נוכח מתקפות הסייבר האחרונות על מדינת ישראל, הוחלט כי ספקיות התקשורת יהיו מחויבות לעמוד בסטנדרטים גבוהים יותר, ובניהם: שמירה על עדכניות ורלוונטיות התוכניות, והטמעת מערכות למניעת חדירות. מנהל האגף לניהול אירועי הסייבר במערך הסייבר הלאומי, ארז תדהר, שוחח על כך היום (שני) עם ענת דוידוב בתוכנית "איפה הכסף?" ב־103FM.
בפתח דבריו אמר: "עד היום מי שהיה תחת פיקוח יותר הדוק היו חברות תקשורת שהיו תחת הנחיית שב"כ, אנחנו רוצים להרחיב את היריעה ולהכניס גם חברות אחרות כי המשק משתנה והוא נהיה יותר דיגיטלי". לדבריו של תדהר, "חשוב להיות עם אכיפה, או לפחות עם יד יותר עמוקה על הדופק, וזה מה שאנחנו מתכננים לעשות".
תדהר פירט ואמר: "היום רוב חברות התקשורת עושות את ההגנה לעצמן ללא אכיפה, זה אומר שאם יש דירקטוריון ומנכ"ל שמודעים לסיכוי הסייבר כנראה שהם יעשו הגנה טובה. הרמה היא טובה ואנחנו רוצים לקחת אותה עוד מדרגה למעלה כי התוקפים או האויבים בעולם הסייבר הבינו שהבטן הרכה זו חברות התקשורת וחשוב לשים את האצבע בסכר - זו אחת המטרות של היוזמה הזו".
אחת ממתקפות הסייבר שנכחו רבות בכותרות הייתה המתקפה על בית החולים הלל יפה. לטענתו של תדהר, אמנם בית החולים יצא מהמשבר אך הדרך עוד ארוכה: "זה לא פשוט כמו להרים כפתור ולהגיד שעכשיו אנחנו מוגנים, יש מערכות שלמות שצריך לעדכן אותן. לעדכן מערכת בבית חולים זה אומר לפעמים להשבית מערכת ל־X זמן ובית חולים זה לא מקום שיודע לעצור פעילות. זה לא בלתי אפשרי אבל זה גם לחיצת כפתור - זה תהליכים".
עוד אמר: "אנחנו רוצים להרחיק את האיום וזה בדיוק הרעיון של היוזמה הזו. את חלק גדול מהמתקפות אנחנו יכולים לעצור לפני הכניסה למדינת ישראל. בסוף, תקיפת סייבר מבוצעת על גבי קו תקשורת כי כך נכנס ויוצא האינטרס במדינת ישראל, אם אנחנו יכולים לעצור הרבה מאוד מהתקיפות כבר בפתח הגבולות של מדינת ישראל. זה מה שאנחנו נעשה".
"יש פה גם אחריות אישית של חברות במשק"
לדבריו של מנהל האגף לניהול אירועי הסייבר במערך הסייבר הלאומי, יש מספר דברים שהמדינה תדרוש מחברות התקשורת: "יש מספר תקיפות שיוכלו לבלום אותן כבר ברמת ספקיות השירות, ויש מספר תקיפות שבסוף אנחנו גם לא מסירים את האחריות מהגופים עצמם. יש גופים שיצטרכו להשקיע במוצרי הגנה, יכולות וכוח אדם כדי להגן גם על דברים שיעברו את המסנן".
בתגובה נשאל האם העמידה בסטנדרטים תהיה על חשבון בעלי העסקים או במימון המדינה. תדהר השיב כי "אני לא משרד האוצר ואני לא משרד התקשורת, יש פה גם אחריות אישית. בגלל זה אנחנו גם דורשים בנספח מעורבות של דירקטוריון ומנכ"לים עצמם. בסוף לא יכול להיות שאתה בעל חברה ואתה לא מעורב ברזי הטכנולוגיה או קווי התקשורת או יכולות ההגנה שיש לך. אתה לא יכול לשבת ולצפות שמדינת ישראל תגן עליך קצה לקצה. יש פה גם אחריות אישית של חברות במשק אבל אנחנו כמדינה צריכים לעשות את המקסימום כדי לצמצם".
"אם נשווה לכיפת ברזל", המשיך, "האחריות שלי כמדינה היא לתת כיפת ברזל שאמורה ליירט טילים שנכנסים, אבל האחריות האישית של הבן אדם היא להיכנס לממ"ד".
תדהר קבע: "אני לא יכול לבוא וללוות יד ביד כל בן אדם לרוץ לממד. אני, תפקידי הוא כיפת ברזל לאומית. תפקידם של החברות והמנכ"לים הוא להיכנס לממ"ד. אני לא אחראי להכניס אותך לממ"ד כשיש אזעקה, אבל אני כן אחראי לספק טילים לכיפת ברזל כמדינה. ככה צריכים להתנהל, אי אפשר להתנער מאחריות אישית והבנה של הסיכונים".
"תמיד יהיה כלי חדש, תוקף חדש, שיעבור מנגנוני הגנה"
עוד ביקש תדהר לחדד כי "יש עשרות חברות מצוינות במשק שעושות סקרי סיכונים ויכולות להגיד לכל ארגון קטן כגדול מה מצבו בסייבר, כמה המערכות שלו מעודכנות, איזה אנשי מקצוע כדאי להחזיק. לא יכול לשבת מנכ"ל חברה, לעצום עיניים ולהגיד 'אני סומך ובונה על המדינה שתעצור הכול' כי בסייבר אין מאה אחוז, תמיד יהיה כלי חדש, תוקף חדש, שיעבור מנגנוני הגנה".
נוכח אמירותיו, תהתה ענת דוידוב האם יהיו קנסות למי שלא יעמוד בסטנדרטים החדשים. תדהר הבהיר: "אני מאמין שלמשרד התקשורת יש מקלות ויש גזרים, בסוף הוא רגולטור ולרגולטור יש סמכות ומקלות ואני מאמין שאם יהיה גוף שיהיה סורר ולא יעמוד הסטנדרטים שנקבעו אני מאמין שיהיו השלכות".
"הרבה יותר קשה להגן"
בסיום השיחה, טען תדהר: "בסוף אנחנו עומדים בשער, אנחנו לא החלוצים שתוקפים, מערך הסייבר העולמי עומד ומגן. הרבה יותר קשה להגן. בסוף מי שתוקף צריך לתקוף פעם אחת, במקום אחד עם כלי אחד. לכן, האתגר הוא לא פשוט, אבל אני חושב שאנחנו עושים בסה"כ עבודה מאוד רצינית, תמיד יהיו איומים ואתגרים חדשים - אנחנו מתמודדים איתם כשהם מגיעים".
סייעה בהכנת הכתבה: שני רומנו 103fm