תחום ההגנה בסייבר הוא תחום חדש יחסית, מורכב ומתפתח במהירות. זהו עולם קשה להמשגה ובפרט קשה להגדיר ואף ליישם את מחויבות המדינה. בעוד בעולם הפיזי, מחויבות המדינה היא ברורה, במרחב הסייבר נדרש בירור והפערים ביישום הם עדיין גדולים. לכן, שימוש באנלוגיות, כדוגמת התמודדות המדינה עם איום בליסטי, יכול להועיל.


בצה"ל עוסקים רבות בתחום ההתגוננות מפני האיום הבליסטי: טילים ורקטות. החל מכתיבת פרוטוקולי התגוננות לפיקוד העורף, דרך חקר ביצועים וניתוחים אסטרטגיים למערכות ההגנה האווירית (דוגמת "כיפת ברזל") ולמערכות מתוחכמות לאיסוף מודיעין, וכלה בהגדרת אופן הפעלת אמצעים אלו באופן המיטבי בשעת חירום.


בתחום זה המטרה ברורה - לעשות את מירב המאמצים להגנה על המדינה, תושביה ותשתיותיה: צמצום פגיעות בנפש וברכוש, שימור רציפות התפקוד במדינה, הגברת תחושת הביטחון של התושבים, שימור החוסן הלאומי ועוד, בזמן שהכוחות הלוחמים פועלים לנטרול האיום.
אם מתבוננים בתהליך של ירי טילים על-ידי אויב לשטח מדינת ישראל, "מטריית" ההגנה, שהמדינה מציבה כנגדו, היא רבת שכבות, מקיפה ועתירת משאבים (תקציבים וכוח אדם ייעודי). המענה מתחלק לשני סוגים: מענה בשגרה ומענה בחירום. בשגרה, המדינה עוסקת בבניין כוח, הכולל, בין היתר, פיתוח תפיסת לחימה ותורות לחימה, איסוף מודיעין על הכוחות המשגרים כדי ליצור מטרות לתקיפה, פיתוח של אמצעי לחימה רלוונטיים והצטיידות, הסדרת תהליכי עבודה, ארגון האנשים וניהול המשאבים, הכשרות ואימונים ורגולציה (תקני בנייה של פיקוד העורף למרחבים מוגנים ועוד).
בזמן חירום, שלבי המענה מתחילים, באופן ציורי ובהעמדה פשטנית, בתקיפת מערך השיגור כדי לסכל את ירי האויב. אם בכל זאת האויב הצליח לירות לשטחנו, תושבי ישראל מקבלים התרעה ממוקדת, שמאפשרת רק לאזרחים בשטח המאוים להגיע למרחב מוגן ולאחרים להמשיך בשגרת חייהם. מערכות ההגנה האווירית מיירטות את הטילים ומצמצמות את האיום שמגיע בפועל. אם הטיל מצליח לעבור את מערכות ההגנה, האזרח נמצא במרחב מוגן שנבנה לפי תקנים שהוגדרו על-ידי המדינה כדי לצמצם את הנזקים בנפש. לאחר פגיעת הטיל, בתקווה שללא נזק משמעותי, מגיבים ראשונים ארגוני עזרה ראשונה (מד"א ואחרים), פיקוד העורף ומערך כבאות והצלה (כב"א) מטפלים בפצועים ובאתרי ההרס ומשטרת ישראל מאבטחת את המקום ומוודאה שלא יהיו נפגעים משיירי הטיל. בנוסף, המדינה תומכת ומפצה אזרחים וארגונים שנפגעו בגוף או רכוש.
תפיסת ההתמודדות עם האיום הבליסטי התפתחה לאורך שנים ונוספו עוד ועוד שכבות הגנה, ככל שהאויב שכלל, וממשיך לשכלל, את האיום בהיבטי כמות ואיכות.
פער בין ארגונים גדולים לקטנים
נחדד את ההשוואה לסייבר. באנלוגיה למרחב המוגן הדירתי (ממ"ד), מדינת ישראל משקיעה מאמצים ניכרים בהגדרת תקן ואמצעים להתגוננות בפנים הארגון. מאמצים אלו כוללים רגולציה לגופים מפוקחים (ביטחוניים, פיננסיים, בריאות ועוד), המלצות להתמודדות ארגונית במרחב הסייבר, תורות הגנה לארגונים, תקינה ובקרה של הגנת הסייבר בתשתיות מדינה קריטיות ועוד.
