יוזמה חדשה להקמת מרכז אבטחת מידע לאומי
ניסיון נוסף ליזום ארגון אבטחה לאומי שירכז את כל ההתראות בנושא אבטחת מידע ויתאם בין כל הגופים הנוגעים בדבר
איגוד האינטרנט יוזם הקמה של גוף אבטחת מידע לאומי בנוסח CERT (קיצור של Computer Emergency Readiness Team) האמריקני, הפועל במסגרת אקדמית ובחסות הממשל האמריקני ובעידודו.
CERT עוסק באיומי אבטחת המערכות, בעיקר באינטרנט, בניסיון להתמודד עם גילוי פרצות בזמן אמת ולספק תשובות מידיות לבעיות האבטחה המתגברות בשנים האחרונות. הגוף עוסק בריכוז מידע על התקפות, ניסיונות חדירה וחדירות, למערכות מיחשוב, בהעברת ההתראות לגורמים הנוגעים בדבר במהירות האפשרית, כדי שיוכלו לספק פתרונות לפירצות בזמן קצר ככל האפשר, ובפרסום המלצות למשתמשים הכוללים פתרונות לבעיות אבטחה. נוסף על כך, הממשל האמריקני נערך למלחמה בטרור הממוחשב תוך הקמת גופים אחראיים, קביעת אסטרטגיות והקצאת תקציבים לנושא.
בישראל פועל גוף אבטחה בנוסח CERT המשרת את המסגרת האקדמית בלבד. ניסיונות להקים בעבר CERT לאומי ישראלי במימון ממשלתי הכפוף לאיגוד האינטרנט העולמי (Internet Society) עלו בתוהו. דו"ח בנושא אבטחת מידע שהוגש לכנסת בשנת 1997 העריך כי תפעול גוף כזה, הדורש העסקה של עובדים 24 שעות ביממה, יעלה כ-600,000 שקלים לשנה.
יוזמה לגיבוש צוות משימה
בשנה שעברה הוכנה במשרד האוצר תוכנית לגיבוש צוות משימה כלל לאומי, אשר ישמש כתשתית לגוף לאיתור ובלימת מתקפות טרור ממוחשב ברמה הלאומית. על פי התוכנית, כוח המשימה יתמקד באיתור, התראה, זיהוי התקפות והגדרת פתרונות לניסיונות טרור ממוחשב לסוגיו תוך שיתוף פעולה מלא של כל המתנדבים, ויורכב מבכירי מומחי אבטחת המידע בארץ בגופים הציבוריים והמסחריים, אשר יביעו נכונות לפעול בהתנדבות במסגרת הפרויקט.
הממשלה, מצידה, התחייבה להעמיד לרשות הפרויקט, את שירותי הלוגיסטיקה, התיאום, הידע והניסיון שנצבר במסגרת "תהילה", חוות השרתים הממשלתית, בתקווה כי גוף האבטחה הלאומי יגדיל את חסינות כלל התשתיות האזרחיות בישראל למתקפות טרור ממוחשב.
האם התעשייה בשלה?
על אף שהממשלה היא "לקוח" העיקרי בישראל למתקפות טרור ממוחשב, הכוללות וירוסים, סוסים טרויאניים ומתקפות מניעת שירות, בחוות השרתים הממשלתית, "תהיל"ה", מעוניינים כי הגוף החדש יתנהל במסגרת אזרחית ולא ממשלתית.
"אם איגוד האינטרנט הישראלי יקים CERT ישראלי, נשמח להצטרף", אומר בועז דולב, מנהל תהיל"ה", "אנחנו מייחסים חשיבות גדולה להקמת גוף כזה. כיום אנו עדים לכ-4,000 ניסיונות פריצה לאתרים הממשלתיים מדי שבוע, ו-70,000 ניסיונות סריקה, כמו גם 70 אלף וירוסים בחודש ומאות אלפי הודעות ספאם, שמנסים להשבית את מערך התקשורת של מדינת ישראל".
"בעבר התעשייה לא הייתה בשלה לשיתוף פעולה הנדרש להקמת והפעלת גוף אבטחה כזה, אך נשמח לעשות בניסיון נוסף להקים גוף אבטחה בנוסח CERT, בגיבוי הממשלה והתעשייה", אומר דורון שקמוני, חבר הנהלת איגוד האינטרנט הישראלי, "על פי מודל אחד, העלות אמורה להתחלק בין הסקטור הציבורי לפרטי. בעיית המימון לא תהיה המרכזית".
יו"ר ועדת המדע והטכנולוגיה, ח"כ מלי פולישוק-בלוך, אמרה אתמול בדיון הוועדה בכנסת בנושא האיומים הטכנולוגיים על מערכות המיחשוב המרכזיות של ישראל (כמו מערכות מים, חשמל, תקשורת, מערכות בנקאיות וכו'), כי בכוונתה לפנות לשר המדע החדש, אילן שלגי, כדי שיפעל לקידום הנושא.
ההטיה הביטחוניסטית של רשות הלאומית לאבטחת מידע
בישראל התקבלה החלטת ממשלה המורה על הקמתה של רשות לאומית לאבטחת התשתיות הלאומיות מפני לוחמה אלקטרונית. הגוף החדש כפוף לראש המועצה לביטחון לאומי ולרשות אבטחת המידע בשב"כ, ואמור לגבש את תורת אבטחה של מדינת ישראל ולהתוות הנחיות מקצועיות לביצוע לגופים ממשלתיים וציבוריים. עם זאת, גורמים שונים טוענים כי הגוף נכשל באיזון בין הצרכים הביטחוניים לבין הצרכים של מוסדות ממשלה וציבור המפעילים מערכות מידע אזרחיות, והוא סובל מהטיה ביטחוניסטית.
לדעת ניסים בר-אל, נשיא חברת אבטחת המידע קומסק, רק שילוב של הגופים העסקיים והגופים המומחים באבטחת מידע המצויים בכל ההתפתחויות הטכנולוגיות בתחום, יאפשר לתת מענה של ממש להיערכות והתמודדות המדינה עם איומי טרור מקוונים, המכוונים לתשתיות הלאומיות.
לדבריו, מדובר בפעם הראשונה שגופים ביטחוניים נדרשים להנחות גופים אזרחיים-עסקיים, בהיבטי אבטחה, כאשר הפער הקיים בין הראיה העסקית של הארגונים לבין הראיה הביטחונית של הגופים הממשלתיים ניתן לגישור רק על ידי גופים המבינים מחד את המשמעויות האבטחתיות ומאידך את ההשלכות וההתנהלות העסקית של הארגונים עצמם.
אנשי משרד הביטחון הפגינו אתמול בדיון יחס קריר באשר להצעת ההקמה של הגוף האזרחי. נציג משרד הביטחון, אבנר בן אפרים, אמר כי לעולם לא יקום CERT ישראלי כי "אינו מתאים למנטליות של הישראלים". נציג משרד התשתיות בדיון ציין כי המשרד מנחה את הגופים הכפופים לו, אך לא נהנה מגישה ישירה לתשתיות הקריטיות שלהם לצורך פיקוח".
