוע כמעט כל יום שעתיים בכל כיוון. כעת הגיע הזמן להביא ל–CERT אנשים מהדרום. יש ממלא מקום במקומי, הוא יבצע את הפעילות של גיוס האנשים, ישדרג ויחזק, ונראה CERT חזק תוך כמה שבועות".

בוקי כרמלי, ראש רשות הסייבר הראשון, שסיים את תפקידו לאחרונה, דוחה גם הוא חלקית את טענת ה"שב"כיזציה" של מערך הסייבר: "מדינת ישראל גילתה חזון וחלוציות בזיהוי הגנת מרחב הסייבר האזרחי בתור מאפשר כלכלי", הוא אומר. "אני גייסתי אנשים מהשב"כ והמוסד כי רציתי את האנשים הכי טובים, אבל דבר ראשון שאמרתי להם היה 'תשכחו מהתפישה הביטחונית, אתם פועלים מול חברות אזרחיות שלמעט רצון טוב לא חייבות לכם כלום. הן חייבות דין וחשבון רק לבעלי המניות שלהן'".

הביקורת של כרמלי, אותה העלה בפומבי בעבר, נוגעת לעובדה כי המערך ממוקד בעת ובעונה אחת גם בטווח הארוך מאוד — מחקר תיאורטי וניירות עמדה — וגם בטווח הקצר, בעוד שלטעמו הצורך האקוטי הוא בעיסוק בכאן ובעכשיו: "מכבי אש עוסקים קודם כל בכיבוי השריפה, לא במצית. את המצית אפשר למצוא אחרי שמכבים את השריפה, באמצעות חוקרי שריפות", אמר בעבר.

בנוסף, הביע בעבר חשש כי "מערך הסייבר יתעסק רק במחקר, כי זה יותר סקסי, פחות לחוץ ונמדד בטווחי זמן ארוכים מאוד". לטענתו, המערך צריך להיות גוף יותר מבצעי ומגיב והרבה פחות גוף שמייצר ניירות עמדה ופרויקטים ארוכי טווח. "בשביל חשיבה ומחקר יש אקדמיה", אמר.

ממשרד ראש הממשלה, האחראי הן על מערך הסייבר והן על השב"כ, לא נמסרה תגובה.