חברת החשמל – מטרה להאקרים מרחבי העולם

This post is also available in: English (אנגלית)

בתוככי חמ"ל הסייבר הארצי של חברת החשמל: 4,680 אירועי סייבר בשניה * 600 מיליון בלוקים של מידע ביום * 10,000 אירועים חשודים ביום * בין 8 ל-10 ניסיונות תקיפת רשת ביום.

בשנייה שנכנסנו לחמ"ל הסייבר הארצי של חברת החשמל ליד חיפה נרשמו על הלוח האלקטרוני 4,680 אירועי סייבר. אין צורך להיבהל, לא כולם תקיפות סייבר. אבל בחמ"ל מתייחסים ברצינות מקצועית לכל אחד מ-4,680 האירועים. כולם יוזנו למערכות המידע וינותחו על ידי האנליסטים ואנשי המחשבים והמידע, המאיישים את החמ"ל 24/7.

אין זה סוד שחברת החשמל, בהיותה מתקן תשתית אסטרטגי וספק החשמל הגדול והיחיד במדינת ישראל, היא מטרה למתקפות רשת. המספרים מדברים בעד עצמם מפיו של יוסי שנק, סמנכ"ל תקשוב: "אנו מטפלים ב-600 מיליון בלוקים של מידע שמגיעים כל יום למערכות חברת החשמל. מנטרים את כולם, ואז מגלים כעשרת אלפים אירועים בשעה בממוצע הדורשים חקירה מעמיקה, ומתוכם בין שמונה לעשרה אירועים ביום מזוהים כניסיונות תקיפה".

על הצגים ומסכי הענק, המכסים את קירות חמ"ל הסייבר, הדברים ברורים ביותר: על כמה מהצגים מסומנים חצאי עיגולים תלת–צבעיים – ירוק, צהוב ואדום. מגיע המחוג לאדום – זוהתה פגיעת סייבר. ברגע שמתגלה וירוס כלשהו (פוגען, סוס טרויאני, נוזקה) במערכת של חברת החשמל, ניהולית או תפעולית (ייצור חשמל), נשמעת אזעקה, התראה קולית "יש וירוס, אירוע!". הוירוסים נחלקים לארבע קטגוריות: 'לא חמור', 'חומרה נמוכה', 'חמור' ו'חמור ביותר'.

בלוח האמצעי בקיר החמ"ל מוצגת מפה נעה של כדור הארץ, ועליה מסומנות שלהבות אש בגדלים שונים – כל שלהבת בארץ מסוימת מסמנת מקור פגיעת סייבר. כגודל השלהבת כך עוצמת הפגיעה. אלמנט גרפי אחר מציג עומסי פעילות אינטרנטית בכל רחבי העולם. מתגלה פעילות חריגה – האנליסטים בחמ"ל נכנסים לפעולה.

אז מי חורשי מזימות הסייבר בעולם נגד חברת החשמל הישראלית? מהם מקורות איומי הסייבר? יוסי שנק: "ראשית יש לזכור שכל הזמן תוקפים ועד כה נזקים כמעט שאין. הנושא קיבל תאוצה בשנים האחרונות – מתקפות סייבר אינן עוד נחלת ארגוני פשע, עסקים וגניבות, אלא ניסיונות לתקוף יעדים טקטיים ואסטרטגיים, כאשר המטרה היא להפריע את התנהלותה הנורמאלית של המדינה וארגוניה."

"אשר לזהות מקור האיומים –מדובר במדינת כמו ארה"ב, איראן, סעודיה, פולין וכן, גם ישראל. אין לנו ספק שהתוקפים, בשם מדינה או אנשים פרטיים או ארגונים, אינם מתכוונים לגנוב שום דבר מחברת החשמל אלא לפגוע בתשתית, להפריע את מהלכה התקין של החברה, לפגוע במוניטין החברה ובאתרים תפעוליים של החברה, למנוע שירות. הפגיעה במוניטין פירושה בעולם הסייבר פגיעה בארגוני אמון, ארגון שמספר רב של תושבי המדינה נותנים אמון בו ובשרותיו. אנו בחברת החשמל מצויים בקבוצה זו, כי הציבור מצפה מאתנו אספקת חשמל סדירה. ועוד מעולם תקיפות הרשת: אם אתה מותקף, אם מצליחים התוקפים לפגוע בכך – סימן שאתה פגיע וחדיר, שאתה משדר חולשה. לכן צריך להתכונן ולסכל להתמודד עם האיומים ולהפחית את הסתברות הצלחת התוקפים".

