עלילת "הראש", דרמת המתח המדוברת שמשודרת בימים אלו בקשת 12, נראית כחלום בהלות דמיוני שלא יכול להתממש. גם בתקופה שלפני המלחמה, אז נכתבה הסדרה, המחשבה על פרצת מודיעין כל כך גדולה בארגון הביון הישראלי הייתה נראית כמו חלום בלהות (פרק חדש בראשון, אחרי החדשות) - אבל נראה כי סכנת דליפת מידע כאן, והיא מאיימת מתמיד.
"המציאות עולה על כל דמיון. מי התסריטאי שיכול היה לתאר תרחיש כמו מתקפת הביפרים? בכל הקשור לסייבר ההגנה, היצירתיות של התסריטאים מוגבלת ביחס למה שקורה בפועל", מספר ל-mako יגאל אונא, יו"ר חברת CyTwist שמקדמת פלטפורמה שמשמשת כקו הגנה פנימי לארגונים מפני תוקפי סייבר, ממש כמו הצרה שאיתה מתמודדים אנשי שירות הביטחון ב"הראש".
אונא שירת 23 שנים בשב"כ בתפקידים שונים עד לראש אגף סייבר-סיגינט, ומכאן שהסדרה עוסקת בסוגיה שקרובה לליבו, ובשיחה הוא מסביר מהן הטעויות הנפוצות שיכולות להביא לפרצה כמו שחווה איתמר מולכו בדרמה הבדיונית. "בלי לתת יותר מדי רעיונות לתוקפים, תוקף צריך פרצה אחת, אפילו לפרק זמן קצרצר, בעוד המגן צריך לשמור על כל 'משטח התקיפה', כלומר כל הדרכים הרבות שבהן תוקף יכול לבצע את זממו, מוגן ובטוח", הוא אומר. "לחיצה על לינק במייל מתחזה, טעינת סלולר ע"י חיבור של כבל טעינה למחשב או הכנסת התקן USB, צריך רק רגע אחד. תוקף מיומן יודע לנצל אותן לטובתו".
>> כל פרקי "הראש" זמינים לצפייה כעת ב+12
כמה קשה לגלות בזמן אמת שמידע מסווג דלף?
"בדרך כלל פורץ שחודר על מנת להשיג מידע מסווג אינו מעוניין שיבחינו בכך. הוא יעתיק את המידע בשקט, וינצל אותו לרעה, נניח יחשוף סוכנים - מבלי לסכן את עצם הפריצה שלו. ככל שישמור עליה בחשאי, כך יוכל ליהנות ממנה יותר. לכן יש קושי רב להבחין בדליפה שכזו בזמן אמת".
כאמור, ברזומה של אונא ניתן למצוא עשרות שנים בשירות הביטחון הכללי, ולצד זאת שימש בהמשך כראש מערך הסייבר הלאומי. מבחינתו, דליפה בסדר גודל משמעותי עלולה לערער את ביטחון המדינה, לא פחות מזה. "מעבר למידע הרגיש ולסכנה לנכסים מודיעיניים, העובדה שגוף ביטחוני וממלכתי, בוודאי מחשב של ראש אותו ארגון, פרוץ וחדור - מטיל צל כבד ופוגע קשות באמון כלפי אותו גוף או בכיר. הדבר עלול להוביל לפגיעה במוניטין, הימנעות משיתוף במידע רגיש ופגיעה דרמטית כמו התרעות שלא יישלחו כנדרש", אונא מדגיש.
עד כמה אפשר לבטוח במערכות מחשב כשבני אדם הם אלה שמפעילים אותן?
"אין ספק שהחולייה החלשה ביותר בכל מערך הגנה הוא הגורם האנושי. אנחנו לא מצליחים לעמוד בקצב ההתפתחות הטכנולוגית של עצמנו, וכל עולם הסייבר הוא בעצם קרב בין בני אדם תוך שימוש במערכות מידע ותקשורת כנשק. קצב ההתפתחות האנושית איטי מאד ביחס לקצב הטכנולוגיה המתפתחת, ובפער שגדל תוקפי הסייבר חוגגים".
האם אפשר בכלל לחזות דליפה מתוך המערכת? מה עושים כדי לזהות סימנים מוקדמים?
"ישראל מצטיינת, ברמה עולמית, בפתרונות הגנת סייבר פרואקטיביים - כלומר כאלה שלא מחכים לתוקף, אלא מזהים את נתיבי הסכנה שמשתנים כל הזמן מבעוד מועד בכדי לסגור את הפרצות או אתר את החדירה מיד עם התרחשותה ובטרם נגרם נזק של ממש".
ל-CyTwist, כך לפי אונא, פתרון בדיוק לבעיה זו. "אנחנו יודעים לזהות סימנים מוקדמים מאוד של תוקף מתוחכם עוד בטרם הצליח לממש את זממו", הוא אומר. "במצב כזה יש מגוון של אפשרויות פעולה, כשהחביבה עליי היא להשאיר את התוקף ב'אקווריום'. הוא מאמין שהוא יכול לטרוף את הדגים, אך בבואו לעשות זאת יגלה שהוא סגור בקיר זכוכית שלא יאפשר לו. זה סוג של הטעיה ופיתיון, והתוקף מבזבז אנרגיה על מבוי סתום".
מהו סדר הפעולות במקרה של דליפה ואיך מנסים למזער את הנזקים?
"במקרה של פריצה המצב עלול להיות בעייתי, אבל עדיין ישנם מהלכים להגנה כמו הטעיות שניתן לבצע, לגרום לתוקף להאמין שהוא קורבן של הטעיה או מידע ישן ולא נכון, ואפילו לנצל את החדירה של התוקף כדי לחדור למערכות שלו עצמו".
אונא מתעקש שלא הכל קודר ומפחיד, ושאפילו ניתן לצמצם את הסיכון שבדליפות. "בגלל האופי הדינמי והמתפתח של התחום, טכנולוגיות חדשות ומתקדמות כמו AI ואפילו מחשוב קוואנטי, צריך קודם כל להעסיק צוות הגנת סייבר מקצועי ומיומן שיידע להגיע לפתרונות הכי מתוחכמים ועדכניים. ישראל, כאמור, מצטיינת בהם, ולא מסתפקת רק במינימום שבו כולם משתמשים, כי גם התוקפים כבר מכירים ויודעים איך לעקוף אותם".
CyTwist משתמשת באסטרטגיות שפותחו לסיכול טרור. איך נראה בפועל תהליך "זיהוי מוקדם" בעולם הסייבר?
"הייחודיות של CyTwist היא בכך שבאמצעות AI מתקדם יודעים לזהות התנהגויות חשודות שמאפיינות תוקפים מתוחכמים, מטעם מדינות, מעצמות, ואפילו כנופיות פשיעת סייבר גלובליות, ולהתריע עליהן ממש עם התרחשותן. זה כולל זיהוי היסטורי של סימנים חלשים וכמעט בלתי מורגשים של תוקפים כאלה בעלי סבלנות רבה, וחיבור חלקי הפאזל הקטנים לכדי התרעה ברורה - ולא פחות חשוב, רק כאלה שבסבירות גבוהה אופייניות לתוקפים, ולא סתם התרעות שווא שמתישות את המגן. זו בעצמם תפיסת סיכול הטרור של שב"כ, שממנו הגענו אני וכמה ממייסדי החברה, שמגנה על ישראל מפני פיגועים קשים כבר למעלה משני עשורים, רק ביישום טכנולוגי בעולם הסייבר".