ארגונים גדולים, כדוגמת המגזר הפיננסי, משקיעים משאבים רבים בהגנה על עצמם ועל על לקוחותיהם מאיום הסייבר. הם מטמיעים שיטות אבטחת מידע מתקדמות, ומשקיעים בהקניית כלים ללקוחות כיצד להגן על עצמם ממתקפות ובכך אינם מהווים רק מטרה לתקיפה, אלא יכולים גם לתרום להגנה הכוללת. אולם עסקים קטנים ואנשים פרטיים מתקשים להשקיע את המשאבים הנדרשים ולעיתים תכופות נותרים ללא הגנה, שכן שכבות ההגנה הנוספות - כדוגמת סיכול ההתקפה, התרעה, מגיבים ראשונים לסיוע בעת פגיעה ועוד - אינן מפותחות עדיין. קיים פער בתפיסת המחויבות של המדינה להגן על אנשים פרטיים, עסקים קטנים וגם על ארגונים גדולים יותר. לוואקום זה נכנסות חברות מסחריות, אך כאמור, לאדם הפרטי אין יכולת להעסיק אותן.
אם נחזור לאנלוגיית הממ"ד - בהסתכלות היסטורית, הממ"ד היה בין מרכיבי המענה הראשונים לאיום הבליסטי בתחילת שנות ה-90' של המאה הקודמת. שכבות ההגנה הנוספות של התרעה ממוקדת, מערכות יירוט ומודיעין איכותי בזמן אמת הצטרפו במרוצת הזמן ולאורך מספר עשורים.
הזכות לחיים, לביטחון ולשלמות הרכוש
במאה ה-17 כתב הפילוסוף האנגלי ג'ון לוק, כי לאדם קיימות שלוש זכויות טבעיות: הזכות לחיים, לחירות ולביטחון אישי. ביטחון החיים, שלמות הגוף ויכולת ההנאה מרכוש, הם זכות אדם בסיסית וראשונית הנתונה לכל אדם באשר הוא אדם, בלי קשר לתכונותיו הנוספות. כל אדם זקוק לביטחון לגבי המשך קיומם של חייו ויכולתו להמשיך ליהנות מן השימוש ברכושו. זכות זו באה לידי ביטוי בחקיקה של המדינה האוסרת על רצח, אלימות, פגיעה ברכוש וכיוצ"ב, כאשר הכלים שבאמצעותם מבטיחה המדינה את הזכות לחיים ולביטחון הם המשטרה, הצבא והמערכת המשפטית. לשם מימוש חובה זו גם קמה למדינה הזכות להגנה עצמית מפני התקפות של מדינת אויב (סעיף 51 למגילת האומות המאוחדות).
איך מתרגמים את הזכויות הללו להגנה במרחב הסייבר? הזכות לחיים, לביטחון ולשלמות הרכוש בהקשרי סייבר כוללת גם את זכות הקניין וגם את הזכות להגנה על מידע פרטי על האדם.
מה נדרש לעשות?
אני קוראת לכולנו, כבר כעת, לפתח תפיסה מערכתית רחבה ורבת שכבות להתמודדות עם איום הסייבר. תפיסה שתקיף את כלל שכבות המענה ותאפשר הגנה הולמת על הזכות לחיים, לביטחון ולשלמות הרכוש של כלל בעלי העניין, החל מהאזרח הבודד, עסקים קטנים ובינוניים, וכלה בארגונים גדולים ותשתיות מדינתיות.
תפיסה זו ראוי שתפותח בשיתוף פעולה של המגזר הממשלתי, הביטחוני, העסקי והאקדמיה ויתקיים דיון עקרוני בה על-ידי נבחרי הציבור. התפיסה תכלול התייחסות, לכל הפחות, לנושאים הבאים: יכולות מודיעיניות, פיתוח מערכות טכנולוגיות, שיפור ההתרעה, התמודדות עם שאלות של הרתעה, עצירת מתקפות ברמת המדינה במקומות רלוונטיים, טקטיקות התקפיות, פיתוח ההון האנושי, קיום תרגילים, הסדרת תהליכים וממשקים, הגברת מודעות האוכלוסייה ואספקת שירותי הגנה נגישים לאוכלוסיות פגיעות (כדוגמת מבוגרים, ילדים ובעלי רתיעה מטכנולוגיה) ורגולציה מאוזנת.
העובדה שמדינת ישראל מאוימת בסייבר באופן מוגבר, מהווה מטרה לתקיפה גם משיקולים לאומניים וגם על-ידי פשיעת סייבר; וגופים במדינה מותקפים באופן יום-יומי, מחזקת צורך זה עוד יותר.
פיתוח תפיסה מקיפה בעת הנוכחית, גם אם מימוש מרכיביה יארך זמן, ייתן מענה איכותי ומתקדם ויאפשר לשותפים לפיתוחה לבנות מענה סינרגטי לאיומי הסייבר המתפתחים.
הכותבת היא מובילת אסטרטגיית סייבר במערך הסייבר, בנק הפועלים
בשיתוף בנק הפועלים