iHLS – Israel Homeland Security

ואמנם, בשנים האחרונות בוצעו בחברת החשמל פעילויות רבות ומעמיקות שמטרתן לנטר, לאתר, לזהות, לנתח ולסכל אירועי סייבר, וזה בעזרת משאבי כוח אדם וציוד ומערכות מתקדמות ביותר, ויקרות. חמ"ל הסייבר הוא הליבה של פעילות זו, ובו נאגרות כמויות עצומות של מידע, העובר תהליכי עיבוד וניתוח על מנת לתת התראות לכל יחידות החברה. בכל אסופת מידע מנסים לגלות ולחשוף התנהגויות א–נורמליות מעוררות חשד. מומחי חמ"ל הסייבר מנסים גם לזהות סיכויים לאירועי סייבר עתידיים למטרות מניעה.

במקביל לאינטרנט מדברים היום על 'דרקנט', איומי סייבר של ארגוני טרור וארגוני פשע.

רונן דקל, סמנכ"ל אגף מערכות מידע ותקשוב ומנהל סייבר, טכנולוגיות בקרה: "תפיסת ההגנה בתחום אומרת, כי ככל שלתוקף יש יותר מוטיווציה ומשאבים – כך הוא יצליח יותר. לכן המגן חייב להיות צעד אחד לפני התוקף. אנו אוספים מידע, אוגרים מודיעין מאלף ואחד מקורות פנים וחוץ, מנהלים מו"פ (מחקר ופיתוח), מקיימים שת"פים עם גופים מקבילים בישראל (גופים בטחוניים ותעשיות) ובמדינות אחרות, מעסיקים מומחי אבטחת מידע, מערכות מידע, מחשבים ותקשוב ואנליסטים – הכל כדי ליצור לעצמנו תמונת מודיעין של האיומים. לא כל פוגען סייבר מיועד לגרום נזק מיידי. יש פוגענים 'רדומים' הנשלחים היום כדי להתחיל לפעול בעוד חצי שנה. צריך לנטרלם ולזהותם לפני שהם 'מתעוררים'".

כאשר מדברים על סכנות מתקפות הסייבר משננים באוזני העוסקים בכך מה קרה בסעודיה: בחברת הנפט הענקית ארמקו הפסיקו לעבוד 30 אלף מחשבים בהבזק של דקה אחת!. בחברת החשמל לא נגרמו עד כה נזקים חמורים ממתקפות רשת, למעט, לדברי מנהלים בחברה, "הפסקת עבודתם של כמה עובדים לזמן מה".

מכיוון שאנשי הסייבר בחברה אינם עוסקים בהגנת סייבר אקטיווית ("את זה אנו משאירים לאחרים"), הרי מערכות ההגנה הפסיווית קיבלו בשנים האחרונות עדיפות גבוהה ביותר. זה כולל מגוון גדול של כללי התנהגות ואמצעי הגנה פיסיים ודיגיטליים, המשלבים בין העולם הקיברנטי למרחב הפיסי. כמה דוגמאות:

• חל איסור על עובדי החברה להשתמש בדיסק–און–קי. ומי שבשגגה יתקע מתקן כזה במחשבו – תתקבל התראה על כך במרכז הבקרה.

• מיילים: יקבל עובד החברה מייל ממקור בלתי מוכר או בניסוח חשוד, החומר יועבר לניתוח ובדיקה.

• מישהו יפתח ארון למרות שאינו מורשה לפותחו – תישלח אזהרה.

• פעילויות HLS והגנה פיסית: מערכות צילום ו–וידיאו במתקנים, טלוויזיות במעגל סגור, אמצעים ביו–מטריים לכניסה לחדרים ואזורים רגישים.

• חינוך, הכשרה, הדרכות, תרגול ומודעות לסכנות של איומי רשת. רמת המודעות גבוהה, ועוסקים בנושא הי"ור והמנכ"ל ולמטה. 'מכניסים לאנשים לראש' שאמנם 98% מהמתקפות אינן רלוונטיות, אבל זו האחת עלולה לגרום אסון, ולכן יש להתכונן למתן תגובה מהירה לכל אירוע. אין מזלזלים בשום אירוע.

• מופעלים מנגנוני 'הלבנה' ו'השחרה' של חומר המגיע לחברה ממקורות חיצוניים.